智慧公安-公安云平台技术方案
1项目概述
1.1需求分析
目前,XX省公安厅“公安云”平台提供了基于政务应用系统的云服务平台,包含政务统一门户平台,信息交互平台,用户自助平台,软件开发平台、数据库服务平台,新应用接口、授权认证平台和运维管理等。
申请云平台主机,没有与数据中心部署的VMware虚拟化平台之间实现对接,往往需要管理员根据用户申请与交付单,手动去VCenter上创建虚拟机并部署各种数据库服务器环境、中间件服务器环境、WEB应用服务器环境等,整个公安云平台没有实现应用服务与底层资源之间的智能化资源分配和管理,资源分配统计分析数据都是手动录入采集,
导致目前:
1)各种接入的虚拟化资源池都以独立的形式存在,没有打通实现统一管理和按需调度。
2)公安云与基础架构底层资源池也都未打通,记录的数据和统计报表不真实,只能作为参考,没有实现用户自助申请、自动审批,资源自动按需交付。
3)单个虚拟资源池资源满载,无法弹性进行调度,迁移到其他资源池,释放压力。
4)管理压力、业务部署,资源调配等工作都集中在科信处,没有将权限下放到各个部门,进行分级资源核算管理,没有计量标准。
5)针对不断扩大的服务器数量和业务需求,没有一个统一的平台入口集中管理,不符合公安信息化建设要求和规划。
在这种情况下,XX省公安厅科技信息处为了保证整个“公安云”平台的可用性和功能完整性,在保障平台稳定性的前提下,能实现定制化开发和后期扩展,满足公安云的后期业务变化需求,同时考虑平台的易操作性、方便部署,采用集中化的管理方式,整合基础架构底层资源实现互联互通,公安厅计划采用国产可控的开源云计算基础架构云平台解决方案,通过云平台提供基础架构所需的虚拟化计算资源池、虚拟化网络资源池、虚拟化存储资源池,统一运营管理,为用户资源自助申请提供云服务,从而搭建以省公安厅信息化应用为中心的服务型公安系统云平台。
1.2建设目标
XX省公安厅科技信息处前期对云平台市场的产品和应用方案的多方面考察和多层次筛选,重点考察能够为省公安厅“基础架构云平台”提供定制化功能开发的软件厂商,并强调了该项目的定制开发能力,实现与现有“公安云”服务平台的对接等,具体目标如下:
1)云平台实现与现有VMWare虚拟化资源池进行对接,通过云平台门户可以申请到VMWare资源池的虚拟机,并可以进行远程管理和操作,实现与VMWare 虚拟化资源池的互联互通。
2)云平台可以实现与公安云对接,将“公安云”的云平台门户作为入口,申请云主机,并对接公安内部的组织架构和审批流程(管理审批、查询),资源分配统计分析(图表、报表)。
3)与“公安云”内部权限角色管理对接,实现统一身份认证。
4)通过基础架构云平台,打通底层资源池,将公安厅内部的所有的硬件资源、虚拟资源、应用资源进行互通和整合,实现对所有基础架构资源的统一管理、弹性分配和调度。
5)采用高可用、安全、稳定的虚拟化底层架构;采用成熟先进的理念、技术和方法,适应发展潮流,考虑扩展性,可适应未来应用变化的OpenStack云平台框架,可支撑超过至少500台服务器的大规模集群和30000万个虚拟主机规模。
6)云平台提供完善的网络和数据安全保证。
1.3建设意义
云计算是能够提供动态资源池、虚拟化和高可用性的下一代计算模式。如果把一个计算的资源,比如一台服务器,看成一个小水滴,当很多资源汇聚在一起的时候,它就形成了计算的云,正如我们不关心水滴是怎么产生的,用户也不需要关心计算资源位于哪台物理的服务器上。用户关心的是需要什么样的计算能力,需要什么时刻拥有这些计算能力。云管理平台可以为用户提供“按需计算”服务。
1)从资源共享方面
在整合XX省公安厅信息中心现有软硬件资源基础上建设云计算平台。充分发挥云计算平台虚拟化计算、按需使用、动态扩展的特性,为公安厅各个部门提供计算、存储和信息资源服务,实现软硬件集中部署、统建共用、信息共享,避免重复投资。
