基于電子政務云的政務信息系統云化遷移研究

陳世民

隨著《上海市電子政務云建設工作方案》正式印發，上海將按照“集約高效、共享開放、安全可靠、按需服務”的原則，建成“集中+分布”，以政府購買服務的方式，依托政務外網，統一為各部門提供服務。市級電子政務云平臺已建設完成，推動政府部門政務應用系統向電子政務云平臺遷移成為了下一步工作的重點。本文研究了政務信息系統上云遷移的全過程，希望能為政務系統上云遷移工作作一參考。

一、電子政務云平臺

上海市已建云政務云體系以“集中+分布”為建設原則，以政務外網為依托，充分利用現有信息化基礎設施，以統一化的服務模式為各部門提供云計算服務。上海市電子政務云按市區兩級云平臺建設，16個區政府自主建設區級云，與市級云在邏輯上實現一體化。全市最終形成“1+16”市、區兩級云體系。市級云平臺提供基礎設施服務、軟件支撐服務和信息安全技術服務。

二、遷移調研與方案

遷移前政務信息系統調研應從服務器設備情況、產品軟件情況、安全服務需求情況、業務與數據量情況、網絡架構等5方面進行：

● 服務器設備情況

需調研所需要遷移上云的政務系統目前硬件設備的組成，如服務器數量、配置、利用率、服務器之間的架構互連關系等。

● 產品軟件情況

需理清此次上云政務系統所使用產品軟件及相關功能清單的情況，如操作系統、中間件、數據庫、備份軟件配置等。

● 安全服務需求情況

首先明確上云政務信息系統安全等保等級，現有安全硬件配備等基本安全策略與配置清單。

● 業務與數據量情況

應明確調研上云政務系統的全網用戶數，并發數，應用服務器和數據庫的CPU和內存的峰值使用率。并考慮數據存量與日增、月增量及其均值和峰值。

● 網絡架構情況

上云政務系統的最終用戶、維護人員所使用的網絡拓普情況，應形成網絡拓撲圖。

（一）應用資源選擇

上海政務云應用服務主要采用IaaS模式為各用戶服務，云用戶從云上分配一定數量和配置的虛擬機來作為政務應用部署的虛擬應用服務器，具體可參考表1進行選型部署。

（二）網絡架構設計

上海市電子政務系統上云網絡配置以不改變當前用戶的訪問和使用習慣為原則，原則上不改變現有系統的網絡架構，在細節上進行優化和調整。政務系統涉及政務外網和互聯網，詳見圖1政務系統上云之后的網絡架構圖。

系統上云后，整個政務系統劃分在一個VDC（虛擬數據中心），VDC內的資源可以同時包含政務外網區域。在一個VDC下創建多個VPC（虛擬私有網絡），政務外網區域劃分在一個VPC下。VPC下可以劃分不同的子網，虛擬機和物理機使用的網絡資源在不同的子網下面。原屬于政務外網業務和互聯網業務應用及數據庫上云后，核心區通過交換機進行交換。為滿足隔離的要求，兩個區域所屬的虛擬機分置于不同子網，并配置對應的互通策略。原系統中的防火墻、WAF等等安全設備，建議選擇對應的安全服務來滿足系統原有的安全需求。在政務信息系統項目上云后，通過政務外網訪問云平臺堡壘機進行維護操作。

（三）數據庫資源配置

上海市政務云數據庫服務主要采用IaaS模式為各用戶服務。數據庫服務資源選型以現有政務系統數據庫的連接數來評估，可參考表2進行選型部署。

數據存儲應用服務器采用虛擬機連接IP-SAN存儲，以虛擬化備份系統與數據備份系統實現應用系統數據、數據庫數據、文件系統數據在本地數據中心備份，且以年預估增量20%進行增量擴容。

（四）應用安全策略與服務

上海市政務系統安全策略配置，由政務云提供安全服務，根據參照信息系統安全等保要求進行選用配置主要有：用戶管理服務、身份認證服務、入侵防御服務、防 DDos攻擊服務、審計服務、安全堡壘機服務、網頁防篡改服務、主機防病毒服務、網絡訪問控制服務、在線防護WAF等安全服務。

