基于云計算技術的信息系統建設分析

張政

摘要：云計算技術是基于互聯網的基礎設施服務的集約化建設模式，達到信息化系統以更優化的方式共建共享的目的，無論是在政府或企業等其他領域都具有十分重要的價值和意義。本文就云計算技術在信息系統管理、安全、運維等方面進行了分析，為進一步促進信息化建設的共建共享提供理論支撐。

關鍵詞：云計算;云平臺;基礎設施;云

中圖分類號：TP315? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）25-0303-02

現階段，在政府和企業等領域已普遍利用云計算技術建設了各類云計算平臺（以下簡稱：云平臺），提供計算、網絡、存儲、安全等云服務，把服務器、網絡、存儲等信息化資源統一接入和管理起來，實現資源的統一調配，快速部署和彈性擴展。通過云平臺對現有信息資源進行有效的整合，滿足各類領域的應用和未來擴展的需求。

1云平臺基礎設施建設

云平臺基礎設施主要包括應用云平臺服務器群和數據庫服務器等設備。通過對服務器資源的統一管理和動態分配，實現多種應用系統的快速部署和性能管控，為多種應用系統提供一個公共服務平臺。

1.1云平臺服務器群

1）虛擬機

云平臺服務器群的主要表現形式是虛擬機，基于不同應用系統對服務器的需求，充分利用服務器的物理資源，實現不同需求的應用系統部署在同一個服務器上，更高效地利用有限的物理資源。

2）物理服務器

考慮各應用系統對虛擬機的內存要求較高，物理機選擇時應采用物理機內容較大的服務器。

1.2數據庫服務器

對于重要數據庫服務器，可以采用獨立的高性能服務器。由于數據庫業務對整個服務器的CPU處理性能和內存要求較高，需要保證整個系統的高吞吐和高可靠性，并為全局型應用、資源型應用以及后續準備上線的業務應用系統預留空間。

2云平臺管理系統

云平臺管理系統將物理資源云化，建立統一的物理資源池，提供一體化的資源動態管理，提供服務器、存儲、網絡的虛擬化功能，支持存儲和計算等資源的高可擴展性。

云平臺管理系統主要功能如下：

1）物理資源管理

云管理平臺系統支持服務器、存儲設備、網絡設備、安全設備等設備的管理。

2）虛擬化資源管理

云管理平臺系統可以統一管理全部的虛擬資源，包括存儲（集中存儲以及分布式存儲）、網絡和計算資源等。

3）監控管理

主要針對云平臺的計算、網絡、存儲等資源進行監控。支持多維度分類監控，方便用戶管理使用。主要有對于計算集群、服務器、虛擬機的CPU占有率、內存占有率、網絡流入流出、磁盤IO、告警;物理機的電源、風扇;交換機的流量;存儲設備總容量，可用容量，剩余流量，掛載數據、告警統計進行監控。實現對云平臺管理系統的軟硬件資源運行情況的整體把控。

4）自動化運維

自動化運維是管理員通過對云平臺資源配置不同的調度策略，同時實現智能調度管理，提升設備利用率和彈性伸縮。

5）基本角色的訪問控制

可在不同域和組織上創建不同的角色，分配不同的管理權限，包括角色管理、用戶管理、授權、認證、鑒權等功能，是實現云平臺管理系統的安全保障。運維管理可以接入第三方認證服務。

6）安全管理

包括日志安全、操作系統安全、賬戶和密碼安全數據安全管理等。

3存儲備份容災系統

數據是云平臺建設中最重要的資源，數據的完整性、安全性、可用性和管理性是業務正常運轉的必要條件。云平臺數據資源將采用數據集中存儲、本地備份及同城容災的解決方案。建立某數據中心確保數據的安全性，同時部署一套備份設備對重要業務服務器的數據庫和操作系統等進行備份，建立同城異地數據災備中心，應對突發的災難或者事故。

存儲備份容災系統建設目標是保護業務系統的連續性，保證在災難發生時業務系統不中斷和防止誤刪除等操作導致的數據丟失，對生產中心本地業務的備份，保證數據可靠性。

1）業務連續

能夠滿足云計算平臺和物理機集群混合情況下的應用7×24小時不中斷運行。

2）數據安全

能夠滿足虛擬機和物理機、各種通用文件系統和數據庫的備份和恢復。

3）容災擴展

能夠滿足虛擬機和物理機混合環境的數據級和應用級同城容災，兼顧保護現有投資和災備切換便捷性。

3.1數據存儲系統

數據存儲系統采用基于FCSAN架構的集中式存儲+分布式存儲的解決方案，提高設備利用率，解決傳統集中式數據存儲問題。

3.2容災備份系統

容災備份系統通過在某數據中心部署主備存儲系統，同時建立同城異地數據災備中心，應對突發的災難或者事故。容災備份系統通過在某數據中心存儲網關接管主機側的I/O和整合存儲資源，實現同時對主存儲和備份存儲進行寫操作，通過設置輪詢或優先級的方式決定從哪個儲存中讀取數據，采用同城容災的方式可以避免自然災害和設備自身原因引起的數據丟失，確保業務的連續性。

