天津市教委教育信息化資源云構建與實現

季燁

?

天津市教委教育信息化資源云構建與實現

季燁

天津市教育委員會教育信息化管理中心，天津 300191

本項目依托于資源云的基礎設施資源，充分利用資源云環境的各種技術基礎組件以及應用服務。天津教委本著不資源浪費的前提，與教委電教館和教研室兩個單位進行需求溝通，并要求云企業以按需扣費的形式進行合作。同時，本項目嚴格按國家的科技化戰略方針，改革原有鋪張浪費式的項目建設，選擇具有彈性優勢的云企業合作，極大地降低了項目建設成本與后期運維投入，從而達到傳統教育體系與云計算發展相結合的目的，真正實現了教育事業的彈性計算，按需取用。

資源共享；教育互聯；公有云服務

1 背景和必要性

1.1 背景

云計算是一種基于互聯網的商業計算模型。它將計算任務分布到由大量計算機構成的資源池上，使用戶能夠根據需要獲取和使用計算、網絡、存儲資源及軟件服務。

2015年1月，國務院發布《關于促進云計算創新發展培育信息產業新業態的意見（國發〔2015〕5號）》，指出統籌布局數據和云計算產業。文件指出公用云、專用云與行業結合，形成了形態各異、特色鮮明的政務云、教育云、金融云、工業云、城市管理云、醫療健康云、位置服務云、環保云等云計算服務。2015年6月，國務院常務會議通過《“互聯網+”行動指導意見》，要求推進“互聯網+”，實施支撐保障“互聯網+”的新硬件工程，加快核心芯片、高端服務器等研發和云計算、大數據等應用。

天津市為了響應國家教育部關于“三通兩平臺”建設，以及落實《天津市教育事業發展第十二個五年規劃》要求的重要內容，在2012年啟動了天津市教育委員會公共服務平臺項目建設，并由天津市中小學教育教學研究室負責專項試點落實“天津市基礎教育特色資源共建共享服務體系”的建設。同時由天津市電教館牽頭建設了“開放學堂”資源平臺以及“天津市校際網絡同步教學項目”，逐步落實了“三通兩平臺”的整體建設需求。

1.2 必要性

隨著信息中心工作的不斷發展，當前數據中心的數據量比“十二五”翻了兩番，運維工作量更是翻了數番。這對數據中心運維人員的運維能力也提出了前所未有的高要求。目前，機房的承載能力已接近飽和，結合國際和國內信息化的發展趨勢看，未來單靠單個IDC數據中心已經難以滿足未來天津市教育信息化發展需求。

在“十三五”期間，天津市電化教育館和天津市中小學教育教學研究室均確定建立大規模資源平臺，為天津市中小學教育教學工作及遠程教育工作服務。天津市教委信息中心現有的IDC資源機房已經難以承載未來這兩個的超大型資源平臺的承載需求。鑒于目前我國公有云平臺日趨成熟，主流云企業運行和維護能力日趨提升，因此本項目擬采購全新的資源云平臺，用以作為支撐未來兩大資源平臺的發布和運行的基礎架構。

2 需求分析

2.1 業務需求

本項目擬采購足夠支撐市教委電教館和教研室兩個單位資源的資源云平臺。

本項目依托于資源云的基礎設施資源，充分利用資源云環境的各種技術基礎組件以及應用服務。天津教委本著不資源浪費的前提，與教委電教館和教研室兩個單位進行了充分的需求溝通，并要求云企業以按需扣費的形式進行合作。同時，本項目將嚴格按國家的科技化戰略方針，改革原有鋪張浪費式的項目建設，選擇具有彈性優勢的云企業合作，極大地降低了項目建設成本與后期運維投入，從而達到傳統教育體系與云計算發展相結合，真正實現了教育事業的彈性計算，按需取用。另外，為應對未來可能發生的服務不良的情況，也會提出相應的懲罰性措施[1]。

