中小城市工業(yè)云的設(shè)計(jì)模式

李凌

?

中小城市工業(yè)云的設(shè)計(jì)模式

李凌

（中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)云數(shù)據(jù)公司陜西分公司，陜西西安 710075）

結(jié)合當(dāng)前我國(guó)中小城市信息化發(fā)展的現(xiàn)狀和特點(diǎn)，圍繞打造中小城市工業(yè)云這個(gè)重要議題，提出了工業(yè)云設(shè)計(jì)方面的最新模式，包括中小城市工業(yè)云的系統(tǒng)架構(gòu)、功能配備、服務(wù)能力、云安全等方面。闡述了中小城市工業(yè)云設(shè)計(jì)的基本原則、主要內(nèi)容、技術(shù)路徑、參考指標(biāo)和系統(tǒng)界面等，以供相關(guān)方面參考和借鑒。

城市；工業(yè)云；設(shè)計(jì)；研究

1 引言

當(dāng)今世界正在進(jìn)入云數(shù)據(jù)時(shí)代，云計(jì)算和大數(shù)據(jù)正在改變著城市所有的工業(yè)生產(chǎn)和商業(yè)活動(dòng)。工業(yè)云正是大數(shù)據(jù)時(shí)代，利用工業(yè)軟件和云計(jì)算的結(jié)合產(chǎn)生的一種專門服務(wù)于制造業(yè)的新型IT服務(wù)生態(tài)鏈系統(tǒng)，是城市現(xiàn)代化進(jìn)程的必然趨勢(shì)和顯著標(biāo)志。

中小城市已成為中國(guó)經(jīng)濟(jì)社會(huì)發(fā)展的重要支撐，是我國(guó)行政區(qū)體系中重要的戰(zhàn)略節(jié)點(diǎn)，在改革發(fā)展中具有十分重要的地位和作用。目前我國(guó)中小城市數(shù)量眾多，幅員遼闊，聚集了龐大的人口、資源、產(chǎn)業(yè)、環(huán)境等發(fā)展要素，是我國(guó)工業(yè)產(chǎn)業(yè)的重要基礎(chǔ)力量。但中小城市普遍存在著信息化程度不高、云計(jì)算和大數(shù)據(jù)等普及應(yīng)用不夠、信息技術(shù)專業(yè)人才不足等問題。中小城市工業(yè)云的應(yīng)用和發(fā)展將大大促進(jìn)工業(yè)化和信息化的深度融合，提升中小城市的工業(yè)企業(yè)尤其是中小微企業(yè)的市場(chǎng)競(jìng)爭(zhēng)能力和創(chuàng)新能力，甚至催生出大量新的生產(chǎn)性服務(wù)業(yè)的產(chǎn)業(yè)業(yè)態(tài)，加速中小城市整個(gè)產(chǎn)業(yè)的升級(jí)轉(zhuǎn)型發(fā)展。

中小城市的工業(yè)云建設(shè)，其中最為重要的環(huán)節(jié)就是項(xiàng)目設(shè)計(jì)。本文旨在通過典型的工業(yè)云設(shè)計(jì)方案的描述，為中小城市工業(yè)云建設(shè)提供一個(gè)典型模式，供具體項(xiàng)目開展設(shè)計(jì)工作時(shí)提供參考。

2 云平臺(tái)系統(tǒng)架構(gòu)設(shè)計(jì)思路

2.1 整體思路

云計(jì)算是一種新型的計(jì)算資源利用模式。它將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計(jì)算力、存儲(chǔ)空間和信息服務(wù)。按照服務(wù)實(shí)現(xiàn)的程度，目前云計(jì)算主要有IaaS、PaaS、SaaS 3種業(yè)務(wù)模式。

工業(yè)云平臺(tái)管理系統(tǒng)需要以面向工業(yè)服務(wù)為思想，運(yùn)用云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等信息技術(shù)，對(duì)政府資源、工業(yè)廠礦資源、金融資本、人才智庫(kù)、大眾創(chuàng)新進(jìn)行深度整合，實(shí)現(xiàn)不同硬件平臺(tái)虛擬化系統(tǒng)的統(tǒng)一調(diào)用、管理、監(jiān)控界面；需要根據(jù)業(yè)務(wù)目標(biāo)進(jìn)行符合自身特點(diǎn)的云服務(wù)支撐管理平臺(tái)建設(shè)；需要提供圖形化的工作界面，使用戶更好地使用云中的動(dòng)態(tài)資源池，使管理方更好地管理動(dòng)態(tài)資源，以實(shí)現(xiàn)業(yè)務(wù)的快速開通。

中小城市工業(yè)云平臺(tái)建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，其實(shí)施和應(yīng)用也是一個(gè)漸進(jìn)的、分步的過程。一般而言，首先實(shí)現(xiàn)IaaS服務(wù)，并提供PaaS層接口及對(duì)第三方控件、模塊的支持，后續(xù)工程根據(jù)應(yīng)用的實(shí)際需求與第三方合作，完善云平臺(tái)PaaS層、SaaS層服務(wù)功能，逐步實(shí)現(xiàn)PaaS和SaaS層服務(wù)。

