鐵路局集團公司云平臺建設總體設計方案

臧 釗，蘇爾慈，金 鴿，劉 軍，劉彥軍

（1.中國鐵路北京局集團有限公司 科技和信息化部，北京 100860；2.中國鐵道科學研究院集團有限公司 鐵路大數據研究與應用創新中心，北京 100081；3.北京華路時代信息技術股份有限公司，北京 100081；4.北京經緯信息技術有限公司，北京 100081）

近年來，云計算正在成為信息技術（IT，Information Technology）產業發展的戰略重點[1]。各國已經緊跟這一發展趨勢，紛紛向云計算轉型[2]，這帶來了云計算市場規模的快速增長。美國將云計算技術和產業定位為維持國家核心競爭力的重要手段之一，在制訂的一系列關于云計算的政策中，明確指出加大政府采購，積極培育市場，旨在通過強制采購和指定技術架構，推進云計算技術的進步，推動產業落地發展[3]。

在《國務院關于促進云計算創新發展培育信息產業新業態的意見》[4]《關于積極推進“互聯網+”行動的指導意見》[5]《云計算綜合標準化體系建設指南》[6]等政策的指導下，近年來我國的云計算產業得到了迅速發展[7]，現已進入成熟發展期，產業格局基本穩定。中國石油天然氣集團有限公司、國家電網有限公司、國電電力發展股份有限公司等國有企業，近年來也關注自身的信息化轉型升級，積極建立了各自的私有云平臺，并將主要的業務系統、行業大數據應用及物聯網應用遷移至云平臺。由此可見，云計算已經發展成為各行各業信息化發展的重要組成部分。

鐵路的高速發展和業務運營離不開云平臺技術的支撐。目前全國鐵路18個集團公司當中，已經有13個建設了自己的私有云平臺。

云平臺支持通過便捷、按需訪問等方式進入可配置的計算資源共享池，為用戶提供計算、網絡、存儲等能力，其中，計算資源共享池包括網絡、服務器、存儲、應用軟件、服務等[8-9]。云平臺在實現系統資源整合、降低信息化成本、提升安全保障機制等方面具有很大優勢，將成為鐵路局集團公司信息化發展采用的重要技術和架構組成。

本文以中國鐵路北京局集團有限公司（簡稱：北京局集團公司）為例，介紹鐵路局集團公司云平臺建設總體設計方案。云平臺采用基于成熟架構的軟硬件產品搭建，總體架構分為云基礎架構、云服務管理平臺和云用戶[10]。目前，該架構正在逐步完成從基礎設施即服務（IaaS，Infrastructure as a Service）到平臺即服務（PaaS，Platform as a Service）的轉變，未來也會考慮將部分服務轉變為軟件即服務（SaaS，Software as a Service）。

1 總體架構

北京局集團公司云平臺采用架構成熟的軟硬件產品搭建，其架構如圖1所示。在云平臺總體架構中，底層為機房建設，包含硬件設備及相關線纜，實現云平臺資源層的建設。中間層通過云平臺資源層靈活規劃各個資源池，邏輯隔離，保證業務安全，再通過統一云管理平臺使云平臺資源池統一運行與維護（簡稱：運維），使業務資源共享按需分配。頂層設計為業務運營，根據業務部門規劃多級虛擬業務區，保證資源獨立性，角色和權限解耦，支持自定義角色，從而更符合云平臺建設需求。

圖1 云平臺架構

云基礎架構、云服務管理平臺和云用戶是云平臺重要的組成部分，具體如下。

云基礎架構指的是將鐵路局集團公司、各站段的多個位置的數據中心統一起來，通過軟件定義的數據中心，使用標準的硬件設備（服務器、存儲、網絡），搭載成熟的軟件，完成抽象化、池化和自動化的過程。

云服務管理平臺是指在軟件定義的數據中心的基礎上，是運維、部署及計量的統一平臺和門戶，提供運維管理、服務調配和資源部署，以及使用量統計和報表等功能。

云用戶是指使用云平臺資源的用戶。云用戶通過云服務管理平臺申請并得到所需要的計算、存儲、網絡、安全等資源，進行自用軟件或服務的開發、測試及使用。在使用周期結束后，可以由用戶提出繼續使用的續約申請，也可以由云服務管理平臺執行資源回收的操作。

