一、引言
党的十九大报告提出,要加快建设创新型国家,建设数字中国、智慧社会。各级政府以高质量发展为目标,不断提升区域信息化水平,整合资源、共享信息、促进电子政务集约化发展。 1.政务云的发展
2013年,国家出台的《国家电子政务“十二五”规划》和《基于云计算的电子政务公共平台顶层设计指南》对政务云及其建设和发展提出了具体要求。政务云是云技术在政务领域为行业应用的简称,需要统筹已有机房、 存储设备、技术能力、网络安全、数据资料、应用服务等,发挥云技术集中、按需、易扩展等优势,为政务服务提供基础设施、公用软件、数据资源、安全保护和运行服务。近年来,随着我国移动互联和数字经济的发展,政务云建设取得了积极进展,为实现“数据多跑路,众少跑腿”提供了有效保障。 2.新一代政务云的理解
2020年,国家提出加快新型基础设施建设(简称“新基建”),发展以人工智能、云计算、区块链等为代表的新基建。同年12月,国家发展改革委等4部委出台的《关于加快构建全国一体化大数据中心协同创新体系的指导意见》对云技术提出了更高标准,要求进一步完善云 南京市新一代政务云建设的
研究和实践分析
翁晓泳吴德沣汪涛
摘要:随着放管服改革不断推进,“智慧城市”“数字政府”建设步伐不断加快,由此促进了政务云建设和发展。文章基于南京市政务云建设现状、新一代政务云建设目标和建设方案,从算力、存储、网络、安全和灾备等方面阐述了新一代政务云建设要求、趋势,以期为决策者提供有益参考。
关键词:政务云;数据中心;网络安全
DOI:10.ki.32-1034/f.2021.005.003
资源扩展、配置机制,提升资源调度能力,按需提供运算资源,发挥数据资源、运算能力、移动互联等技术,降低运算能力的成本。计划到2025年,公共云服务体系初步形成,全社会算力获取成本显著降低。
二、现有政务云发展困境
南京市的政务云建设始于2010年,是全国起步较早的城市之一。其按照现有政务云架构开展建设,分为IaaS基础设施服务、PaaS 平台即服务、SaaS软件服务等部分。近年来,虽然新技术不断迭代延伸、服务能力需求不断提档升级,但南京市现有政务云服务呈现乏力之态。其主要体现在以下几个方面:
1.计算存储能力不足
目前,南京市现有云平台承载了近5000个虚拟机。前期政务外网一期和二期存储共有2.3PB容量,存储空间应用为96%,接近满负荷工作,只有4%空余,远低于建议临界值(20%—25%),存在一定的隐患。现有存储不宜再安排虚机或数据库的开通。此外,随着数据量的加速产生,云平台还需承载大数据的涌入,因此需尽快扩容。
2.服务应用能力不足
随着南京市各政务部门的IT基础服务应用需求日益增长,以及各部门数字化改革的不断推进、新业务不断拓展,云平台用户数以及上云服务数增加较快,这就对云服务能力提出了更高的要求。目前,云服务在大数据、AI人工智能、物联网支撑新技术等方面显得乏力,急需提升算力、网络和数据等服务能力。
3.数据安全性不高
随着各单位业务逐步云化,先期的安全保障能力弊端凸显。从南京河西政务数据中心运维报告可以看出,南京市政务数据中心近年来遭受的网络攻击类型及攻击频次均较高,各系统存在的安全漏洞较多,且呈增加趋势,数据中心安全防护级别亟待提高。
4.技术兼容和适配存在不足
政务云是安可工程的重要领域,面临国产操作系统、数据库、文件系统与国外相应产品的兼容和替代。现有的数据保护产品很多是国外产品,云技术对于保护产品的技术特点和架构需做相应适配;对于云上数据的迁移和保护需要有保障措施。
三、新一代政务云建设目标
南京市按照“云—网—数—安”构想,打造市级一体化政务云平台,实现政务云迭代升级,建成全市政
务服务一张网,打通各级、各部门之间信息孤岛,使信息共享融会贯通。
1.超融合基础架构
超融合架构是结合虚拟化技术场景,实现可扩展的基础架构。在同一套单元设备中具备计算、网络、存储、服务器虚拟化、备份软件、快照技术、重复数据删除、在线数据压缩等功能,通过网络集成多套单元设备,实现模块化的扩展,形成统一的资源池。
2.网络服务灵活稳定
采用软件定义网络(SDN)技术的三层体系架构,充分利用数据转发、控制分离、网络虚拟化和开放接口等特征,实现跨数据中心虚拟化,提供灵活的虚拟机迁移能力,进而使数据中心业务的灵活性和伸缩性大大提高。
3.统一数据中心管理
提供多数据中心统一运维。采用分布式技
术建设一体化云数据中心,对设备和资源进行集中管理、科学管理、全面展示。监控各个子数据中心的存储能力、计算能力、网络资源等使用情况,提供统一运维管理和服务能力。
4.业务服务安全可靠
构建具有实时识别、分析、预警安全威胁的统一安全管理体系,具有防病毒、防篡改、合规检查等安全能力,以及完善的容灾备份能力,实现自动安全检测、响应、溯源的管理闭环,保护云上资源,满足网络安全三级等保要求。
