基于天翼云4.0 的行業數字化生態賦能平臺SaaS 化上云設計與實踐

陳 淏，畢釗銘，杜寶蘭，任義翔，鐘清宇，溫育翔，薛 文

（1.中國電信福建分公司，福州 350000；2.福建理工大學 互聯網經貿學院，福州 350118；3.北京福富軟件技術股份有限公司福州分公司，福州 350000）

將用戶從硬件需求中解放出來一直被認為是IT（Information Technology）科學中最具革命性的想法之一，隨著最近行業數字化和云計算的普及，及其給用戶對軟件交付和安裝、基礎設施架構和開發模型的看法帶來的巨大變化，虛擬領域內物理自由的投影似乎比以往任何時候都更加接近。作為一種極其復雜和創新的信息系統架構，通常被認為是SaaS 云上的未來，是一種將塑造人們使用設備的方式的進步，因為它已經降低了客戶端的總體復雜性和硬件需求[1]。

云計算并不是一種單一的技術，它是許多現有軟件解決方案和架構的組合。云計算的元素可以追溯到現代電信的最初階段，但真正創造了這個神奇的技術生態系統的是處理能力、連接存儲和虛擬化等方面的巨大進步。共享服務正在成為孤立產品的主導，這種方法允許公司使用更有效的成本模型專注于其主要業務目標[2]。而對于云計算的SaaS（Software as a Service）來講，是通過互聯網提供軟件應用，SaaS 提供商負責軟件的部署、維護和安全性等方面的工作，用戶只需通過網絡瀏覽器或專用應用程序即可輕松訪問和使用軟件。

1 行業數字化生態賦能平臺SaaS 化背景

隨著計算機技術的發展，電信行業也因消費者對服務的期望和技術的飛躍而發生了變化。服務提供商（SP）從降低成本的必要性和其主要目標（無非是服務提供擴展）出發，似乎將SaaS 視為一個全新的商業機會。用戶越來越多地采用云架構和服務，他們的最終目標是在不斷擴大的市場中創建一個動態的、值得信賴的合作伙伴[3]。電信公司在云服務資本化方面有一些顯著的好處，前提是他們擁有網絡，因此，能夠提供安全和可擴展的解決方案，包括有保證的服務質量（QoS）和通過監控服務性能的專用門戶的復雜管理功能。盡管云計算中的模式實際上是自動的、彈性的和毫不費力的，但服務提供商意識到一些重要的問題，這些問題使得這個平臺在技術背景和技能方面要求最高，而基于這種高標準的技術要求，對行業的數字化生態的構建也符合電信公司未來的發展趨勢和戰略[4]。

1.1 行業數字化生態賦能平臺介紹

中國電信行業數字化生態賦能平臺（以下簡稱“平臺”）的構建是將傳統產業與數字化技術相結合，旨在推動產業的升級和轉型，從而更好地適應市場需求和經濟發展趨勢。平臺是面向政企垂直行業應用集成的統一技術框架，提供專屬政企行業應用的開發平臺。平臺整合了業務中臺、數據中臺和安全中臺相關的資源和服務，為產業數字化發展提供5 個核心能力。如圖1所示。

圖1 行業數字化生態賦能平臺整體架構

1.1.1 行業原子能力匯聚網關

集中展示行業原子能力API（Application Programming Interface）信息、SDK（Software Development Kit）中心、調用示例中心，提供統一、可層級式擴展Rest 風格的能力，API 接口格式及相關調用經驗，保障行業能力接口調用方式的標準化和規范化，幫助政企行業應用開發者快速完成能力集成。

1.1.2 應用開發集成框架

提供專屬政企行業應用的開發平臺，搭建行業應用基礎代碼，通過匯聚通用集成能力、快速開發工具，實現資源共享。主要功能包括應用統一身份管理、開源代碼腳手架、低代碼開發和組件調用代碼包，推動行業應用開發由黑箱式向透明化轉變。

1.1.3 應用運營門戶

應用運營門戶對接政企市場需求，篩選行業適用的場景化解決方案及垂直行業系統分子應用，通過2級行業門戶、解決方案庫、行業應用庫、原子能力庫和應用數字資產管理等行業應用頻道，實現一站式應用訂購與開通功能，支持商機跟蹤管理。