中小城市市工業(yè)云平臺(tái)建設(shè)實(shí)體架構(gòu)宜采用三橫三縱組成，包含三橫（能力主體一縱）：基礎(chǔ)設(shè)施服務(wù)層、平臺(tái)服務(wù)層、軟件服務(wù)層，縱貫三橫的云管理體系以及云保障體系，推動(dòng)中小城市市政府在工業(yè)領(lǐng)域的統(tǒng)籌規(guī)劃、合理建設(shè)、精準(zhǔn)管理等方面實(shí)現(xiàn)科學(xué)可持續(xù)性發(fā)展，最終實(shí)現(xiàn)中小城市的“四化”——工業(yè)管理信息化、政府服務(wù)標(biāo)準(zhǔn)化、資源調(diào)配智能化、大數(shù)據(jù)管理云化。

2.2 設(shè)計(jì)原則

（1）標(biāo)準(zhǔn)化

工業(yè)云平臺(tái)設(shè)計(jì)以標(biāo)準(zhǔn)規(guī)范為準(zhǔn)繩，構(gòu)筑一個(gè)開放聚合的信息化技術(shù)服務(wù)平臺(tái)，提供應(yīng)用服務(wù)、平臺(tái)服務(wù)、基礎(chǔ)設(shè)施服務(wù)三大服務(wù)能力。方案的設(shè)計(jì)應(yīng)采用標(biāo)準(zhǔn)技術(shù)與協(xié)議，以便在面對(duì)多設(shè)備供應(yīng)商、多工業(yè)服務(wù)對(duì)象的場(chǎng)景下，能夠保證良好的系統(tǒng)兼容性、服務(wù)產(chǎn)品通用性、功能多樣性、技術(shù)先進(jìn)性和未來可拓展性。

（2）高可靠

為保證云平臺(tái)核心業(yè)務(wù)的不中斷運(yùn)行，在網(wǎng)絡(luò)整體設(shè)計(jì)和設(shè)備配置上宜設(shè)計(jì)雙備份。在網(wǎng)絡(luò)連接上消除單點(diǎn)故障，提供關(guān)鍵設(shè)備的故障切換。關(guān)鍵設(shè)備之間的物理鏈路采用雙路冗余連接，按照負(fù)載均衡方式或雙活方式工作。關(guān)鍵主機(jī)可采用雙路網(wǎng)卡來增加可靠性。全冗余的方式使系統(tǒng)達(dá)到99.999%的電信級(jí)可靠性。要求網(wǎng)絡(luò)具有設(shè)備/鏈中故障毫秒級(jí)的保護(hù)倒換能力。

（3）虛擬化

虛擬資源池化是網(wǎng)絡(luò)發(fā)展的重要趨勢(shì)，將大大提高資源利用率、降低運(yùn)營(yíng)成本。應(yīng)有效開展服務(wù)器、存儲(chǔ)器的虛擬資源池化技術(shù)建設(shè)，網(wǎng)絡(luò)設(shè)備的虛擬化也應(yīng)進(jìn)行設(shè)計(jì)實(shí)現(xiàn)。服務(wù)器、存儲(chǔ)器、網(wǎng)絡(luò)及安全設(shè)備應(yīng)具備虛擬化功能。

（4）高性能

隨著整個(gè)云計(jì)算業(yè)務(wù)的開展，業(yè)務(wù)都分布在各個(gè)服務(wù)器上，流量模型從縱向流量轉(zhuǎn)換成復(fù)雜的多維度混合的方式，整個(gè)系統(tǒng)具有較高的吞吐能力和處理能力，系統(tǒng)各層均不存在阻塞，具備對(duì)突發(fā)流量的承受能力。

（5）易用性

系統(tǒng)應(yīng)具備良好的易用性。簡(jiǎn)化系統(tǒng)結(jié)構(gòu)，降低維護(hù)量。具有良好擴(kuò)展性，網(wǎng)絡(luò)建設(shè)完畢并網(wǎng)后應(yīng)可以進(jìn)行大規(guī)模改造，服務(wù)器集群、軟件功能模塊應(yīng)可以不斷擴(kuò)展。

2.3 整體架構(gòu)

如前所述，為了實(shí)現(xiàn)工業(yè)云平臺(tái)對(duì)中小城市工業(yè)系統(tǒng)的統(tǒng)籌管理和資源共享，整體架構(gòu)包含內(nèi)部和外部?jī)纱蟛糠帧?nèi)部系統(tǒng)實(shí)現(xiàn)平臺(tái)核心的業(yè)務(wù)處理、資源匯聚池、數(shù)據(jù)交互等，外部系統(tǒng)主要是外部接口，與不同工業(yè)企業(yè)、不同信息平臺(tái)、不同網(wǎng)絡(luò)系統(tǒng)的各類現(xiàn)有平臺(tái)對(duì)接和整合，體現(xiàn)強(qiáng)勢(shì)的兼容性，同時(shí)還需與工業(yè)管理部門政務(wù)系統(tǒng)打通。在網(wǎng)絡(luò)寬帶設(shè)施上，充分利用光纖寬帶專線、移動(dòng)互聯(lián)網(wǎng)，實(shí)現(xiàn)對(duì)外互聯(lián)互通，保障數(shù)據(jù)傳輸?shù)臅惩ā９I(yè)云典型拓?fù)浣Y(jié)構(gòu)如圖1所示。

