|
一、概述 云宏采用“一云多芯”的基础建设架构,具备提供鲲鹏、飞腾、龙芯CPU计算资源池服务的能力;同时建设“多云管理平台”,实现现有x86云平台与新建的云平台统一运营服务管理,统筹利用已有的计算资源、存储资源、网络资源、信息资源、应用支撑等资源和条件,可以为各个政府部门、各委办局提供基础设施、支撑软件、应用功能、信息资源、运行保障和信息安全等服务的云平台,实现服务资源集中管理,为电子政务发展提供有力保障与支撑,普遍获得用户高度评价。 二、方案背景 (1)实现电子政务系统更新 基于体系,参考电子公文系统标准规范建设符合实际业务需求的安全电子政务平台。对电子政务网相关业务系统进行适配迁移及研发工作,实现应用系统的安全性、稳定性、规范性、可管理性。 (2)构建统一的云平台基础设施 云平台基础设施资源包括网络、计算、存储、虚拟化、云平台、安全备份等资源,构建基础设施资源池,为各个业务单位提供统一的资源服务,实现资源共建、共享。参照现有电子政务内部网络建设架构,新建云平台专区,利用现有数据中心网络资源,构建云平台基础设施,实现基础设施共建共用、信息系统整体部署、数据资源汇聚共享、业务应用有效协同,同时提供统一的接口与其他平台进行对接。 云宏依托“芯片硬件服务器+云宏云平台+基础软件”打造的安全、开放创新的软硬件平台,采用全栈自主的计算、存储、网络、安全、数据库、中间件等云服务,使各委办局单位的政务应用践行创新先行、信息化安全自主战略,迈向更高水平的公共服务高效化、社会治理精准化、政府决策科学化,在应用适配、运营实践、政务形象等方面都有良好的实践效果,同时云建设过程中遵循以下原则,具有全国推广的意义: (1)集约化建设。系统建设满足集约化建设要求,避免产生新的数据孤岛,建立一套独立第三方的云管理平台,实现新建化资源池利用云计算技术统一管理、统一调度,提供统一平台入口,避免重复建设过度投资,为业务系统建设提供可靠的基础环境。 (2)规范实用。业务系统建设满足建设单位实际需求,遵循政府单位电子公文相关标准规范,满足用户的实际要求与使用习惯,体现以人为本的设计思想。页面简洁直观,各项功能清晰。 (3)合理配置。服务器的配置数量需根据应用系统并发量、数据备份要求、应用系统的科学设计进行合理配置,采用虚拟化、云计算技术提高资源利用率,降低项目总成本;安全产品应根据等级保护相关标准要求进行合理配置;外部设备应根据实际使用需求,明确部署原则进行合理配置。 (4)安全合规。系统建设应基于基础软硬件环境,原则上不改变原有系统的安全保密等级。应明确物理环境和设备的管理要求,建立完备的安全防护策略,部署符合相关主管部门要求的安全防护产品,应符合与应用系统相配套的等级保护有关要求。 (5)充分利旧。应以“充分利旧”为原则,对于被更新设备中未达到使用年限的,应据用户需求进行科学调配,可用于其他用途,做到减少浪费,充分发挥设备的可用性。 (6)办公数据管理。需要一套基于化环境、专为政府部门服务的文件管理协作共享平台,具备文件集中管理、文档安全备份、在线协作办公、多级权限管控、移动办公等功能。健全政府机构电子政务系统,建立集中的文件管理平台,实现政府文件安全、高效的管理,促进信息化改革,加强政府文件利用率,降低存储与沟通成本,提高政府办公效率。 (7)规避风险。要充分考虑政策、应用环境、人员等风险,尤其是存在业务系统建设或迁移的单位,并制定相应的风险对策和管理措施。并考虑基础环境存在不同芯片架构的可能性,制定可持续使用的设计方案。 三、适配平台 云宏专注于持续加码虚拟化层的稳定、安全、好用,提高竞争壁垒,衔接云计算产业链上下游,通过开放整合生态伙伴来帮助政务云构建健壮的虚拟化数据中心,降低兼容性风险且保护已有投资,最终提高云的弹性和业务上线效率。同时极力拥抱并提前入局生态,目前是互认证适配业界领先且最全面的云厂商之一。互认证生态版图包括但不限于: | | | X86:Intel、AMD
