李震 楊海亮

（南京水利科學(xué)研究院 江蘇省南京市 210029）

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、人工智能等信息技術(shù)的高速發(fā)展，當(dāng)前科研院所信息化建設(shè)正在從網(wǎng)絡(luò)化、數(shù)字化向智能化轉(zhuǎn)型，智慧院所建設(shè)方興未艾。作為承載科研院所業(yè)務(wù)的信息化服務(wù)平臺，應(yīng)從基礎(chǔ)設(shè)施、支撐平臺、業(yè)務(wù)軟件等各層面進(jìn)行整合，構(gòu)建基礎(chǔ)設(shè)施即服務(wù)、平臺即服務(wù)、軟件即服務(wù)的一站式云計算服務(wù)架構(gòu)，實(shí)現(xiàn)科研資源的共享和業(yè)務(wù)協(xié)同。

1 云計算的概念

云計算是一種提供動態(tài)資源池、虛擬化和高可用性的計算模型[1]。它將計算任務(wù)分布在大量計算機(jī)構(gòu)建的資源池上，可以根據(jù)計算任務(wù)的需求分配相應(yīng)的計算、存儲、軟件、帶寬和信息服務(wù)資源，其服務(wù)類型有IaaS、PaaS、SaaS 三種，如圖1所示。

IaaS 將服務(wù)器、存儲、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施封裝為服務(wù)供用戶使用，其優(yōu)勢是允許用戶動態(tài)申請、增加、減少或釋放計算資源。在IaaS環(huán)境下，用戶類似于使用實(shí)體服務(wù)器和存儲，既可以自由選擇操作系統(tǒng)，也可以自定義軟件開發(fā)運(yùn)行環(huán)境，但面對多節(jié)點(diǎn)計算任務(wù)的時候，用戶必須考慮各節(jié)點(diǎn)計算任務(wù)的協(xié)同問題。

PaaS 一般構(gòu)建在IaaS 之上，也可以基于基礎(chǔ)設(shè)施構(gòu)建PaaS，PaaS 可以為用戶提供應(yīng)用程序的運(yùn)行環(huán)境。當(dāng)PaaS 和IaaS 共存時，應(yīng)提供統(tǒng)一管理平臺對計算資源和相關(guān)服務(wù)進(jìn)行全生命周期的管理和監(jiān)控。PaaS可以對資源進(jìn)行動態(tài)擴(kuò)展、縮減，以及相應(yīng)的容錯管理，用戶可以不用考慮各節(jié)點(diǎn)相互之間的配合問題，代價是犧牲用戶的自主選擇權(quán)，用戶必須使用特定的系統(tǒng)環(huán)境和開發(fā)運(yùn)行環(huán)境[2]。

SaaS 是一種軟件應(yīng)用模式，既不同于IaaS 提供基礎(chǔ)資源服務(wù)，也不同于PaaS 提供系統(tǒng)應(yīng)用環(huán)境，它將相應(yīng)的軟件功能封裝為定制化的服務(wù)，供特定的用戶進(jìn)行調(diào)用。SaaS 改變了傳統(tǒng)軟件服務(wù)的提供方式，降低了本地部署所需的成本，凸顯了軟件的服務(wù)屬性。

2 云計算服務(wù)平臺架構(gòu)

云計算服務(wù)平臺提供信息化基礎(chǔ)資源，在此基礎(chǔ)上部署各類業(yè)務(wù)應(yīng)用環(huán)境和管理運(yùn)營系統(tǒng)，為用戶提供虛擬主機(jī)、系統(tǒng)開發(fā)部署環(huán)境、定制化的應(yīng)用服務(wù)等。科研院所的業(yè)務(wù)涉及科研、科技開發(fā)、綜合辦公、項目管理、人力資源管理、財務(wù)管理、物資設(shè)備管理等多個方面，云計算服務(wù)平臺應(yīng)當(dāng)具備安裝部署容易、運(yùn)行穩(wěn)定可靠、資源擴(kuò)縮便捷、安全保障有效、運(yùn)維管理方便等特征[3]。