基于云计算技术建设公共的云服务平台来运行企业正常运行所需要的业务,可以将企业运维中共性的业务部分进行提炼和归纳,并实现,可以保证共性业务实现的规范性、安全性、全面性和稳定性,也避免了公共功能模块的多次开发实现所造成的冗余浪费乃至系统不兼容错误。
更重要的是公共的云服务平台可以提供一系列支撑服务,业务应用子系统在这些支撑服务的基础之上进行开发,大大降低了开发难度和成本,使各部门可以更加专注于其本身综合的、深层次的、相关联的业务需求,而不是基础设施的建设,把精力用在企业高效运行和企业创新的关键点业务需求上,比传统的建设模式更好的把握业务需求,将会大大提高企业信息化的建设效益。
2)从管理工作方面
政府部门工作的本质就是为人民服务。如果各部门的业务应用子系统都是按照“云平台”的统一标准进行开发实施、注册部署,可以方便的对机关各类业务工作进行标准化管理,从统一管理的的角度对系统进行规范管理,而不是各扫门前雪,在大大降低管理成本的同时,也大量的节约系统的运行成本。
3)从技术实现方面
基于云计算的政府公共服务平台可以按照面向服务的体系结构的松耦合方式来建设,模块间通过标准协议实现相互调用和消息传递,这种技术架构较为成熟,具有较好的扩展性,可以确保信息系统技术层面可持续发展,更有助于政府不同服务业务之间的信息共享,提高企业各部门业务之间的协同。
4)从标准化实现方面
基于云计算的政府公共服务平台可以提供一种标准化的建设模式,可以统一制定共性政务业务标准、管理工作实现标准、技术安全标准、保密安全标准、软硬件技术实现标准等,这对企业标准的实施和推广具有重要意义
2方案设计
2.1设计原则
XX省公安厅云平台的总体设计原则如下:
一、统一规范
由于云计算是一个复杂的体系,应在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好系统的标准化设计与施工。
二、成熟稳定
由于云计算的发展变化很快,而本项目建设时间紧,涉及面广,应用性强,在设计过程中,应选成熟稳定的技术和产品,确保建成的公安云平台适应各方的需求,同时节约项目施工时间。
三、实用先进
为避免投资浪费,公安云平台体系的设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,使系统具有容量的扩充与升级换代的可能,以便该项目在尽可能的时间内与业务发展和信息技术进步相适应。
四、开放适用
由于云计算平台为各业务应用系统提供支撑,必须充分考虑系统的开放性,提供开放标准接口,供开发者、用户使用。
五、安全可靠
本项目涉及用户范围广,数量大,实时性强,设计时应加强系统安全防护能力,确保系统运行可靠,业务不中断,数据不丢失。
2.2系统总体框架
整个省公安厅云平台系统架构设计从下至上可以分为三个层次,依次为:基层设施层(IaaS)、平台服务层(PaaS)、数据服务层(DaaS)和软件服务层(SaaS)。
其中IaaS层为PaaS提供基础设施;DaaS层为PaaS提供各种信息资源和数据支撑;PaaS层为SaaS提供应用所需的常用运行环境与开发平台;SaaS层处理用户请求为用户提供应用服务;如下图所示:
IaaS:即基础设施层,管理计算、存储、网络、数据库等基础IT资源,其中计算模块向下连接并适配多种虚拟化平台,抽象出计算资源池,并向上提供统一的接口管理虚拟机;
存储模块管理多种后端存储类型,为不同虚拟化平台提供存储服务,并向上提供统一的接口管理存储资源;网络模块管理虚拟和物理的网络设备,连通不同虚拟化平台的网络,并向上提供统一的接口管理网络资源,实现了网络功能虚拟化和软件定义网络。
DaaS:即数据服务层,通过融合现有的地理空间信息、人口信息、法人信息以及其他专题信息资源,为省公安厅综合应用系统、管理服务系统及各委办局的专业应用系统提供统一的、权威的数据支撑;
PaaS:即平台服务层,调用IaaS的接口在基础IT资源上部署并管理常用的平台服务(负载均衡即服务、数据分析即服务、非关系数据库即服务、缓存即服务、分布式消息中间件、网盘等),将复杂的平台服务部署和管理工作自动化,简化用户应用服务的开发与维护。