資源云平臺必須保證電教館和教研室各系統如期上線，保證各系統安全運行。

2.2 功能需求

2.2.1 網絡需求

（1）網絡帶寬需求

本方案擬采購不小于9?GB網絡帶寬，且要求必須具備中國聯通、中國電信、中國移動、教育科研網多線路負載均衡能力。

（2）負載均衡

負載均衡能夠均衡應用程序的流量，將前端并發訪問轉發給后臺多臺云主機，實現業務水平擴展。通過故障自動切換，及時消除服務的單點故障，提升服務的可用性。

（3）網絡安全服務

提供DDoS防護、云服務器防護、Web漏洞檢測等全方位的安全防護服務，實時發現云資源及業務系統的安全問題，保障業務系統穩定運行。

2.2.2 計算需求

資源云平臺提供方應參照本需求，提供整體的云平臺解決方案，包含云主機、關系型數據庫、非關系型數據庫、簡單緩存服務、負載均衡、內容分發網絡、對象存儲、大數據平臺服務、多媒體平臺服務、云安全服務、帶寬等方面。以下主要分析了云主機和關系型數據庫兩個方面。

（1）云主機

云主機是一種簡單高效、安全可靠、處理能力可彈性伸縮的計算服務。本次由于采用簡單易擴展的方式采購云平臺產品，因此會在采購時規定云主機總體的CPU和內存數量，并要求在規定數量內用戶可隨意調配資源如何使用，按需申請虛擬機給用戶使用。

（2）關系型數據庫

數據庫中的關系型數據庫，通常情況下指支持MySQL或者SQL Server的數據庫服務或者云數據庫RDS，提供可靠的數據備份和恢復、完備的安全管理及完善的監控。

2.3 數據存儲及災備需求

資源云必須提供數據同城和異地災備服務，確保在任何情況下數據不丟失、業務不中斷。另外，一旦發生黑客攻擊事件，資源云應第一時間啟動應急預案，調用歷史備份數據，重新拉起業務系統。RPO和RTO必須符合等保要求和業務要求。

2.4 平臺數據分析需求

2.4.1 與數據分析工具交互需求為二期工程建設目標

本項目基于公有云平臺，是應用的資源平臺，也是第一階段項目。“數據分析平臺”項目用于分析資源平臺產生的數據，是第二階段項目，預計2018年啟動。

2.4.2 預留數據分析接口

在本項目應用成功使用的情況下，可根據“大數據分析平臺”的需求在本項目公有云平臺或者應用軟件提供相應的API接口與“大數據分析平臺”對接，吐出數據供“大數據分析平臺”分析。

3 建設目標

本項目擬建設國內一流的教育資源云服務支撐平臺，為天津市教育資源云平臺上各用戶單位及各業務系統提供強有力的基礎支撐保障服務。另外，需根據建設階段，針對平臺各系統的應用情況進行效能分析，為天津市教委信息化科學決策、科學監管打下堅實的基礎。

本方案要求資源云提供資源云業務承載空間，負責提供海量視頻和圖片文件優化存儲、對外發布、信息安全和數據災備服務。資源云服務提供商需提供不少于個異地災難備份數據中心，提供24小時不間斷同步和異步災備服務[2]。

4 建設方案

4.1 設計依據

本項目依據天津市教委數據資源中心建設現狀和《“十三五”天津市教育信息化發展規劃》，參閱了《“十三五”國家信息化規劃》中關于應用基礎設施建設行動、數據資源共享開放行動、“互聯網+政務服務”行動的指示精神。具體政策文件為：

（1）《關于促進云計算創新發展培育信息產業新業態的意見（國發〔2015〕5號）》。

（2）《“互聯網+”行動指導意見》。

（3）工信部2017年印發的《云計算發展三年行動計劃（2017—2019年）》。

（4）天津市教育信息化“十三五”規劃（10-07）。

（5）天津市教育綜合改革方案（2016—2020年）。

4.2 總體框架

天津教委資源云平臺結合數據挖掘相關技術路線實現數據分析以及用戶推薦等場景的應用，實現天津教師、學生的高效學習和互動。

總體框架如圖1所示：

圖1

如圖1所示，天津教委資源云平臺依托于資源云的基礎設施資源，充分利用資源云環境的各種技術基礎組件以及應用服務，并通過VPN/專線的形式平臺各系統用戶進行應用交互、鏡像交互、數據交互等業務類交互，從而達到傳統教育體系與云計算發展相結合的目的。構件圖如圖2所示。