5.保障“智慧南京”和“数字政府”建设新一代政务云建设能够支撑“智慧南京”
和“数字政府”建设,基本满足未来5—10年内各政务部门业务发展和服务公众的资源需求。
四、新一代政务云建设方案
当前,南京市采用“两地三中心”架构建设新一代政务云平台,架构如图1所示。
平台完成了网络及云服务能力扩容工作,进一步提升了市政务数据中心数据中台和业务中台服务能力,数据中心整体可达2万个CPU 核心、300TB 内存、10PB 对象存储能力,主干网络带宽达到10万兆,计算存储传输提升3—5倍,支撑“我的南京”App、城市之眼、领导驾驶
图1
新一代政务云平台架构图
舱、数字治理中心、各政务部门信息化应用。其相关重要部分设计如下:
1.构建一体化云数据中心
一是加强一体化云数据中心顶层设计。现阶段,建设基于云计算架构是数据中心的主流模式。二是建设一体化云数据中心。以新基建为契机,推行电子政务建设;以数据集中和共享为抓手,打造南京市政务数据共享平台;推进电子证照共享平台,实现数据融合、业务协同的管理和服务。三是优化政务数据共享平台,并作为全市信息交换共享的基础设施。扩展云资源配置,推动政务数据中心一体化构建,减少算力成本,努力构建“数网”“数纽”“数链”“数脑”和“数盾”体系。
2.网络系统设计
网络骨干为南京市所有政务部门提供网络带宽资源。核心路由器骨干设备将达到400G平台容量,核心波分骨干设备将达到4T 平台容量。建成后的网络骨干将是一个“业务可控、网络可管、用户可信、质量可靠、安全可防、容量可扩”的运营级电子政务外网,具备管理、技术、运营、合规监管的网络安全体系。未来几年内,网络将全面向IPv6互联网协议+OTN技术演进,从根本上解决制约网络扩展、用户识别、业务管控的问题。同时,优化组网原则,支持多路由保障,实现容灾备份,加强网络健壮性,
适当引入SRV6、IPV6、智能路径调优、F5G等新技术,进一步提高网络的利用效率及对业务的快速响应能力和承载能力。与此同时,要尽可能选取集成度高、模块可通用的产品,实现网络便捷维护,为业务快速上线部署提供网络环境。
3.云计算与大容量存储系统设计
基于云技术提供IaaS、PaaS、DaaS、SaaS 服务,采用超融合基础框架构建统一的资源池。资源池总体架构设计原则是以资源组合形态为参照,分成物理数据中心层、统一资源层、数据层、业务层。存储资源池构成分布式云数据中心,将物理分散的数据中心资源进行逻辑统一管理,提供多数据中心统一运维能力,建设周期更短、成本更低的边缘云分布式数据中心,且具备传输速度更高、交易成本更低、存储数据更安全、能耗更低的特点,在数据技术支持与数据产业发展方面有着更为广阔的应用前景。针对特定场景,融合NAS、SAN、本地存储虚拟化技术,统一提供资源池服务。此外,根据5G网络全面云化要求,采用以数据中心为基础的云化架构,承载在数据中心内独立的云网络上,综合接入机房以及边缘数据中心。云化部署后,部分功能将下沉到边缘云,并提供边缘计算业务。
4.安全系统设计
安全系统框架需从模块化、低耦合、端到端及纵深防御思想出发,根据层次分为物理设施安全、网络安全、主机安全、应用安全、虚拟化安全、数据保护、用户管理、安全管理等几个层面,全面满足各
种安全需求。安全子系统架构如图2所示。
网络安全技术有应用访问控制、流量清洗、VPN、虚拟防火墙、数据摆渡、入侵检测与入侵防御等先进技术。主机安全防护技术包含主机病毒防护、主机入侵检测技术、主机入侵防御技术。应用安全技术包括Web应用安全防护、网页防篡改、邮件安全防御。虚拟化安全技术有虚拟机隔离、账号管理认证和授权、云操作系统加固、数据安全技术实现、数据加解密、数据存储。用户管理技术支持各项认证实现用户单点登录和统一管理,支持细粒度
图2安全子系统架构图
授权管理。安全管理技术需要日志采集、数据分析与处理、安全展现、资产管理、报表统计管理、安全告警管理、脆弱性管理。
5.新技术应用融合设计
一是应用大数据、人工智能、物联网等新技术,使电子政务具有个性化、云端化、数据化、智能化等特征。二是推进新型公交都市先导区(江心洲)建设,实现全无人驾驶小巴L4级自动驾驶。三是打造
领导驾驶舱,耦合大数据和云计算技术,发挥大数据技术高效处理、充分挖掘的优势。四是完善长江(南京段)生态监控展示平台,运用人工智能在图像识别、大数据分析、运行优化等方面产生新成果。凭借云计算强大的算力支持,优化人工智能核心算法程序,有利于通过云计算和大数据技术,促进人工智能算法发挥更大价值,实现云计算、大数据、人工智能融合,让新一代政务云为新兴技术提供传输、存储、处理和分析等算力方面的核心服务。
五、结语
新一代政务云建设是一体化、集约化构建政务云体系的新实践,是对城市级信息存储、计算能力、网络资源等的统筹应用,
对海量数(下转第24页)
