主办:云南省人民政府"七彩云南保护行动"领导小组办公室、云南省环境保护厅

云南省“数字环保”----云计算平台

撰写时间: 2015年01月05日 17:53:00       文章来源: 云南省环境信息中心         点击量

云南省“数字环保”----云计算平台

编者:胡雁、唐浩松、李媛

单位:云南省环境信息中心

 

1项目背景

在省环保厅“数字环保”项目建设中,将开发大量业务应用系统,其中有相当数量的系统部署在环保专网上,包括云南省环境地理信息系统平台、云南省资源环境数据中心、云南省环境监测信息管理系统、云南省环境监察信息管理系统、云南省重点污染源协同动态管理信息系统、云南省机动车尾气排放监管系统、云南省生态保护管理信息系统、云南省九大高原湖泊环境管理信息系统、云南省环保厅内部行政许可审批系统、云南省环境影响评价管理系统(二期)、云南省危险废物转移报批系统等。这些应用系统在运行过程中将消耗大量的计算存储资源,并且不同的应用系统之间可能存在大量的业务交互。

本项目建设省环保厅基础云平台,提供足够的计算存储资源,承载上述业务应用系统。并且通过本次建设,以基础云平台为基础,统一环保业务规范和技术标准,将云南省环保核心业务纳入云平台管理,全面支撑各级环保部门业务的规范管理,逐步实现环保业务数据大集中。今后设计、开发和修改接入云平台的新应用系统时,都要按照大平台技术架构和标准,设计和开发应用系统,确保环保应用系统技术标准统一。通过在云平台上统一部署各应用系统,实现应用系统数据规范化与互联互通,提高环保核心业务系统数据共享、分析与利用效率,逐步推进环保核心业务的智能分析处理,促进实现环保工作标准化、科学化、精细化管理。

在充分保障本期建设业务系统可靠运行前提下,根据需要逐步将省环保厅现有的业务应用系统迁移到基础云平台上进行部署,以提升原有系统的安全可靠性。基础云平台应预留足够余量,一方面能够为省环保厅未来几年的新业务应用预留发展空间,提供一个良好的业务承载平台环境;另一方面也支持向各州(市)环保局和县环保局提供足够的资源,部署相应单位的业务应用系统

 

 1.1信息中心组织项目建设方评审方案

 

1.2信息中心领导组织建设方进行云计算的培训讲解

 

2项目实施难题

在建设云南省环境保护厅“数字环保”云计算平台的前期,针对云南省环境保护厅“数字环保”云计算平台的应用、网络架构、存储、备份、安全等信息进行全面的调研了解;为以后把应用迁移到云平台做准备。云计算平台硬件环境的准备:机架、服务器、存储、网络准备到位,即安装好机架、服务器、存储、网络设备上架、分配给相对应的网络。为搭建云平台做好充分的准备。项目协调会:在开始搭建云平台之前,需要对整个云平台的一些详细细节进行规划,因此,多次召开会议,对云平台进行详细规划,具体如下:网络采用4个网段:一个管理网段,一个内网应用网段,一个外网应用网段,一个vMotion网段。云平台中涉及到负载均衡的应用,使用F5来对应用进行负载。云平台中有5台物理主机,其中2台用于搭建管理云平台所需要的虚拟机,为管理云平台的虚拟机提供资源,余下3台用于生产业务,为云南省环保厅的应用提供资源。云平台LUN的大小,划分为2T/LUN,共划分8个LUN,这个8个LUN中,VNX5400-LUN00提供管理虚拟机的存储,其余的7个LUN提供环保厅应用虚拟机的存储。云主机的网卡连接采用交叉式连接到两台物理交换机,避免单链路故障,且网卡两两绑定,避免了单网卡的故障。

云南省环境保护厅“数字环保”云计算平台在建设过程中,最常见的问题,是网络方面的问题,,涉及到IP的分配,VLAN的划分。而云平台对网络的依赖性非常大,如果网络出现故障,那么整个云平台也会随之受到波及。

远程桌面不能连接,问题描述:在老厅使用远程桌面连接虚拟机,会出现闪断或者不能连接,而在新厅和公网没有发现该状况。且在测试使用Ping命令的时候,会出现1个Request,2个reply

问题分析:从老厅连接远程桌面,需要经过防火墙,核心路由等设备,而在新厅这边,没有经过防火墙和核心路由,且从公网访问进来,也只经过了网闸,并没有经过防火墙和核心路由。

问题解决:通过和网络负责方积极配合,调用第三方资源,最终确定是核心路由上出现问题,核心路由上设置了没有使用的VLAN,且做了端口镜像,通过和客户沟通了解到,该端口镜像是配置来使用抓包分析使用,但是,目前该端口镜像并没有使用,导致在测试使用Ping命令的时候,会出现1个Request,2个reply,而因为防火墙默认策略把该流量认为是攻击,从而阻止流量,从而也和以上,在替换了防火墙后,同样会出现远程桌面闪断,但是,只要不经过防火墙,桌面不会闪断的情况吻合。

 

2.1 省厅信息中心组织项目建设方一起讨论解决问题

 