圖2

本次資源云建設需求主要包含基礎環境、IaaS層、PaaS層、SaaS層等幾個層次，其中資源云中標方提供基礎環境、IaaS層、PaaS層全部軟硬件環境和服務，用以作為核心基礎架構支撐資源云全部系統。另外，需要全面具備國際領先的安全體系、運維服務體系建設，從整體上提供數據中心支撐技術、網絡技術、安全技術、分布式存儲技術、數據處理能力等方面先進的技術能力和平臺。

4.3 技術方案

本項目擬采購足夠支撐市教委電教館和教研室兩個單位資源的資源云平臺，滿足兩家單位預計未來3年內資源需求。3年內資源平臺規模均較大，隨著時間的推移，未來流媒體技術的不斷發展，教育教學資源將會越來越清晰、越來越豐富，根據未來5年內平臺業務的資源需求稍加冗余，本項目擬采購CPU資源2?600顆，內存5?TB，結構化和非結構化存儲共300?TB。未來如資源需求量超過本項目預期，則需另行申請資金擴容提升資源云平臺資源承載能力。

資源支撐需求匯總簡表如表1。

5 服務選型原則及關鍵技術指標

5.1 云主機

5.1.1 穩定性要求

（1）要求支持云主機實例可用性達99.95%，數據可靠性不低于99.999%；

（2）要求支持云主機支持自動宕機遷移，自動快照備份，數據恢復更方便；

（3）CPU參數包括多種，主要是2?630?V36核2.4?GHz。

5.1.2 可靠性要求

（1）要求云主機的磁盤使用云磁盤（SSD盤和SATA盤混合存儲），也即非NAS或SAN磁陣存儲，通過本地盤分布式化改造行程云磁盤；

表1 資源支撐需求匯總簡表

（2）要求云主機的磁盤支持云純SSD盤存儲。

5.1.3 彈性擴展要求

（1）要求支持云主機支持自由配置CPU、內存、帶寬，可隨時升級；自由升降配置，提供彈性可靠的計算能力，用戶可根據不同需求，自由選擇CPU、內存、數據盤、帶寬等配置，還可隨時不停機升級帶寬，5分鐘內停機升級CPU和內存，支撐業務的持續發展。99.95%的高可用性，為業務的穩定運行提供保障。

（2）要求支持云主機支持升級配置數據不丟失，業務暫停時間可控。

5.1.4 橫向彈性擴展要求

（1）要求支持云主機支持自由配置CPU、內存、帶寬，可隨時升級。

（2）要求支持云主機支持升級配置數據不丟失，業務暫停時間可控。

5.1.5 易用性要求

（1）要求支持云主機支持豐富的操作系統和應用軟件，通過鏡像可一鍵簡單部署。

（2）要求支持云主機支持同一鏡像可在多臺彈性計算服務中快速復制環境，輕松擴展。

5.1.6 支持自動/自定義備份，快速恢復數據

要求支持用戶可以在控制臺設置自動快照策略，對云服務器的系統盤、磁盤數據生成快照，也可以通過控制臺或手動創建快照。通過快照回滾，可以快速恢復快照生成時間點的數據狀態，加強數據安全。

