許皓皓 樂益龍 顧小麗

(1.寧波市氣象網(wǎng)絡與裝備保障中心,浙江 寧波 315012;2.海曙區(qū)氣象局,浙江 寧波 315153)

0 引 言

根據(jù)《國務院關于同意浙江省調整寧波市部分行政區(qū)劃的批復》,2016年9月,寧波市海曙區(qū)行政區(qū)劃正式調整,區(qū)劃調整后的海曙區(qū)從單一完全城市化向復合型城鄉(xiāng)結合格局轉變,氣象災害、公共安全、城市建設、農(nóng)業(yè)農(nóng)村建設、防災減災和應對緊急突發(fā)事件等對氣象服務的需求更為迫切,特別是行政區(qū)劃調整后,原鄞州區(qū)西部區(qū)域劃入海曙區(qū),該區(qū)域海拔較高,夏季多突發(fā)強對流、冬季多低溫雨雪冰凍,且易受地形影響,臺風影響期間,雨量普遍較大,同時由于山洪溝、小流域較多,極易引發(fā)山洪、小流域洪水、泥石流等災害,歷來是氣象災害及其次生災害防御的重點區(qū)域[1-4]。為盡快落實區(qū)委區(qū)政府關于籌建海曙區(qū)氣象局的有關精神,急需高質量建設海曙區(qū)氣象災害監(jiān)測預報預警平臺,而信息化基礎設施作為平臺的基礎支撐系統(tǒng)和核心建設內(nèi)容,建設一套功能先進、運行可靠、經(jīng)濟實用的信息化基礎設施將關系到海曙區(qū)氣象局的業(yè)務順利開展和職能正常行使,為提高該區(qū)氣象災害防御能力,預防和減輕氣象災害損失,保障人民生命財產(chǎn)安全,促進全區(qū)經(jīng)濟社會健康發(fā)展提供有力保障。

通過對區(qū)縣氣象部門信息化建設和運行現(xiàn)狀進行梳理和分析,針對發(fā)現(xiàn)的IT先進技術應用較少,缺少整體性安全規(guī)劃,業(yè)務關鍵環(huán)節(jié)存在隱患點,靈活性和遠期的擴展性欠缺等一系列問題,以國省兩級氣象信息化行動方案為綱領,參照《氣象信息化基礎設施資源池建設指南》,廣泛應用虛擬化、云計算、分布式架構等目前成熟先進的信息化技術,充分考慮系統(tǒng)的延續(xù)性和擴展性;按照信息安全等級保護第二級信息系統(tǒng)標準設計通信網(wǎng)絡系統(tǒng),有效防御各類信息網(wǎng)絡安全風險;通過改善架構設計修復業(yè)務環(huán)節(jié)隱患點;同時延續(xù)部分現(xiàn)有成熟模式,構建了一套技術先進、穩(wěn)定可靠、經(jīng)濟實用的信息化基礎設施,既可以滿足海曙區(qū)氣象業(yè)務需求,也為可持續(xù)發(fā)展打了堅實基礎。

1 功能設計

1.1 建設內(nèi)容

信息化基礎設施構建以滿足現(xiàn)代氣象業(yè)務需求,為海曙區(qū)氣象局開展預報預警業(yè)務提供基礎信息硬件支撐為目的。根據(jù)海曙區(qū)氣象局核心業(yè)務和工作職能,信息化基礎設施主要建設內(nèi)容和需求由如下幾部分組成。

1)基礎通信網(wǎng)絡系統(tǒng):通信網(wǎng)絡作為信息化的核心內(nèi)容,是氣象業(yè)務信息傳輸?shù)臉屑~,由氣象廣域網(wǎng)、氣象內(nèi)網(wǎng)、政務外網(wǎng)、視頻會議專網(wǎng)幾部分組成。通信網(wǎng)絡須滿足氣象業(yè)務對高效穩(wěn)定數(shù)據(jù)傳輸?shù)男枨?具備應急通信能力,此外具備一定網(wǎng)絡安全風險防御能力。

