陈 淏，毕钊铭，杜宝兰，任义翔，钟清宇，温育翔，薛 文

（1.中国电信福建分公司，福州 350000；2.福建理工大学 互联网经贸学院，福州 350118；3.北京福富软件技术股份有限公司福州分公司，福州 350000）

将用户从硬件需求中解放出来一直被认为是IT（Information Technology）科学中最具革命性的想法之一，随着最近行业数字化和云计算的普及，及其给用户对软件交付和安装、基础设施架构和开发模型的看法带来的巨大变化，虚拟领域内物理自由的投影似乎比以往任何时候都更加接近。作为一种极其复杂和创新的信息系统架构，通常被认为是SaaS 云上的未来，是一种将塑造人们使用设备的方式的进步，因为它已经降低了客户端的总体复杂性和硬件需求[1]。

云计算并不是一种单一的技术，它是许多现有软件解决方案和架构的组合。云计算的元素可以追溯到现代电信的最初阶段，但真正创造了这个神奇的技术生态系统的是处理能力、连接存储和虚拟化等方面的巨大进步。共享服务正在成为孤立产品的主导，这种方法允许公司使用更有效的成本模型专注于其主要业务目标[2]。而对于云计算的SaaS（Software as a Service）来讲，是通过互联网提供软件应用，SaaS 提供商负责软件的部署、维护和安全性等方面的工作，用户只需通过网络浏览器或专用应用程序即可轻松访问和使用软件。

1 行业数字化生态赋能平台SaaS 化背景

随着计算机技术的发展，电信行业也因消费者对服务的期望和技术的飞跃而发生了变化。服务提供商（SP）从降低成本的必要性和其主要目标（无非是服务提供扩展）出发，似乎将SaaS 视为一个全新的商业机会。用户越来越多地采用云架构和服务，他们的最终目标是在不断扩大的市场中创建一个动态的、值得信赖的合作伙伴[3]。电信公司在云服务资本化方面有一些显著的好处，前提是他们拥有网络，因此，能够提供安全和可扩展的解决方案，包括有保证的服务质量（QoS）和通过监控服务性能的专用门户的复杂管理功能。尽管云计算中的模式实际上是自动的、弹性的和毫不费力的，但服务提供商意识到一些重要的问题，这些问题使得这个平台在技术背景和技能方面要求最高，而基于这种高标准的技术要求，对行业的数字化生态的构建也符合电信公司未来的发展趋势和战略[4]。

1.1 行业数字化生态赋能平台介绍

中国电信行业数字化生态赋能平台（以下简称“平台”）的构建是将传统产业与数字化技术相结合，旨在推动产业的升级和转型，从而更好地适应市场需求和经济发展趋势。平台是面向政企垂直行业应用集成的统一技术框架，提供专属政企行业应用的开发平台。平台整合了业务中台、数据中台和安全中台相关的资源和服务，为产业数字化发展提供5 个核心能力。如图1所示。

图1 行业数字化生态赋能平台整体架构

1.1.1 行业原子能力汇聚网关

集中展示行业原子能力API（Application Programming Interface）信息、SDK（Software Development Kit）中心、调用示例中心，提供统一、可层级式扩展Rest 风格的能力，API 接口格式及相关调用经验，保障行业能力接口调用方式的标准化和规范化，帮助政企行业应用开发者快速完成能力集成。

1.1.2 应用开发集成框架

提供专属政企行业应用的开发平台，搭建行业应用基础代码，通过汇聚通用集成能力、快速开发工具，实现资源共享。主要功能包括应用统一身份管理、开源代码脚手架、低代码开发和组件调用代码包，推动行业应用开发由黑箱式向透明化转变。

1.1.3 应用运营门户

应用运营门户对接政企市场需求，筛选行业适用的场景化解决方案及垂直行业系统分子应用，通过2级行业门户、解决方案库、行业应用库、原子能力库和应用数字资产管理等行业应用频道，实现一站式应用订购与开通功能，支持商机跟踪管理。

1.1.4 应用交付底座

基于标品业务受理流程，打通IT 受理流程，规范产销品加载、业务受理流程，快速加载，实现定价管理、计费、计算标准化管理，实现终端施工、装维标准化管理。

1.1.5 应用编排中心

基于开放的分子应用，通过分子应用的编排和组合，形成新的应用，快速响应市场需求。使用者可以根据业务需求将已购买分子应用编排组合为新的应用，应用编排包括组合型编排和流程型编排。