: 鲲鹏(kunpeng 916/920) 飞腾(FT1500A/FT2000PLUS/S2500) 龙芯(3000/4000/5000系列) 海光(3000/5000/7000系列) 兆芯(ZX/KX/KH系列) 申威(3231) | | 华为泰山、广电鲲鹏、长江计算、黄河鲲鹏、四川长虹天宫、神州鲲泰、南京坤前、华诚金锐、北京计算机技术及应用研究所、联想、浪潮、中科曙光、紫光、清华同方、长城擎天、长城超云、天熠、天玥、柏科、五舟、宝德、北联、华山、H3C等 | | 国内:统信、麒麟、深度、普华、新支点、中科方德、国心、同源、红旗、一铭、万里红、欧拉、拓林思、凝思等
国外&社区:Redhat、CentOS、Fedora、Debian、Ubuntu、Windows等 | | 国内:达梦、人大金仓、神舟通用、南大通用、瀚高、万里开源、爱可生、热璞、优炫、云和恩墨、虚谷伟业、海量数据、巨杉等
国外:Oracle、DB2、Mysql等 | | 国内:中创、金蝶天燕、东方通、华宇、普元、宝兰德
国外:IBM WebSphere、MQ、Tomcat、Apache等 | | 政盟、华迪、太极、南威、中电福富、航天开元、致远互联、蓝凌、泛微、合明监控、久远银海、数腾、广东和诚、云上人和、coremail、云新、福昕鲲鹏、用友软件、壹石新科、中国高科、达烁高科、九思软件、相孚、博云、行云创新等 | | 华为、宏杉、同有、德拓、中软、百度、川源、浪潮、曙光、宁畅、EMC、HDS、NetApp、IBM、HP、Dell | | Cisco、H3C、华为、迈普、迪普、锐捷、上海同悦等 | | 奇安信、信安世纪、三未信安、中孚信息、金城保密、壹进制、鼎甲、云祺、同创永益、中科热备、得安、上海英方等 |
云宏虚拟化云平台使用了完全内核级自主研发的服务器虚拟化技术WinServer,基于KVM底层架构实现,是一种高效可扩展的虚拟化系统,支持VT-X、AMD-V、VE/VHE等硬件辅助虚拟化技术,帮助政务云完全实现自主研发。其集成能力包括横向、纵向维度。横向能够灵活与现有网络存储等基础架构集成连接,例如既能集成FC SAN、iSCSI SAN等传统存储,也能轻松对接其他商业分布式存储;得益于微服务快速迭代的优势、标准开放的API接口,也能快速与政务云现有系统集成打通资源部署。纵向能够对接第三方云管理平台,构建弹性、标准、高可靠服务水平的政务云资源池。 四、方案介绍 1、方案架构 (1)整体架构 政务云平台应充分考虑提供的云资源服务的连续性、一致性、可用性和安全性,并通过云管理平台确保云平台的统一规划、统一运营、统一管理,更好地做好云计算在信息化建设的统筹规划管理规定,同时满足未来的业务系统根据用户使用情况实时进行扩容有效支撑业务需求,并保障业务系统稳定运行。 其整体架构包含: ①基础设施层 基础软硬件设备包括芯片服务器、存储设备、网络设备、安全设备、备份设备,托管于现有的电子政务外网数据中心。 ②虚拟化层 把芯片架构的服务器进行云化,结合存储设备、网络设备、安全设备、容灾设备,构建一个安全的虚拟化云平台,为各业务系统提供安全的基础环境。虚拟化软件需兼容多芯片架构,避免芯片技术发展导致重复投资建设。 ③云服务层 通过搭建云管理平台实现统一管理、统一调度,提供统一平台入口。为用户提供标准规范的云服务,包括云主机、云硬盘、VPC、VDC、备份容灾、裸金属、云安全资源池等服务。 ④应用系统层 包含OA政府单位电子公文交换系统、政务云盘、档案系统、会议系统、门户网站、党员系统等应用系统。 ⑤运营运维管理体系 参照现有的电子政务外网的运营运维管理体系经验对整个OA政府单位电子公文交换系统和政务云盘进行日常运维工作。 ⑥安全保障体系 安全保障体系是基于现有电子政务中心电子政务云安全体系办法,依据信息系统等级保护要求及相关规范进行建设,主要包括:云安全资源池、网络安全、边界安全、计算安全以及国密算法安全等。 