基于省市两级分布式政务云资源共享建设方案的研究与实践
2022-10-11刘浪潘志安
刘浪 潘志安
江西省信息中心大数据技术部 南昌市 330000
1 省市政务云建设现状
随着我省政务应用建设的不断推进,提升基础设施资源利用率、推动政务资源共享、实现业务应用快速部署、保障业务应用系统安全可靠运行的需求越来越迫切,亟需建设一个省、市互通共享的电子政务云平台,实现全省IT资源的大整合,充分发挥云计算的高性能、低成本、易扩展等优势,为各级政务部门信息化工作提供更有力的支持和保障[1-2]。目前,我省已构建标准统一、互联互通、层级衔接的省、市两级电子政务云平台,如图1所示。
图1 江西省电子政务云两级分布式部署图
1.1 网络体系建设
依托全省电子政务外网统一网络平台,建设了符合省、市两级部署要求的分布式数据中心网络;纵向与11个设区市政务云数据中心互联的大二层网络。
省电子政务云网络遵循“网络分区+业务分平面”的设计理念,在网络层面分为政务外网应用区和互联网应用区两大区域,并根据业务需求细分为若干业务子区。在业务层面分为业务平面、管理平面和存储平面三大平面,三大平面物理独立,有效提高了系统的可扩展性、安全性和可维护性。
1.2 安全体系建设
省市两级政务云按照信息安全等级保护三级要求构建了政务云安全防护体系[3],部署防火墙、Web应用防火墙、虚拟化安全防护软件等软硬件设备,提供了网络安全、主机安全、数据安全、虚拟化安全等多种安全服务,保证虚拟机、云平台数据中心、网络边界的安全,同时为将来的业务应用系统发展提供可兼容的空间,最大程度地降低业务应用系统安全风险,确保整体信息安全目标的实现。
2 研究意义
目前,我省“1+11”的省、市两级电子政务云架构初步形成,在提升基础设施资源利用率、推动政务资源共享、实现业务应用快速部署、保障业务应用系统安全可靠运行等方面取得了较好成效。但是,目前省、市政务云之间不能联动,形成了“岛云”,无法解决云与云之间资源共享的难题。因此,研究省市两级分布式政务云资源的共享利用对提升全省电子政务云对外服务能力具有重要意义。
2.1 有利于提升全省政务云灾备防护水平
通过研究省市两级分布式政务云资源共享,将有力提升省级政务部门和设区市政务云重要信息系统业务备份恢复能力,增强信息安全防护水平,防止大型系统损毁后造成的数据丢失。
2.2 有利于提升全省政务云业务支撑能力
通过研究省市两级分布式政务云资源共享[4],形成省市逻辑一朵云和全省IT基础设施统一资源池,将有利于提升全省政务业务承载的深度和广度,满足省级政务部门业务应用部署需要,发挥信息资源共享的示范与带动作用,更好地为社会提供公共服务,进一步推动各部门和各地区凝聚和发挥政务创新力量,为深化行政体制改革做好服务。
2.3 有利于提升全省政务云安全防护水平
省市电子政务云平台已初步构建了安全保障技术支撑体系[5],但是随着信息安全形势的不断变化,政务云平台的发展必须将网络与信息安全保障工作放在更为重要的位置上。通过研究省市两级分布式政务云未知威胁感知和安全态势预警技术,可实现对政务云平台安全态势觉察、跟踪、预测和预警,全面、实时掌握云平台安全态势,及时掌握网络安全威胁、风险和隐患,及时监测漏洞、病毒木马、网络攻击情况,通报预警重大网络安全威胁,达到实时态势感知、准确安全监测、及时应急处置的目标。
3 研究内容
3.1 省市政务云互联
为尽可能充分使用分布在多个不同地理位置的数据中心资源,实现电子政务云数据安全冗余备份,需要实现数据中心二层网络跨站点扩展,即多个数据中心站点间实现二层网络互联,以便业务可以在多个数据中心间透明迁移。跨站点的高可用性集群、数据中心整合以及虚拟机的跨站点迁移则成为数据中心二层互联的主要驱动力。
3.2 省市政务云对接
