基于云計(jì)算技術(shù)的信息系統(tǒng)建設(shè)分析

張政

摘要：云計(jì)算技術(shù)是基于互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施服務(wù)的集約化建設(shè)模式，達(dá)到信息化系統(tǒng)以更優(yōu)化的方式共建共享的目的，無論是在政府或企業(yè)等其他領(lǐng)域都具有十分重要的價(jià)值和意義。本文就云計(jì)算技術(shù)在信息系統(tǒng)管理、安全、運(yùn)維等方面進(jìn)行了分析，為進(jìn)一步促進(jìn)信息化建設(shè)的共建共享提供理論支撐。

關(guān)鍵詞：云計(jì)算;云平臺(tái);基礎(chǔ)設(shè)施;云

中圖分類號(hào)：TP315? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）25-0303-02

現(xiàn)階段，在政府和企業(yè)等領(lǐng)域已普遍利用云計(jì)算技術(shù)建設(shè)了各類云計(jì)算平臺(tái)（以下簡(jiǎn)稱：云平臺(tái)），提供計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)、安全等云服務(wù)，把服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)等信息化資源統(tǒng)一接入和管理起來，實(shí)現(xiàn)資源的統(tǒng)一調(diào)配，快速部署和彈性擴(kuò)展。通過云平臺(tái)對(duì)現(xiàn)有信息資源進(jìn)行有效的整合，滿足各類領(lǐng)域的應(yīng)用和未來擴(kuò)展的需求。

1云平臺(tái)基礎(chǔ)設(shè)施建設(shè)

云平臺(tái)基礎(chǔ)設(shè)施主要包括應(yīng)用云平臺(tái)服務(wù)器群和數(shù)據(jù)庫(kù)服務(wù)器等設(shè)備。通過對(duì)服務(wù)器資源的統(tǒng)一管理和動(dòng)態(tài)分配，實(shí)現(xiàn)多種應(yīng)用系統(tǒng)的快速部署和性能管控，為多種應(yīng)用系統(tǒng)提供一個(gè)公共服務(wù)平臺(tái)。

1.1云平臺(tái)服務(wù)器群

1）虛擬機(jī)

云平臺(tái)服務(wù)器群的主要表現(xiàn)形式是虛擬機(jī)，基于不同應(yīng)用系統(tǒng)對(duì)服務(wù)器的需求，充分利用服務(wù)器的物理資源，實(shí)現(xiàn)不同需求的應(yīng)用系統(tǒng)部署在同一個(gè)服務(wù)器上，更高效地利用有限的物理資源。

2）物理服務(wù)器

考慮各應(yīng)用系統(tǒng)對(duì)虛擬機(jī)的內(nèi)存要求較高，物理機(jī)選擇時(shí)應(yīng)采用物理機(jī)內(nèi)容較大的服務(wù)器。

1.2數(shù)據(jù)庫(kù)服務(wù)器

對(duì)于重要數(shù)據(jù)庫(kù)服務(wù)器，可以采用獨(dú)立的高性能服務(wù)器。由于數(shù)據(jù)庫(kù)業(yè)務(wù)對(duì)整個(gè)服務(wù)器的CPU處理性能和內(nèi)存要求較高，需要保證整個(gè)系統(tǒng)的高吞吐和高可靠性，并為全局型應(yīng)用、資源型應(yīng)用以及后續(xù)準(zhǔn)備上線的業(yè)務(wù)應(yīng)用系統(tǒng)預(yù)留空間。

2云平臺(tái)管理系統(tǒng)

云平臺(tái)管理系統(tǒng)將物理資源云化，建立統(tǒng)一的物理資源池，提供一體化的資源動(dòng)態(tài)管理，提供服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)的虛擬化功能，支持存儲(chǔ)和計(jì)算等資源的高可擴(kuò)展性。

云平臺(tái)管理系統(tǒng)主要功能如下：

1）物理資源管理

云管理平臺(tái)系統(tǒng)支持服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備的管理。

2）虛擬化資源管理

云管理平臺(tái)系統(tǒng)可以統(tǒng)一管理全部的虛擬資源，包括存儲(chǔ)（集中存儲(chǔ)以及分布式存儲(chǔ)）、網(wǎng)絡(luò)和計(jì)算資源等。

