基于政務云的中小型數據中心方案研究

◆張先哲 馬 曉

（1.河南牧業經濟學院 信息工程學院 河南 450044；2.中國煙草總公司職工進修學院 河南 450007）

傳統的數據中心如文獻[1]提到的，是業務系統最主要的信息化支撐環境，主要以設備為中心，在初始階段資源利用率不高，而且隨著信息化應用的不斷深化其響應能力不斷下降，同時也需要較高的人力進行運維。隨著文獻[2，3]提到的云計算的普及，很多企事業單位利用公有云技術構建數據中心，既降低了建設、運維成本，也提高了資源彈性和利用率，但是也存在一定的網絡安全隱患和數據泄露風險。而政務云平臺服務是云服務商專門為政府、企事業單位專門提供的云服務，遵循更高的網絡安全標準，基于政務云平臺構建的數據中心可以較好地解決資源彈性分配、網絡安全等問題。

1 數據中心建設模式分析

對于中小型企事業單位來說，數據中心建設模式多種多樣，可以按照利用云技術構建私有云數據中心，也可以完全利用一般公有云構建自己的數據中心，還可以建設基于政務云平臺的數據中心。

1.1 私有云數據中心

私有云數據中心主要是利用公有云技術、管理和服務模式來構建數據中心，該方案也是以設備為中心，需要大量采購服務器、網絡安全、存儲、交換機等設備，同時利用云技術對硬件設備進行云化，相比較傳統數據中心來說，按照成熟的公有云模式可以更快地構建基礎架構，設備的資源利用率有較大提高，依托云資源池，可以在幾分鐘內甚至數秒內實現應用的快速部署與資源分配，后期運維成本大大降低。該方案共用公有云技術，具有公有云的大部分優勢，而且對于存有敏感數據的企事業單位來說可以實現業務系統和數據等資源的本地化部署，具有自主可控性高、業務應用響應性能快的優點，具有較高的網絡安全性。

但是該方案建設成本較高，而且對建設規模有一定要求。建設成本包括硬件成本、云軟件成本等。對于省級政府單位、大型企事業來說有建設的必要性，但是對中小型企事業單位來說前期建設成本、后期運維成本及硬件生命周期更換成本都較高，性價比不高。

1.2 利用公有云構建數據中心

該方案是利用公有云資源來構建數據中心?，F在的公有云服務類型已經十分豐富，完全滿足數據中心建設的要求。利用公有云服務資源可以很快地構建合適的數據中心，具有構建快、建設和運維成本低，缺點是所有業務系統和數據都部署在公有云上，可能會導致基礎資源不可控、技術體系不可控、業務應用響應相對較慢，存在網絡安全風險等問題。

1.3 建設基于政務云的數據中心

本文所指的政務云是一個專門為政務行業量身定制、符合國家政務安全合規、中央網信辦云計算網絡安全審查（增強級）的云計算服務，符合文獻[4，5]所指的國家標準，如GB/T 31168-2014《信息安全技術云計算服務安全能力要求》增強級安全要求，是通過云計算服務安全評估的云平臺（中央網信辦2019 年11 月19日發布），屬于國家安全基礎設施，可以承載非涉密的敏感信息和重要政務業務。

政務云與普通的公共云區別在于，其機房位于完全物理隔離的專屬高規格物理集群，所有數據存儲相關的數據都在政務云專屬機房內，這樣確保在各個層面上用戶數據無法出此機房。

該方案無須自建機房，無須擔憂物理環境的運營管理，無須增加大量運營人員，無論是機房、資源還是數據庫等，同樣也無須每年花費經費來通過各類合規認證，更無須擔憂為新技術而不斷投入的人力和資金，適合存有敏感數據的中小型企事業單位。

2 建設架構

主要是利用政務云的資源建立的專有云，原數據中心通過專線或VPN 線路與政務云連通，利用政務云和本地機房雙重的服務資源，可以提供更加可靠、強大的數據服務。具體架構如圖1：

圖1 具體架構

2.1 硬件層

硬件層由政務云平臺和本地數據中心組成，本地數據中心通過專線或者VPN 線路安全連接至政務云。

在線路選擇主要考慮成本和應用類型的要求。專線主要用于業務系統數據量較大，對數據傳輸安全性要求較高的場景，但專線通常費用較高。利用VPN 通道傳輸安全性也有保證，成本相對較低，它占用企事業單位原有的互聯網出口帶寬，滿足數據量較小的業務場景。

通過專線或VPN 將政務云平臺和本地數據中心連接后，可以將政務云平臺作為本地數據中心的“后花園”，專屬于本地數據中心，可以實現資源靈活擴展。

在網絡安全防護方面，該方案可以復用政務云和本地雙重的網絡安全防護。一個完整的安全架構包括：網絡流量監測與分析、防DDoS 攻擊、帶寬管理、防火墻、防病毒、入侵檢測、上網行為審計、堡壘機、Web 漏洞檢測、安全日志審計、主機防護系統、系統應用審計等。從“安全、適度、可控”的來講，一般無須采購所有安全措施，可以結合自身網絡安全狀況，合理購買網絡安全設備或服務，云上云下形成一個整體互補的網絡安全防護體系，既減少成本又達到了網絡安全防護目的。網絡安全架構圖如圖2：

2.2 中間層

政務云平臺繼承了公有云平臺的PaaS 的優勢，可以提供各種數據能力、業務能力服務。在這種架構下可以充分利用大數據管理服務、大數據計算、大數據商業智能服務和大數據應用服務等數據能力服務，并選擇適合的協同服務、區塊鏈服務、視頻服務、驗真服務、AI 服務、智慧城市服務等業務能力服務。

通過逐步云化本地數據和業務，利用政務云的技術、產品、運維等方面的優勢提供的一些能力，可以快速、低成本開發，或者解決開發的一些瓶頸。就安全性來說，應用政務云的PaaS 服務能方便地實現安全性措施與管理，一是因為PaaS 包括了一個安全性和訪問的控制套件用于部署安全和訪問管理，該套件在應用程序和數據庫服務中都是一致的。可讓管理員用一種有組織的方法來設置權限。二是提供更加標準化和更易于維護地用于應用程序連接和工作流程的工具，可以方便控制所有系統、應用程序和數據庫中的權限分配。

2.3 應用層

全面利用政務云平臺IaaS 的“可重復使用”的優點，借助政務云完善的軟件服務生態圈，能為企事業單位提供更快、更優的具有高度可復制的“標準化”的解決方案。

3 結束語

本文對比了數據中心三種建設模式，提出了建設基于政務云平臺的數據中心的方案，指出該方案在經濟性、網絡安全方面的優點，該方案適用于存有敏感數據的中小型企事業單位，可以為其提供更加安全可靠的數據中心建設方案，同時發揮云的優勢，減少硬件運維的壓力，將信息化建設的重點放在業務能力提升方面。