1.2 平台SaaS 化改造推动力

1.2.1 政策指引

国家“十四五”规划和2035 年远景目标纲要指出，要打造数字经济新优势，充分发挥海量数据和丰富应用场景优势，促进数字技术与实体经济深度融合，赋能传统产业转型升级，催生新产业新业态新模式，壮大经济发展新引擎。平台作为各行业应用的承载平台，是推进业务布局落地和行业应用平台化的重要枢纽。为了充分发挥平台的价值，提升平台的技术水平和智能化程度。项目在政策引导和市场需求的双重作用下，主动推动平台的SaaS 化转型，以降低企业信息化建设成本、提高企业运营效率、增强企业竞争力为动力，以促进产业链上下游企业的合作与创新为目标，共同推动数字经济的发展。

1.2.2 业务推动

数字化转型是业务、管理和商业模式的深度变革与重构，需要更加敏捷高效的支撑能力，而传统业务系统多为烟囱式架构，存在系统封闭、孤岛众多、系统建设运维成本高和业务响应周期长等问题，难以适应数字化转型的要求。第一，IaaS（Infrastructure as a Service）层需要建立在安全稳定可靠的云基础设施之上，满足多AZ 容灾、信创的发展需求。第二，PaaS（Platform as a Service）层必须彻底打破传统业务平台架构，建立灵活敏捷、分层解耦、数据拉通、水平扩展的业务系统架构，以及与新架构相匹配的建设运维模式。第三，SaaS 层整合现有基础资源，建立标准化、规范化、智能化的数字基础设施，解决系统重复建设、技术路线繁多、系统间难以兼容互通和数据孤岛等问题，为提升系统弹性、实现数据的汇聚、关联、分析、注智奠定基础[5]。

在政策指引和业务推动下，平台的SaaS 化上云将基于天翼云4.0 IaaS 底座上，通过翼龙PaaS 平台构建基于微服务的云原生架构的全网SaaS 化应用。

2 行业数字化赋能平台SaaS 化上云

2.1 基于天翼云4.0 IaaS 基础底座部署

平台SaaS 化上云基于中国电信天翼云4.0 IaaS底座，本次基础底座的设计是从接入交换机到服务器，从底层虚拟化操作系统到面向用户系统，而这个区域正是数据中心中部署用户业务的pod 区，包含软硬协同、高速网络接入和多AZ 接入设计3 个方面。

2.1.1 软硬协同

第一，操作系统层面采用基于欧拉二次开发的CTyunOS（China Telecom Yun Operation System）操作系统，完成龙芯、鲲鹏、麒麟为主的国产化芯片的适配，打造信创基础。第二，高性能层面，采用以KVM（Kernel Virtual Machine）、DPDK（Data Plane Development Kit）等为代表的高性能虚拟化技术、通过自研的DPU（Data Processing Unit）完成数据中心算力卸载，接管网络虚拟化、硬件资源池化等基础设施层服务，释放CPU（Central Processing Unit）算力到上层应用，同时亦为虚拟防火墙提供转发引擎的能力卸载，为重要行业应用提供硬件级别的安全隔离。第三，服务器层面，基于天翼云软硬一体“紫金架构”打造的新型计算类服务器产品，实现网络和存储虚拟化的卸载，以及硬件加速，支持VPC（Virtual Private Cloud）网络等多种高性能弹性计算产品，配合云管平台，实现性能监控及故障迁移。

2.1.2 高效网络接入

接入交换机是采用定制的紫金桥交换机，交换机拥有超过100 Gbps 的上行骨干带宽及更低的网络收敛时延，在功耗节能方面，定制化的交换机相比同端口密度的传统槽式交换机降低了70%的功耗，可满足高速算力需求下，降低数据中心的功耗，同时定制交换机支持行业主流的RDMA（Remote Direct Memory Access）等技术，实现算力性能加速，如图2 所示。