3）監(jiān)控管理

主要針對(duì)云平臺(tái)的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)等資源進(jìn)行監(jiān)控。支持多維度分類監(jiān)控，方便用戶管理使用。主要有對(duì)于計(jì)算集群、服務(wù)器、虛擬機(jī)的CPU占有率、內(nèi)存占有率、網(wǎng)絡(luò)流入流出、磁盤IO、告警;物理機(jī)的電源、風(fēng)扇;交換機(jī)的流量;存儲(chǔ)設(shè)備總?cè)萘?，可用容量，剩余流量，掛載數(shù)據(jù)、告警統(tǒng)計(jì)進(jìn)行監(jiān)控。實(shí)現(xiàn)對(duì)云平臺(tái)管理系統(tǒng)的軟硬件資源運(yùn)行情況的整體把控。

4）自動(dòng)化運(yùn)維

自動(dòng)化運(yùn)維是管理員通過對(duì)云平臺(tái)資源配置不同的調(diào)度策略，同時(shí)實(shí)現(xiàn)智能調(diào)度管理，提升設(shè)備利用率和彈性伸縮。

5）基本角色的訪問控制

可在不同域和組織上創(chuàng)建不同的角色，分配不同的管理權(quán)限，包括角色管理、用戶管理、授權(quán)、認(rèn)證、鑒權(quán)等功能，是實(shí)現(xiàn)云平臺(tái)管理系統(tǒng)的安全保障。運(yùn)維管理可以接入第三方認(rèn)證服務(wù)。

6）安全管理

包括日志安全、操作系統(tǒng)安全、賬戶和密碼安全數(shù)據(jù)安全管理等。

3存儲(chǔ)備份容災(zāi)系統(tǒng)

數(shù)據(jù)是云平臺(tái)建設(shè)中最重要的資源，數(shù)據(jù)的完整性、安全性、可用性和管理性是業(yè)務(wù)正常運(yùn)轉(zhuǎn)的必要條件。云平臺(tái)數(shù)據(jù)資源將采用數(shù)據(jù)集中存儲(chǔ)、本地備份及同城容災(zāi)的解決方案。建立某數(shù)據(jù)中心確保數(shù)據(jù)的安全性，同時(shí)部署一套備份設(shè)備對(duì)重要業(yè)務(wù)服務(wù)器的數(shù)據(jù)庫(kù)和操作系統(tǒng)等進(jìn)行備份，建立同城異地?cái)?shù)據(jù)災(zāi)備中心，應(yīng)對(duì)突發(fā)的災(zāi)難或者事故。

存儲(chǔ)備份容災(zāi)系統(tǒng)建設(shè)目標(biāo)是保護(hù)業(yè)務(wù)系統(tǒng)的連續(xù)性，保證在災(zāi)難發(fā)生時(shí)業(yè)務(wù)系統(tǒng)不中斷和防止誤刪除等操作導(dǎo)致的數(shù)據(jù)丟失，對(duì)生產(chǎn)中心本地業(yè)務(wù)的備份，保證數(shù)據(jù)可靠性。

1）業(yè)務(wù)連續(xù)

能夠滿足云計(jì)算平臺(tái)和物理機(jī)集群混合情況下的應(yīng)用7×24小時(shí)不中斷運(yùn)行。

2）數(shù)據(jù)安全

能夠滿足虛擬機(jī)和物理機(jī)、各種通用文件系統(tǒng)和數(shù)據(jù)庫(kù)的備份和恢復(fù)。

3）容災(zāi)擴(kuò)展

能夠滿足虛擬機(jī)和物理機(jī)混合環(huán)境的數(shù)據(jù)級(jí)和應(yīng)用級(jí)同城容災(zāi)，兼顧保護(hù)現(xiàn)有投資和災(zāi)備切換便捷性。

3.1數(shù)據(jù)存儲(chǔ)系統(tǒng)

數(shù)據(jù)存儲(chǔ)系統(tǒng)采用基于FCSAN架構(gòu)的集中式存儲(chǔ)+分布式存儲(chǔ)的解決方案，提高設(shè)備利用率，解決傳統(tǒng)集中式數(shù)據(jù)存儲(chǔ)問題。

3.2容災(zāi)備份系統(tǒng)

容災(zāi)備份系統(tǒng)通過在某數(shù)據(jù)中心部署主備存儲(chǔ)系統(tǒng)，同時(shí)建立同城異地?cái)?shù)據(jù)災(zāi)備中心，應(yīng)對(duì)突發(fā)的災(zāi)難或者事故。容災(zāi)備份系統(tǒng)通過在某數(shù)據(jù)中心存儲(chǔ)網(wǎng)關(guān)接管主機(jī)側(cè)的I/O和整合存儲(chǔ)資源，實(shí)現(xiàn)同時(shí)對(duì)主存儲(chǔ)和備份存儲(chǔ)進(jìn)行寫操作，通過設(shè)置輪詢或優(yōu)先級(jí)的方式?jīng)Q定從哪個(gè)儲(chǔ)存中讀取數(shù)據(jù)，采用同城容災(zāi)的方式可以避免自然災(zāi)害和設(shè)備自身原因引起的數(shù)據(jù)丟失，確保業(yè)務(wù)的連續(xù)性。