2.4 功能模塊

整個(gè)中小城市工業(yè)云分為三大功能模塊，具體如下。

（1）管理模塊

管理模塊是整個(gè)工業(yè)云平臺(tái)的基礎(chǔ)，主要是實(shí)現(xiàn)工業(yè)云平臺(tái)運(yùn)行單位對(duì)整個(gè)云平臺(tái)的管理，維持平臺(tái)良好運(yùn)行，包括操作系統(tǒng)、運(yùn)營(yíng)管理、維護(hù)管理。

（2）服務(wù)模塊

服務(wù)模塊是整個(gè)工業(yè)云平臺(tái)的能力體現(xiàn)，承載著平臺(tái)對(duì)接入用戶的各類服務(wù)功能，從云結(jié)構(gòu)上看，主要含主機(jī)服務(wù)、存儲(chǔ)服務(wù)、網(wǎng)絡(luò)服務(wù)、負(fù)載均衡服務(wù)等。

（3）安全模塊

安全模塊是整個(gè)工業(yè)云平臺(tái)的保障手段，工業(yè)云的安全問題事關(guān)重大，一旦出現(xiàn)安全事故，將給工業(yè)行業(yè)帶來不必要的損失。

3 云平臺(tái)管理模塊設(shè)計(jì)

中小城市工業(yè)云平臺(tái)一般依托當(dāng)?shù)仉娦胚\(yùn)營(yíng)商的數(shù)據(jù)中心機(jī)房，構(gòu)建起支撐工業(yè)云的資源池/數(shù)據(jù)庫(kù)集群以及大數(shù)據(jù)分析平臺(tái)，利用虛擬化技術(shù)將主機(jī)資源、網(wǎng)絡(luò)資源和存儲(chǔ)資源進(jìn)行池化，按需分配相關(guān)資源，為工業(yè)體系提供基礎(chǔ)類和擴(kuò)展類云服務(wù)，實(shí)現(xiàn)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全、備份等各類資源管理、產(chǎn)業(yè)調(diào)度、應(yīng)用支撐等功能。并保障政府部門的各類系統(tǒng)在工業(yè)云平臺(tái)上穩(wěn)定運(yùn)行。

3.1 操作系統(tǒng)

云平臺(tái)操作系統(tǒng)是支撐整個(gè)云服務(wù)、實(shí)現(xiàn)相關(guān)功能的關(guān)鍵環(huán)節(jié)，同時(shí)向終端用戶提供圖形化的統(tǒng)一操作界面。典型的操作系統(tǒng)架構(gòu)和登錄操作界面如圖2、圖3所示。

（1）統(tǒng)一對(duì)外服務(wù)門戶

統(tǒng)一對(duì)外服務(wù)門戶為最終客戶呈現(xiàn)各種發(fā)布的電子政務(wù)應(yīng)用產(chǎn)品，并包含各產(chǎn)品的應(yīng)用介紹、資費(fèi)介紹、業(yè)務(wù)受理流程介紹等內(nèi)容；同時(shí)門戶還具有在線訂購(gòu)、搜索、網(wǎng)站地圖、新聞資訊、在線幫助等功能。

（2）用戶中心模塊

用戶中心模塊實(shí)現(xiàn)用戶概覽、客戶信息修改、用戶信息修改訂單列表及詳情、操作日志清單等功能。具體可提供客戶注冊(cè)、基本信息修改、忘記密碼、訂單查詢、賬單和詳單管理、操作日志查詢、發(fā)票管理、余額管理等功能。

（3）控制臺(tái)模塊

控制臺(tái)面向用戶提供所有資源的自助申請(qǐng)、配置、監(jiān)控等管理功能。這些資源包括彈性云主機(jī)（虛擬機(jī)）、彈性塊存儲(chǔ)（虛擬磁盤）、對(duì)象存儲(chǔ)、關(guān)系型數(shù)據(jù)庫(kù)實(shí)例、網(wǎng)絡(luò)接入（包含帶寬及IP地址）等各項(xiàng)資源。向用戶提供對(duì)這些資源進(jìn)行各種操作控制，如申請(qǐng)、綁定、配置、釋放等。面向大數(shù)據(jù)服務(wù)的管理控制臺(tái)，允許用戶自助調(diào)度及編排大數(shù)據(jù)任務(wù)。

（4）在線客戶服務(wù)模塊

在線客服模塊提供客戶在線界面，支持客戶在線提交投訴、在線咨詢，支持管理員在線處理投訴、答復(fù)咨詢，并支持座席處理服務(wù)工單、統(tǒng)計(jì)分析客服數(shù)據(jù)。支持在線訪問、電子郵件訪問、手機(jī)短信訪問、微信訪問等方式。

3.2 運(yùn)營(yíng)管理

工業(yè)云平臺(tái)主要是實(shí)現(xiàn)客戶管理、服務(wù)管理、計(jì)量管理、訂單管理等運(yùn)營(yíng)管理相關(guān)功能。管理員可以自定義不同的界面風(fēng)格和主頁功能，支持系統(tǒng)拓?fù)涞膱D形化顯示，支持圖形化的數(shù)據(jù)配置。運(yùn)營(yíng)維護(hù)管理架構(gòu)如圖4所示。

（1）操作管理

操作管理主要是針對(duì)運(yùn)營(yíng)管理平臺(tái)的操作，包括部門瀏覽、角色權(quán)限、資源權(quán)限。部門瀏覽：通過3A系統(tǒng)中的部門、機(jī)構(gòu)管理進(jìn)行同步。角色權(quán)限：為管理員在3A上創(chuàng)建的客戶經(jīng)理角色賦權(quán)，主要是操作運(yùn)營(yíng)平臺(tái)不同菜單的權(quán)限。