图2 基于天翼云4.0 IaaS 基础底座部署SaaS 应用

2.1.3 多AZ（Availability Zone）接入

在本次IaaS 架构中，为保障重要平台的高可靠性，平台业务流量接入高速转发区，打通双AZ 的网络。高速转发区实现了跨AZ 的互联，承担了东西南北流量的转发，还为业务延续性、容灾备份、服务的跨AZ能力等提供了网络基础，最大程度上保证了平台的业务连续性。

2.2 基于翼龙PaaS 中间件平台部署

2.2.1 组件云原生化

第一，容器化设计。为实现敏捷开发和部署落地，加速业务迭代，平台的上云应用组件采用容器化部署，通过CCSE（Container Cloud Service Engine）组件快速实现自动伸缩、按需部署、高可用、水平扩展和降低人力成本的效果。第二，数据库设计。通过CTG-TELEDB（China Telecom Group Tele Data Base）部署关系型数据存储，由分布式缓存CTG-CACHE 实现业务数据缓存，降低数据库负载。第三，高可靠性设计。通过部署CTG-LB（China Telecom Group Server Load Balancer），实现四层和七层的负载，用于各类应用的软负载均衡需求。第四，日志服务设计。通过部署ELK（Elasticsearch、Logstash、Kibana），并对接容器集群，解决分布式场景的日志分散难以查找和分析的问题，实现日志统一收集与查询。第五，前端框架集成。通过前后分离开源代码脚手架（Spring Cloud、Mybatis、antd），支撑平台微服务化的应用开发。第六，用户认证。通过JWT（JSON Web Token）的方式进行用户认证和信息传递，保证服务之间用户无状态的传递。第七，服务状态监控。利用Spring Boot Admin 监控各个独立Service 的运行状态。第八，接口状态监控设计。利用Hystrix Dashboard 来实时查看接口的运行状态和调用频率等。第九，服务调用。基于Nacos 实现的服务注册与调用，在Spring Cloud 中使用Feign 调Http 请求。

2.2.2 上云部署

平台上云基于中国电信“翼龙”统一技术底座，实现标准化、自动化、规模化上云。翼龙技术底座包括云翼、研发云、云眼、云桥四大平台。上云通过云翼平台完成数据库、中间件、容器应用的自动开通，并自动调用底层软硬件资源完成IaaS 和PaaS 的部署。研发云平台为研发运营人员提供标准化、自动化和敏捷快速的应用上云平台，覆盖从需求到持续部署发布的企业应用全生命周期，实现IT 生命周期的全程数字化管理。云眼平台基于大数据技术，对上云系统IaaS、PaaS、SaaS 各层进行统一纳管、部署，通过字节码注入技术，在源系统应用服务部署SaaS-agent 探针，实现对应用进行全方位监控，使上云系统能快速定位出错接口和慢接口、重现调用参数、发现系统瓶颈。云桥能力开发平台汇聚各类业务、数据和技术能力，形成能力黄页，实现能力高度复用，对内是各类应用开发的基础，对外是开发者生态构筑的基础。如图3 所示。

图3 基于翼龙平台部署PaaS

2.2.3 容灾备份设计

平台的容灾数据备份分为应用备份和数据库备份。应用备份方面，平台利用云翼提供的容灾备份功能，定期将数据备份到云端存储设备中。数据库备份则采用异机数据库备份的方式，按照日增量、周全量的方式，将数据库备份保存在文件服务器中。

2.3 应用SaaS 化实现

2.3.1 多地域业务支持

平台分布式架构将系统划分为多个子系统或服务，每个子系统或服务可以独立运行、管理与通信。在分布式架构的基础上，用微服务架构将系统拆分成多个独立的、可扩展的、可自部署的微服务。每个微服务都有负责处理特定业务的功能，并且可以独立升级和扩展。通过以上技术措施为不同地域建立不同的租户，租户之间数据相互独立，管理员通过运维平台实现跨省跨地域业务支撑管理。

2.3.2 租户访问控制

平台为租户下的应用分配标签，每个标签对应不同的资源集合。通过标签，快速将资源授权给特定的租户。系统上将资源规划为菜单、按钮、URL，并对租户下的应用进行资源授权，实现租户访问权限管理和控制。