平臺總體架構(gòu)由物理層、資源抽象控制層和云服務(wù)層組成，如圖2所示。物理層主要包括服務(wù)器、存儲、網(wǎng)絡(luò)等信息化基礎(chǔ)設(shè)施，是形成資源池的硬件基礎(chǔ)；資源抽象控制層主要包括虛擬計算資源池、虛擬網(wǎng)絡(luò)資源池、虛擬安全資源池、分布式存儲資源池等；云服務(wù)層包括IaaS 服務(wù)（云主機(jī)、云存儲、云安全等）、PaaS 服務(wù)（中間件、數(shù)據(jù)交換平臺、開發(fā)測試平臺等）、SaaS 服務(wù)（科學(xué)計算、協(xié)同辦公、網(wǎng)站群等）。云安全防護(hù)體系提供DDoS 防御、漏洞掃描、租戶隔離、認(rèn)證審計等功能；運(yùn)行監(jiān)控及維護(hù)管理體系提供設(shè)備、配置、鏡像、備份、日志、監(jiān)控、報表等管理功能；云服務(wù)管理體系提供服務(wù)目錄、用戶管理、流程管理、計費(fèi)管理等功能。云計算服務(wù)平臺部署拓?fù)鋱D見圖3。

圖1：云計算服務(wù)類型

圖2：云計算服務(wù)平臺架構(gòu)圖

云計算服務(wù)平臺的網(wǎng)絡(luò)安全規(guī)劃和部署是云基礎(chǔ)架構(gòu)建設(shè)的重要環(huán)節(jié)，需要充分考慮環(huán)境安全、技術(shù)安全和管理安全[4]。在網(wǎng)絡(luò)層面可以采取雙鏈路模式，避免單點(diǎn)故障；使用防火墻、網(wǎng)頁防篡改、入侵檢測、漏洞掃描等安全設(shè)備來提供基本的防護(hù)能力；部署備份系統(tǒng)對虛機(jī)、系統(tǒng)和重要數(shù)據(jù)進(jìn)行備份，制定合理的備份策略，定期開展還原演練，防止故障并降低損害；部署威脅感知等系統(tǒng)，快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并及時處置，提升主動防御能力。除了合理配置網(wǎng)絡(luò)安全設(shè)備、科學(xué)制定網(wǎng)絡(luò)安全策略以外，加強(qiáng)制度建設(shè)和內(nèi)部管理也是非常重要的，只有管理和技術(shù)“雙管齊下”，參照業(yè)界通用的分析方法和國家《信息安全風(fēng)險評估指南》《信息系統(tǒng)安全等級保護(hù)基本要求》，科學(xué)制定安全總體架構(gòu)才能建立健全云計算服務(wù)平臺防御體系[5]。

圖3：云計算服務(wù)平臺部署圖

3 業(yè)務(wù)數(shù)據(jù)遷移與運(yùn)維管理

保證業(yè)務(wù)應(yīng)用的連續(xù)性是業(yè)務(wù)遷移的核心要求，南京水利科學(xué)研究院業(yè)務(wù)“上云”之前普遍采用傳統(tǒng)服務(wù)器加存儲的模式，部署在物理機(jī)或早期虛擬化平臺的各類業(yè)務(wù)應(yīng)用及數(shù)據(jù)需要平滑遷移到云計算服務(wù)平臺上，因此業(yè)務(wù)遷移通常包括P2V 和V2V 兩種模式，存在著跨系統(tǒng)、跨平臺的復(fù)雜性和不確定性。首頁要認(rèn)真開展調(diào)研、分析和論證，必要時進(jìn)行相關(guān)的測試，制定科學(xué)合理規(guī)范的遷移方案和應(yīng)急回退方案，選擇合適的技術(shù)路線，減少和避免因人為錯誤導(dǎo)致的故障，按照“先易后難”的原則在計劃日程內(nèi)完成業(yè)務(wù)系統(tǒng)的遷移工作，做到業(yè)務(wù)停頓時間最短、影響范圍最小。

數(shù)據(jù)遷移一般分階段實(shí)施，遷移要確保數(shù)據(jù)的安全性，避免數(shù)據(jù)損失、丟失等風(fēng)險。在數(shù)據(jù)遷移過程中要盡量縮短停機(jī)時間，同時盡量避免給在用主機(jī)帶來不必要的風(fēng)險，造成業(yè)務(wù)系統(tǒng)非計劃宕機(jī)。由于之前運(yùn)行的大多數(shù)應(yīng)用系統(tǒng)都是基于數(shù)據(jù)庫開發(fā)的，所以在數(shù)據(jù)遷移的過程中要保證數(shù)據(jù)一致性，避免數(shù)據(jù)遷移后系統(tǒng)無法正常啟動運(yùn)行等風(fēng)險。為了確保數(shù)據(jù)遷移的安全、可靠，數(shù)據(jù)遷移工作需要用戶、原系統(tǒng)開發(fā)方和相關(guān)設(shè)備廠商的技術(shù)人員共同完成。