1）數(shù)據(jù)備份容災(zāi)

主存儲(chǔ)和災(zāi)備存儲(chǔ)之間通過虛擬化網(wǎng)關(guān)集群的鏡像功能，存儲(chǔ)網(wǎng)關(guān)同時(shí)向兩個(gè)存儲(chǔ)下發(fā)I/O，兩臺(tái)存儲(chǔ)均寫完后向主機(jī)層返回寫完成信號(hào)，再次寫下一個(gè)I/O。從而保障了數(shù)據(jù)實(shí)時(shí)嚴(yán)格一致，且兩臺(tái)陣列之間沒有主備的概念，一旦任意一臺(tái)故障，另外一臺(tái)繼續(xù)為上層應(yīng)用提供數(shù)據(jù)讀寫，上層業(yè)務(wù)無感知，業(yè)務(wù)零中斷。

根據(jù)容災(zāi)業(yè)務(wù)系統(tǒng)可知，主存儲(chǔ)和備份存儲(chǔ)容量保持一致，采用數(shù)據(jù)鏡像方式。對(duì)數(shù)據(jù)安全的威脅主要有物理故障和邏輯錯(cuò)誤兩方面，兩方面都要防范。根據(jù)架構(gòu)設(shè)計(jì)方案的規(guī)劃，容災(zāi)容量與存儲(chǔ)容量保持一致并適當(dāng)預(yù)留。

2）應(yīng)用級(jí)容災(zāi)

容災(zāi)備份系統(tǒng)需實(shí)現(xiàn)對(duì)云平臺(tái)內(nèi)重要的應(yīng)用、數(shù)據(jù)和操作系統(tǒng)進(jìn)行應(yīng)用級(jí)備份，實(shí)現(xiàn)應(yīng)用級(jí)容災(zāi)，確保應(yīng)用的連續(xù)性。

4云平臺(tái)安全體系

安全建設(shè)，是各信息系統(tǒng)建設(shè)不可或缺的一部分。云平臺(tái)應(yīng)根據(jù)本業(yè)務(wù)部門的安全需求，建設(shè)滿足相應(yīng)的信息系統(tǒng)安全等級(jí)保護(hù)的要求。

云平臺(tái)安全體系包括資源抽象與控制層安全、云服務(wù)層安全以及云安全基礎(chǔ)服務(wù)五個(gè)方面內(nèi)容，其中云服務(wù)層安全包含IaaS安全、PaaS安全和SaaS安全。云平臺(tái)安全體系框架圖如圖所示。

1）物理資源層安全

物理資源層安全是指政務(wù)云運(yùn)行所需的機(jī)房運(yùn)行環(huán)境安全，以及主機(jī)、存儲(chǔ)和網(wǎng)絡(luò)等設(shè)備的安全。

2）資源抽象與控制層安全

①利用安全加固技術(shù)作為資源抽象與控制層安全的穩(wěn)定運(yùn)行的有力保障，能夠及時(shí)修復(fù)虛擬化相關(guān)技術(shù)漏洞。

②采用虛擬化重定向技術(shù)限制政務(wù)云IaaS層對(duì)物理資源層的直接訪問，保證IaaS層服務(wù)對(duì)物理資源層的調(diào)度和管理均在資源抽象與控制層內(nèi)完成。

③通過采用內(nèi)存獨(dú)占模式來保證虛擬內(nèi)存地址的唯一性，不同虛擬化實(shí)例間無法共享內(nèi)存，互相之間無法訪問。

④通過采用分布式離散存儲(chǔ)技術(shù)來保證虛擬化實(shí)例的獨(dú)立性和高可用性，部分?jǐn)?shù)據(jù)損壞不會(huì)影響其常使用，損壞的數(shù)據(jù)可以自動(dòng)修復(fù)。

⑤采用數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層訪問控制技術(shù)實(shí)現(xiàn)對(duì)不同虛擬化實(shí)例的有效隔離，和對(duì)以太網(wǎng)畸形協(xié)議訪問等攻擊行為的隔離。