2.3.3 API 调用

平台将通用功能进行抽取并形成API 能力，并提供了统一的开发框架。平台提供的API 接口涵盖了基础框架类（如账号查询/认证、企业查询/变更、组织机构查询和地区信息查询等）、能力汇聚网关类（如能力注册/删除、实例注册/注销、实例心跳和实例查询等），以及业务开通类（如业务订购/退订、开通/报峻等）。这些API 接口的提供，使得第三方平台可以更加便捷地调用平台的功能，顺利开展产品研发工作。

2.3.4 低代码实现

平台的SaaS 化转型通过叠加低/零代码开发能力，推动应用集成向数据服务演进，融合RPA、AI 等技术提升自动化能力，拓展应用场景范围，形成平台数据资产，提升智慧化程度。同时，通过可视化的方式快速地构建应用，提升开发效率，降低开发门槛，有效复用行业知识，快速响应行业客户的需求。

2.4 上云安全设计

第一，网络安全方面。通过访问控制策略，确保合法的网络访问能通过。依靠防火墙抵御DoS/DDoS 等各种攻击行为，如检测死ping、IP 欺骗、端口扫描和IP地址扫描攻击等，以防止针对性的网络攻击及非法入侵行为。其次，在IPS 防火墙上启用的病毒网关过滤功能，实时监控外部网络访问时的病毒信息，并及时查杀各类病毒。第二，系统安全设计方面。启用了网页防篡改功能。通过Web 服务器核心内嵌机制，将篡改检测模块（数字水印技术）和应用防护模块（请求检测攻击）内嵌于Web 服务器内部，配合事件触发检测技术，实现对静态网页和脚本的实时检测和恢复。其次，配置上云系统代码审计功能和漏洞扫描检测系统功能，并按照最小端口开放、最小授权原则进行安全加固，操作系统和PaaS 层通过iptables 和网络防火墙限制开放端口白名单。第三，数据安全设计是至关重要的一部分。针对数据库层面，选择默认的InnoDB 存储引擎。InnoDB引擎支持ACID（Atomicity，Consistency，Isolation，Durability）事务，确保在数据库发生宕机或其他意外情况时，通过redo log 将数据恢复到某个特定的时间点，保证数据的完整性。对于敏感数据的存储，传输过程中使用SSL（Secure Socket Layer）和TLS（Transport Layer Security）加密保护数据在传输过程中的安全。数据库管理系统实施分级的权限管理制度。为管理员级、执行级和维护级帐号分别设置相应角色的访问权限，防止特权用户滥用权限，禁止越权访问。最后，数据库通过安装插件实现数据库账号的密码复杂度、过期时间限制等功能。

3 应用情况

第一，作为各类行业平台的承载，基于平台提供的统一集成开发框架脚手架建设，为福建中小企业提供智能组网、安防监控、通信应用和云应用等一站式服务的智慧信息化平台，支撑中国电信9 个行业平台应用。从云资源、基础通信、视频监控、AI（Artificial Intelligence）视频应用、智能安防和应用等多个方面构建中小企业信息化服务产品体系，巩固运营商带宽优势，发展标准化产品，提升服务能力和客户感知度，打造产品能力。

第二，探索PaaS 演进路径，基于集成开发框架和交付底座，以及低代码、无代码的理念，进一步从应用集成向数据服务演进，以表单驱动和模型驱动扩展为数据驱动，与RPA、AI 等技术融合，提升自动化能力，扩大行业应用的场景范围，形成平台数据资产，增加数据价值，提升智慧化程度。

第三，探索IaaS、PaaS 和SaaS 行业技术人才跨专业融合，基于本平台的SaaS 化实践，融合IT 与CT 的PaaS 平台专业，进一步促进云平台综合保障机制、流程和手段的建立，推进电信运营商云网运营体系变革，支撑云业务高效发展。

4 结束语

随着云计算技术的持续发展，SaaS 服务市场规模不断扩大，预计到2025 年将突破1 000 亿元大关。在国内的SaaS 细分市场中，垂直行业应用类将占据26%的市场份额。随着企业数字化转型的加速，垂直行业应用类的SaaS 应用逐渐成为关键支柱。企业通过SaaS化实践，推进企业数字化的进一步转型，能够深层次探索和实现高效生产、助力精准营销、实现智能决策，从而提升市场竞争力[6]。