臧 钊，苏尔慈，金 鸽，刘 军，刘彦军

（1.中国铁路北京局集团有限公司 科技和信息化部，北京 100860；2.中国铁道科学研究院集团有限公司 铁路大数据研究与应用创新中心，北京 100081；3.北京华路时代信息技术股份有限公司，北京 100081；4.北京经纬信息技术有限公司，北京 100081）

近年来，云计算正在成为信息技术（IT，Information Technology）产业发展的战略重点[1]。各国已经紧跟这一发展趋势，纷纷向云计算转型[2]，这带来了云计算市场规模的快速增长。美国将云计算技术和产业定位为维持国家核心竞争力的重要手段之一，在制订的一系列关于云计算的政策中，明确指出加大政府采购，积极培育市场，旨在通过强制采购和指定技术架构，推进云计算技术的进步，推动产业落地发展[3]。

在《国务院关于促进云计算创新发展培育信息产业新业态的意见》[4]《关于积极推进“互联网+”行动的指导意见》[5]《云计算综合标准化体系建设指南》[6]等政策的指导下，近年来我国的云计算产业得到了迅速发展[7]，现已进入成熟发展期，产业格局基本稳定。中国石油天然气集团有限公司、国家电网有限公司、国电电力发展股份有限公司等国有企业，近年来也关注自身的信息化转型升级，积极建立了各自的私有云平台，并将主要的业务系统、行业大数据应用及物联网应用迁移至云平台。由此可见，云计算已经发展成为各行各业信息化发展的重要组成部分。

铁路的高速发展和业务运营离不开云平台技术的支撑。目前全国铁路18个集团公司当中，已经有13个建设了自己的私有云平台。

云平台支持通过便捷、按需访问等方式进入可配置的计算资源共享池，为用户提供计算、网络、存储等能力，其中，计算资源共享池包括网络、服务器、存储、应用软件、服务等[8-9]。云平台在实现系统资源整合、降低信息化成本、提升安全保障机制等方面具有很大优势，将成为铁路局集团公司信息化发展采用的重要技术和架构组成。

本文以中国铁路北京局集团有限公司（简称：北京局集团公司）为例，介绍铁路局集团公司云平台建设总体设计方案。云平台采用基于成熟架构的软硬件产品搭建，总体架构分为云基础架构、云服务管理平台和云用户[10]。目前，该架构正在逐步完成从基础设施即服务（IaaS，Infrastructure as a Service）到平台即服务（PaaS，Platform as a Service）的转变，未来也会考虑将部分服务转变为软件即服务（SaaS，Software as a Service）。

1 总体架构

北京局集团公司云平台采用架构成熟的软硬件产品搭建，其架构如图1所示。在云平台总体架构中，底层为机房建设，包含硬件设备及相关线缆，实现云平台资源层的建设。中间层通过云平台资源层灵活规划各个资源池，逻辑隔离，保证业务安全，再通过统一云管理平台使云平台资源池统一运行与维护（简称：运维），使业务资源共享按需分配。顶层设计为业务运营，根据业务部门规划多级虚拟业务区，保证资源独立性，角色和权限解耦，支持自定义角色，从而更符合云平台建设需求。

图1 云平台架构

云基础架构、云服务管理平台和云用户是云平台重要的组成部分，具体如下。

云基础架构指的是将铁路局集团公司、各站段的多个位置的数据中心统一起来，通过软件定义的数据中心，使用标准的硬件设备（服务器、存储、网络），搭载成熟的软件，完成抽象化、池化和自动化的过程。

云服务管理平台是指在软件定义的数据中心的基础上，是运维、部署及计量的统一平台和门户，提供运维管理、服务调配和资源部署，以及使用量统计和报表等功能。

云用户是指使用云平台资源的用户。云用户通过云服务管理平台申请并得到所需要的计算、存储、网络、安全等资源，进行自用软件或服务的开发、测试及使用。在使用周期结束后，可以由用户提出继续使用的续约申请，也可以由云服务管理平台执行资源回收的操作。

2 云平台功能

2.1 功能架构

云平台功能架构如图2所示。主要实现如计算、存储、网络等基本要素的虚拟化，以及实现软件和硬件解耦。

图2 云平台功能架构

2.2 资源虚拟化

资源虚拟化包括计算虚拟化、存储虚拟化，以及网络虚拟化。

（1）计算虚拟化，即服务器虚拟化。服务器虚拟化是指在物理服务器上安装虚拟化软件，然后部署虚拟机。经过服务器虚拟化之后，物理服务器成为标准的池化资源。无论哪家厂商，只要其服务器是标准的X86服务器，都可以放到同一个资源池中使用。计算资源虚拟化，包括对CPU的虚拟化，以及对内存的虚拟化。在执行计算资源虚拟化之前，每台物理服务器只能安装一种操作系统。在虚拟化之后，每台物理服务器可以安装多种相互独立的操作系统。

（2）存储虚拟化是将同一个集群中所有服务器内置的硬盘虚拟成一个大的数据存储（Datastore），供集群内所有服务器上的虚拟机使用。存储资源虚拟化需要使用的硬件包括用于缓冲层的固态盘（SSD，Solid State Disk），用于容量层的 SSD 或硬盘驱动器（HDD，Hard Disk Drive），以及用于连接硬盘的Raid 卡（Raid0/1）。

（3）网络虚拟化将底层的硬件网络视为基于IP的承载网，底层网络可以是多厂商、多型号，既可以是传统的3层架构，也可以是新型的两层架构。网络虚拟化主要解决以下两个问题。

①突破传统的二层网络域的限制，将虚拟化资源组成更大的资源池，在资源池范围内。虚拟机可以随意迁移，网关一直跟随虚拟机，保障业务不会中断。

②在虚拟化资源池的范围内，使用分布式防火墙提供逻辑隔离，使不同等级保护标准的应用、不同功能（如开发、测试、生产）的虚拟机可以共同部署在同一个虚拟化资源池中。

虚拟网络组件以VIB文件的格式安装到每台物理服务器的计算虚拟化软件内核中。安装是以集群为单位的，每个集群只需要通过单击鼠标就可以完成安装。当已经安装过虚拟网络组件的集群扩展服务器时，后扩展的服务器会自动安装虚拟网络组件。虚拟网络组件和传统的网络类似，能提供交换、路由、防火墙、虚拟专用网（VPN，Virtual Private Network）等功能。

2.3 资源池运维

虚拟化资源池可以通过平台管理向现有的运维管理平台提供相应的接口，包括SNMP/CIM/Rest API等多种管理接口。同时，虚拟化资源池具有和传统的运维管理平台不同的很多特征，因此，支持云平台运维管理软件对整个虚拟化环境进行全方位的健康、性能、容量等方面的管理和监控。云平台运维管理软件从虚拟环境的每个级别的每个对象（从单个虚拟机和磁盘驱动器到整个群集和数据）收集性能数据，存储并分析这些数据，并实时提供虚拟环境中任意位置存在的问题或潜在问题等信息。

云平台运维管理软件提供在动态虚拟环境和云计算环境中，主动确保服务级别和管理容量所需的运维控制面板、性能分析和容量优化功能。其运维管理解决方案的管理界面可以显示虚拟基础设施的健康状态、风险和效率，除此之外，还可以显示当前虚拟基础架构中各节点资源的使用情况和需求，并以数字化形式直观地呈现负载的高低情况。铁路局集团公司可以通过云平台运维管理软件对于主要的环境资源，包括CPU、内存、网络、存储等资源的使用情况进行汇总。

服务调配软件是一组工具，帮助实现资源的服务调配和部署，为应用用户提供自服务门户。服务调配涉及众多相互关联的业务组成元素：包括蓝图、业务组和用户、基于角色用户授权、资源预留、共享基础架构的管理、机架资源的生命周期等。服务调配软件包括多个组件，这些组件相互协作，为资源池提供以下功能：统一的信息技术服务目录；基础架构服务调配；应用服务调配；以服务的形式提供任何服务（XaaS，X as a Service）。

2.4 防病毒

传统的防病毒手段是在操作系统内安装防病毒代理，通过集中的服务器对每个操作系统内的病毒库进行更新。这样带来的问题是，操作系统内的杀毒代理成本较高。此外，定期更新病毒库会造成所有的操作系统同时更新，这对网络和存储会产生很大的影响。在虚拟化环境中，杀毒软件的部署有了新的变化，每台虚拟化主机部署一个杀毒虚拟机，业务机操作系统内不再部署杀毒代理，这种机制叫做无代理杀毒。无代理杀毒很好地解决了上述成本高、病毒库更新对网络和存储影响大的问题。目前，国内主流的杀毒软件都支持这种无代理杀毒的部署方式。

2.5 NAS存储

虚拟化资源池中的业务虚拟机使用的存储主要来自服务器内部的存储组成的分布式存储，通过多副本方式存储在多个主机、多块硬盘上。作为业务虚拟机的备份手段，需要部署网络附接存储（NAS，Network Attached Storage）。

虚拟化资源池中的业务虚拟机使用分布式存储方式，通过多副本方式存储在多个主机、多块硬盘上。NAS通过IP网络访问，和业务网络共用，无须建设类似存储区域网（SAN，Storage Area Network）的专用网络。

3 关键技术

3.1 资源池虚拟化技术

铁路局集团公司云原生数据中心的网络架构，利用统一的底层物理网络开展设计，建设统一的虚拟化资源池，这个资源池可以随着承载应用的增加而随时增加服务器的数量。每个机架部署10～12台服务器，每个机架部署1台架顶交换机，2个相邻的机架可以共用架顶交换机，形成双上连的V字型连接。在统一的资源池之外，还有独立的办公边界集群和生产边界集群，在实际使用虚拟化资源池的资源时，为办公分配的资源和为生产分配的资源，在资源池内部无法相通，仅能通过办公网络和生产网络之间的物理防火墙策略决定是否可以相通。这个设计最大程度上提升了资源池的利用率，使办公类应用和生产类应用在内网的统一资源池上相向增长，满足等级保护和安全隔离的需要。资源池虚拟化如图3所示。

图3 资源池虚拟化

在图3中，蓝色表示统一的虚拟化资源池，办公类应用和生产类应用在资源池内部是互相天然隔离的，借助办公边界网关和生产边界网关，各自使用虚拟化网络连接到各自的物理网络中，在铁路内部网络（简称：内网）的办公和生产之间的防火墙这里交汇，通过防火墙策略决定它们之间是否可以互访。

3.2 网络隔离技术

铁路局集团公司信息化网络方案架构总体上通过逻辑隔离的方式，隔开了内网办公区及内网生产区。

通过对核心交换的边界风险与需求分析，利用网络层目前已经部署的防火墙，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动，为网络创造全面纵深的安全防御体系。资源池内部的东西向隔离技术利用虚拟化安全技术，利用加载在虚拟机或容器层面的分布式防火墙，实现在资源池内部，同一应用之间，或者不同应用之间的安全隔离。

4 结束语

本文以北京局集团公司为例，提出了铁路局集团公司云平台建设总体设计方案，该平台具有资源虚拟化、存储虚拟化、网络虚拟化功能，优化了铁路信息系统的计算、网络、存储等能力，能够整合系统资源、降低信息化成本。下一步，本文将对大数据、人工智能、物联网等技术进行研究，让现有系统得到进一步优化，提高其先进性和普适性。