智慧廣東時空信息云平臺支撐環境設計探討

劉素茹

（廣東省國土資源技術中心，廣東 廣州 510075）

我國城市化進程非常快，大量的人口進入城市以后，產生了一系列的民生、經濟、政務方面的問題，也對城市管理、民生和經濟發展提出了新的要求，在此情況下，智慧城市建設應運而生。根據《新型智慧城市建設部際協調工作組2016-2018年任務分工》，測繪地理信息部門的任務為指導各地區開展智慧時空基礎設施建設及應用。時空基礎設施是智慧城市的重要組成，是其他信息交換共享與協同應用的載體，其建設內容可以歸結為：時空基準、時空大數據、時空信息云平臺、支撐環境。隨著數字城市地理空間框架轉型升級為智慧城市時空基礎設施，相應要實現“四個提升”，即空間基準提升為時空基準、基礎地理信息數據庫提升為時空大數據，地理信息公共平臺提升為時空信息云平臺，支撐環境由分散的服務器集群提升為集約的云環境。其中，時空信息云平臺和支撐環境是時空基礎設施的載體和重要的支撐架構，兩者密不可分。

本文以智慧廣東時空信息云平臺建設為例，結合時空信息云平臺，從架構設計、技術路線、關鍵技術等多方面詳細而全面地闡述平臺支撐環境的架構設計思路和實現方法。

1 架構設計

1.1 總體架構設計

為建設具有統一性、動態性、豐富性的智慧廣東時空信息云平臺，采用統一云支撐環境的集約模式進行設計和建設，通過基礎設施即服務 （IaaS） 、數據即服務 （DaaS） 、平臺即服務 （PaaS） 、軟件即服務 （SaaS） 提供各類應用服務的基礎支撐，形成智慧城市數據中心與共享應用中心，總體框架結構如圖1所示。

圖1 總體框架架構圖

1.2 支撐環境架構設計

支撐環境是智慧廣東時空信息云平臺基礎設施建設的支撐和保障，主要組成是基礎設施即服務和平臺即服務，如圖2所示。

基礎設施即服務采用基于OpenStack架構的華為FusionSphere云服務和管理平臺，提供完整的軟件定義數據中心能力和管理自動化能力。FusionCompute管理虛擬機的整個生命過程，FusionStorage為虛擬機提供穩定的數據存儲服務，FusionNetwork提供云計算的網絡虛擬化服務，服務抽象層負責將各種不同的虛擬化引擎平臺整合在一起，服務呈現層進行資源的再分配、管理和使用，FusionManager提供統一云管理能力，包括自動化管理和資源智能運維能力，監控各類硬件資源的健康狀態，對各類資源訪問進行權限管理等。

平臺即服務自主搭建，包括隔離驅動、云中工具、運維中心和云化應用等組件。

圖2 支撐環境架構圖

2 技術路線

2.1 IaaS層技術路線

基礎設施即服務 （IaaS） 是支撐環境的重要組成部分，由基礎設施資源池和管理平臺兩部分組成。基礎設施資源池是服務器、存儲和網絡的資源大集合，通過云化技術，實現計算資源、存儲資源和網絡資源的集約化管理。能根據應用程序的要求快速配置應用所需支撐環境，有效地支持業務需求的變化。

管理平臺由資源管理平臺和業務管理平臺兩部分組成，資源管理平臺負責對基礎設施資源池的資源進行統一的管理和調度，如數據管理、資源監控、資源部署、資源調度、安全管理、虛擬機管理等，實現IaaS服務的可管可控。業務服務管理平臺負責將IaaS的各種資源封裝成服務提供平臺管理者使用，如業務服務管理、業務流程管理和用戶管理等，是實現IaaS服務正常管理的保證。IaaS技術路線如圖3所示。

圖3 IaaS技術路線

2.2 PaaS層技術路線

支撐環境通過特有的PaaS層云隔離驅動技術，實現在云環境下統一的應用管理模式和用戶體驗，提供云應用運維管理能力。平臺多種業務統一運維管理能力可以將多個業務系統所需資源在虛擬數據中心資源池中統籌安排，避免出現熱點業務資源不足，冷門業務資源又不能釋放共享的問題，有效提升資源利用率。云中穩定的應用級負載均衡代理能力，除了能保證GIS服務節點的高可用性之外，也可用于提升業務系統的魯棒性；PaaS層上統一的應用級監控體系，可以提供諸如應用中間件連接數、數據庫訪問量、GIS服務狀態等反應系統真實負載情況的指標，而且還提供了靈活可擴展的自定義參數監控能力，滿足特殊定制性的監控需求。PaaS技術路線如圖4所示。

圖4 PaaS技術路線

3 關鍵技術及設計

3.1 云技術

一是內存復用技術實現在物理內存一定的情況下跑更多虛擬機的能力。通過綜合運用內存氣泡、基于內容的頁面共享 、內存交換等內存利用技術對內存進行復用，使虛擬機內存總和大于服務器規格內存總和，提高物理節點中虛擬機密度。二是分布式共享存儲技術提高存儲可用性和可靠性。由于分區的副本被分散到多個不同的存儲節點上，數據修復時，將會在不同的節點上同時啟動數據重建，每個節點上只需重建一小部分數據，多個節點并行工作，能夠以超快的重建時間進行自修復，1 TB硬盤的重建時間小于30 min。三是自動精簡配置技術提供存儲超分配能力。只有寫入數據的虛擬存儲空間才真正分配到物理存儲，未寫入的虛擬存儲空間不占用物理存儲資源，這樣就可以虛擬出比實際物理存儲更大的虛擬存儲空間。四是分布式虛擬交換機技術提高網絡的可維護性。把所有物理節點虛擬網絡統一管理，減少管理任務，意味著更少的錯誤和更多的運行時間，同時提供可視化的網絡管理能力，如網絡拓撲、流量信息等。五是應用部署自動化。通過模板自動完成創建虛擬機、安裝操作系統 、創建網絡、安裝應用等一系列過程。