1.1.4 應用交付底座

基于標品業務受理流程，打通IT 受理流程，規范產銷品加載、業務受理流程，快速加載，實現定價管理、計費、計算標準化管理，實現終端施工、裝維標準化管理。

1.1.5 應用編排中心

基于開放的分子應用，通過分子應用的編排和組合，形成新的應用，快速響應市場需求。使用者可以根據業務需求將已購買分子應用編排組合為新的應用，應用編排包括組合型編排和流程型編排。

1.2 平臺SaaS 化改造推動力

1.2.1 政策指引

國家“十四五”規劃和2035 年遠景目標綱要指出，要打造數字經濟新優勢，充分發揮海量數據和豐富應用場景優勢，促進數字技術與實體經濟深度融合，賦能傳統產業轉型升級，催生新產業新業態新模式，壯大經濟發展新引擎。平臺作為各行業應用的承載平臺，是推進業務布局落地和行業應用平臺化的重要樞紐。為了充分發揮平臺的價值，提升平臺的技術水平和智能化程度。項目在政策引導和市場需求的雙重作用下，主動推動平臺的SaaS 化轉型，以降低企業信息化建設成本、提高企業運營效率、增強企業競爭力為動力，以促進產業鏈上下游企業的合作與創新為目標，共同推動數字經濟的發展。

1.2.2 業務推動

數字化轉型是業務、管理和商業模式的深度變革與重構，需要更加敏捷高效的支撐能力，而傳統業務系統多為煙囪式架構，存在系統封閉、孤島眾多、系統建設運維成本高和業務響應周期長等問題，難以適應數字化轉型的要求。第一，IaaS（Infrastructure as a Service）層需要建立在安全穩定可靠的云基礎設施之上，滿足多AZ 容災、信創的發展需求。第二，PaaS（Platform as a Service）層必須徹底打破傳統業務平臺架構，建立靈活敏捷、分層解耦、數據拉通、水平擴展的業務系統架構，以及與新架構相匹配的建設運維模式。第三，SaaS 層整合現有基礎資源，建立標準化、規范化、智能化的數字基礎設施，解決系統重復建設、技術路線繁多、系統間難以兼容互通和數據孤島等問題，為提升系統彈性、實現數據的匯聚、關聯、分析、注智奠定基礎[5]。

在政策指引和業務推動下，平臺的SaaS 化上云將基于天翼云4.0 IaaS 底座上，通過翼龍PaaS 平臺構建基于微服務的云原生架構的全網SaaS 化應用。

2 行業數字化賦能平臺SaaS 化上云

2.1 基于天翼云4.0 IaaS 基礎底座部署

平臺SaaS 化上云基于中國電信天翼云4.0 IaaS底座，本次基礎底座的設計是從接入交換機到服務器，從底層虛擬化操作系統到面向用戶系統，而這個區域正是數據中心中部署用戶業務的pod 區，包含軟硬協同、高速網絡接入和多AZ 接入設計3 個方面。

2.1.1 軟硬協同

第一，操作系統層面采用基于歐拉二次開發的CTyunOS（China Telecom Yun Operation System）操作系統，完成龍芯、鯤鵬、麒麟為主的國產化芯片的適配，打造信創基礎。第二，高性能層面，采用以KVM（Kernel Virtual Machine）、DPDK（Data Plane Development Kit）等為代表的高性能虛擬化技術、通過自研的DPU（Data Processing Unit）完成數據中心算力卸載，接管網絡虛擬化、硬件資源池化等基礎設施層服務，釋放CPU（Central Processing Unit）算力到上層應用，同時亦為虛擬防火墻提供轉發引擎的能力卸載，為重要行業應用提供硬件級別的安全隔離。第三，服務器層面，基于天翼云軟硬一體“紫金架構”打造的新型計算類服務器產品，實現網絡和存儲虛擬化的卸載，以及硬件加速，支持VPC（Virtual Private Cloud）網絡等多種高性能彈性計算產品，配合云管平臺，實現性能監控及故障遷移。

2.1.2 高效網絡接入

接入交換機是采用定制的紫金橋交換機，交換機擁有超過100 Gbps 的上行骨干帶寬及更低的網絡收斂時延，在功耗節能方面，定制化的交換機相比同端口密度的傳統槽式交換機降低了70%的功耗，可滿足高速算力需求下，降低數據中心的功耗，同時定制交換機支持行業主流的RDMA（Remote Direct Memory Access）等技術，實現算力性能加速，如圖2 所示。

