刘 彬

(广西交科集团有限公司，广西 南宁 530007)

0 引言

机电运维是高速公路管养阶段最重要的工作之一。高速公路路段中心集中监控了全部的机电系统软硬件资源。监控中心通常采用人工定期查看各个系统的方式来判断软硬件系统的运行情况，进行日常的运维工作。维护人员需要登录或者操作的机电系统多，特别是全国实行了ETC门架联网收费模式后，多采用Linux系统，要求运维人员具有较高的Linux系统基础知识，并且多数巡检需要人工检查并记录巡查情况，耗时长、过程繁杂、效率低。为解决这一问题，通过研究实时获取服务器参数信息的技术，以跨平台监管硬件服务器为基础，关联监控各软件系统的运行情况，通过数据可视化来展示运维全周期信息，构建分布式部署的集群监控管理运维服务，探索高速公路机电系统运维管理新模式。

1 技术路线

基于核心组件OSHI搭建一套分布式采集数据集群化监测运维平台。优点是Spring Boot框架基于Spring4.0设计的Java平台上的一种开源应用框架[1]，可快速跨平台部署；OSHI组件是一个基于JNA的本地操作系统和Java的硬件信息库，可跨平台查看服务器信息，相较于其他硬件数据收集组件，其不依赖任何额外的本机库，真正提供了跨平台监测系统信息的能力；在接口校验上采用了开放的授权网络协议OAuth2.0认证，允许用户让第三方访问，且无须将用户名和密码提供给第三方[2]；在通信过程中采用了HTTPS，是在传统的HTTP基础上加入SSL证书，降低交互复杂性、减少通信过程交互环节，支持OAuth2.0认证，保证接口的安全调用，确保数据正确发送，防止数据在传输过程中被窃取和修改，确保数据的完整性[3]；通过分布式网关将各项资源监测指标上报总控平台，监控指标包括操作系统、进程、内存和CPU使用情况、磁盘和分区、外设、传感器、网络吞吐量等关键数据，以数据可视化监测各项指标。

2 运维平台总体设计

高速公路多采用分级控制，机电系统中软硬件多采用分布式部署。在路段或区域中心的总控平台通过接收各个服务器网关的状态、检测结果、硬件状态等，包括进程监控、内存使用、硬盘使用、网络吞吐量等，实现对机电系统中软硬件的全程监控，以数据可视化来监测，保证机电系统稳定运行。见图1。

图1 分布式运维网关集群监控结构图

先将网关分布式部署在各个监控服务器，实时检测系统信息，主动推送各项实时监测数据给区域中心总控平台，总控平台可实时监控到各个硬件服务器的指标参数，实现对全部管理服务器资源“集群化”管理。见图2。

图2 运维网关技术架构图

为防止监测数据在传输过程中不被窃取、改变及恶意的数据注入、伪造等。在信令及数据流中采用加密认证、授权注入的安全机制：(1)API接口协议采用HTTPS，降低交互复杂性、减少通信过程交互环节；(2)支持OAuth2.0授权认证，保证接口安全调用。在运维平台数据信令流中，加密认证具备有效期验证，每次网关上报数据都会对请求参数进行解密验签。见图3。

图3 运维平台数据信令流流程图

2.1 运维网关注册

网关注册到总控平台后，可按周期定时向总控平台发送心跳数据，以此数据来表明服务器在线，总控平台可通过心跳模式实现服务器的状态检测。网关向总控平台发送心跳数据信令采用HTTPS协议，总控平台将发行一个有效期短的令牌环。网关需携带有效的令牌环进行Oauth2.0认证，当令牌环失效后网关设备需向总控平台重新发起令牌环刷新指令，获取新的有效令牌环，在获取令牌环过程中数字签名需要进行国密SM2算法加密[4]。

2.2 运维网关数据报送

网关通过实时获取系统的各项性能数据，主动上报给总控平台，上报的监测数据主要包括：CPU使用情况、内存使用情况、系统运行时间、网络吞吐量、磁盘分区及使用情况、待监测服务运行情况等。

数据上报过程中采用HTTPS协议，每次网关都需要携带有效令牌环，数据采用JSON标准化，POST请求实时上报。

2.3 运维网关平台安全

为防止监测数据在传输过程中不被窃取、改变及恶意的数据注入、伪造等，确保数据完整性，在认证和授权过程中采用OAuth2.0授权机制来颁发令牌环，用OAuth2.0来实现接口的访问控制，这样能够很好地保证访问数据的安全性。网关通过令牌环，去请求上报数据。网关申请令牌环之前，都必须先到总控平台备案，说明自己的身份，然后会拿到两个身份识别码：网关编码和网关密钥。这是为了防止令牌环被滥用，没有备案过的第三方应用拿不到令牌环。网关获取令牌环以后可向总控平台注册、上报数据。每个接口请求，都必须携带有效的令牌环。具体做法是在请求的头信息中加上一个Authorization字段，令牌环就放在这个字段里面传输。令牌环失效后，网关需重新申请新的令牌环，申请时带上网关设备编号的BASE64值、编码、初始令牌环，平台返回新令牌环[4]。

数字签名算法遵从“私钥签名，公钥验签”的签名、验证方式。我们可以把数字签名算法近似看成是一种附加了公钥和私钥的消息摘要算法。sign 生成方法为：使用总控平台分配的私钥对deviceCode=deviceCode&user=user&token= token进行国密SM2 算法加密得到，私钥为线下发放[4]。SM2椭圆曲线算法，主要用于数字签名、数据加密、密钥交换以及身份认证等[5]。在令牌环失效或者网关重新获取令牌环阶段，需要根据注册信息生成有效SM2加密数字签名。

2.4 总控平台

总控平台采用数据可视化方式实时展示监测网关数据，在数据可视化上采用ECharts工具，后台通过接口实时接收到的网关各项性能数据，对全部监测数据进行批量入库存储，同时通过WebSocket服务实现服务端主动向浏览器推送实时数据，浏览器和服务器只需要完成一次握手，两者之间就可以直接创建持久性的连接，可持久进行数据传输。如此设计能够实现后端实时接收、数据实时推送、浏览器实时展示，能更好地节省服务器资源和带宽，并且能够更实时地进行数据接收展示，避免监控数据可视化非实时情况。

3 运维平台应用

广西壮族自治区高速公路发展中心的全区视频监控联网系统中，在联网中心和各个高速公路路段运营公司部署有55台Linux和windows操作系统的服务器。通过分布式部署网关就可实时高效地监测到全部服务器和服务的正常运程状态，所有硬件设备的监测数据实时上报至联网中心总控平台，总控平台通过数据可视化的效果展示每一台设备的运行状况，可直观高效管理视频联网监控系统后台情况，实时掌握运行健康度。

4 结语

本文结合广西高速公路机电系统智慧运维的需求，分析了传统高速公路机电系统运维工作中存在的一些问题，特别是Linux系统的运维困难，提出了采用基于OSHI的分布式运维网关，可实现海量软硬件资源的集群化监测，大大缩减日常机电系统运维时间，提升工作效率，解决机器数据的采集、清洗、存储、搜索、分析、告警、数据可视化等需求。