2)視頻會議系統(tǒng):建設數(shù)字化、運行穩(wěn)定、操作便捷的視頻會議系統(tǒng),通過視頻專網(wǎng)接入,滿足省市縣天氣會商和電子政務視聯(lián)網(wǎng)視頻會議功能,實現(xiàn)會議擴聲和影像資料的同步顯示。

3)虛擬化資源池:虛擬化資源池由服務器虛擬化和桌面虛擬化平臺兩部分組成,前者主要負責氣象防災減災綜合信息收集、存儲和處理,為業(yè)務系統(tǒng)運行提供支撐;桌面虛擬化平臺用于人員辦公、信息監(jiān)控和業(yè)務軟件日常操作。

1.2 現(xiàn)狀分析

從先進性、可靠性、安全性、實用性4個方面對本市具有代表性的區(qū)縣氣象部門信息化基礎設施建設和運行現(xiàn)狀進行梳理和分析,以便在海曙區(qū)氣象信息化設計和建設過程中借鑒成功經(jīng)驗,延續(xù)現(xiàn)有成熟模式,同時規(guī)避業(yè)務短板,解決當前隱患和不足,符合上級氣象部門信息化建設規(guī)范。通過表1可以看出,本市區(qū)縣氣象部門信息化建設多以實用性為主,基本能滿足業(yè)務可靠性要求,先進信息化技術應用較少,整體性安全規(guī)劃欠缺,業(yè)務關鍵環(huán)節(jié)隱患點依然存在,系統(tǒng)靈活性和遠期的擴展性不強。

表1 區(qū)縣氣象部門信息化現(xiàn)狀分析

1.3 建設原則和參考標準

為解決需求分析環(huán)節(jié)梳理的問題和隱患點并針對性的解決,海曙區(qū)氣象信息化基礎設施建設以中國氣象局2015年印發(fā)的《氣象信息化行動方案(2015—2016年)》和浙江省氣象局同年印發(fā)的《浙江省氣象局信息化行動方案(2015—2016年)》為綱領,系統(tǒng)設計和技術選型詳細參考了中國氣象局氣象信息化領導小組2016年發(fā)布的《氣象信息化基礎設施資源池建設指南》,以便規(guī)范資源使用方式,促進硬件資源、系統(tǒng)軟件的合理配置。通信網(wǎng)絡系統(tǒng)安全性設計遵循《計算機信息系統(tǒng)安全保護等級劃分準則》和《信息安全技術信息系統(tǒng)安全等級保護基本要求》兩份規(guī)范。

總體方案設計遵循如下幾項原則:①先進性和可持續(xù)性原則,要求根據(jù)現(xiàn)代信息技術的發(fā)展,充分利用當前主流的先進技術,具備前瞻性和可擴充性,滿足今后的擴展和升級需要;②可靠性原則,按照氣象業(yè)務一年365 d、一天24 h不間斷開展的要求,整個系統(tǒng)必須完全滿足長期可靠運行的要求;③經(jīng)濟實用性原則,在保證系統(tǒng)先進、可靠的前提下,通過優(yōu)化設計達到經(jīng)濟性的目標,整個系統(tǒng)具備結構合理、故障點少、操作簡單、管理方便,具備無故障運行時間長、遠期改造或擴容投資少以及運營成本低等特性。

2 信息化基礎設施構建

2.1 通信網(wǎng)絡系統(tǒng)

區(qū)縣局通信網(wǎng)絡系統(tǒng)由氣象廣域網(wǎng)、氣象內(nèi)網(wǎng)、政務外網(wǎng)、視頻會議專網(wǎng)幾部分組成,除相對獨立的視頻會議專網(wǎng)外,其他網(wǎng)絡系統(tǒng)均按照等保二級信息系統(tǒng)標準設計。根據(jù)氣象部門統(tǒng)一管理和業(yè)務開展要求,部分網(wǎng)絡節(jié)點設計采用本省和本市上級主管氣象部門統(tǒng)一的技術方式。通信網(wǎng)絡系統(tǒng)技術方案描述如下。

