政务云平台建设思路探讨
2023-12-14陈慧娟
陈慧娟
2022年,中办29号文提出继续推进信息化自主可控;中央网信办13号文提出做好应对已失去官方技术支持的服务器操作系统的要求;国务院《关于加强数字政府建设的指导意见》提出,依托全国一体化政务大数据体系,统筹整合现有政务云资源,构建全国一体化政务云平台体系,实现政务云资源统筹建设、互联互通、集约共享。
一、政务上云已成普遍趋势
政府数字化转型步伐加快,政务服务的变化驱动网络技术演进,电子政务的发展不能一成不变,传统服务器投入成本高、资源浪费、性价比低,急需探索发展新模式,转变建设思路和规划理念,鼓励应用虚拟化、云计算技术整合改造现有电子政务信息系统,实现各领域从分散式向集约化转变。近年来,政务上云已成普遍趋势,国家、省、市级各单位各部门逐步采用建设服务器虚拟化平台方式提供服务器资源,虚拟化技术的优势在于可以将传统服务器的空闲算力资源分配给其他业务系统使用,提高了服务器的利用率,同时虚拟化的快照等技术也大大提高了服务器的安全性。
二、政务云平台建设目标和建设内容
(一)建设目标
从系统的可扩展性、安全性、可靠性等多个方面综合考虑,达到以下目标:[1]
1.设计规范化,统筹信息基础设施。在政务外网建设一套新的规范的虚拟化平台,构建统一的政务云中心,符合《基于云计算的电子政务公共平台顶层设计指南》等国家及行业标准,并将已有平台的政务外网业务迁移至该平台,充分整合利用各地各部门电子政务网络设施,减少不必要的重复投入,实现互联互通、集约共享、安全可控。
2.数据资源集中化,健全云服务目录。包含计算、存储、网络、安全、备份、中间件、数据库等云服务目录,同时兼顾各使用部门现有系统软硬件资源情况,提供设备托管服务,便于使用部门利旧。方便用户以数据为中心构建政务应用,提升各政务部门信息化应用水平。
3.构建安全保障体系。按照《信息安全技术网络安全等级保护基本要求》等国家政务云相关安全要求,开展数据备份建设工作,强化数据备份手段,确保数据安全,构建完整、有效、可信的政务云安全保障体系架构。[2]
(二)建设内容
采用云计算资源池建设模式,充分考虑既有系统搬迁和新系统建设需求,所有资源整合后在逻辑上以单一整体的形式呈现,并根据需要进行动态扩展和配置。统筹利用已有的计算资源、网络资源、存储资源、应用支撑、信息资源等条件,根据业务需求,为各用户提供基础设施、支撑软件、应用功能、信息资源、运行保障和信息安全等服务的基于云计算的服务平台,实现服务资源集中管理,为各类业务提供有力保障与支撑。建设内容包括:
1.进一步“云”化政务云平台,即:建设业务系统所需的统一的资源池。“云”化的目的就是把数据中心的所有资源按照承载服务对象的不同,形成统一资源池。业务部署时优先考虑使用虚拟化平台,对虚拟主机无法满足的应用业务,使用物理服务器来满足。[3]
2.统一管理运营运维平台,即:实现对政务云资源的统一管理。建立统一的运营运维服务体系,制定服务标准和规范,提供满足需求、响应及时、安全可靠的运维保障服务,包括为保障业务应用的顺利部署、开通,以及网络、硬件、软件、数据、机房环境等安全、稳定、高效运行而进行的一系列策划、实施、检查与改进过程,实现政务云多云管理高效协同运维。[4]
三、文化和旅游部云平台建设思路探讨
自2015年起,文化和旅游信息化业务建设的需求增加,逐步采用建设虚拟化平台方式提供服务器资源。
(一)存在问题
1.设施集约不足。目前,基础设施资源中部分服务器已满6年或近6年,超过使用年限,其稳定性和性能逐渐降低;近两年在疫情影响下,信息化建设需求激增,新建大量虚拟机用以保障业务发展,致使虚拟化平台服务器资源长时间处于超负荷状态,存储空间日趋紧张,使用率均超过80%,已不能满足虚拟机定期镜像和备份的基本要求。