（2）客戶管理

支持客戶自行填寫注冊(cè)信息的門戶功能，注冊(cè)信息包括姓名、登錄賬號(hào)、密碼、手機(jī)號(hào)碼、聯(lián)系方式（短信、E-mail賬號(hào)）、客戶廠商、客戶主要聯(lián)系人、客戶地址等信息。同時(shí)允許客戶自主選擇和創(chuàng)建業(yè)務(wù)、修改和增刪業(yè)務(wù)、選擇和綁定相關(guān)資源等。

（3）訂單管理

訂單管理功能可以處理客戶的訂單，并提供訂單的服務(wù)實(shí)例操作功能。運(yùn)營(yíng)管理員對(duì)客戶的訂購(gòu)請(qǐng)求進(jìn)行審批，審批過程可通過開關(guān)設(shè)置為自動(dòng)審批或人工審批，審批結(jié)果自動(dòng)通過電子郵件或短信等形式通知客戶，審批通過后訂購(gòu)請(qǐng)求通過資源模板進(jìn)行實(shí)例化，生成客戶所訂購(gòu)的資源，并通過電子郵件或短信等形式將資源信息（如IP地址、管理員口令等）通知客戶。

（4）賬單管理

客戶賬單是在每個(gè)月底出上一月的記錄，客戶經(jīng)理通過輸入登錄賬號(hào)、開始時(shí)間和結(jié)束時(shí)間進(jìn)行賬單查詢，客戶經(jīng)理無權(quán)查詢不屬于自己的客戶的賬單信息。

3.3 系統(tǒng)維護(hù)

系統(tǒng)維護(hù)，是維護(hù)平臺(tái)日常運(yùn)轉(zhuǎn)的重要手段，通過可視化、圖形化操作界面，實(shí)現(xiàn)對(duì)云平臺(tái)運(yùn)轉(zhuǎn)狀況監(jiān)測(cè)、風(fēng)險(xiǎn)預(yù)警、故障管理、性能管理、系統(tǒng)監(jiān)控、統(tǒng)計(jì)分析等運(yùn)維功能。整體架構(gòu)如圖5所示。

3.3.1 監(jiān)控管理

可以根據(jù)各種視圖進(jìn)行各類資源的監(jiān)控和管理，具體如圖6所示。

3.3.2 系統(tǒng)管理

可以通過統(tǒng)一管理界面對(duì)云管理平臺(tái)各個(gè)子系統(tǒng)進(jìn)行管理，具體如圖7所示。

3.3.3 資源管理

資源池管理系統(tǒng)提供的資源視圖包括云視圖、綜合視圖。

（1）云視圖

資源池管理系統(tǒng)提供的云視圖從邏輯上將整個(gè)資源池劃分為基礎(chǔ)架構(gòu)層、資源層與應(yīng)用層，展示云中的所有資源。

（2）綜合視圖

資源池管理系統(tǒng)中的綜合視圖分別從物理地域和業(yè)務(wù)使用的角度對(duì)系統(tǒng)中的資源進(jìn)行拓?fù)洌故径鄶?shù)據(jù)中心、機(jī)房、機(jī)層中設(shè)備的位置和運(yùn)行狀況。

3.3.4 監(jiān)控管理

云管控平臺(tái)提供對(duì)數(shù)據(jù)中心的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源的實(shí)時(shí)監(jiān)控。通過實(shí)時(shí)將采集到的數(shù)據(jù)同步展示在資源管理平臺(tái)的展現(xiàn)層中，并且存儲(chǔ)到數(shù)據(jù)中心，以便于管理人員掌握任意時(shí)間內(nèi)的運(yùn)行狀況。同時(shí)對(duì)資源池、安全域的資源容量狀況進(jìn)行管理和分類統(tǒng)計(jì)，如果容量接近于飽和，會(huì)發(fā)出報(bào)警。資源狀況管理會(huì)定期和在資源狀況發(fā)生變化時(shí)，將資源池資源狀況信息上報(bào)至云管控平臺(tái)。

4 云平臺(tái)服務(wù)模塊設(shè)計(jì)

4.1 云主機(jī)服務(wù)

云主機(jī)服務(wù)允許用戶自由選擇不同標(biāo)準(zhǔn)、規(guī)格的云主機(jī)，用戶可根據(jù)需要選擇操作系統(tǒng)種類、vCPU數(shù)量、內(nèi)存容量、系統(tǒng)盤容量，實(shí)現(xiàn)對(duì)云主機(jī)的靈活定制和動(dòng)態(tài)創(chuàng)建；用戶可以通過Web控制臺(tái)對(duì)云主機(jī)進(jìn)行創(chuàng)建、開機(jī)、關(guān)機(jī)、重啟、續(xù)訂、退訂等操作；允許用戶根據(jù)需要彈性擴(kuò)展云主機(jī)的內(nèi)存和系統(tǒng)盤容量；用戶可實(shí)時(shí)查看vCPU使用率、內(nèi)存使用率、磁盤讀寫、網(wǎng)絡(luò)流量等云主機(jī)重點(diǎn)性能指標(biāo)情況。

云主機(jī)可達(dá)到的技術(shù)指標(biāo)見表1。

表1 云主機(jī)的技術(shù)指標(biāo)

4.2 云存儲(chǔ)服務(wù)