1)氣象廣域網(wǎng):采用“雙路由器+雙線路”冗余備份模式,使用全省統(tǒng)一的OSPF路由協(xié)議實現(xiàn)鏈路冗余,任何一條線路故障,均能通過OSPF自動收斂實現(xiàn)鏈路自動切換,保障氣象業(yè)務的連續(xù)性;配置兩臺鏈路防火墻用于風險防御和訪問控制。

2)氣象內(nèi)網(wǎng):內(nèi)網(wǎng)核心交換機采用2臺48口全千兆3層交換機,實現(xiàn)設備級的冗余,接入交換機采用雙鏈路保證單條鏈路故障不會影響終端通信;核心3層交換機作為業(yè)務網(wǎng)絡內(nèi)邏輯分割設備,在統(tǒng)一規(guī)劃的IP地址池內(nèi)按工作職能和安全等級劃分不同的子網(wǎng)或網(wǎng)段。

3)政務外網(wǎng):政務外網(wǎng)由當?shù)卣y(tǒng)一建設,非涉密網(wǎng),與互聯(lián)網(wǎng)邏輯隔離。在政務外網(wǎng)邊界部署防火墻用于訪問控制,并通過入侵防御模塊主動防御外部攻擊;配置一臺上網(wǎng)行為管理設備,提供網(wǎng)頁訪問過濾、用戶行為分析、訪問記錄等功能。

4)視頻會議專網(wǎng):視頻會議專網(wǎng)由氣象視頻會商網(wǎng)和電子政務視聯(lián)網(wǎng)兩部分組成,均按照相關標準建設。

通信網(wǎng)絡系統(tǒng)按照等保二級信息系統(tǒng)標準設計,網(wǎng)絡拓撲結構見圖1。主要安全性設計包括:①氣象廣域網(wǎng)通過兩條運營商鏈路實現(xiàn)冗余,通過兩臺路由器實現(xiàn)設備冗余來滿足等保二級對網(wǎng)絡設備的業(yè)務處理能力應具備冗余空間,滿足業(yè)務高峰期需要的要求。②氣象廣域網(wǎng)和政務外網(wǎng)邊界分別配置防火墻,開啟入侵防御模塊和漏洞掃描模塊,有效阻斷各類入侵事件的發(fā)生,滿足等保二級為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。③核心3層交換機作為業(yè)務網(wǎng)絡內(nèi)邏輯分割設備,可根據(jù)各部門的工作職能、重要性、所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,滿足等保二級對網(wǎng)絡分割的要求。④政務外網(wǎng)出口設置一臺上網(wǎng)行為管理設備,對網(wǎng)絡訪問行為進行分析、控制和記錄,記錄時長達到等保二級對記錄保存180 d的要求。⑤在氣象內(nèi)網(wǎng)和政務外網(wǎng)之間配置安全隔離網(wǎng)閘實現(xiàn)內(nèi)外網(wǎng)的安全隔離,從物理上來隔離阻斷潛在攻擊的連接,滿足特定氣象業(yè)務內(nèi)外網(wǎng)安全數(shù)據(jù)交換的需求。⑥供電、運行環(huán)境、防雷、防盜、線纜鋪設等計算環(huán)境安全建設均滿足等保二級要求。

圖1 通信網(wǎng)絡系統(tǒng)拓撲圖

2.2 視頻會議系統(tǒng)