3.2 大數據體系支撐技術

大數據體系由兩大技術路線分層級進行支撐，一是容器化分布式計算框架，平臺集成了標準的分布式計算框架，在云中可以高效的按需提供大數據計算能力，大數據中心算子實現全容器化，結合業務類型需要，通過云中投遞容器的能力，動態生成容器算子，計算完畢后快速釋放資源供其他計算模型使用，真正地將分布式計算和云技術結合起來向云計算時代邁進。二是傳統Hadoop體系，傳統Hadoop體系因為磁盤I/O問題，一般推薦采用物理服務器直接部署。針對這種情況，平臺的管理思路是提供統一監控服務，Hadoop物理服務器集群搭建完畢后，通過資源注冊的方式將物理服務器納入GeoStack運維管理體系，實現對各運算節點的實時監控及異常情況告警。

3.3 云中應用統一管理設計

將云中應用的關鍵性能指標配置到內置的應用監控體系，實現異常情況處理邏輯，統一運維和交付。以最典型的GIS服務為例，GIS服務發布時自動關聯到云平臺的負載均衡組件和應用監控體系中，當監控到中間件連接數或者其他預設關鍵指標達到閾值時，云平臺會自動調度資源發布若干同類服務節點分擔該服務的壓力，全過程無須人工干預，在降低人工錯誤概率的同時及時地保障了用戶體驗。實現方法如圖5所示。

圖5 GIS服務彈性管理

3.4 安全防護設計

時空信息云平臺的安全防護主要從以下三個方面保障平臺的安全穩定運行：一是運維管理安全設計。采用運維管理堡壘機，接管了運維人員對設備的直接聯系，所有操作必須通過運維管理堡壘機，提供唯一的登錄途徑，統一的身份認證和賬號管理，合理的資源授權，從而可以根據用戶進行不同策略的制定，細粒度的訪問控制，達到最大限度的保護資源的安全，防止非法、越權訪問事件的發生；同時記錄運維人員的操作，必要時可以對違規行為進行溯源。二是設備和系統的防護設計。 在網絡出口， 使用防火墻設備，提供邊界訪問控制和邊界安全防護；通過數據流控制、入侵監測、防病毒、流量控制等功能，保障網絡的安全；對于虛擬化服務器， 采用“無代理”方式部署虛擬化安全管理系統，內置應用級的防火墻、防病毒模塊，做好虛擬機的安全保護；針對終端，通過采用安裝殺毒軟件，實時保護終端的系統安全， 避免病毒的攻擊； 對于來自互聯網線路的攻擊重點關注，通過將部署在互聯網上的系統的域名，前置到專業的云平臺網站安全中心上，實現網絡的安全防護，所有針對該系統域名的訪問流量統一先經過該產品進行過濾，有效預防黑客發起的SYNFlood、UDPFlood、TCPFlood等DDOS攻擊，同時可對用戶進行智能選路，針對來源IP選擇不同的運營商線路結合高速緩存等技術，對站點訪問進行加速。三是通過機制保障系統安全穩定。組建專業化的運維管理團隊，配合自動化監控工具，實時監控系統的運行狀態；采用等保測評等方式，使系統滿足等保的安全要求，定期委托專業公司對時空信息云平臺進行安全測評并出具測評報告；通過這些監控和測評，及時發現問題，快速修復系統的漏洞，保障系統的安全穩定。

4 支撐環境建設

按應用類型進行分區部署：數據庫單獨一個網段；大數據中心、分布式服務部署在第二網段內；時空云門戶、示范應用、Nginx代理、渲染引擎、分布式計算節點部署在第三網段內。具體部署情況如下：一是數據庫用物理機和SAN存儲提供服務，使用Oracle 11關系型數據庫，3臺PC服務器，oracle RAC部署方式。二是分布式架構部署服務節點，實現云平臺目前運行的60多個服務的服務伸縮。三是示范應用服務器，平臺建設了6個示范應用，分別部署在5臺服務器中。四是時空云門戶服務器，時空云平臺門戶網站是對外窗口，包含GeoOnline和資源代理服務器。五是渲染引擎服務器，渲染引擎采用分布式部署，為矢量數據高速渲染提供支撐，代理服務器作為轉發節點。六是分布式計算節點服務器，分布式并行計算框架采用Hadoop架構，為海量數據分析提供支撐。

5 結語

本文從設計先進的云支撐環境IaaS層和PaaS層技術路線、應用云計算和大數據體系關鍵技術，到實現云中應用統一管理和安全防護等多層次探討與實踐，全面闡述了構建智慧廣東時空信息云平臺基礎支撐環境的解決方案。支撐環境的扎實基礎加快了廣東智慧城市時空信息云平臺建設試點工作，對指導開展時空大數據及時空信息云平臺構建，具有重要意義，并為廣東自然資源和空間地理基礎信息庫建設奠定基礎。