針對(duì)不同應(yīng)用對(duì)存儲(chǔ)性能的需求，云平臺(tái)將提供兩種存儲(chǔ)服務(wù)：分布式存儲(chǔ)服務(wù)，可采用先進(jìn)的分布式對(duì)象存儲(chǔ)設(shè)計(jì)，同時(shí)整合文件存儲(chǔ)、塊存儲(chǔ)和對(duì)象存儲(chǔ)3種技術(shù)，為各種不同類型的客戶應(yīng)用提供適合其需求的存儲(chǔ)服務(wù)；高性能存儲(chǔ)服務(wù)，一般采用FC存儲(chǔ)，通過光纖線鏈接組建成SAN，適用于時(shí)延要求非常嚴(yán)格的高端應(yīng)用。在實(shí)際選擇中可以根據(jù)業(yè)務(wù)提出存儲(chǔ)資源的需求后，需要對(duì)設(shè)備的IOPS（input/output operations per second）、存儲(chǔ)容量、存儲(chǔ)帶寬進(jìn)行計(jì)算。存儲(chǔ)產(chǎn)品的選擇通常是根據(jù)存儲(chǔ)性能指標(biāo)即IOPS值，進(jìn)行選型。

4.3 云網(wǎng)絡(luò)服務(wù)

云網(wǎng)絡(luò)服務(wù)是通過各種網(wǎng)絡(luò)虛擬化技術(shù)，在多租戶環(huán)境下提供給每個(gè)租戶獨(dú)立的網(wǎng)絡(luò)環(huán)境。云平臺(tái)的網(wǎng)絡(luò)服務(wù)是一個(gè)可以被用戶創(chuàng)建的對(duì)象，類似物理環(huán)境中的交換機(jī)，但可以擁有無限個(gè)動(dòng)態(tài)可創(chuàng)建和銷毀的虛擬端口。支持虛擬路由、虛擬交換機(jī)和彈性IP地址，用戶可自定義虛擬主機(jī)的網(wǎng)絡(luò)拓?fù)浜虸P地址。

4.4 負(fù)載均衡服務(wù)

負(fù)載均衡服務(wù)是云平臺(tái)的一項(xiàng)基礎(chǔ)云服務(wù)。負(fù)載均衡服務(wù)包括鏈路負(fù)載均衡服務(wù)、服務(wù)器負(fù)載服務(wù)和彈性負(fù)載均衡服務(wù)。

鏈路負(fù)載均衡服務(wù)將多條互聯(lián)網(wǎng)線路進(jìn)行虛擬化處理，保障用戶仍以最好的線路訪問內(nèi)外部資源。任意一條ISP線路中斷，都不會(huì)對(duì)服務(wù)造成任何影響。通過鏈路負(fù)載均衡器可實(shí)現(xiàn)ISP接入線路的無縫擴(kuò)展。

服務(wù)器負(fù)載均衡服務(wù)就是對(duì)一組服務(wù)器提供負(fù)載均衡業(yè)務(wù)。服務(wù)器負(fù)載均衡分為四層（L4）服務(wù)器負(fù)載均衡和七層（L7）服務(wù)器負(fù)載均衡兩種。支持加權(quán)輪詢（weighted round robin）、加權(quán)最小連接數(shù)調(diào)度（weighted least-connection scheduling）等流量分發(fā)策略。

云彈性負(fù)載均衡器是將業(yè)務(wù)訪問流量分發(fā)到多臺(tái)后端主機(jī)上的服務(wù)，可對(duì)虛擬主機(jī)提供TCP和HTTP的負(fù)載均衡服務(wù)，提供多種轉(zhuǎn)發(fā)規(guī)則，支持Web服務(wù)、中間件、數(shù)據(jù)庫(kù)以及其他各種網(wǎng)絡(luò)服務(wù)，滿足不同業(yè)務(wù)場(chǎng)景的要求。

負(fù)載均衡可達(dá)到的技術(shù)指標(biāo)見表2。

表2 負(fù)載均衡可達(dá)到的技術(shù)指標(biāo)

5 云平臺(tái)安全模塊設(shè)計(jì)

中小城市云平臺(tái)的云安全問題應(yīng)引起足夠的重視，以下是安全模塊的設(shè)計(jì)方案，包含十大安全設(shè)施，以實(shí)現(xiàn)云平臺(tái)的多層次、多手段的安全保護(hù)。

（1）虛擬安全網(wǎng)關(guān)

云計(jì)算的核心特征是網(wǎng)絡(luò)設(shè)施虛擬化、共享化。因此云平臺(tái)的安全問題，就離不開與虛擬設(shè)備保持一致的虛擬安全網(wǎng)關(guān)。虛擬安全網(wǎng)關(guān)的設(shè)計(jì)基于成熟的安全操作系統(tǒng)TOS（TencentOS），可以為用戶提供所有的TOS硬件網(wǎng)關(guān)產(chǎn)品安全功能，包括訪問控制、攻擊防御、病毒防御、應(yīng)用控制、身份認(rèn)證、日志審計(jì)等，同時(shí)對(duì)系統(tǒng)進(jìn)行深度優(yōu)化和改造以減少開啟各安全引擎后帶來的性能降低，保證用戶網(wǎng)絡(luò)的安全性。