2.版本老化严重。在2015年至2017年期间建设的Vmware和华为Fusion Sphere虚拟化软件不支持国产化操作系统。按照中央网信办要求,采用CentOS操作系统的服务器须更换为国产化操作系统。根据官方通报,所使用的Vmware Vsphere6.0以及华为Fusion Sphere 6.1版本不再支持较新版本的Linux操作系统及国产化操作系统。同时,由于Vmware和华为虚拟化版本较老,升级到新版本风险极高,不具备升级条件,因此不建议在这两个版本虚拟化上面增加新的业务系统。
3.缺乏统一规划,无法统一管理。目前各单位建设的虚拟化平台7个,由于每个平台需要保留一定的资源供平台自身使用,因此7个平台会比1个平台的资源利用率降低。同时由于7个平台用了三套不同的虚拟化平台,目前无法做到统一管理统一分配,亟需使用纳管平台进行统一管理,统一资源调配。另外,缺乏统一备份管理,当前有的采用本地快照方式备份,有的采用备份一体机的方式备份,前者相较于后者存在一定安全风险,整体备份方式不统一。
(二)解决思路
一是对软硬件基础较好的云平台开展升级扩容工作,将存在隐患的互联网应用系统逐步迁移到该云平台上,此种方式最为经济,最终实现统一管理、统一建设、协调高效的运维机制。
二是同步开展操作系统及硬件的国产化迁移替代工作,保障网络安全和供应安全。建议选择银河麒麟、统信UOS操作系统与X86和ARM两大CPU技术路线,因其有着丰富的生态、较高的性能,并经历了市场的检验。使用同源异构的银河麒麟操作系统和统信UOS操作系统,是因其在中国Linux市场占有率排名前列,能够有效的避免断供风险。
三是建设多云管理平台,实现两套云平台的统一管理;开展数据备份建设工作,强化数据备份手段,确保数据安全。
(三)方案设计
1.云平台架构设计
云平台ISW交换机通过防火墙与云外网络互联,云外网络包括互联网或云外其他业务网络。
在访问控制方面,通过配置白名单方式在网络边界或区域之间根据访问控制策略设置访问控制规则,删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;通过物理防火墙或安全组对源地址、源端口和协议等进行检查,以允许/拒绝数据包进出,并提供明确的允许/拒绝访问的能力;通过Web应用防火墙对进出网络的数据流实现基于应用协议和应用内容的访问控制。
在网络架构层面,网络汇聚区:主要由两台核心交换机(DSW)组成,核心交换机选择框式交换机,并下挂8台接入交换机(ASW)。
2.云平台扩容规划
存储扩容。目前共需要372TB存储容量,ZSTACK云平台可用存储容量为106TB存储容量,为了平台稳定性,建议再扩容300TB存储容量。按照每台有效容量32T计算,建议扩容10台分布式存储服务器。
计算资源扩容。目前Vmware和华为云共40台服务器,每台服务器配置256GB内存共10,240GB内存,现有ZSTACK云平台共有约4TB内存可用空间,建议再扩容约6TB内存容量空间,从而满足CPU和内存需求,建议扩容45台物理机。
3.芯片选型建议
目前,国产CPU中鲲鹏、飞腾、海光、龙芯采用指令集授权或自研架构,自主先进程度相对较高。其中鲲鹏、飞腾为ARM架构,龙芯为MIPS自研架构,海光基于AMD最新的Zen1进行自主开发,为X86架构,从性能上对比,海光(X86)>鲲鹏(ARM)>飞腾(ARM)>龙芯(MIPS)>兆芯(X86)。海光以及鲲鹏性能较优,龙芯和兆芯目前性能较弱不建议作为选型考虑。