5.2 云數據庫

5.2.1 支持云數據庫的雙機熱備

要求每臺云數據庫擁有兩個物理節點進行主從熱備，主節點發生故障，可切換至備節點，服務可用性高達99.95%。

5.2.2 支持云數據庫的安全防護

要求支持IP訪問白名單。云數據庫提供對實例進行IP訪問過濾功能，用戶可登錄云數據庫管理控制臺進行IP訪問白名單設置，設置后便可實現最高級的訪問安全保護。

5.2.3 支持數據庫升級

云數據庫擁有專業的數據庫團隊，不斷提升數據庫的穩定性與安全性，用戶可在數據庫中執行命令查

看當前數據庫的小版本號。

5.2.4 云數據庫的可靠性要求

提供的云數據庫的可靠性達到99.999%；并提供測試證明方案和數字計算來源。

5.2.5 數據庫管理平臺要求

提供給用戶通過瀏覽器即可安全、方便地進行數據庫管理和維護。

5.2.6 云數據庫具備數據回溯要求

要求支持用戶可隨時進行數據備份，云數據庫能夠根據備份文件將數據庫恢復至7日內任意時刻。

5.2.7 完善的監控體系要求

要求云數據庫支持性能資源監控視圖，可對部分資源項設置閾值報警，并提供Web操作等多種日志。

5.2.8 支持性能監控功能

云數據庫提供近系統性能監控項，包括磁盤容量、IOPS、連接數、CPU利用率、網絡流量、TPS、QPS、等等，可獲取最長1年內實例的運行狀態信息。

5.2.9 支持閾值報警功能

當數據庫實例出現狀態或性能異常時，云數據庫提供短信報警功能。異常包括：實例鎖定，磁盤容量、IOPS、連接數、CPU。

5.2.10 提供自動備份功能

要求云數據庫提供多種類型備份，支持MySQL支持物理備份，支持MsSQL支持全量備份。

5.2.11 云數據庫支持臨時備份功能

在需要時可以臨時性發起備份操作。

5.2.12 支持云數據庫支持日志管理功能

要求對于MySQL類型實例，云數據庫會自動生成BINLOG文件，并提供下載功能，可用于本地增量備份。

5.2.13 具備云數據庫工具運維功能

要求提供的數據庫在線遷移工具，旨在幫助用戶方便、快速地將已有MySQL數據遷移至云數據庫上來。

要求為云上數據庫定制的基于Web的數據庫管理平臺，可幫助普通開發人員、SA、DBA通過瀏覽器，即可安全、方便的完成數據庫管理和維護操作。

5.3 負載均衡服務

5.3.1 負載均衡高可靠的要求

（1）要求負載均衡器支持冗余設計，無單點，可用性達99.95%。

（2）要求負載均衡器支持根據應用負載進行彈性擴容。

（3）要求負載均衡器支持流量波動情況下不中斷對外服務。

5.3.2 支持豐富協議種類

要求負載均衡器支持提供4層（TCP協議）和7層（HTTP和HTTPS協議）的負載均衡服務。

5.3.3 高可用的要求

要求負載均衡支持對后端云服務器進行健康檢查，自動屏蔽異常狀態云服務器，恢復正常后自動解除屏蔽。

5.3.4 會話保持的要求

要求負載均衡提供會話保持功能，在Session生命周期內，將同一客戶端請求轉發到同一臺后端云服務器上。

5.3.5 QoS質量保證的要求

負載均衡支持加權輪詢（WRR）、最小連接數（WLC）轉發方式，支持針對監聽分配其對應服務的帶寬峰值。

5.3.6 負載均衡維護能力的要求

（1）要求具備1T流量高并發處理能力，以滿足天津市教委教育信息化云平臺高并發業務需求。

（2）具備對Linux系統內核源碼修改的能力，以滿足負載均衡的調優需求，優先考慮。

5.4 圖片處理服務

要求支持對存儲在開放存儲上的圖片，支持縮略、裁剪、水印、壓縮和格式轉換等圖片處理功能。

要求支持將原始圖片上傳保存在開放存儲上，通過簡單的接口，在任何時間、任何地點、任何互聯網設備上對圖片進行處理。圖片處理服務提供圖片處理接口，圖片上傳請使用開放存儲上傳接口。要求支持單邊固定縮略。

要求支持指定和強制寬高縮略、支持自動裁剪、按比例縮放、高級裁剪、區域裁剪、內切圓、圓角矩形、索引切割、質量變換、格式轉換、旋轉、自適應方向、漸進顯示、銳化、模糊效果、亮度和對比度調整等功能。

