科研院所云計算服務平臺的構建與實現

李震 楊海亮

（南京水利科學研究院 江蘇省南京市 210029）

隨著云計算、大數據、物聯網、移動互聯網、人工智能等信息技術的高速發展，當前科研院所信息化建設正在從網絡化、數字化向智能化轉型，智慧院所建設方興未艾。作為承載科研院所業務的信息化服務平臺，應從基礎設施、支撐平臺、業務軟件等各層面進行整合，構建基礎設施即服務、平臺即服務、軟件即服務的一站式云計算服務架構，實現科研資源的共享和業務協同。

1 云計算的概念

云計算是一種提供動態資源池、虛擬化和高可用性的計算模型[1]。它將計算任務分布在大量計算機構建的資源池上，可以根據計算任務的需求分配相應的計算、存儲、軟件、帶寬和信息服務資源，其服務類型有IaaS、PaaS、SaaS 三種，如圖1所示。

IaaS 將服務器、存儲、網絡等基礎設施封裝為服務供用戶使用，其優勢是允許用戶動態申請、增加、減少或釋放計算資源。在IaaS環境下，用戶類似于使用實體服務器和存儲，既可以自由選擇操作系統，也可以自定義軟件開發運行環境，但面對多節點計算任務的時候，用戶必須考慮各節點計算任務的協同問題。

PaaS 一般構建在IaaS 之上，也可以基于基礎設施構建PaaS，PaaS 可以為用戶提供應用程序的運行環境。當PaaS 和IaaS 共存時，應提供統一管理平臺對計算資源和相關服務進行全生命周期的管理和監控。PaaS可以對資源進行動態擴展、縮減，以及相應的容錯管理，用戶可以不用考慮各節點相互之間的配合問題，代價是犧牲用戶的自主選擇權，用戶必須使用特定的系統環境和開發運行環境[2]。

SaaS 是一種軟件應用模式，既不同于IaaS 提供基礎資源服務，也不同于PaaS 提供系統應用環境，它將相應的軟件功能封裝為定制化的服務，供特定的用戶進行調用。SaaS 改變了傳統軟件服務的提供方式，降低了本地部署所需的成本，凸顯了軟件的服務屬性。

2 云計算服務平臺架構

云計算服務平臺提供信息化基礎資源，在此基礎上部署各類業務應用環境和管理運營系統，為用戶提供虛擬主機、系統開發部署環境、定制化的應用服務等。科研院所的業務涉及科研、科技開發、綜合辦公、項目管理、人力資源管理、財務管理、物資設備管理等多個方面，云計算服務平臺應當具備安裝部署容易、運行穩定可靠、資源擴縮便捷、安全保障有效、運維管理方便等特征[3]。

平臺總體架構由物理層、資源抽象控制層和云服務層組成，如圖2所示。物理層主要包括服務器、存儲、網絡等信息化基礎設施，是形成資源池的硬件基礎；資源抽象控制層主要包括虛擬計算資源池、虛擬網絡資源池、虛擬安全資源池、分布式存儲資源池等；云服務層包括IaaS 服務（云主機、云存儲、云安全等）、PaaS 服務（中間件、數據交換平臺、開發測試平臺等）、SaaS 服務（科學計算、協同辦公、網站群等）。云安全防護體系提供DDoS 防御、漏洞掃描、租戶隔離、認證審計等功能；運行監控及維護管理體系提供設備、配置、鏡像、備份、日志、監控、報表等管理功能；云服務管理體系提供服務目錄、用戶管理、流程管理、計費管理等功能。云計算服務平臺部署拓撲圖見圖3。

圖1：云計算服務類型

圖2：云計算服務平臺架構圖

云計算服務平臺的網絡安全規劃和部署是云基礎架構建設的重要環節，需要充分考慮環境安全、技術安全和管理安全[4]。在網絡層面可以采取雙鏈路模式，避免單點故障；使用防火墻、網頁防篡改、入侵檢測、漏洞掃描等安全設備來提供基本的防護能力；部署備份系統對虛機、系統和重要數據進行備份，制定合理的備份策略，定期開展還原演練，防止故障并降低損害；部署威脅感知等系統，快速發現網絡攻擊并及時處置，提升主動防御能力。除了合理配置網絡安全設備、科學制定網絡安全策略以外，加強制度建設和內部管理也是非常重要的，只有管理和技術“雙管齊下”，參照業界通用的分析方法和國家《信息安全風險評估指南》《信息系統安全等級保護基本要求》，科學制定安全總體架構才能建立健全云計算服務平臺防御體系[5]。