通过云安全资源池为物理层、资源抽象与控制层、云服务层提供全方位的安全防护,包括防漏洞扫描、主机防御、网站防御、租户隔离、虚拟防火墙等模块。满足国家安全等级保护3级的部署要求。 (2)网络架构 依据充分利旧原则,优先复用现有电子政务外网数字政府安全及网络设备及链路,也可以开辟独立专区摆放基础软硬件设备环境。采用化虚拟化云计算技术实现统一管理、统一调度,提供统一平台入口,避免重复建设过度投资,为业务系统建设提供安全的基础环境。 2、产品与技术特点 (1)虚拟化云平台winstack技术特点 ①芯片服务器虚拟化技术。研发的芯片服务器虚拟化技术,支持芯片如海思、飞腾、龙芯、兆芯、海光、申威,其采用裸金属虚拟化架构,软件可直接在服务器硬件上运行而不需要底层操作系统,是一种高效高可扩展的虚拟化系统,兼容国内主流服务器、存储设备、网络设备,可以轻松的与现有网络和存储基础架构集成。 ②集群自动化管理技术。集群管理技术主要实现对物理资源、虚拟资源的统一管理。通过集群,可以像管理单个实体一样轻松地管理多个主机和虚拟机,从而降低管理的复杂度。同时,系统将定时对集群内的主机和虚拟机状态进行监测,保证了数据中心业务的连续性。例如,当一台服务器主机出现故障时,运行于这台主机上的所有虚拟机都可以在集群中的其它主机上重新启动。 ③智能资源调度技术。通过独有的基于门限的虚拟资源重配置优化算法、基于负载预测的资源调度算法,实现虚拟化数据中心资源的智能弹性调度和按需分配。主要应用于集群发生物理机高可用时虚拟机资源的重新分配,集群资源的负载均衡以避免物理服务器被过度使用,集群智能能源管理等场景。 ④云计算网络技术。采用业界主流软件定义网络技术构建多层、高性能虚拟网络。通过支持可编程扩展实现大规模的网络自动化和VPC隔离网络模型,动态管理和配置虚拟机网络;持续监控物理主机和虚拟机的网卡性能,通过策略管控虚拟机网卡流量出入方向、优先级、Qos等,支持如Netflow、sFlow、CLI等多种标准管理接口。 ⑤加密及完整性校验技术。用户的密码等敏感数据在系统中默认以非对称算法直接进行加密存储,理论上达到较高水平的保护。但是,如果无法完全避免数据拖库的情况,则仅直接对敏感数据加密仍然存在较大被反推的可能性。因而,数据“加盐(hash)”的方法能够极大地提高反推原始数据的困难,从而实现更高级别的加密保护。 云宏虚拟化云平台非常注重产品的安全性,取得了国家保密局颁发的高水平证书。在产品的安全设计中,尤其在数据保护、传输安全、完整性校验等方面引入了国家商用密码算法更新MD5等通用的公开算法。
数据加密及防篡改设计
防篡改安全设计 ⑥密码产品集成技术。密码技术作为网络与信息安全保障的核心技术和基础支撑,在解决网络身份的真实性、数据性、数据完整性保护和行为抗抵赖等方面发挥着不可更新的作用。在信息化建设过程中,国家相关主管部门相继颁布了《网络安全等级保护基本要求》(简称“等保2.0基本要求”)、《国家政务信息化项目建设管理办法》、等政策法规,要求落实使用商用密码进行关键信息基础设施的保护,并开展商用密码应用安全性评估。 云宏作为虚拟化厂商,与业内得安等专业密码安全方案提供商取得联合验证,双方对《GMT 0054-2018 信息系统密码应用基本要求》进行了细致研读并合作落地项目密码类安全测评,产品级对接密码服务商的硬件加密机、数字证书认证系统、密钥管理系统、签名验签、时间戳、SSL VPN等外部设备,完全符合商密测评规范要求。 (2)云管理平台技术特点 ①微服务架构,支持平滑扩展。云管理平台采用微服务开发框架,各个组件模块之间相互结耦,互不影响;支持平台在线升级和扩展,不影响业务正常运行;支持分布式部署架构,可横向扩展支撑大规模资源管理场景; ②资源中台设计,快速适配异构资源。