2.2 数字环保项目中应用的全球领导厂商提供的云计算EMC

 

2.3 由前身为联想集团信息安全事业部的网御星云提供的防火墙

 

3项目建设内容

1、统一构建标准化的云计算工作平台

利用vCloud Suite技术,采用5台4U机架式云应用服务器、2台光纤交换机冗余连接一台高性能云存储、外挂一台备份一体机,一套云平台安全防护系统,构建一个云南省环保厅私有的云计算平台,提供针对16个地州数据中心的统一平台。

一致的终端安全水平。包括安装统一的防病毒软件和及时升级系统补丁修复操作系统漏洞,保证所有的终端都能达到公司要求的安全级别,不合规的终端不允许接入数据中心。

一致的应用软件环境,不允许安装未授权的软件。统一为不同业务部门提供标准化的工作环境,合规的应用程序和一致的软件版本,避免出现文件交换时存在无法打开、不能编辑、格式混乱的情况。

2、构建安全体系

未经授权的州(市)数据中心不能直接访问省厅云计算中心,接触数据、访问数据、传输数据。

3、专业的第三方云平台安全防护系统,可轻松管控整个环保专网基础云平台

4、统一存储,集中管理所有工作数据

每个州(市)都有独立的数据中心,统一存储到省厅的云计算平台中,每个州(市)本地原则上不保存任何工作信息,提高数据的安全性。

本期项目的需求,云南省环保厅建立“统一云计算平台”, 承载本次建设的环境地理信息平台、资源环境数据中心以及环境监测信息管理系统、环境监察信息管理系统等业务应用系统,并支撑未来16个州(市)新的应用提供基础计算设施的解决方案。

5、灵活扩展,统一管理

未来可将排污费征收全程信息化管理系统承载平台、国家卫星中心云南环境遥感应用分中心系统,无缝平滑迁移到环保专网基础云平台里。

本期项目的需求,云南省环保厅建立“统一云计算平台”去支撑未来16个州(市)新的应用提供基础计算设施的解决方案。

 

3.1 省厅信心中心和项目建设方一起在项目建设中解决问题

 

3.1云平台设计拓扑图:

1. 5台IBM 3850 X5服务器分为两个资源池,一个为云平台的管理资源池,一个为云平台应用资源池;

2. 5台IBM 3850 X5服务器的分别有6个网口连接到两个接入层交换机;

3. 5台IBM 3850 X5服务器通过HBA卡及光纤交换机共用EMC VNX5400存储设备;

4. 赛门铁克BE3600备份一体机对物理机及虚拟机进行容灾备份;

5. 所有连接都采用多链路的形式,确保系统的安全、稳定、可靠。

 

3.2系统集成拓扑图:

环保厅拓扑图

 

从全局网络结构上看可以分为两大部分,用于日常业务信息交换的环保专网以及实时获取Internet信息资源的环保外网。其中,云南省环保厅环保专网是云南省环保厅业务开展的重要平台,承载着核心业务,同时具有相应链路与上下级环保机构交换数据;而环保外网主要对外提供信息发布门户,对内提供Internet网络接入等服务。

 

 

3.3系统管理控制台

1.vCloud管理控制台,vsphere管理软件。

 

2.VNX5400管理控制台,unisphere软件。

 

3.网域安全产品控制台

 

4.备份软件

 

 

 

3.4、云南省环保厅“数字环保”云计算平台建设实现的功能:

3.4.1、硬件部分:本次项目建设中物理服务器和存储阵列构成虚拟机资源池,虚拟机的控制中心管理资源池并利用资源池创建、删除、配置虚拟机。 

3.4.2、软件部分:本次云南省环保厅建立的“统一云计算平台”通过配置应用服务器中间件为16个州(市)新的应用系统提供底层的统一支撑环境。本次建设的所有软件相关应用均部署在统一云计算平台上,云平台根据各应用软件需求部署相应的虚拟机及操作。

3.4.3、网络部署:在省环境保护厅的网络系统中重点部署物理隔离网闸系统、负载均衡系统、入侵防御IPS系统、网络安全审计系统、运维安全审计系统、Web应用防火墙系统、下一代防火墙系统、统一安全控管平台系统安全措施,保护省环境保护厅的信息网络安全。 

3.4.4、安全设备部署:本次项目通过网络防火墙、审计网关、云平台安全防护等综合措施后实现以下功能。

Ø 身份鉴别

Ø 访问控制

Ø 系统安全审计

Ø 入侵防范

Ø 主机恶意代码防范

Ø 软件容错

Ø 数据完整性与保密性

Ø 备份与恢复

Ø 资源控制

Ø 客体安全重用

Ø 抗抵赖 

3.4.5、存储部署:SAN存储设备共配备 23块600G 10K硬盘,2块 200G 固态硬盘,15块2TB硬盘,配置了自动分级存储许可。因此使用两块固态硬盘作为存储的读写缓存,可以大大提高虚拟机在运行中的相应速度。600G 10K硬盘与2TB硬盘混合配置成可以自动数据热点分层的存储池,配置后可用空间为31TB。详细配置情况见配置手册。下表为硬盘配置情况。