圖3：云計算服務平臺部署圖

3 業務數據遷移與運維管理

保證業務應用的連續性是業務遷移的核心要求，南京水利科學研究院業務“上云”之前普遍采用傳統服務器加存儲的模式，部署在物理機或早期虛擬化平臺的各類業務應用及數據需要平滑遷移到云計算服務平臺上，因此業務遷移通常包括P2V 和V2V 兩種模式，存在著跨系統、跨平臺的復雜性和不確定性。首頁要認真開展調研、分析和論證，必要時進行相關的測試，制定科學合理規范的遷移方案和應急回退方案，選擇合適的技術路線，減少和避免因人為錯誤導致的故障，按照“先易后難”的原則在計劃日程內完成業務系統的遷移工作，做到業務停頓時間最短、影響范圍最小。

數據遷移一般分階段實施，遷移要確保數據的安全性，避免數據損失、丟失等風險。在數據遷移過程中要盡量縮短停機時間，同時盡量避免給在用主機帶來不必要的風險，造成業務系統非計劃宕機。由于之前運行的大多數應用系統都是基于數據庫開發的，所以在數據遷移的過程中要保證數據一致性，避免數據遷移后系統無法正常啟動運行等風險。為了確保數據遷移的安全、可靠，數據遷移工作需要用戶、原系統開發方和相關設備廠商的技術人員共同完成。

在云計算服務平臺建設之前，對“散裝”的服務器和系統進行運維是一件非常困難的事，消耗了大量的人力物力，管理粗放，資源利用率低，管理成本高。云計算服務平臺基于VDC（虛擬數據中心）模式，為各部門的業務提供不同的資源服務，將信息化資源的建設與使用進行剝離，通過統一的運維管理體系，可以實現“按需分配、動態調整”的資源管理要求。平臺的運維系統向內可以對資源進行監控、分析、統計和預警等，實現日常運維、變更管理和運營分析等功能，向外提供統一運維管理接口。

4 成效

云計算服務平臺投入運行，成為科技創新信息化支撐條件建設的“里程碑”。平臺整合信息資源，實現信息共享，為科研人員快速搭建計算環境、開發模型軟件、部署業務應用構建了基礎服務平臺，真正做到“即插即用”，提升了科研效率；平臺按需分配調度管理信息化資源，資源利用效率大幅提升，以網站系統為例，“上云”前占用3 臺物理服務器，使用6 個CPU（共計48 核），“上云”后改用3 臺虛擬服務器，占用10 核CPU，不到“上云”前的四分之一；通過虛機“漂移”和存儲“雙活”等技術以及異地備份等策略，平臺的穩定性可靠性明顯提高，原來物理服務器恢復系統、應用和數據往往需要幾小時甚至數十小時，“上云”后虛機災備恢復縮短到幾十至十幾分鐘；平臺基本構建較為完善的網絡安全防護體系，對比各系統原來“單兵作戰”安全防護方式，既提升了安全防護能力又節省了費用。

5 展望

隨著新一代信息技術應用不斷深入，云計算服務平臺實現“IT基礎設施”的“按需使用、動態調整”僅僅是初步的實踐與探索，為后續智慧院所的建設奠定了良好基礎條件。隨著“上云”業務越來越多，云計算服務平臺資源優化調度的重要性日益凸顯，要準確度量各系統對資源的需求量，又要及時科學地根據需求變化動態調整資源分配。“上云”的應用系統包括：內部管理業務系統、互聯網應用系統、科研應用系統、高性能計算系統、測試系統、運維管理系統等，需要根據應用系統的業務特點和安全防護需求合理劃分安全域，針對不同的安全域分別制定安全策略、落實防護措施，進一步確保云計算服務平臺的安全。