視頻會議系統(tǒng)為天氣會商和電子政務視聯(lián)網(wǎng)提供支撐,系統(tǒng)采用分布式架構,以網(wǎng)絡交換機為核心,每個信號節(jié)點均可獨立處理,通過分布式控制系統(tǒng)進行統(tǒng)一管理。系統(tǒng)建設內(nèi)容和模式包括:1)天氣會商采用1套寶利通終端,視聯(lián)網(wǎng)采用1套專用終端。2)氣象視頻會商終端和視聯(lián)網(wǎng)終端分別接入氣象視頻專網(wǎng)和視聯(lián)網(wǎng),兩網(wǎng)相互獨立。3)采用分布式架構,配置一臺控制單元,高清輸入和輸出節(jié)點若干,輸入節(jié)點采集各類PC和攝像頭信號,輸出節(jié)點輸出至大屏等顯示單元,配置光纖交換機和POE交換機用于數(shù)據(jù)傳輸、命令傳輸與通訊協(xié)議等。4)管理平臺軟件一套,實現(xiàn)對所有節(jié)點的管理與控制,支持PC和移動終端協(xié)同實時操控。5)通過調音臺控制音頻輸入輸出,搭配麥克風、功放和音箱實現(xiàn)本地和遠端會場聲音的雙向傳送。6)擴聲系統(tǒng)、大屏顯示系統(tǒng)可單個或同時為氣象視頻會商和視聯(lián)網(wǎng)會議提供支撐。7)移動終端可使用視頻軟終端(寶利通RealPresence軟件)參加天氣會商。

2.3 虛擬化資源池

虛擬化資源池分為服務器虛擬化和桌面虛擬化平臺,服務器虛擬化平臺采用超融合架構,根據(jù)海曙區(qū)氣象業(yè)務發(fā)展需要,部署4臺超融合一體機,通過2個萬兆光口與萬兆交換機連接,實現(xiàn)雙鏈路聚合的存儲通信,組建超融合虛擬化平臺,用于數(shù)據(jù)收集處理存儲、數(shù)據(jù)服務、電子檔案管理、監(jiān)控等業(yè)務系統(tǒng)。本次部署分布式存儲資源總容量為60T,通過2副本方式保障數(shù)據(jù)的可靠性,可滿足未來2～3 a的數(shù)據(jù)量需求。超融合平臺具備橫向擴展的云計算特性,未來提升平臺計算和存儲,僅需新增x86服務器接入即可。

桌面虛擬化平臺采用云桌面技術,集中建設云桌面集群,在后臺集群為每個用戶開辟一個獨立的虛擬機,用戶終端接入設備不留存任何信息,只有顯示和輸入輸出功能。虛擬云桌面技術采用后臺集中管理模式,可減少桌面運維工作量,節(jié)省總體應用成本,實現(xiàn)更安全的桌面辦公,經(jīng)過實踐證明可以滿足氣象部門的工作需要[5]。本次共配置4臺桌面云一體服務器,業(yè)務內(nèi)網(wǎng)和政務外網(wǎng)端各2臺組建集群,搭配桌面虛擬化軟件和云管平臺對外提供桌面虛擬化服務,如圖2所示,用戶端配置瘦客戶機和一套外設,內(nèi)外網(wǎng)瘦客戶機分別訪問內(nèi)外網(wǎng)桌面,通過KVM切換,兩套桌面系統(tǒng)物理隔離,提供了較高的安全性。

圖2 桌面虛擬化平臺網(wǎng)絡拓撲圖

3 關鍵技術

3.1 可視化網(wǎng)絡管理

可視化網(wǎng)絡管理技術提供了所見即所得的故障監(jiān)控和易用的網(wǎng)絡運維工具,簡化了網(wǎng)絡管理難度,可以有效補齊區(qū)縣氣象部門缺乏網(wǎng)絡運維管理能力的短板?？梢暬W(wǎng)絡管理借助網(wǎng)絡分析網(wǎng)關,收集網(wǎng)絡設備運行狀態(tài)、日志等信息,提供網(wǎng)絡資源管理、運行監(jiān)控、性能管理、日志管理等一系列功能。資源管理根據(jù)網(wǎng)絡規(guī)劃,對軟硬件資源和IP資源進行合理的管理;運行監(jiān)控基于網(wǎng)絡結構拓撲圖進行全局網(wǎng)絡情況監(jiān)控,可迅速地定位故障位置;性能管理以豐富的展現(xiàn)形式提供基于設備和基于端口的性能分析;網(wǎng)絡分析網(wǎng)關集成了常用的網(wǎng)絡診斷工具,用于對一些常見的故障進行診斷和排查;日志管理對網(wǎng)絡設備操作日志、事件日志和告警日志等進行備份,提供便利的查詢功能,可用于操作記錄查詢和故障的深入分析等場景。