此解決方案是將TOS系統(tǒng)軟件作為一個(gè)虛擬機(jī)來運(yùn)行，通過對(duì)vSwitch的配置調(diào)整，將需要進(jìn)行安全檢查的流量指向虛擬安全網(wǎng)關(guān)來完成相應(yīng)的安全檢查和流量監(jiān)控審計(jì)等；并針對(duì)VMware的虛擬網(wǎng)卡驅(qū)動(dòng)進(jìn)行優(yōu)化，使TOS系統(tǒng)在虛擬化平臺(tái)上依然具有硬件防火墻的性能。

虛擬安全網(wǎng)關(guān)可實(shí)現(xiàn)整個(gè)云平臺(tái)的設(shè)備集中監(jiān)控、業(yè)務(wù)集中安全審查、訪問集中認(rèn)證授權(quán)，與傳統(tǒng)分離式安全網(wǎng)關(guān)相比，具有不可替代的一方面。

（2）VPN安全接入

云平臺(tái)會(huì)對(duì)非授權(quán)設(shè)備私自接入平臺(tái)進(jìn)行排查，并通過端口控制來準(zhǔn)確定位位置，并依據(jù)云平臺(tái)安全管理機(jī)制對(duì)非授權(quán)接入設(shè)備的通信進(jìn)行有效阻斷。

云平臺(tái)通過云內(nèi)提供的SSL VPN集中器為遠(yuǎn)程VPN撥入終端用戶提供SSL VPN通道，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的訪問控制。

（3）入侵防御系統(tǒng)

入侵檢測(cè)系統(tǒng)可監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP地址碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP地址、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

通過在網(wǎng)絡(luò)邊界部署入侵防護(hù)系統(tǒng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的防范；為安全管理中心提供重要的安全事件數(shù)據(jù)，為整體的安全態(tài)勢(shì)分析和安全事件的事后取證和定位提供重要依據(jù)。

（4）數(shù)據(jù)庫(kù)安全

云平臺(tái)通過在內(nèi)部及外部的應(yīng)用系統(tǒng)上，部署專門的日志審計(jì)服務(wù)器和數(shù)據(jù)庫(kù)審計(jì)服務(wù)器，為應(yīng)用系統(tǒng)提供覆蓋到每個(gè)用戶的數(shù)據(jù)庫(kù)安全審計(jì)功能，保證公眾用戶或一般內(nèi)網(wǎng)用戶（信任用戶）無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄。

（5）堡壘機(jī)

網(wǎng)絡(luò)審計(jì)系統(tǒng)是安全管理體系的重要組成部分，部署在單位的內(nèi)部網(wǎng)絡(luò)中，用于保護(hù)單位內(nèi)部資源和網(wǎng)絡(luò)的安全性。

網(wǎng)絡(luò)審計(jì)系統(tǒng)應(yīng)用了目前先進(jìn)的技術(shù)作為支持，針對(duì)企業(yè)內(nèi)部核心服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用進(jìn)行保護(hù)，對(duì)此類資產(chǎn)的常用訪問方式是進(jìn)行監(jiān)控和審計(jì)，例如對(duì)字符終端、圖形終端等訪問方式進(jìn)行監(jiān)控和審計(jì)，實(shí)現(xiàn)對(duì)用戶行為的控制、追蹤、判定，滿足工業(yè)云網(wǎng)絡(luò)對(duì)安全性的要求。

（6）防火墻

通過在門戶網(wǎng)站網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)執(zhí)行隔離和訪問控制措施，將大大提升計(jì)算環(huán)境的安全性，有效防范非法的訪問。采用防火墻實(shí)現(xiàn)基于數(shù)據(jù)分組的源地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時(shí)間等信息，執(zhí)行嚴(yán)格的訪問控制。

（7）網(wǎng)關(guān)

網(wǎng)關(guān)采用雙機(jī)熱備份的方式，部署于托管云域與私有云域的邊界連接處，并按照信息系統(tǒng)的業(yè)務(wù)類別、安全等級(jí)因素，劃分為不同的安全域。然后將不同的安全域進(jìn)行有效隔離，按照各自不同的等級(jí)保護(hù)要求，分別為各安全域提供安全保護(hù)措施。網(wǎng)關(guān)可以有針對(duì)性地實(shí)現(xiàn)所需要的安全控制、防病毒、抗拒絕服務(wù)攻擊。

（8）網(wǎng)頁防篡改系統(tǒng)

鑒于工業(yè)云平臺(tái)系統(tǒng)需要向?qū)Ρ姸嘤脩籼峁﹣碜怨娀ヂ?lián)網(wǎng)的Web訪問服務(wù)，自然帶來很多的不安全隱患。為了保障Web系統(tǒng)的安全性，需要部署主頁防篡改系統(tǒng)，實(shí)現(xiàn)對(duì)發(fā)布網(wǎng)站的實(shí)時(shí)監(jiān)控，一旦發(fā)現(xiàn)網(wǎng)站內(nèi)容被非法更改，可立即恢復(fù)。該系統(tǒng)有必要部署在門戶網(wǎng)站及所有的Web應(yīng)用系統(tǒng)上。

（9）漏洞掃描系統(tǒng)