三、上云遷移部署

（一）上云遷移部署原則

政府部門的應用系統數量眾多，重要程度、服務時段和外部依賴情況不同，應采用逐步分批、分功能遷移方法，具體遷移可參照以下幾點：

1. 先遷移相對獨立、關聯性少的應用與功能模塊

2. 先一般業務功能模塊或系統，后核心業務模塊或系統

3. 遷移時間應盡量避開業務高峰

4. 遷移后應保持雙軌運行

（二）應用遷移

目前已建成的上海市電子政務云平臺提供IaaS服務。對于IaaS服務，應用程序本身是不必與數據耦合的，因此在遷移的過程中，應用的遷移和數據的遷移是可分開實施的。部署在物理服務器的應用遷移到IaaS平臺，將應用從物理服務器遷移至IaaS服務時，需要根據上海市電子政務云的相關要求對原應用進行調整，使其能夠滿足在云環境上正常運行，并將應用遷移至上海市電子政務云平臺提供的虛擬機上。

（三）數據遷移

部署在物理服務器的數據遷移到IaaS平臺，實際上需要重新部署數據儲存環境，例如重新部署數據庫，或者重新部署分布式存儲系統等，并且需要調整應用數據接口，以滿足在IaaS平臺上數據接口的適用性。同時數據遷移需保證數據遷移前后的語法和語義不變。因此，將數據從物理服務器遷往IaaS環境應分以下幾個步驟進行：

1.目的IaaS環境構建

使用IaaS部署數據，需用戶自行構建數據存儲環境。在測試環境的目的IaaS構建與源物理服務器相同的數據存儲環境，保證遷移前后數據存儲系統支持的數據語法相同。

2.數據導出

從遷移源物理服務器環境導出數據，需要根據源物理服務器環境支持的數據導出格式、目的IaaS環境支持的數據導入格式進行綜合考慮。例如，源和目的環境都是MySQL數據庫，則可將數據導出為sql腳本。

3.數據格式轉換

在某些情況下，遷移前后使用的數據存儲系統支持的數據語法不同。這時，必須要使用預先準備的工具進行數據格式轉換。一般的情況下，保證遷移源地址和目的地址數據存儲系統是相同的，這時便不需要進行此類轉換。

4.數據導入

將數據導入到目的IaaS存儲系統中，可通過存儲系統自帶的工具，也可通過通用工具進行。對于用戶自定義格式的數據，需要用戶自行開發數據導入工具。

5.數據訪問接口轉換

將數據從物理服務器遷移至平臺最后一階段工作是數據訪問接口轉換。通常情況下，需要對源物理服務存儲系統的訪問接口做適應性調整，保證訪問接口能夠適應遷移目的IaaS存儲系統。

四、安全測評與驗收

政務云在IaaS模式下，云平臺提供虛擬主機資源，但主機操作系統安裝部署、安全設置等工作由政務云使用方負責。與之相對應的安全責任也落在政務云的使用一方，所以完成整個遷移上云工作后，需聘請專業的第三方測評機構進行安全測評。但在第三方測評前應在主機層面進行自我測評主要包括用戶登錄管理、訪問控制、系統升級日志審計、和惡意代碼防范、資源配置等5個方面。

政務信息系統上云驗收主要從政務云環境下的安全性（根據需求滿足系統可用性、數據保密性和項目遷移完整性）以及資源分配合理性角度進行驗收，對正式遷移結果進行評估，哪些系統功能完成了遷移、哪些系統功能無法完成遷移，最終上云后的效果如何、是否通過第三方安全測評等形成文檔。

五、結語

科學合理的將電子政務云運用起來，政務信息系統的云化遷移是關鍵的一步。通過本文的梳理研究，能幫助政務應用系統有序、安全、便捷地進行上云遷移，保證政府政務系統上云業務的可用性、安全性和連續性。