从性能、应用适配性以及芯片断供对芯片厂家的影响考虑,建议搭建海光(X86)以及鲲鹏(ARM)两种资源池,一方面目前应用系统使用的架构均为X86架构,且部分应用都为老旧应用无法进行二次改造,如选型为ARM架构需做业务代码重构,但如选择基于海光的X86架构可平滑迁移现有业务至信创云平台,可快速满足云平台合规需求;另一方面,由于担心单一芯片选型更容易受到芯片断供影响,因此建议同步搭建一套鲲鹏芯片的资源池,对于新建应用或者具备迁移至ARM芯片条件的应用系统,可以直接在鲲鹏芯片资源池运行。
4.服务器操作系统国产化改造规划
(1)总体方案。对于新建的政务信息应用系统,选用麒麟或者统信UOS操作系统;对于已经或将停服的CentOS版本,有序更换为麒麟和统信UOS操作系统;对于从技术层面难以操作实现的,加强安全保障维护,确保应用系统稳定安全运行。
一是优先迁移独立系统或与其他应用系统耦合较少的应用系统。J2EE程序不存在难度,但是需要找到源代码,主要涉及配置文件的更改。对于不同操作系统和不同CPU架构都可以进行较为顺滑的迁移适配。对于应用层面如果系统基于系统的页面框架使用EasyUI、NUI、JQuery;系统的开发框架是Struts+Spring+Hibernate、MVC;系统的应用服务器是为运行Java程序服务的,则可较容易实现迁移。
使用全栈国产化,CPU跨架构迁移,则如图所示对JAVA软件进行重构:
图1 JAVA软件重构
二是不能迁移的采用安全接管的加固措施。不能迁移的系统采用EDR等产品的加固方式,由麒麟软件或者统信进行安全接管服务。
三是测试验证。在测试环境中完成对数据和业务系统的迁移测试工作,验证迁移结果的正确性以及迁移策略的有效性,对发现的问题进行优化解决。同时需要在实验环境下进行完整的功能测试、性能测试、可靠性测试、兼容性测试等,对发现的问题予以解决,形成测试报告。
(2)改造流程。目前ZSTACK云平台共23台Host物理机节点运行CentOS 7.6作为底层支撑平台,面临Centos停服风险,按照合规要求,则规划ZSTACK底层Host升级为信创操作系统,ZSTACK针对已适配银河麒麟操作系统V10可满足用户的合规要求。云平台升级为最新的国产操作系统,本质上等于平台重新部署,但考虑业务风险,停机ZSTACK可提供重启云主机的方式,以平滑过渡的方式完成底层Host的替换。
5.安全建设规划
以《网络安全等级保护基本要求》(GBT 22239-2019)为基础进行设计,满足等保三级要求,考虑到云平台的高安全性要求,将基于一期安全建设成果,以满足扩容为需求,为云用户(租户)层面提供安全保障。配置的安全产品里,WAF是硬件,堡垒机、安骑士、数据库审计是软件产品,需要部署在云平台虚拟机上,如图2。
图2 云平台虚拟机部署
6.备份建设
方案规划。在LAN网络内接入一套备份一体机集群,在ZSTACK计算节点(物理机)上安装客户端,以此实现对互联网VPC及政务外网VPC云主机的数据备份。为减轻网络带宽压力,备份部署要求管理网和数据网分离,具体如图3所示:
图3 备份部署图
配置要求。考虑到ZSTACK云平台扩容容量为400TB,按照备份规律,建议规划备份一体机集群可用空间及容量授权至少为300TB。同时,需配置重复数据删除模块、永久增量模块、统一监管模块,以此降低备份存储空间使用提高备份效率及运维效率。
结语
文章通过分析政务云平台建设的必要性,从政务云平台的建设目标和建设内容着手,结合文化和旅游部服务器资源存在的问题,提出文旅政务云平台建设的思路,并从云平台架构设计、云平台扩容规划、芯片选型建议、服务器操作系统国产化改造规划、安全建设规划和备份建设方面形成方案设计,为其他行业的政务云平台建设提供参考。