目前市面上有一些新型的漏洞掃描系統(tǒng)，包括應(yīng)用檢測(cè)、漏洞掃描、弱點(diǎn)識(shí)別、風(fēng)險(xiǎn)分析、綜合評(píng)估的脆弱性掃描與管理評(píng)估產(chǎn)品。漏洞掃描系統(tǒng)不但可分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)告，并針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議。漏洞掃描系統(tǒng)為提高內(nèi)部網(wǎng)絡(luò)安全防護(hù)性能和抗破壞能力，檢測(cè)評(píng)估已運(yùn)行網(wǎng)絡(luò)的安全性能，為網(wǎng)絡(luò)系統(tǒng)管理員提供實(shí)時(shí)安全建議提供一種有效實(shí)用的脆弱性評(píng)估工具。

（10）災(zāi)備軟件系統(tǒng)

典型的容災(zāi)備份軟件系統(tǒng)共分為3部分：工作機(jī)（worknode）模塊、災(zāi)備機(jī)（backnode）模塊、控制機(jī)（ctrcenter）模塊。工作機(jī)指的是用戶的生產(chǎn)機(jī)，即常說的源端（source）；災(zāi)備機(jī)指的是存放災(zāi)備數(shù)據(jù)的遠(yuǎn)程服務(wù)器，即常說的目標(biāo)端（target）；控制機(jī)則指的是災(zāi)備軟件系統(tǒng)的控制平臺(tái)所屬的服務(wù)器，在控制機(jī)上部署完災(zāi)備軟件的控制模塊后，由于災(zāi)備軟件的控制模塊是通過Web界面實(shí)現(xiàn)配置和管理的，所以任何一臺(tái)主機(jī)只要能通過瀏覽器連接到控制機(jī)，則可進(jìn)行相關(guān)的災(zāi)備管理工作，從而保障整個(gè)系統(tǒng)的可靠性。

6 結(jié)束語

本文闡述了十大安全防護(hù)措施，針對(duì)病毒、木馬、黑客攻擊、信息泄露、軟件漏洞、系統(tǒng)崩潰等潛在風(fēng)險(xiǎn)，建立了一個(gè)安全可靠的平臺(tái)保障體系和風(fēng)險(xiǎn)防范機(jī)制，從而提高中小城市云平臺(tái)的安全度。

本文是在綜合多個(gè)中小城市工業(yè)云平臺(tái)設(shè)計(jì)和建設(shè)方案的基礎(chǔ)上，結(jié)合筆者的實(shí)際學(xué)習(xí)和工作經(jīng)驗(yàn)，針對(duì)中小城市，嘗試提出的一種基于新技術(shù)的、典型的云平臺(tái)設(shè)計(jì)模式。本文提供的云平臺(tái)整體架構(gòu)，是基于共性的基本結(jié)構(gòu)，平臺(tái)搭建和功能模塊也體現(xiàn)了通適性和基礎(chǔ)性。

隨著中小城市工業(yè)云建設(shè)的興起，云平臺(tái)設(shè)計(jì)的理論尚不多見，本文的設(shè)計(jì)模式研究填補(bǔ)了這一空白，將會(huì)對(duì)平臺(tái)設(shè)計(jì)工作起到指導(dǎo)作用。各地云平臺(tái)的設(shè)計(jì)者可借鑒本文的模式研究，設(shè)計(jì)出適用于當(dāng)?shù)厍闆r的云平臺(tái)。在后續(xù)應(yīng)用實(shí)踐中主要發(fā)揮的作用有如下幾點(diǎn)。

一是基于本文幾大功能模塊的設(shè)計(jì)，可衍生出各類專項(xiàng)服務(wù)型的子平臺(tái)，例如管理云、數(shù)據(jù)云、商務(wù)云、知識(shí)云、物聯(lián)云等，可服務(wù)于不同的產(chǎn)業(yè)用戶對(duì)象。

二是采用本文云平臺(tái)安全模塊的設(shè)計(jì)，可進(jìn)一步加強(qiáng)云平臺(tái)的安全防護(hù)能力，保障平臺(tái)的網(wǎng)絡(luò)和信息安全，有效降低風(fēng)險(xiǎn)系數(shù)。

三是本文相關(guān)參數(shù)和界面的設(shè)計(jì)，為相關(guān)方面提供了一個(gè)可參照的實(shí)例，減少了設(shè)計(jì)中非標(biāo)準(zhǔn)、非格式化問題。

四是大量設(shè)計(jì)細(xì)節(jié)，體現(xiàn)了整體和局部、面和點(diǎn)的結(jié)合，對(duì)具體工作將大有裨益。

另一方面，由于各地實(shí)際情況各異，本文研究成果在實(shí)際應(yīng)用過程中，還有待完善和拓展的空間。在本研究成果的后續(xù)部署實(shí)施過程中，建議注意如下幾點(diǎn)。

一是注重業(yè)務(wù)創(chuàng)新和技術(shù)創(chuàng)新。任何一種模式和方法論不是一成不變的，實(shí)際應(yīng)用過程中，創(chuàng)新永遠(yuǎn)是需要的。隨著新信息技術(shù)、新硬件設(shè)備和軟件工具的不斷出現(xiàn)，云平臺(tái)的設(shè)計(jì)也需與時(shí)俱進(jìn)、不斷創(chuàng)新。

二是注重因地而異，體現(xiàn)本地特色。我國(guó)中小城市數(shù)量眾多、發(fā)展水平參差不齊，工業(yè)制造方面也各有側(cè)重、發(fā)展方向各有秋千，如資源礦產(chǎn)型、輕工業(yè)型、重工業(yè)型、貿(mào)易加工型等，云平臺(tái)的設(shè)計(jì)也應(yīng)在本研究的基礎(chǔ)上有所差異。