⑥對(duì)資源抽象與控制層的運(yùn)維操作實(shí)時(shí)監(jiān)控和審計(jì)，系統(tǒng)管理員和審計(jì)管理員賬號(hào)及權(quán)限分離。

⑦對(duì)于多用戶模式，在同一物理計(jì)算、內(nèi)存和存儲(chǔ)資源被回收后，支持按策略徹底釋放和完全清除虛擬化實(shí)例數(shù)據(jù)。

3）云服務(wù)層安全

云服務(wù)層安全主要是為基礎(chǔ)設(shè)施安全提供抵御分布式拒絕服務(wù)和應(yīng)用攻擊等網(wǎng)絡(luò)行為的能力，基礎(chǔ)設(shè)施主要包括云服務(wù)器、云存儲(chǔ)和云網(wǎng)絡(luò)等。

①云服務(wù)器的安全要求如下：

a）云服務(wù)器之間應(yīng)安全隔離，云服務(wù)器對(duì)外部公共網(wǎng)絡(luò)的訪問要做到嚴(yán)格管控。

b）不同云服務(wù)器用戶的默認(rèn)隔離，對(duì)不同云服務(wù)器間端口和通信協(xié)議做到有效的訪問控制。

c）保障云服務(wù)器安全策略有效性，安全策略隨云服務(wù)器的遷移而遷移。

d）云服務(wù)器應(yīng)在鏡像生產(chǎn)環(huán)節(jié)通過加入?yún)f(xié)議級(jí)、服務(wù)級(jí)、必要的補(bǔ)丁升級(jí)及防入侵安全客戶端等措施實(shí)現(xiàn)安全加固。

e）云服務(wù)器應(yīng)保證其鏡像和快照文件的完整性，防止被惡意篡改，鏡像和快照文件應(yīng)具備容災(zāi)措施。

②云存儲(chǔ)安全要求如下：

a）利用分布式離散存儲(chǔ)技術(shù)保存云用戶數(shù)據(jù)，隔離不同云用戶之間的存儲(chǔ)數(shù)據(jù)。

b）利用通訊鏈路加密技術(shù)保障云端用戶數(shù)據(jù)和本地用戶數(shù)據(jù)的通訊安全。

c）根據(jù)策略對(duì)云用戶敏感數(shù)據(jù)信息提供加密存儲(chǔ)，云提供方不得掌握密鑰。

d）利用云端存儲(chǔ)空間訪問權(quán)限控制技術(shù)保證云端數(shù)據(jù)的最小授權(quán)訪問，從而防止系統(tǒng)管理員對(duì)云用戶數(shù)據(jù)的非授權(quán)訪問，以及云用戶間的數(shù)據(jù)非授權(quán)訪問。

③云網(wǎng)絡(luò)安全要求如下：

a）提供安全的訪問控制手段，實(shí)現(xiàn)專有云網(wǎng)絡(luò)對(duì)外部公共網(wǎng)絡(luò)的訪問控制。

b）提供安全接入通道，保障云用戶通過公網(wǎng)或VPN（虛擬專網(wǎng)）接入專有云網(wǎng)絡(luò)。

c）提供云網(wǎng)關(guān)、云防火墻等訪問控制措施，實(shí)現(xiàn)云用戶對(duì)專有云網(wǎng)絡(luò)的訪問控制，實(shí)現(xiàn)專有云網(wǎng)絡(luò)內(nèi)部之間的訪問控制。

5 結(jié)論

基于云計(jì)算技術(shù)的信息系統(tǒng)，相關(guān)部門可直接在云平臺(tái)部署建設(shè)各自的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)系統(tǒng)，不再需要單獨(dú)自建、更新和升級(jí)硬件環(huán)境，不再需要考慮應(yīng)用實(shí)現(xiàn)的技術(shù)細(xì)節(jié)，可大大提高基礎(chǔ)設(shè)施的利用率和業(yè)務(wù)的部署效率，可進(jìn)一步促進(jìn)基礎(chǔ)信息共享，優(yōu)化現(xiàn)有業(yè)務(wù)系統(tǒng)、業(yè)務(wù)流程和工作模式，提高各部門信息化條件下履行職責(zé)的能力，進(jìn)一步提升我省政務(wù)服務(wù)的能力和水平。

參考文獻(xiàn)：

[1]殷波，趙昕，馮偉斌.基于云計(jì)算的電子政務(wù)云技術(shù)研究[J]. 郵電設(shè)計(jì)技術(shù)，2015（7）：26-30.

【通聯(lián)編輯：王力】