云管理平台通过内置的“资源中台”模块,资源中台将底层资源抽象成为云管理平台环境内定义的资源模型,供业务调度使用;在新增资源类型的对接需求时,资源中台可新增一个资源对接引擎,快速实现异构资源的对接纳管,同时不对上层业务产生影响; ③标准API,开放接口生态。云管理平台通过内置的API网关,统一对接第三方平台,以保证平台对外数据的一致性;同时统一接口网关减少了不同平台模块之间数据相互依赖、相互调用的需求,保证数据调用的效率;支持全系统API文档的自动生成,便于平台后续的集成及扩展; (3)密码支撑服务平台 云计算密码应技术体系框架与“公钥密码基础设施应用技术体系框架”基本保持一致。原“密码设备服务层”分为物理密码资源层和密码设备服务层,形成“云计算密码资源池”。 物理密码资源层由云管平台管理,负责管理和分配密码计算资源,对上层提供标准的虚拟密码设备。物理密码资源层使用密码技术支撑资源隔离的安全。 虚拟密码设备服务层提供标准的密码设备服务,由租户使用,供上层应用、中间件使用。 上层应用和中间件、典型密码服务在虚拟服务器中部署,通过调用虚拟密码设备、基础设施安全支撑平台实现密码服务功能。
云计算密码应用技术体系框架 在安全体系方面,根据信息安全等级保护三级要求,建设级政务云的安全防护体系,实现政务业务应用的分区分域安全管理。安全体系覆盖接入安全、应用安全、数据安全、虚拟化安全、主机安全、网络安全、物理安全等方面。 政务云平台中的密码支撑分为两部分:一是保护政务云平台自身安全的密码应用,如虚拟机迁移的安全性、镜像文件的安全性等;二是为云上业务应用提供的密码服务。 3、自主研发情况说明 (1)服务器虚拟化、网络虚拟化、资源管理动态调度、访问控制技术由云宏自主内核级研发实现,在平台加密保护、业务加密保护等方面采用国密算法、HTTPS等通用标准技术框架,提供自主知识产权证明及中国赛宝实验室代码扫描测试报告。 (2)云宏云管理平台定位于多云环境的综合治理和能力建设,旨在帮助客户构建多模双态全融合架构、跨云灵活编排、自动化自助交付、智能运营运维、安全合规的云基础设施管理平台,该平台采用微服务架构,代码完全自主,提供自主知识产权证明及中国赛宝实验室代码扫描测试报告。 (3)"云安全"密码服务平台是一款基于"云计算"关键技术的高性能密码平台,是国内研制最早、应用最广的密码服务平台,是在传统密码产品的基础上,根据国家密码管理局的政策方针,进一步研制的支持全算法、支持的密码产品。 4、典型应用场景 (1)一云多芯一致管控 政务云平台应当充分考虑技术可更新性,多技术架构路线是主流趋势。云宏虚拟化平台利用统一的模型屏蔽不同芯片的管理差异,实现架构感知和按需分配,从而避免独立建设管理工具,在管理层面实现融合,避免分散部署、简化运维难度。 (2)资源池化、加速改造 采用“芯片+CNware虚拟化技术”轻易实现资源池化基础设施,以提高效率和算力饱和为优势切入和适应用户不断变化的环境、成本要求,加速应用的迁移、适配、改造。此外动态调度、在线迁移、弹性伸缩、故障恢复等特性为应用连续性提供增值和稳健保护。 (3)国外虚拟化巨头VMware的同位更新 VMware在我国信息化系统中长期占据垄断地位,严重制约信息技术自主研发和创新发展。政务云的建设重点在于打破“X86+VMware”体系的进程,“芯片+CNware虚拟化”是在关键的、积极的、出色的破局者,实现同位对标更新,杜绝信息化安全问题。 (4)为云管平台提供资源池底座 采用云管理平台实现传统芯片的异构虚拟化、云平台的多云管理及运营。为促进基础架构的转型建设并融入多云方案,云宏为领域提供能够融合芯片混合部署、稳定可靠的虚拟化产品。政务云的关键是多样化芯片的差异适应、抽象屏蔽,对上提供统一的、标准的资源和管理接口被云管或自动化平台调用,同时无缝兼容、扩展、利旧、逐步建设。 (5)提供极致算力 云宏政务云平台可以最大化发挥硬件潜力,通过多种技术提升基础架构性能、可用性,保障关键应用的算力供给,在同等配置硬件运行更多应用,降低单位算力的成本预算,能够实现如下功能: 通过NUMA vcpu绑定减少调度开销增强虚拟机性能; 通过CPU、内存等计算超分技术提升虚拟度; 通过CPU、内存Qos技术提升关键业务虚拟机性能; 通过内存大页技术提升虚拟机缓存命中率从而提升性能; 通过网卡多队列技术提升虚拟机网络吞吐量; 通过PCI Passthrough、SR-IOV技术提升虚拟机IO效率; 通过集群技术、HA、DRS、DPM等特性提升虚拟机可用性和连续性; 通过IO悬挂技术提升存储闪断异常时虚拟机可用性。 5、核心优势 (1)广泛兼容,生态开放 云宏虚拟化云平台深度集成多年虚拟化内核级研发经验,支持6大芯片服务器,同时兼容多种基础的网络、存储设备,帮助客户在构建虚拟化数据中心时灵活选择,降低兼容性风险保护已有投资,提高云构建和业务上线效率。支持浪潮、长城擎天、联想长风、天玥、柏科、华为泰山、曙光等众多芯片服务器设备,同时支持主流X86服务器;支持统信UOS、中标麒麟、银河麒麟、深度、普华、新支点、中科方德、国心、同源、红旗、一铭、万里红等12家操作系统;支持华为、宏杉、同有、浪潮、EMC、HDS、NetApp、IBM、HP、Dell等众多国内外厂家存储设备;支持Cisco、H3C、华为、迈普、迪普、锐捷等众多国内外厂家网络设备。 (2)内核级深度研发 云宏在虚拟化领域浸淫十年的技术积累,内核由来自suse、华为、IBM等知名组织的技术人才团队研发,保持与多家国内芯片及整机厂商的长期紧密合作,与多家国内知名的操作系统及社区进行联合技术攻关,形成兼容性好、安全稳定、代码自主、无须借助第三方操作系统实现虚拟化底层和异构的强大能力。 (3)多云异构融合 考虑政务云用户存量资产的继承保护和云化价值创新,云宏云管理平台可无缝接管x86&ARM&MIPS裸机、CNware、VMwarevSphere、PowerVM/PowerVC、开源版/商业版OpenStack、阿里云、华为云等存量基础资源,实现混合异构、多云资源的统一管理和自动监控。 (4)本质安全的体系融合 为匹配安全需求,云宏云管理平台提供x86通用、ARM版安装介质,完整交付运行于主流芯片及操作系统环境,符合云建设要求;与云宏自有版虚拟化软件、虚拟化云平台软件无缝兼容,形成云一体化解决方案,全面融合X86&ARM&MIPS异构环境,使应用与基础设施解耦,满足应用开发适配、化更新改造、能力云化等需求场景; (5)安全、统一的服务门户 提供多平台统一的登录入口,同时基于角色策略为管理员、租户、普通用户等不同权限要求的用户提供细粒度授权控制,灵活控制访问可插拔的服务模块,符合安全审查规范; (6)高效可视化跨云编排 基于“所见即所得”的设计思想和基础设施能力,通过高清渲染画布简单拖拽可编排元素,即可定义一组包含前后依赖关系、参数明确、跨多类云平台最终一致的业务拓扑蓝图,非常轻易编排单体、多层、集群架构的应用。一次编排可实现批量多次部署完全一致的环境,极大提升了业务交付效率。 (7)全方位立体运营优化 构建面向业务的全方位、一站式运营中心。在资源层面,灵活抽象物理分散、逻辑集中的数据中心,划分隔离独立、多层级共享的租户模型,实现高阶的资源标准化、落点智能计算、精准配额等能力;在服务层面,面向无需专业云知识的用户提供丰富、简洁、易用的申请页和自动交付能力,面向租户运营方提供可灵活设计表单、黑白名单策略控制的服务发布能力,并打通流程、订单、业务系统、资源管理回收、计费、报表的一站式管理视图,适应多行业组织架构和业务场景诉求;在平台层面,提供从容量、性能、费用等维度关联分析的智能优化策略,实现闲置资源自动巡查、成本分摊及分析、系统可用性巡检、容量安全侦测与智能优化,帮助管理员快速洞察掌舵全局。
| 
私信