1）數據備份容災

主存儲和災備存儲之間通過虛擬化網關集群的鏡像功能，存儲網關同時向兩個存儲下發I/O，兩臺存儲均寫完后向主機層返回寫完成信號，再次寫下一個I/O。從而保障了數據實時嚴格一致，且兩臺陣列之間沒有主備的概念，一旦任意一臺故障，另外一臺繼續為上層應用提供數據讀寫，上層業務無感知，業務零中斷。

根據容災業務系統可知，主存儲和備份存儲容量保持一致，采用數據鏡像方式。對數據安全的威脅主要有物理故障和邏輯錯誤兩方面，兩方面都要防范。根據架構設計方案的規劃，容災容量與存儲容量保持一致并適當預留。

2）應用級容災

容災備份系統需實現對云平臺內重要的應用、數據和操作系統進行應用級備份，實現應用級容災，確保應用的連續性。

4云平臺安全體系

安全建設，是各信息系統建設不可或缺的一部分。云平臺應根據本業務部門的安全需求，建設滿足相應的信息系統安全等級保護的要求。

云平臺安全體系包括資源抽象與控制層安全、云服務層安全以及云安全基礎服務五個方面內容，其中云服務層安全包含IaaS安全、PaaS安全和SaaS安全。云平臺安全體系框架圖如圖所示。

1）物理資源層安全

物理資源層安全是指政務云運行所需的機房運行環境安全，以及主機、存儲和網絡等設備的安全。

2）資源抽象與控制層安全

①利用安全加固技術作為資源抽象與控制層安全的穩定運行的有力保障，能夠及時修復虛擬化相關技術漏洞。

②采用虛擬化重定向技術限制政務云IaaS層對物理資源層的直接訪問，保證IaaS層服務對物理資源層的調度和管理均在資源抽象與控制層內完成。

③通過采用內存獨占模式來保證虛擬內存地址的唯一性，不同虛擬化實例間無法共享內存，互相之間無法訪問。

④通過采用分布式離散存儲技術來保證虛擬化實例的獨立性和高可用性，部分數據損壞不會影響其常使用，損壞的數據可以自動修復。

⑤采用數據鏈路層、網絡層訪問控制技術實現對不同虛擬化實例的有效隔離，和對以太網畸形協議訪問等攻擊行為的隔離。

⑥對資源抽象與控制層的運維操作實時監控和審計，系統管理員和審計管理員賬號及權限分離。

⑦對于多用戶模式，在同一物理計算、內存和存儲資源被回收后，支持按策略徹底釋放和完全清除虛擬化實例數據。

3）云服務層安全

云服務層安全主要是為基礎設施安全提供抵御分布式拒絕服務和應用攻擊等網絡行為的能力，基礎設施主要包括云服務器、云存儲和云網絡等。

①云服務器的安全要求如下：

a）云服務器之間應安全隔離，云服務器對外部公共網絡的訪問要做到嚴格管控。

b）不同云服務器用戶的默認隔離，對不同云服務器間端口和通信協議做到有效的訪問控制。

c）保障云服務器安全策略有效性，安全策略隨云服務器的遷移而遷移。

d）云服務器應在鏡像生產環節通過加入協議級、服務級、必要的補丁升級及防入侵安全客戶端等措施實現安全加固。

e）云服務器應保證其鏡像和快照文件的完整性，防止被惡意篡改，鏡像和快照文件應具備容災措施。

②云存儲安全要求如下：

a）利用分布式離散存儲技術保存云用戶數據，隔離不同云用戶之間的存儲數據。

b）利用通訊鏈路加密技術保障云端用戶數據和本地用戶數據的通訊安全。

c）根據策略對云用戶敏感數據信息提供加密存儲，云提供方不得掌握密鑰。

d）利用云端存儲空間訪問權限控制技術保證云端數據的最小授權訪問，從而防止系統管理員對云用戶數據的非授權訪問，以及云用戶間的數據非授權訪問。

③云網絡安全要求如下：

a）提供安全的訪問控制手段，實現專有云網絡對外部公共網絡的訪問控制。

b）提供安全接入通道，保障云用戶通過公網或VPN（虛擬專網）接入專有云網絡。

c）提供云網關、云防火墻等訪問控制措施，實現云用戶對專有云網絡的訪問控制，實現專有云網絡內部之間的訪問控制。

5 結論

基于云計算技術的信息系統，相關部門可直接在云平臺部署建設各自的業務系統和數據系統，不再需要單獨自建、更新和升級硬件環境，不再需要考慮應用實現的技術細節，可大大提高基礎設施的利用率和業務的部署效率，可進一步促進基礎信息共享，優化現有業務系統、業務流程和工作模式，提高各部門信息化條件下履行職責的能力，進一步提升我省政務服務的能力和水平。

參考文獻：

[1]殷波，趙昕，馮偉斌.基于云計算的電子政務云技術研究[J]. 郵電設計技術，2015（7）：26-30.

【通聯編輯：王力】