SaaS:即软件服务层,使用PaaS的平台服务为用户提供各种云应用服务、平台运维服务等,并通过统一的云平台认证授权接口对云平台的访问进行认证。
3方案详细描述
本次XX省公安厅云平台项目我方采用XX云计算有限公司自主开发的云平台管理软件,以下将简单介绍XX云平台产品总体解决方案。
3.1方案逻辑拓扑图
XX云管理平台是整个XX公安云后台的管理、调度、运维中心。基于Openstack 平台的商业化云服务平台,在继承原有架构灵活、扩展性强、开放性和兼容度高的基础上,产品稳定性和可靠性大大增强。基于租户到应用的端到端的云服务配置和管理,将用户申请的服务组装成独立的资源配额,统一管理和配置。
通过对租户的分级管理,实现了多级资源分配的要求,通过定制个性化的审批流程,使得服务的申请更符合公安业务的多级审批要求。通过对资源配额的健康状态的整体监控和评分,对每个租户的总体服务质量有全面的把握和管理。
3.2 XX云平台部署架构
整个云平台包括控制节点、网络节点、计算集群、共享存储等4个组成部分,还包括管理网络、数据网络、存储网络、外部网络等4个网络。
控制节点:
控制节点是云平台的心脏,是整个云平台的调度中心。控制节点单独部署在独立服务器上,服务器需要2块网卡,分别连接管理网络和外部网络,通过管理网络管理其他节点、调度计算集群的虚拟机、在计算集群的存储资源池中给虚拟机分配块存储、给虚拟机配置L2网络、配置网络节点的L3服务。用户可以通过外部网络管理云平台和调用云平台的API。
云平台控制节点上运行云平台认证(认证所有API的请求)、虚拟化适配器(响应计算API请求,适配不同虚拟化平台)、网络管理(响应网络API请求,管理虚拟交换机、虚拟路由器、虚拟防火墙等)、存储管理(响应存储API请求,管理云硬盘、对象存储等)、监控(响应监控API请求,监控计算、存储、网络资源的状态)、镜像管理(响应镜像API请求,管理用户和管理员创建的镜
像)等服务。
网络节点:
负责所有负责部署所有的网络模块,对外提供网路服务,每个租户的网络都是独立。网络节点服务器要求最少3块网卡,分别连接管理网络、数据网络、外部网络,虚拟机和外部网络通信时,需要通过网络节点做转发,同时网络节点还提供DHCP、虚拟防火墙等功能。云平台网络节点上运行L2代理和L3代理,分别处理二层网络和三层网络的配置请求
管理网络:
用于连接控制节点、网络节点、计算集群,是云平台内部的API调用通道
数据网络:
用于连接网络节点、计算集群中的所有计算节点,是虚拟机和虚拟机之间,以及虚拟机和网络节点通信的网络
存储网络:
用于连接计算集群中的所有计算节点,是虚拟机访问共享存储的通道
外部网络:
用于连接控制节点、网络节点、云数据库、公安云门户等,是虚拟机与云平台外部通信,以及云平台外部调用云平台
API的网络
计算节点:
负责部署虚拟化模块,主要提供资源池,创建虚拟机,提供API用于虚拟机生命周期的管理、二层网络接入、虚拟机磁盘挂载等,虚拟层基于KVM架构。
共享存储:
存放虚拟机磁盘文件,使用共享存储的虚拟机可以在资源池内部热迁移和HA
3.3硬件推荐配置要求
该配置情况为XX云平台产品安装的基本配置要求,以安全、高效为目的,实际应用环境需要适当抬高配置,计算节点为计算池资源,可根据实际情况增加。
注明:1.如果要测试虚拟机迁移,需要满足:使用共享存储,计算节点通过光纤交换机,需要连接到共享存储上计算节点服务器的CPU型号必须一样计算节点服务器需要2台
2.如果无法提供共享存储设备,那么数据存储可以选择使用计算节点服务器本地硬盘(PS:无法测试虚拟机迁移功能)。
4 XX云平台技术解决方案
XX云管理平台采用标准的框架开发以及统一的WEB、数据库开发规范,采用采用组件化、模块化设计思想,提供管理和监控功能,当冗灾或发生主备切换时,系统可实现从系统软件到应用软件均能完成自动启动。包括云基础资源平台、云资源管理平台、云运营管理平台和用户自助服务平台,如下图:
云管理平台架构图
4.1基础资源平台
云基础资源平台为XX省公安云平台系统提供所需的底层物理资源和虚拟化资源,保证能满足整个云平台应用系统的基本运行要求。
4.1.1物理资源池
云数据中心的IT基础设施层,是云平台能够正常运行和部署的基本条件,主要包括X86服务器、存储、网络等硬件设备,而且能够通过云平台进行统一监控和管理。
4.1.2虚拟化资源池
虚拟化技术是云计算数据中心的核心技术,主要包括服务器虚拟化、存储虚拟化以及网络虚拟化等,通过虚拟化技术构建虚拟计算资源池、虚拟存储资源池、虚拟网络资源池,并实现对虚拟资源面向业务的调度和管控。虚拟化资源层主要
由虚拟化内核和虚拟化管理两大组件构成:
(1)虚拟化内核。
基于主流虚拟化内核,实现CPU、内存、磁盘、网络的虚拟化;提供高可用集群、业务迁移和动态资源调整,保证业务应用的连续性,支持云主机的备份与快照。
(2)虚拟化管理。
对虚拟资源统一配置和调度,包括云主机的生命周期管理、云主机镜像文件管理;云主机管理组件提供开放接口,便于上层云服务层进行虚拟资源的调用;支持随需自适应的弹性计算,能实现业务突发时云主机自动迁移、扩展和负载均衡,以及业务空闲时资源自动回收。
虚拟资源池在容量设计上既要满足现有业务的需要,又要保留适当的冗余。可适应未来应用变化的OpenStack云平台框架,可支撑超过至少500台服务器的大规模集群和30000万个虚拟主机规模。
4.2虚拟化平台设计
4.2.1物理资源池管理
通过XX云平台可以实现对服务器、存储、网络的配置管理、性能监控、日志管理等功能;
4.2.2虚拟资源管理
XX云平台可以提供对云主机、云硬盘、虚拟交换机和虚拟网卡的全方位监控;支持面向应用的资源调度,通过资源配置下发,将网络切片,实现端到端的流量监管、访问控制和质量保证,租户之间完全隔离,如同独享各自的服务
此外,云资源管理平台还可以对分配给在部门的运资源进行统一监控与管理,出现故障后可以快速从云平台推送原云主机镜像文件快速恢复。同时与市级政务云进行对接,为市级政务云提供共享资源池,实现市级政务云的资源备份、扩展与爆发。
4.2.3系统稳定可靠
虚拟机HA:
通过动态迁移,高可用性、负载均衡等自动化的服务方式,有效保证了终端业务访问的连续性和服务平台运行的稳定性。
控制节点HA:
为整个控制中心配置备份的控制节点,主控服务器故障,备份节点实时接管,防止单点故障,保障云平台各项服务稳定运行。
4.2.4动态迁移
可将虚拟机业务在正常运行过程中,将虚拟机从一台物理服务器迁移到另一
台物理服务器上。在迁移过程中,虚拟机里的操作系统以及应用持续运行,不会被中断。
硬件扩容、检修,可迁移虚拟机至其它服务器上,维护工作完成后再迁移回来,消除维护导致的长时间停机。
4.2.5负载均衡
业务负载均衡
在业务访问高峰时段,通过应用负载均衡,创建多个虚拟机共同承载并发访问量大的业务,并根据虚拟机优先级,让其访问优先获得计算资源,实现高负荷业务的负载均衡。
1)高峰期,充分利用多台主机资源支撑一个业务运行计算,减少堵塞和宕机;
2)可提前做好资源评估测试,减少临时超额采购服务器;
3)利用服务器作为负载均衡设备,响应请求。
集群负载均衡
提供数据中心资源动态调度(DynamicResourceScheduler,DRS),通过集群负载均衡,持续的平衡主机容量,将虚拟机迁移到有足够资源的主机上。
4.2.6弹性扩展
云数据中心硬件设备可无限扩容,更新换代不影响业务运行,适应不断增长变化的业务架构,弹性扩展;虚拟机互相隔离的特点,使得新老业务兼容,消除“一台服务器一个应用程序”模式。
4.2.7权限管理
云平台可以给根据省公安厅管理规范制定多级管理权限;通过定义用户、角色和权限,控制有权访问主机和资源池的用户;不同的用户、组和角色,享有不同的操作权限;管理员可将管理权限下发到各个下级单位;管理权限细分到虚拟机操作权限。
1)信息中心全局规划网络资源、服务器资源、存储资源,设备位置可以分散,资源逻辑上是集中管理。