三是注重平臺(tái)的可拓展性，適應(yīng)新型工業(yè)發(fā)展。各地工業(yè)尤其是高科技制造業(yè)發(fā)展較快，智能制造、工業(yè)互聯(lián)網(wǎng)、3D打印等新興領(lǐng)域發(fā)展迅猛，工業(yè)云平臺(tái)的設(shè)計(jì)需對(duì)此有超前考慮，在框架搭建和軟硬件設(shè)置方面宜留有拓展空間和接口，以便增強(qiáng)適應(yīng)性和開放性。

最后，愿與廣大業(yè)內(nèi)同仁一道，共同探討，不斷學(xué)習(xí)提高，為我國(guó)工業(yè)云平臺(tái)的發(fā)展做出自身的貢獻(xiàn)。

[1] 工業(yè)和信息化部. 云計(jì)算綜合標(biāo)準(zhǔn)化體系建設(shè)指南[EB/OL]. (2015-11-09)[2017?04?05]. http://www.miit.gov.cn/n1146295/ n1652858/n1652930/n3757022/c4414407/content.html.

Ministry of Industry and Information Technology. A guide to the construction of integrated standardization system for cloud computing[EB/OL].(2015?11?09)[2017?04?05].http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757022/c4414407/content.html.

[2] 王鵬. 走近云計(jì)算[M]. 北京: 人民郵電出版社, 2009.

WANG P. Cloud computing[M]. Beijing: Posts&Telecom Press, 2009.

[3] 顧炯炯. 云計(jì)算架構(gòu)技術(shù)與實(shí)踐[M]. 北京: 清華大學(xué)出版社, 2014.

GU J J. Cloud computing architecture technology and practice[M]. Beijing: Tsinghua University Press, 2014.

[4] 曾宇, 王潔, 吳錫興, 等. 工業(yè)云計(jì)算平臺(tái)的研究與實(shí)踐[J]. 中國(guó)機(jī)械工程, 2012, 23(1):69-74.

ZENG Y, WANG J, WU X X, et al. Research and practice of industrial cloud computing platform[J].China Mechanical Engineering, 2012, 23(1):69-74.

[5] 劉鵬. 云計(jì)算（第二版）[M]. 北京: 電子工業(yè)出版社, 2011.

LIU P. Cloud computing(second edition) [M]. Beijing: Publishing House of Electronics Industry, 2011.

[6] 牛繼賓. 一個(gè)云管理平臺(tái)的架構(gòu)與功能設(shè)計(jì)經(jīng)驗(yàn)談[EB/OL]. (2017?01?02)[2017?04?05]. http://www.infoq.com/cn/articles/ cloud-manage-platform-arch-and-function.

NIU J B. Discussion on the architecture and function design of a cloud management platform[EB/OL]. (2017?01?02) [2017-04-05]. http://www.infoq.com/cn/articles/cloud-manage- platform-arch-and-function.

[7] 顧戎, 王瑞雪, 李晨, 等. 云數(shù)據(jù)中心SDN/NFV組網(wǎng)方案、測(cè)試及問題分析[J]. 電信科學(xué), 2016, 32(1): 126-130.

GU R, WANG R X, LI C, et al. Analysis on network scheme and resolution test of SDN/NFV technology co-deployed in cloud datacenter [J]. Telecommunications Science, 2016, 32(1): 126-130.

[8] 劉明輝, 張尼, 張?jiān)朴? 等. 云環(huán)境下的敏感數(shù)據(jù)保護(hù)技術(shù)研究[J]. 電信科學(xué), 2014, 30(11): 2-8.

LIU M H, ZHANG N, ZHANG Y Y, et al. Research on sensitive data protection technology on cloud computing[J]. Telecommunications Science, 2014, 30(11): 2-8.

[9] 趙輝, 丁鳴, 程青松, 等. SDN與NFV技術(shù)在云數(shù)據(jù)中心的規(guī)模應(yīng)用[J]. 電信科學(xué), 2016, 32(1): 144-151.

ZHAO H, DING M, CHENG Q S, et al. Application of SDN and NFV technology in the cloud data center [J]. Telecommunications Science, 2016, 32(1): 144-151.

Design pattern of industrial cloudin small-medium cities

LI Ling

Shaanxi Branch of China United Network Communication Group Cloud Data Company, Xi’an 710075, China

Combined with the current status and characteristics of the development of information technology in small-medium cities in China and arrounding the important topic of industrial cloud development in small-medium cities, the latest models of industrial cloud design was put forward, including the system architecture, function equipment, service ability and cloud security of industrial cloud in small-medium cities. The basic principles, the main contents, the technical route, the reference index and the business interface of the industrial cloud design in small-medium cities was expounded, providing some reference and guidance for people involved.

city, industrial cloud, design, research

TP393

A

10.11959/j.issn.1000-0801.2017115

2017?04?05；

2017?04?30

李凌（1975?），女，中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)云數(shù)據(jù)公司陜西分公司負(fù)責(zé)人，主要從事基于中國(guó)聯(lián)通基礎(chǔ)設(shè)施的云業(yè)務(wù)、大數(shù)據(jù)、IDC業(yè)務(wù)等的建設(shè)運(yùn)營(yíng)、市場(chǎng)拓展和客戶服務(wù)方面的工作。