圖2 基于天翼云4.0 IaaS 基礎底座部署SaaS 應用

2.1.3 多AZ（Availability Zone）接入

在本次IaaS 架構中，為保障重要平臺的高可靠性，平臺業務流量接入高速轉發區，打通雙AZ 的網絡。高速轉發區實現了跨AZ 的互聯，承擔了東西南北流量的轉發，還為業務延續性、容災備份、服務的跨AZ能力等提供了網絡基礎，最大程度上保證了平臺的業務連續性。

2.2 基于翼龍PaaS 中間件平臺部署

2.2.1 組件云原生化

第一，容器化設計。為實現敏捷開發和部署落地，加速業務迭代，平臺的上云應用組件采用容器化部署，通過CCSE（Container Cloud Service Engine）組件快速實現自動伸縮、按需部署、高可用、水平擴展和降低人力成本的效果。第二，數據庫設計。通過CTG-TELEDB（China Telecom Group Tele Data Base）部署關系型數據存儲，由分布式緩存CTG-CACHE 實現業務數據緩存，降低數據庫負載。第三，高可靠性設計。通過部署CTG-LB（China Telecom Group Server Load Balancer），實現四層和七層的負載，用于各類應用的軟負載均衡需求。第四，日志服務設計。通過部署ELK（Elasticsearch、Logstash、Kibana），并對接容器集群，解決分布式場景的日志分散難以查找和分析的問題，實現日志統一收集與查詢。第五，前端框架集成。通過前后分離開源代碼腳手架（Spring Cloud、Mybatis、antd），支撐平臺微服務化的應用開發。第六，用戶認證。通過JWT（JSON Web Token）的方式進行用戶認證和信息傳遞，保證服務之間用戶無狀態的傳遞。第七，服務狀態監控。利用Spring Boot Admin 監控各個獨立Service 的運行狀態。第八，接口狀態監控設計。利用Hystrix Dashboard 來實時查看接口的運行狀態和調用頻率等。第九，服務調用?；贜acos 實現的服務注冊與調用，在Spring Cloud 中使用Feign 調Http 請求。

2.2.2 上云部署

平臺上云基于中國電信“翼龍”統一技術底座，實現標準化、自動化、規?；显啤Ｒ睚埣夹g底座包括云翼、研發云、云眼、云橋四大平臺。上云通過云翼平臺完成數據庫、中間件、容器應用的自動開通，并自動調用底層軟硬件資源完成IaaS 和PaaS 的部署。研發云平臺為研發運營人員提供標準化、自動化和敏捷快速的應用上云平臺，覆蓋從需求到持續部署發布的企業應用全生命周期，實現IT 生命周期的全程數字化管理。云眼平臺基于大數據技術，對上云系統IaaS、PaaS、SaaS 各層進行統一納管、部署，通過字節碼注入技術，在源系統應用服務部署SaaS-agent 探針，實現對應用進行全方位監控，使上云系統能快速定位出錯接口和慢接口、重現調用參數、發現系統瓶頸。云橋能力開發平臺匯聚各類業務、數據和技術能力，形成能力黃頁，實現能力高度復用，對內是各類應用開發的基礎，對外是開發者生態構筑的基礎。如圖3 所示。

圖3 基于翼龍平臺部署PaaS

2.2.3 容災備份設計

平臺的容災數據備份分為應用備份和數據庫備份。應用備份方面，平臺利用云翼提供的容災備份功能，定期將數據備份到云端存儲設備中。數據庫備份則采用異機數據庫備份的方式，按照日增量、周全量的方式，將數據庫備份保存在文件服務器中。

2.3 應用SaaS 化實現

2.3.1 多地域業務支持

平臺分布式架構將系統劃分為多個子系統或服務，每個子系統或服務可以獨立運行、管理與通信。在分布式架構的基礎上，用微服務架構將系統拆分成多個獨立的、可擴展的、可自部署的微服務。每個微服務都有負責處理特定業務的功能，并且可以獨立升級和擴展。通過以上技術措施為不同地域建立不同的租戶，租戶之間數據相互獨立，管理員通過運維平臺實現跨省跨地域業務支撐管理。

2.3.2 租戶訪問控制

平臺為租戶下的應用分配標簽，每個標簽對應不同的資源集合。通過標簽，快速將資源授權給特定的租戶。系統上將資源規劃為菜單、按鈕、URL，并對租戶下的應用進行資源授權，實現租戶訪問權限管理和控制。