目前市级电子政务云建设规模相对都比较小,也没有建设云灾备系统,很难满足政务业务系统的突发性和规模性资源需求,也存在重要政务业务数据丢失的风险,为了有效解决上述问题,研究省、市两级政务云对接技术[6],本文将着重研究以下内容:
3.2.1 跨域应急资源服务
在省级政务云建设市级政务云应急服务资源池。当市级政务云本地资源不足时,可向省级资源池申请应急资源,并将业务通过政务云平台快速部署到省级应急资源池中,市级云管理员可跨域统一管理在省级云里分配给他们的资源。
3.2.2 统一数据级云备份服务
省级政务云为市级政务云提供统一备份资源池。市级政务云可选择将本地重点业务数据,远程备份至省级统一备份资源池上。当本地业务数据或备份业务数据出现问题时,可将远程备份数据远程恢复至市级资源池上,保护重点数据可靠性。
3.2.3 两级云管理
省市两级政务云需实现统一运维管理,横向可以实现多数据中心的统一管理,纵向可实现两级云的分级、分权、分域管理,实现服务申请流程化、资源调度智能化、运维保障主动化。
4 省市两级分布式政务云资源共享建设方案
为了实现省市两级分布式政务云资源共享利用,为省、市两级政务云提供统一管理、统一的灾备服务,提高全省政务云系统和数据的可靠性和连续性问题,整体减低建设、投资及管理的复杂度及成本[7]。采用注入式级联OpenStack的两级政务云解决方案[8-9],可在成本最小化的情况下,很好地实现上述需求。
4.1 总体架构
市级政务云采用统一云管理平台+级联OpenStack云计算架构,为本市政务云用户提供资源服务,省市两级政务云拓扑图如图2所示。
图2 省市两级政务云拓扑图
4.1.1 跨云备份
市级政务云管理员需登录省级政务云服务平台,申请文件/对象存储服务,获得账户信息及存储URL后,将信息配置到市级政务云的灾备管理系统中,作为远程备份地址[10]。
当市级政务云租户选择备份服务时,可选择本地备份及远程备份。若租户选择远程备份,并将需要备份的虚拟机挂载给该服务,并申请服务通过后,该租户虚拟机将按照备份服务申请时选择的备份策略,自动化远程备份至省级政务云的存储空间上,实现虚拟机的跨云备份。当虚拟机生产数据故障时,可通过灾备服务将数据从省级政务云存储空间远程恢复至市级政务云本地备份或生产存储上,实现数据的回滚及恢复。
4.1.2 跨云部署
市级政务云管理员需要登录省级政务云服务平台,申请一个应急VDC(虚拟数据中心)资源池,获得该VDC信息及OpenStack管理IP后,将信息加入到市级政务云被级联OpenStack平台,系统将自动向省级应急VDC注入被级联OpenStack,实现市级资源及省级应急资源的统一管理。
省级应急资源在市级政务云管理平台下呈现为一个独立的资源池,可供市级政务云租户在申请云服务时所选择。当市级政务云资源不足时,市级租户可申请虚拟机服务,并选择该资源池及对应的网络。当虚拟机服务审批通过后,云平台将自动化就绪虚拟机环境,可供市级政务云租户部署业务系统。
4.1.3 方案优势
基于注入式级联OpenStack的两级政务云解决方案,有如下几大优势:
(1)这种方案设计的前提是基于省市各自一套独立的政务云平台,相互之间独立操作、独立管理,适配当前省市政务云的投资、建设及管理模型。
(2)省级政务云为市级政务云提供的备份和计算资源。
◎从市级政务云管理员看,依旧为自有资源,而非第三方资源,不增加管理复杂度及成本。
◎无论跨云备份还是跨云部署,对市级政务云租户看,与使用本地资源流程毫无区别,不增加租户的使用难度,保证政务云平台的友好度。
◎从省级政务云管理员看,为市级政务云提供的备份和计算资源仅仅增加了几个普通租户(每个地市在省级政务云上增加一个租户),资源管理和用户管理的复杂度和成本基本不变。
(3)市级政务云采用省级政务云资源,均为私有云资源,两朵云之间通过政务外网互联,满足政务云对业务及数据安全性的需求。
4.2 关键技术