3.4.6、云平台的功能:云平台可简化和自动化 IT 管理,并赋予 IT 部门跨多个平台和提供商监管服务的能力。

3.4.7、云计算自动化:以服务的形式跨多种云环境和平台自动交付个性化基础架构、应用和桌面。

3.4.8、云计算运营:管理涉及结构化和非结构化数据的基础架构和应用的运行状况、风险、能效和合规性。

3.4.9、云计算业务:将所有 IT 服务的成本和质量完全透明,从而提高业务/IT 部门间的协调性并加快 IT 转型。

3.4.10、云计算需求

Ø 资源池管理,使用资源池化技术使资源得到充分利用;

Ø 多租户的隔离环境,可以提供生产、测试、开发隔离环境,但人员可以共享;

Ø 提供服务目录,使对外提供的服务标准化、菜单化和系统化;

Ø 提供服务部署自服务门户,使用户可以按菜单提供部署申请、跟踪流程,审批通过后,管理员让系统自动部署,不再需要重新输入部署信息;

Ø 审批流程需灵活,能支持不同审批需求;

Ø 建立生命周期管理机制,提供部署后的调整机制,也能按使用期限对资源进行自动回收和删除;

Ø 资源容量要能够适时满足需求部署,既避免占用太多资金,又能及时满足

Ø 资源需求,同时能保证已有服务器能正常提供服务;

Ø 按项目进行资源使用或计费统计,为审批决策提供依据,也帮助项目人员建立资源占用成本消耗意识;

 

 

3.4.11、云架构

 

 

3.4.12、用户管理(系统管理员使用)

•由LDAP统一创建组织、用户组、用户

•在功能模块中针对用户组对相应功能授权

3.4.13、资源池管理(系统管理员使用)

•主机、存储资源管理:在vCenter添加形成CPU、内存、磁盘资源池,给vCloud Director调用

•网络资源管理:在vCloud Director添加形成IP资源池

•租户和资源的对应管理:在vCloud Director进行定义和设定

3.4.14、服务目录管理(系统管理员使用)

•虚拟机服务目录,在vCloud Director中管理;

•门户调用vCloud Director的服务目录,形成服务商店;

3.4.15、门户流程管理(云资源用户,审批者,系统管理员使用)

•云资源用户提交新资源申请、调整已有应用和虚机的申请;

•审批用户按业务需求、资源需求审批申请;

•系统管理员触发自动部署,系统自动在vCloud Director进行部署,形成服务资源并通知用户;

3.4.16、运维管理(系统管理员使用)

•使用vCOPs、Hyperic提供运维监控和分析

•性能仪表盘分析:领导层、系统管理员层、用户层不同的关注

•容量管理:提供容量状态、容量预测、优化分析

3.4.17、报表管理(领导,系统管理员使用)

•使用ChargeBack提供报,可以按不同使用策略定制计费方式

•提供多租户和项目资源使用和计费报表

 

 

3.2 省厅信息中心和项目建设方一起在机房讨论建设中遇到的问题

 

3.3 省厅信息中心和项目建设方一起在机房查看项目建设情况

4成果总结

◆ 云南省环境保护厅“数字环保”云计算平台建设使硬件资源利用率大幅度提升:从以前的一机一系统一应用,到完成云计算后的一机多系统多应用,硬件的资源利用率得到大幅度提升;更加节省机房空间;完成云计算建设后使电能节约;

◆云南省环境保护厅“数字环保”云计算平台建设完成后灵活的横向、纵向扩展能力:虚拟机可以灵活的调节CPU、内存、磁盘的大小,在当群集中物理资源不足时,可以横向的添加物理主机,增加群集中的物理资源;

◆云南省环境保护厅“数字环保”云计算平台建设完成后应用的连续性提高:利用vMotion,Storage vMotion技术,当需要对主机、存储进行维护式,不会影响应用的运行,使用HA技术,当群集中物理主机出现故障后,其上的虚拟机会自动的在群集中其他物理主机上自动重启,运行,提高了应用的连续性;

◆云南省环境保护厅“数字环保”云计算平台建设完成后能集中地管理控制、降低管理成本:通过集中统一的管理控制台,对虚拟机进行集中管理,降低了管理成本;

◆云南省环境保护厅“数字环保”云计算平台建设完成后降低应用上线的时间:系统从申请、部署、测试、上线的周期远远得到缩短。从原来的数月到现在的数周甚至数天的时间即可完成

◆云南省环境保护厅“数字环保”云计算平台建设完成后集中对数据进行备份,各州(市)、直属单位、部门不在存放数据,所有数据由省厅进行统一备份,保证数据的安全性

◆云南省环境保护厅“数字环保”云计算平台建设完成后构建了安全体系:未经授权的州(市)数据中心不能直接访问省厅云计算中心、接触数据、访问数据、传输数据。

 

4.1 省环保厅信息化领导小组办公室组织专家组成验收组进行现场验收

 

4.2省环保厅信息化领导小组办公室组织专家举行验收会议