3.2 分布式架構視頻控制系統(tǒng)

視頻會議系統(tǒng)采用分布式架構,采用點對點信號處理機制,基于以太網(wǎng)傳輸信號,擺脫了所有信號都依靠矩陣的傳統(tǒng)處理方式,從而大幅減少了系統(tǒng)的整體故障率,提升系統(tǒng)的可靠性、擴展性、便捷性。分布式和集中式架構技術特性比較見表2。分布式架構主要由輸入節(jié)點、輸出節(jié)點和控制單元3部分組成,均通過網(wǎng)絡交換機連接。輸入節(jié)點采集各類視頻信號并進行預處理,數(shù)據(jù)編碼后生成在以太網(wǎng)傳輸?shù)腎P碼流,每個節(jié)點相對獨立,只負責自己采集到的一路信號的計算工作。輸出節(jié)點通過網(wǎng)絡接收到數(shù)據(jù),進行解碼和處理,并傳輸至顯示設備進行顯示?？刂茊卧钦麄€系統(tǒng)節(jié)點路由管理的核心,每個分布式系統(tǒng)配套一個控制單元,通過分布式控制系統(tǒng)軟件,支持通過PC、移動終端等設備對視頻會議系統(tǒng)進行獨立或協(xié)同操作。

表2 集中式和分布式架構技術特性對比

(續(xù)表)

3.3 超融合虛擬化

超融合架構是一種集成了虛擬計算和存儲資源的信息基礎架構。在該架構環(huán)境中,同一套單元設備中不但應用了計算、網(wǎng)絡、存儲和服務器虛擬化等資源和技術,而且多套單元設備可通過網(wǎng)絡聚合,實現(xiàn)模塊化的無縫橫向擴展,形成統(tǒng)一的資源池。超融合架構由傳統(tǒng)虛擬化演化而來,經(jīng)歷了融合虛擬化階段,和傳統(tǒng)虛擬化解決方案相比,超融合架構使用工業(yè)標準的x86服務器作為計算和存儲資源載體,通過軟件定義的方式來規(guī)劃底層硬件,然后向用戶交付需要的資源,具備了管理簡單、類似積木堆棧方式彈性擴充等特性,在擴展性、靈活性、運維和成本方面都具有一定優(yōu)勢,是目前在各型數(shù)據(jù)中心廣泛應用的技術架構[6]。超融合架構演化進程見圖3。

圖3 超融合虛擬化架構演化圖

4 結 語

氣象信息化建設是一項持續(xù)性的工作,對于基層氣象部門來說,信息化基礎設施構建要按照上級氣象部門的統(tǒng)一部署,符合中國氣象局《氣象信息化發(fā)展規(guī)劃(2018—2022年)》構建統(tǒng)籌集約、協(xié)同高效、開放共享、安全可靠的氣象信息化體系的總體目標,在此基礎上廣泛應用成熟、先進的信息化技術、同時參考本地區(qū)氣象部門經(jīng)過實踐檢驗,廣泛應用的技術規(guī)范,以便和本地區(qū)氣象部門順利對接,逐步探索符合當?shù)貧庀髽I(yè)務特點的氣象信息化建設思路和建設模式,以期為提高本地區(qū)氣象災害監(jiān)測防御能力,預防和減輕氣象災害損失,保障人民生命財產(chǎn)安全,促進當?shù)亟?jīng)濟社會健康發(fā)展提供強有力的保障。