2.3.3 API 調用

平臺將通用功能進行抽取并形成API 能力，并提供了統一的開發框架。平臺提供的API 接口涵蓋了基礎框架類（如賬號查詢/認證、企業查詢/變更、組織機構查詢和地區信息查詢等）、能力匯聚網關類（如能力注冊/刪除、實例注冊/注銷、實例心跳和實例查詢等），以及業務開通類（如業務訂購/退訂、開通/報峻等）。這些API 接口的提供，使得第三方平臺可以更加便捷地調用平臺的功能，順利開展產品研發工作。

2.3.4 低代碼實現

平臺的SaaS 化轉型通過疊加低/零代碼開發能力，推動應用集成向數據服務演進，融合RPA、AI 等技術提升自動化能力，拓展應用場景范圍，形成平臺數據資產，提升智慧化程度。同時，通過可視化的方式快速地構建應用，提升開發效率，降低開發門檻，有效復用行業知識，快速響應行業客戶的需求。

2.4 上云安全設計

第一，網絡安全方面。通過訪問控制策略，確保合法的網絡訪問能通過。依靠防火墻抵御DoS/DDoS 等各種攻擊行為，如檢測死ping、IP 欺騙、端口掃描和IP地址掃描攻擊等，以防止針對性的網絡攻擊及非法入侵行為。其次，在IPS 防火墻上啟用的病毒網關過濾功能，實時監控外部網絡訪問時的病毒信息，并及時查殺各類病毒。第二，系統安全設計方面。啟用了網頁防篡改功能。通過Web 服務器核心內嵌機制，將篡改檢測模塊（數字水印技術）和應用防護模塊（請求檢測攻擊）內嵌于Web 服務器內部，配合事件觸發檢測技術，實現對靜態網頁和腳本的實時檢測和恢復。其次，配置上云系統代碼審計功能和漏洞掃描檢測系統功能，并按照最小端口開放、最小授權原則進行安全加固，操作系統和PaaS 層通過iptables 和網絡防火墻限制開放端口白名單。第三，數據安全設計是至關重要的一部分。針對數據庫層面，選擇默認的InnoDB 存儲引擎。InnoDB引擎支持ACID（Atomicity，Consistency，Isolation，Durability）事務，確保在數據庫發生宕機或其他意外情況時，通過redo log 將數據恢復到某個特定的時間點，保證數據的完整性。對于敏感數據的存儲，傳輸過程中使用SSL（Secure Socket Layer）和TLS（Transport Layer Security）加密保護數據在傳輸過程中的安全。數據庫管理系統實施分級的權限管理制度。為管理員級、執行級和維護級帳號分別設置相應角色的訪問權限，防止特權用戶濫用權限，禁止越權訪問。最后，數據庫通過安裝插件實現數據庫賬號的密碼復雜度、過期時間限制等功能。

3 應用情況

第一，作為各類行業平臺的承載，基于平臺提供的統一集成開發框架腳手架建設，為福建中小企業提供智能組網、安防監控、通信應用和云應用等一站式服務的智慧信息化平臺，支撐中國電信9 個行業平臺應用。從云資源、基礎通信、視頻監控、AI（Artificial Intelligence）視頻應用、智能安防和應用等多個方面構建中小企業信息化服務產品體系，鞏固運營商帶寬優勢，發展標準化產品，提升服務能力和客戶感知度，打造產品能力。

第二，探索PaaS 演進路徑，基于集成開發框架和交付底座，以及低代碼、無代碼的理念，進一步從應用集成向數據服務演進，以表單驅動和模型驅動擴展為數據驅動，與RPA、AI 等技術融合，提升自動化能力，擴大行業應用的場景范圍，形成平臺數據資產，增加數據價值，提升智慧化程度。

第三，探索IaaS、PaaS 和SaaS 行業技術人才跨專業融合，基于本平臺的SaaS 化實踐，融合IT 與CT 的PaaS 平臺專業，進一步促進云平臺綜合保障機制、流程和手段的建立，推進電信運營商云網運營體系變革，支撐云業務高效發展。

4 結束語

隨著云計算技術的持續發展，SaaS 服務市場規模不斷擴大，預計到2025 年將突破1 000 億元大關。在國內的SaaS 細分市場中，垂直行業應用類將占據26%的市場份額。隨著企業數字化轉型的加速，垂直行業應用類的SaaS 應用逐漸成為關鍵支柱。企業通過SaaS化實踐，推進企業數字化的進一步轉型，能夠深層次探索和實現高效生產、助力精準營銷、實現智能決策，從而提升市場競爭力[6]。