5.5 媒體轉碼服務

5.5.1 轉碼格式要求

（1）要求支持3GP、AVI、FLV、MP4、M3U8、MPG、ASF、WMV、MKV、MOV、TS、WebM格式的視頻轉碼。

（2）要求支持H.264/AVC、H.263、 H.263+、MPEG-1、MPEG-2、MPEG-4、MJPEG、VP8、VP9、Quicktime、RealVideo、Windows Media Video的視頻編碼格式。

（3）要求支持AAC、AC-3、ADPCM、AMR、DSD、MP1、MP2、MP3、PCM、RealAudio、Windows Media Audio的音頻轉碼。

5.5.2 媒體轉碼功能要求

（1）要求支持對存儲于云存儲上的視頻文件截取指定時間的JPG格式圖像。

（2）要求支持獲取存儲于云存儲上的音、視頻文件的編碼和內容信息。

（3）要求支持在輸出的視頻上覆蓋最多四個靜態圖像。水印圖片支持PNG格式。

（4）要求支持媒體轉碼服務為適配一定網絡帶寬范圍的輸出視頻預設了一系列轉碼模版。

5.5.3 支持預置智能模版要求

會根據輸入視頻的具體情況自動調整轉碼參數以滿足輸出視頻要求。由于輸入視頻本身有差異（分辨率、碼率等），不一定所有的預置智能模板都適合，因此需要通過模版分析作業獲取指定輸入文件的可用預置模版。多媒體文件的轉碼，實際是在盡可能壓縮文件大小（即降低碼率）與盡可能減少文件質量損失之間的平衡，預置智能模版是質量優先的。

5.5.4 支持預置靜態模版

可以直接調用的預置模版，無需進行模版分析。它分為三類：視頻轉碼模版、音頻MP3轉碼模版及M3U8切片模版，涵蓋常見的播放設備及帶寬條件，以碼率控制優先。

5.5.5 支持自定義模板

由用戶自行定義轉碼參數的轉碼模版，它是轉碼參數（音頻、視頻、容器等）的集合，可以滿足用戶個性化的轉碼需求。

5.6 安全技術指標

5.6.1 基礎安全防護

（1）提供防御MySQL、SSH、RDP等服務的暴力破解攻擊，提供主機異常登錄報警、主機惡意軟件和后門檢測及清除，以及主機高危漏洞檢測和修復。（去掉SQL server，MySQL，FTP的放暴力破解，數據庫服務本身不應把服務端口暴露到公網）。

（2）支持主機密碼暴力破解防御：密碼破解防御通過實時發現非法入侵，以短信或郵件的方式通知用戶。

（3）24小時內及時更新最新漏洞補丁，并及時更新防護規則，防護快黑客一步。

（4）20?G基礎防護，支持TCP、UDP協議，支持域名高防和IP高防，免費IP配額≥4 IP；按保底帶寬計費，超出20?G后按日計費；支持防護能力自動彈性擴展，支持至少20線以上BGP線路接入，上限不少于300?G；（改為免費提供9?G高防防護，超出部分計費，每個實例免費3個IP）。

（5）保證在攻擊持續狀態下，被攻擊對象仍具備可服務能力。

（6）基本防護：畸形數據包攔截，syn flood、ack flood、udp flood、icmp flood，連接耗盡攻擊、http get/post flood，dns request/response flood等防護。

（7）CC防護：根據域名、URL、User-Agent、Reaferer、Cookie等進行獨立的防護，支持人機、代理、爬蟲等機制的識別與攔截。

（8）DNS檢防：根據DNS查詢/應答報文的NAME、TYPE、CLASS特征進行檢測防護。

（9）深度防護：根據源/目的IP、協議、端口、包長、標記為、包內容等條件進行深度匹配防護。

（10）訪問控制：根據源/目的IP、協議、端口配置三四層黑白名單、限速，根據源/目的IP、協議、端口、域名、URL、User-Agent等條件配置七層黑白名單、限速。