4.2.1 跨云网络互联
江西省电子政务云遵循省市两级架构,分别在11个设区市建立电子政务云数据中心,同时市级电子政务云以省级电子政务云数据中心作为它的灾备中心,这11个市级电子政务云通过江西省电子政务外网互联[11],全省电子政务外网省市两级广域采用双SDH/155M线路组网,各设区市(除南昌)均采用一条为联通SDH/155M线路,一条移动SDH/155M线路上行至省级电子政务外网。南昌市采用一条裸光纤、一条移动SDH/155M线路上行至省级电子政务外网。
多数据中心二层互联主流技术三种方案,裸光纤DWDM互联方案、VPLS互联方案、NVO3互联方案。
(1)裸光纤DWDM互联
裸光纤互联方案适用于同城(数据中心间距离小于100km)数据中心互连。同城数据中心通过传输设备组成环网。两台核心交换机组成互联节点,实现数据中心间的二层互通。
裸光纤互联部署简单,互联链路带宽大,数据中心间通信时延小,适用多个数据中心业务双活的应用场景,但组网成本也比较高。
(2)VPLS互联
VPLS是一种基于MPLS和以太网技术的二层VPN技术,主要目的就是通过公共网连接多个以太网,使它们像一个LAN那样工作。
每个数据中心可以看作是一个站点,出口交换机作为CE,接入PE路由器,多个PE之间建立全连接,并支持水平分割避免产生环路。
(3)NVO3互联
与VPLS等基于MPLS技术实现的二层互联手段不同,NVO3技术支持通过普通IP网络实现数据间二层扩展,对互联承载网络的要求更低,只要路由可达即可,VxLAN是目前NVO3中的一个主流技术。
为支持虚拟机在省市不同数据中心之间的迁移,基于IP可达的广域网链路,通过省市的数据中心核心交换机,实现NVO3互联,即部署VxLAN构建省市数据中心之间的大二层。
4.2.2 跨云网络互通
在省级政务云申请的VM中,会注入Cloud Agent,通过Cloud Agent向租户提供Overlay的虚拟网络,同时,使用VxLAN进行Overlay网络的隔离。而省级政务云的虚拟网络将作为Overlay网络的Underlay隧道。
省级政务云VM中的Underlay网络与市级政务云的Underlay网络通过VPN三层打通,Overlay网络可实现跨云大二层或三层的互通。
4.2.3 多云统一管理
两级政务云的核心是多个私有云之间的统一管理[12],如图3所示。
图3 多云统一管理拓扑图
在一个私有云环境内,可通过级联OpenStack将多个被级联OpenStack统一管理。在省市两级政务云场景下,也是通过同样的管理模型。只是在省级政务云侧,在管理对接时,会在资源池中先注入一个Cloud Gateway,实现省级政务云标准的OpenStack API。这样使基于OpenStack的管理架构继续保持稳定不变,同时在资源呈现上,仅仅增加一个被命名为“省应急”的AZ,可使任何一个市级租户选择使用。
5 总结和展望
省市两级政务云在我省的电子政务集约化建设中,将是一个普遍并长期存在的场景。基于注入式级联OpenStack的两级政务云解决方案,由于其在场景的适配度、使用和管理的友好度、功能和演进的先进性、权限及安全管理的可靠性等方面,均是当前省市两级政务云场景下最佳的解决方案。
随着政务云建设的进一步开放,很多地区政务云也有采购当地运营商、集成商提供的本地云服务。而政府自建政务云与采购云服务之间的关系如何协调,如何统一管理、使用,避免两个云业务之间的孤岛问题,提高政务云服务友好度和可用性等,也将成为一个普遍性的问题。
而基于注入式级联OpenStack的两级政务云解决方案也可同时解决自建政务云与购买云服务之间的统一管理、服务等问题,提高可用性和可管理性。
针对政务云中互联网业务区的管理,从长远来看,未来可通过自建政务云互联网区管理平台与公有云的对接与统一管理,实现政务云与公有云的进一步融合。