在云計算服務(wù)平臺建設(shè)之前，對“散裝”的服務(wù)器和系統(tǒng)進(jìn)行運(yùn)維是一件非常困難的事，消耗了大量的人力物力，管理粗放，資源利用率低，管理成本高。云計算服務(wù)平臺基于VDC（虛擬數(shù)據(jù)中心）模式，為各部門的業(yè)務(wù)提供不同的資源服務(wù)，將信息化資源的建設(shè)與使用進(jìn)行剝離，通過統(tǒng)一的運(yùn)維管理體系，可以實(shí)現(xiàn)“按需分配、動態(tài)調(diào)整”的資源管理要求。平臺的運(yùn)維系統(tǒng)向內(nèi)可以對資源進(jìn)行監(jiān)控、分析、統(tǒng)計和預(yù)警等，實(shí)現(xiàn)日常運(yùn)維、變更管理和運(yùn)營分析等功能，向外提供統(tǒng)一運(yùn)維管理接口。

4 成效

云計算服務(wù)平臺投入運(yùn)行，成為科技創(chuàng)新信息化支撐條件建設(shè)的“里程碑”。平臺整合信息資源，實(shí)現(xiàn)信息共享，為科研人員快速搭建計算環(huán)境、開發(fā)模型軟件、部署業(yè)務(wù)應(yīng)用構(gòu)建了基礎(chǔ)服務(wù)平臺，真正做到“即插即用”，提升了科研效率；平臺按需分配調(diào)度管理信息化資源，資源利用效率大幅提升，以網(wǎng)站系統(tǒng)為例，“上云”前占用3 臺物理服務(wù)器，使用6 個CPU（共計48 核），“上云”后改用3 臺虛擬服務(wù)器，占用10 核CPU，不到“上云”前的四分之一；通過虛機(jī)“漂移”和存儲“雙活”等技術(shù)以及異地備份等策略，平臺的穩(wěn)定性可靠性明顯提高，原來物理服務(wù)器恢復(fù)系統(tǒng)、應(yīng)用和數(shù)據(jù)往往需要幾小時甚至數(shù)十小時，“上云”后虛機(jī)災(zāi)備恢復(fù)縮短到幾十至十幾分鐘；平臺基本構(gòu)建較為完善的網(wǎng)絡(luò)安全防護(hù)體系，對比各系統(tǒng)原來“單兵作戰(zhàn)”安全防護(hù)方式，既提升了安全防護(hù)能力又節(jié)省了費(fèi)用。

5 展望

隨著新一代信息技術(shù)應(yīng)用不斷深入，云計算服務(wù)平臺實(shí)現(xiàn)“IT基礎(chǔ)設(shè)施”的“按需使用、動態(tài)調(diào)整”僅僅是初步的實(shí)踐與探索，為后續(xù)智慧院所的建設(shè)奠定了良好基礎(chǔ)條件。隨著“上云”業(yè)務(wù)越來越多，云計算服務(wù)平臺資源優(yōu)化調(diào)度的重要性日益凸顯，要準(zhǔn)確度量各系統(tǒng)對資源的需求量，又要及時科學(xué)地根據(jù)需求變化動態(tài)調(diào)整資源分配。“上云”的應(yīng)用系統(tǒng)包括：內(nèi)部管理業(yè)務(wù)系統(tǒng)、互聯(lián)網(wǎng)應(yīng)用系統(tǒng)、科研應(yīng)用系統(tǒng)、高性能計算系統(tǒng)、測試系統(tǒng)、運(yùn)維管理系統(tǒng)等，需要根據(jù)應(yīng)用系統(tǒng)的業(yè)務(wù)特點(diǎn)和安全防護(hù)需求合理劃分安全域，針對不同的安全域分別制定安全策略、落實(shí)防護(hù)措施，進(jìn)一步確保云計算服務(wù)平臺的安全。