（11）監控功能：流量監控、包量監控、事件監控等。

（12）攻擊取證：根據源/目的IP、協議、端口等條件實時抓包取證。

（13）一鍵切換：一鍵關閉或開啟防護。

（14）多級分組：針對不同業務/用戶/IP進行多層級分組并創建策略。

（15）顯示最近一個月所有的DDoS攻擊記錄，包括攻擊時間、峰值、類型、源IP等，并可下載攻擊數據包。

5.6.2 應用安全防護

（1）支持0day漏洞防護；

（2）每個域名訪問控制規則≥30條；

（3）防護域名個數≥20；（改為防御主域名1個，子域名50個）；

（4）提供防惡意注冊等應用防護功能；

（5）支持識別并阻攔常見的Web攻擊，比如SQL注入、XSS跨站、HTTP協議異常、HTTP協議畸形、命令注入、非法掃描等；

（6）支持隱藏站點地址，防止對源站的直接攻擊；

（7）提供移動應用的一站式安全服務，包括安全檢測、應用加固、渠道監控以及安全SDK等。

6 驗收考核指標

6.1 項目驗收目的

為天津教委資源云平臺項目建設按照標準要求進行，確保項目竣工后達到有關要求和標準，并能正常投入運行，必須進行項目驗收。

6.2 項目驗收原則

（1）審查提供驗收的各類文檔的正確性、完整性和統一性，審查文檔是否齊全、合理。

（2）審查項目功能是否達到了合同規定的要求。

（3）審查項目有關服務指標是否達到了合同的要求。

（4）審查項目人力投入以及實施進度的情況。

（5）對項目的技術水平做出評價，并得出項目的驗收結論。

6.3 驗收內容

驗收的內容包括以下幾個部分：

（1）驗收內容一般包括軟件驗收（按功能要求的可執行軟件、開發計劃文檔、詳細設計文檔、質量保證計劃、設備相應附件、設備運行、網絡運行等）。

（2）驗收評測工作主要包括文檔分析、方案制定、現場測試、問題單提交及測試報告。

（3）驗收測試內容主要包括功能度、安全可靠性、易用性、可擴充性、兼容性、效率、資源占用率及用戶文檔。

（4）文檔驗收標準一般包括文檔完備性、內容針對性、內容充分性、內容一致性、文字明確性、圖表詳實性、易讀性、文檔價值等。

（5）軟件、硬件驗收標準要符合國家和相關標準。

（6）服務年扣費額度=45元/核/月×時長×CPU實際使用核數+25元/GB/月×時長×實際使用內存容量+0.3元/GB/月×時長×實際使用云磁盤容量+0.15元/GB/月×時長×實際使用對象存儲容量+15?000元/200?M/月×時長×實際使用帶寬。

6.4 驗收資料

需要驗收評審的資料包括以下幾個部分：

（1）基礎資料：招標書、投標書、有關合同、有關批復文件、項目詳細實施方案。

（2）項目竣工資料包含但不限于：項目開工報告、項目實施報告、項目質量測試報告、項目檢查報告、測試報告、項目實施質量與安全檢查記錄、操作使用說明書、售后服務保證文件、培訓文檔、會議記錄等其他文件。

[1]章偉.架構基于云計算的區域教育云[J].江蘇教育，2013（43）：27-29.

[2]黃粵鋒.云教育平臺的構建——云計算在教育領域信息化建設中的應用探索[J].無線互聯科技，2015（3）：13-15.

Construction and Implementation of Education Information Resource Cloud in Tianjin Municipal Education Commission

Ji Ye

Educational Information Management Center of Tianjin Municipal Education Commission, Tianjin 300191

The project relies on the infrastructure resources of the resource cloud, and makes full use of various technical basic components and application services of the resource cloud environment. Tianjin Municipal Education Commission, in line with the premise of no waste of resources, fully communicates with the two units of the teaching committee and electrical education hall, and askes the cloud enterprises to cooperate in the form of on-demand deduction. At the same time, the project will be in strict accordance with the national policy strategy of science and technology, reform the original type of extravagance and waste projects, and choose flexible advantage of cloud enterprise cooperation, which greatly reduce the project cost of construction and maintenance investment, so as to achieve the combination of the traditional education system and the development of cloud computing to realize education elastic calculation taking according to needs.

resource sharing; education interconnection; public cloud service

G434

A