2 云平臺功能

2.1 功能架構

云平臺功能架構如圖2所示。主要實現如計算、存儲、網絡等基本要素的虛擬化，以及實現軟件和硬件解耦。

圖2 云平臺功能架構

2.2 資源虛擬化

資源虛擬化包括計算虛擬化、存儲虛擬化，以及網絡虛擬化。

（1）計算虛擬化，即服務器虛擬化。服務器虛擬化是指在物理服務器上安裝虛擬化軟件，然后部署虛擬機。經過服務器虛擬化之后，物理服務器成為標準的池化資源。無論哪家廠商，只要其服務器是標準的X86服務器，都可以放到同一個資源池中使用。計算資源虛擬化，包括對CPU的虛擬化，以及對內存的虛擬化。在執行計算資源虛擬化之前，每臺物理服務器只能安裝一種操作系統。在虛擬化之后，每臺物理服務器可以安裝多種相互獨立的操作系統。

（2）存儲虛擬化是將同一個集群中所有服務器內置的硬盤虛擬成一個大的數據存儲（Datastore），供集群內所有服務器上的虛擬機使用。存儲資源虛擬化需要使用的硬件包括用于緩沖層的固態盤（SSD，Solid State Disk），用于容量層的 SSD 或硬盤驅動器（HDD，Hard Disk Drive），以及用于連接硬盤的Raid 卡（Raid0/1）。

（3）網絡虛擬化將底層的硬件網絡視為基于IP的承載網，底層網絡可以是多廠商、多型號，既可以是傳統的3層架構，也可以是新型的兩層架構。網絡虛擬化主要解決以下兩個問題。

①突破傳統的二層網絡域的限制，將虛擬化資源組成更大的資源池，在資源池范圍內。虛擬機可以隨意遷移，網關一直跟隨虛擬機，保障業務不會中斷。

②在虛擬化資源池的范圍內，使用分布式防火墻提供邏輯隔離，使不同等級保護標準的應用、不同功能（如開發、測試、生產）的虛擬機可以共同部署在同一個虛擬化資源池中。

虛擬網絡組件以VIB文件的格式安裝到每臺物理服務器的計算虛擬化軟件內核中。安裝是以集群為單位的，每個集群只需要通過單擊鼠標就可以完成安裝。當已經安裝過虛擬網絡組件的集群擴展服務器時，后擴展的服務器會自動安裝虛擬網絡組件。虛擬網絡組件和傳統的網絡類似，能提供交換、路由、防火墻、虛擬專用網（VPN，Virtual Private Network）等功能。

2.3 資源池運維

虛擬化資源池可以通過平臺管理向現有的運維管理平臺提供相應的接口，包括SNMP/CIM/Rest API等多種管理接口。同時，虛擬化資源池具有和傳統的運維管理平臺不同的很多特征，因此，支持云平臺運維管理軟件對整個虛擬化環境進行全方位的健康、性能、容量等方面的管理和監控。云平臺運維管理軟件從虛擬環境的每個級別的每個對象（從單個虛擬機和磁盤驅動器到整個群集和數據）收集性能數據，存儲并分析這些數據，并實時提供虛擬環境中任意位置存在的問題或潛在問題等信息。

云平臺運維管理軟件提供在動態虛擬環境和云計算環境中，主動確保服務級別和管理容量所需的運維控制面板、性能分析和容量優化功能。其運維管理解決方案的管理界面可以顯示虛擬基礎設施的健康狀態、風險和效率，除此之外，還可以顯示當前虛擬基礎架構中各節點資源的使用情況和需求，并以數字化形式直觀地呈現負載的高低情況。鐵路局集團公司可以通過云平臺運維管理軟件對于主要的環境資源，包括CPU、內存、網絡、存儲等資源的使用情況進行匯總。

服務調配軟件是一組工具，幫助實現資源的服務調配和部署，為應用用戶提供自服務門戶。服務調配涉及眾多相互關聯的業務組成元素：包括藍圖、業務組和用戶、基于角色用戶授權、資源預留、共享基礎架構的管理、機架資源的生命周期等。服務調配軟件包括多個組件，這些組件相互協作，為資源池提供以下功能：統一的信息技術服務目錄；基礎架構服務調配；應用服務調配；以服務的形式提供任何服務（XaaS，X as a Service）。

2.4 防病毒

傳統的防病毒手段是在操作系統內安裝防病毒代理，通過集中的服務器對每個操作系統內的病毒庫進行更新。這樣帶來的問題是，操作系統內的殺毒代理成本較高。此外，定期更新病毒庫會造成所有的操作系統同時更新，這對網絡和存儲會產生很大的影響。在虛擬化環境中，殺毒軟件的部署有了新的變化，每臺虛擬化主機部署一個殺毒虛擬機，業務機操作系統內不再部署殺毒代理，這種機制叫做無代理殺毒。無代理殺毒很好地解決了上述成本高、病毒庫更新對網絡和存儲影響大的問題。目前，國內主流的殺毒軟件都支持這種無代理殺毒的部署方式。

2.5 NAS存儲

虛擬化資源池中的業務虛擬機使用的存儲主要來自服務器內部的存儲組成的分布式存儲，通過多副本方式存儲在多個主機、多塊硬盤上。作為業務虛擬機的備份手段，需要部署網絡附接存儲（NAS，Network Attached Storage）。

虛擬化資源池中的業務虛擬機使用分布式存儲方式，通過多副本方式存儲在多個主機、多塊硬盤上。NAS通過IP網絡訪問，和業務網絡共用，無須建設類似存儲區域網（SAN，Storage Area Network）的專用網絡。

3 關鍵技術

3.1 資源池虛擬化技術

鐵路局集團公司云原生數據中心的網絡架構，利用統一的底層物理網絡開展設計，建設統一的虛擬化資源池，這個資源池可以隨著承載應用的增加而隨時增加服務器的數量。每個機架部署10～12臺服務器，每個機架部署1臺架頂交換機，2個相鄰的機架可以共用架頂交換機，形成雙上連的V字型連接。在統一的資源池之外，還有獨立的辦公邊界集群和生產邊界集群，在實際使用虛擬化資源池的資源時，為辦公分配的資源和為生產分配的資源，在資源池內部無法相通，僅能通過辦公網絡和生產網絡之間的物理防火墻策略決定是否可以相通。這個設計最大程度上提升了資源池的利用率，使辦公類應用和生產類應用在內網的統一資源池上相向增長，滿足等級保護和安全隔離的需要。資源池虛擬化如圖3所示。

圖3 資源池虛擬化

在圖3中，藍色表示統一的虛擬化資源池，辦公類應用和生產類應用在資源池內部是互相天然隔離的，借助辦公邊界網關和生產邊界網關，各自使用虛擬化網絡連接到各自的物理網絡中，在鐵路內部網絡（簡稱：內網）的辦公和生產之間的防火墻這里交匯，通過防火墻策略決定它們之間是否可以互訪。

3.2 網絡隔離技術

鐵路局集團公司信息化網絡方案架構總體上通過邏輯隔離的方式，隔開了內網辦公區及內網生產區。

通過對核心交換的邊界風險與需求分析，利用網絡層目前已經部署的防火墻，可以對所有流經防火墻的數據包按照嚴格的安全規則進行過濾，將所有不安全的或不符合安全規則的數據包屏蔽，杜絕越權訪問，防止各類非法攻擊行為。同時可以和內網安全管理系統、網絡入侵檢測系統等進行安全聯動，為網絡創造全面縱深的安全防御體系。資源池內部的東西向隔離技術利用虛擬化安全技術，利用加載在虛擬機或容器層面的分布式防火墻，實現在資源池內部，同一應用之間，或者不同應用之間的安全隔離。

4 結束語

本文以北京局集團公司為例，提出了鐵路局集團公司云平臺建設總體設計方案，該平臺具有資源虛擬化、存儲虛擬化、網絡虛擬化功能，優化了鐵路信息系統的計算、網絡、存儲等能力，能夠整合系統資源、降低信息化成本。下一步，本文將對大數據、人工智能、物聯網等技術進行研究，讓現有系統得到進一步優化，提高其先進性和普適性。