2)给不同下级单位和部门授权多个虚拟机资源,各自部署其业务,各自管理维护,数据集中保存在数据中心存储设备中,不再各自保存在本地,提高业务数据安全性。
3)可按管理级别和业务特性授权不同的管理模块,可区分系统管理员、业务管理员、网络管理员等等。
4.2.8数据备份
通过备份一体机(备份服务器+一体化备份软件+备份存储,三合一设备)对主存储上面的数据进行实时备份,当主存储发生故障时,能够自动切换到备份一体机上,保证业务访问的连续性。
4.2.9资源统计、报表分析
主机资源使用率统计:图表分析主机资源(CPU、内存、磁盘、网络)使用率,进行使用率区间分析排名。
虚拟机业务资源使用率统计:图表分析虚拟机中业务运行所占用资源(CPU、内存、磁盘、网络)使用率,进行使用率区间分析排名。
统计报表:可根据用户需求,按需导出主机使用率的详细报表,以及虚拟机中业务运行的资源详细报表,可导出一个周期内的报表数据打印。
4.3云平台管理门户设计
XX云运营管理平台为管理人员提供统一的管理门户,从而对整个平台进行平台功能管理、资源管理、资源部署调度、用户管理、用户权限管理、运营监控管理、统计分析和计费管理等功能。
管理门户支持模块定制功能,对不同级别的管理人员提供不同内容的管理模块。运营管理平台的管理员可以为不同级别的管理人员分配管理权限,并根据管理权限定制不同的管理门户。
管理门户提供的功能如下:
提供对整个运营平台进行管理的门户界面,提供对系统全局属性和参数的设定与管理,包括全局策略等;
提供资源管理的门户界面,支持对主机、存储、网络、软件等各种资源、资源池信息的管理,包括添加/删除相关资源、资源操作和资源管理;
提供业务、产品管理的门户界面,包括创建/修改/发布产品的操作和管理界面;提供资源部署和调度策略的制定、管理界面;
提供对用户申请的资源实例、订购关系的管理界面;
提供用户/用户组的管理界面;
提供系统使用权限的管理;
提供对资源使用情况的统计分析;
提供制定/修改计费策略,计费报表展现的界面;
4.3.1统一管理平台
管理平台逻辑架构图
统一管理平台主要是用于管理、调度和监控每个集群的物理资源,实现资源分配自动化,简化资源调配,并通过统一门户对外提供基于浏览器的管理平台和基于手机用户终端的移动管理平台,同时也提供webserviceAPI接口和命令行操作工具,方便维护及进行后续开发。例如构建PaaS平台和SaaS平台,或者是扩展云计算管理平台功能。
作为功能管理模式的系统平台,其具备了虚拟机的模版制作与部署,虚拟机应用生命周期的操作维护,整个云计算服务器运行性能的实时监控、资源使用情况的实时监控,生成日志信息,实现用户交互接口,配置系统运维信息等操作。
4.3.2资源调度平台
XX云平台资源调度平台主要采用OpenStack核心组件包括Nova、Glance、
Cinder、KeyStone、Neutron等。
Nova是整个OpenStack项目里面最核心的组件,相对比较复杂。负责计算资源、调度、网络、认证等。
Glance负责镜像文件的注册、查询和存储管理。
Cinder负责块存储的管理,包括卷的创建、删除、快照等。提供类似AmazonEBS 的功能。
KeyStone服务为运行OpenStackCompute上的OpenStack云提供了认证和管理用户、帐号和角色信息服务,并为对象存储提供授权服务。可以作为OpenStack 的统一认证的组件;支持基于数据库的认证(SQLite3,MySQL以及PostgreSQL);
支持基于Ldap认证,同样支持windowsActiveDirectory认证。
Neutron提供”网络连接即服务NetworkconnectivityasaService”。允许用户自定义网络,并指定网络接口。和其他OpenStack服务类似,Networking服务也是高度可配置的plug-in架构,支持各种插件。这些插件可以适配不同的硬件设备和软件。
OpenStack核心组件架构图如下: