政務云多云統一管理平臺研究

趙軍生，呂書林，王晨鶴，崔云龍，高 平

(中國移動通信集團設計院有限公司河南分公司，河南 鄭州 450000)

0 引言

政務云指用于承載各級政務部門開展公共服務、 社會管理的業務信息系統和數據，并滿足跨部門業務協同、數據共享與交換等的需要，提供 IaaS，PaaS 和 SaaS 服務的云計算服務。目前，河南省在省市兩級由政務服務和數字化建設管理局或相關政府平臺公司牽頭匯總各委辦局需求，向不同的云服務商采購云服務。河南省政務云云平臺情況統計，如表1所示。

表1 河南省政務云云平臺供應商匯總

政務云數據中心的網絡設計采用“分區+分平面”原則。根據業務系統情況將數據中心內網絡劃分互聯網區、政務外網區、管理區、安全數據交換區以及異地災備區。按照所承載的業務類型可分為政務公有云和政務專有云。其中，互聯網域的業務承載于政務公有云，專有域的業務承載于政務專有云，互聯網區和政務外網區物理隔離，兩個區域需要數據交換時，通過網閘組成的安全數據交換區來進行。

在數據中心內部將網絡劃分管理、業務、存儲3個平面，3個網絡平面物理相互隔離，互不影響。服務器通過不同網卡接入不同網絡平面。

1 問題分析

1.1 沒有統一入口、缺乏一致體驗

云服務提供商不同導致各個云的接口標準、云服務內容及范圍不盡相同，缺乏統一的服務界面，多平臺多賬號，多系統多服務目錄，嚴重影響了使用體驗。在資源申請、審批等環節，采用全線下或線下+線上的模式，業務運營能力無法統一集中提供，在復雜業務場景下無法快速、高效地開展運營工作。

各個政務云分散規劃建設，云平臺廠商眾多，各個政務云平臺在技術架構、運營管理、服務使用、安全運維等方面的標準規范不一，硬件型號多、軟件版本雜，缺乏全景的資源、安全、性能、告警的監管能力與運營數據視圖，無法統一管理各平臺的資源，無法統一監控各政務云運行狀況。

1.2 各資源池相互獨立、存在數據孤島

管理人員無法及時地把控整體資源的使用、運行情況。每個云管平臺獨立獲取數據，再進行人工匯總分析，過程中難免會出現數據的準確性、及時性問題。

1.3 組織結構復雜、無法靈活運營

不同云管都有獨立的租戶用戶體系，組織結構不能統一劃分，權限管控復雜。不同數據中心、不同種類的云資源服務價格均存在差異，開關、變更、升降配各種訂單結算費時費力，計量計費不精確，調賬過程復雜。各級政務云大都僅提供IaaS基礎資源服務能力，不具備提供PaaS，SaaS服務的能力，服務內容單一，業務支撐能力有限，人工智能、大數據、區塊鏈等新技術的應用程度較低。

1.4 信息安全問題較突出

缺乏統一的建設標準，導致整體信息安全防護水平參差不齊。各單位對信息安全的理解存在差異，部分單位不具備全網安全整體感知、可視化運維、有效識別發現未知威脅等方面能力，亟需統籌規劃。

2 系統方案

經過對政務云現狀的研究和分析，亟需建設河南省統一的多云管理平臺和政務云運營門戶，邏輯上形成河南省“1+18”的云平臺架構，整合政務云平臺和數據中心接入“一朵云”，實現將不同業務單元、用戶、流程、平臺、資源、服務等在一個平臺上進行綜合治理。通過對整個多云管理平臺的合理設計，滿足政務云運營團隊對多云環境的統一服務門戶、統一運營、統一運維的目標。提供服務入云的統一審批流程，及以云服務產品為核心的服務目錄管理體系，提升各委辦局政務系統的云化部署效率。實現對多云環境的計算資源、網絡資源和存儲資源的統一資源視圖和監控告警管理。多云管理平臺系統架構如圖1所示。

圖1 多云管理平臺系統架構

2.1 技術架構

多云管理平臺基于微服務架構實現，支持高可用及K8S容器化多副本部署。具備靈活擴展的能力，平臺架構支持快速橫向擴展，可隨著資源規模的增長快速擴展管理能力，擴展過程中不會對平臺的操作造成影響，支持在線滾動升級，保障業務的連續性[2]。

2.2 門戶層

門戶層有以下功能：(1)面向河南省及地市各級運維部門、運營部門、云服務提供商等用戶，提供資源視圖、性能分析、費用分析、費用結算、成本優化建議、資源考核評價、服務評價、統計報表等功能。

(2)面向政務云各廳局委辦用戶，提供政務云IaaS、PaaS、安全、大數據類等服務目錄瀏覽，查詢和申請。

(3)面向政務云監管運營單位，提供對河南省行政區域管理、云區管理、云資源監管、組織與項目監管、告警及云資源性能監管、流程合規監管、性能狀況監管、訂單與費用監管、效能考核監管、云服務商服務評價統計、資源合規稽查、多維大屏展示等功能。

2.3 統一運營

構建統一的政務云服務目錄，編排各原子服務API、服務申請頁面、申請流程，組合成用戶需要的云服務，發布到服務目錄，供租戶自助申請使用。提供統一的服務接入框架，管理員可以通過目錄服務功能實現對服務進行分類、定義、發布、更改、刪除、查詢等管理操作。

構建統一服務流程，提供服務申請、審批的統一服務流程，支持圖形化可靈活定義的流程編排，支持定義流程表單。

2.4 統一運維管理

多云管理平臺支持全局統一的資源中心，運營管理員、租戶可以在一張資源視圖內管理所有區域的云服務資源。對阿里云、華為云、浪潮云等異構云資源池接入，提供全局統一的資源管理中心，包含所有物理可見的網元設備(包括：服務器、存儲、網絡設備、IP、VLAN)、物理介質、軟件資源、虛擬資源和系統配置項等。通過對資源的合理建模，屏蔽底層硬件細節和故障，整合系統中所有可用資源，實現對資源的生命周期管理和資源信息的統計分析，提供資源分配、資源定位、資源配置、資源查詢等基本服務。

省級管理員可監控所有政務云資源的運行狀況，根據資源拓撲、性能指標和告警信息，評估資源是否異常。政務云資源監控主要從計算、存儲、網絡及安全四個方面實時監控各級云資源使用情況，收集各級政務云資源模塊的監控指標，探測資源模塊的可用性，使得省級管理員全面了解云上資源的當前情況，進而分析出業務的運行狀況和健康度，并及時響應異常報警，保證應用程序順暢運行。

系統支持利用自動化作業平臺，實現對日常運維的自動化作業操作，具備靈活的任務編排及大并發處理能力，支持各種類型的腳本管理與執行，定時任務、過程監控等功能。通過靈活的任務編排引擎將零碎的運維任務組成一個運維流程，并實現自動化的調度，應對滿足繁雜、耗時的各種運維場景。

2.5 系統管理

系統管理包括用戶管理、賬號和口令管理、用戶權限管理和日志管理。

用戶管理實現與系統相關的人員的生命周期管理。賬號管理實現密碼管理，保證系統及數據的安全，用戶權限管理基于角色對權限進行精細化管理，權限管理為系統管理員提供平臺角色創建、修改、刪除、權限關聯配置授權等管理。日志管理提供平臺所有用戶的操作訪問日志，可根據追蹤ID通過系統日志獲取完整操作鏈日志信息，平臺各個不同組件的日志下載及查看功能。

3 系統安全

本系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，對國家安全造成損害。因此，系統從網絡安全、主機安全、應用安全和系統安全等多個角度全面嚴格按照三級等保的要求進行建設，優化安全管理制度，提升安全管理水平[3]。本系統相關密碼采用國密算法，通過密碼評測。

4 結語

本方案能夠實現各級政務云的統一門戶、統一運營入口、統一運維，能夠實現云資源的全生命周期管理。后續可以結合政務業務的需求和使用場景，拓展PaaS層和AI等中臺能力，提供統一的網絡信息安全技術手段，豐富政務云服務能力，更好地滿足廳局委辦的云服務需求。遠期可采用新型“中心+邊緣”云計算架構，在鄭州建設政務中心云，其他18個地市建設邊緣節點，實現真正一朵政務云。對于新上云的業務系統，全部由新型政務云承載。