XXX电子政务网云平台设
计方案
前言
项目背景
电子政务网作为全市信息化枢纽,承载着多项重要信息化应用,如内外网域名服务器、邮件系统等等,同时也是各委部局与公网、省政务网的传输出口。现各部局、各事业单位的数据资源、服务器、信息化系统各自为政,难以实现跨部门的数据共享。同时,随着平安城市、政府应急、共享灾备、智能交通系统等等一系列政府信息化工程的全面开展,以及国家、省对信息安全、平台性能要求的不断提升,现有的设备及网络架构已经难以支撑业务发展、安全、性能方面的新要求。
面对部门各自为政、分散建设、不能互联互通、资源共享程度低、重复建设、统一管理等一系列的问题,云计算的服务模式和技术模式在资源管理、数据管理、服务管理方面给出了目前最好的答案。“云技术”的出现,促进了电子政务云的建设发展,提供了统一的对外(政府之间、政府对企业、政府对公众)服务的平台,优化建设服务型的政府信息化。
云计算
在云计算的诞生之前,现代计算机已经走过了大半个世纪。从高高在上的大型机时代,到个人用户普及的PC机时代,再有Internet技术将全世界
都联系到了一起。随着移动互联网时代的到来,数据的增长完全可以用“疯狂”来形容。云计算就是在这种发展背景下产生的新技术。
云计算是一种IT资源的交付和使用模式,指通过网络(包括互联网Internet和企业内部网Intranet)以按需、易扩展的方式获得所需的软件、应用平台、及基础设施等资源。
云计算具有资源池化、弹性扩展、自助服务、按需付费、宽带接入等关键特征。
需求分析
电子政务网目前承载着市委市政府及各委部局多项重点应用,如信用网、内外网域名服务器、市府办内部公文系统、党政机关网站、网络监控平台、对外网站、指挥部网站、重点项目电子督察督办系统、网上行为监控系统、行风热线网站、人大提案系统、市委市政府大门安全监控系统等等。由于电子政务建设及运行采用集中管理模式,即所有部门的政务应用系统均部署在信息中心的机房,各部门的政务应用系统累计超过100多个。并且目前存在下述主要问题:
信息化建设分散重复
市政府各个部门信息化建设多以独立建设为主,各个部门根据自己的需求分别构建自己的数据中心。每个数据中心根据不同的业务和应用需要购买计算、存储和网络资源,以及各种软件。每套业务和应用分别部署在某些物理资源之上,每套业务都是一个信息孤岛,这个孤岛包括需要单独的安全保护机制和软件的支持,以及配套管理的支持。
在这种情况下,主要不足如下:
分散建设、重复建设,并且数据中心的利用率不高;
作为数据中心中最核心的数据,分散在各个业务系统中,相互之
间不能形成足够的共享机制,无法提供被利用的基础条件。社会
最重要的财富散落各地,无法反馈于公民;
而对于政府部门来说,电子政务系统的服务是面向从政府到公民
的所有社会建设者,对系统稳定性的要求程度很高,这与大多数
的政府部门信息管理人员配置的薄弱形成明显的矛盾。
信息化水平不均衡
除了以上所描述的由于传统信息建设所产生的不足之外,每个部门对信息化的需求不同、专注点不同、所投入的精力不同,以至于不同部门之间的信息化水平发展较不均衡。
管理协调体制尚需完善
如何真正将政府部门之间的数据进行整合和共享,形成一个基于政府部门的数据中心?如何将政府数据与社会数据形成联动,整合出统一的数据中心,形成全社会的信息化、网络化、自动自主化,达到电子政务发展中最终的理想阶段?
目前尚未建立其完善的信息化建设管理协调机制,信息化主管部门推动跨部门的系统建设难度较大,也是造成政务信息化分散建设与水平发展不均的现状。
两化融合程度不高
电子政务两化融合程度不高,两化融合是信息化和工业化的高层次的深度结合,是指以信息化带动工业化、以工业化促进信息化,走新型工业
化道路;两化融合的核心就是信息化支撑,追求可持续发展模式。
建设目标
根据以上述分析,我们希望能够通过利用云计算技术解决目前政务信息化发展中存在的问题以改进不足,使电子政务的水平迈上一个新的台阶。建设统一化,减少重复投入
云计算模式通过统筹规划的集中性特征,通过集中化的建设模式可以减少数据中心的重复投资,提高数据中心资源的使用效率,以及减低数据中心在能耗上的各方面问题。
数据集中化,提高政府服务质量
通过对政务的集中、数据的整合、以及广泛原始数据的数据挖掘,可以将服务内容、服务对象、服务要求等方面的信息进行提炼和抽离,更有针对性的了解社会的需求,更好的服务大众。
政务专业化,促进政府部门服务方式和职能的转变
在传统数据中心模式下,每个政府部门都需要搭建自己的数据中心和业务平台,是电子政务服务从基础设施到最终服务的所有资源建设和提供者。
通过云计算对电子政务的改造,可以帮助政府各个部门从基础设施建设和业务服务建设的工作中解放出来。政府部门将成为电子政务云云平台的服务享受者,通过对平台之上业务专注,能够更加有效的利用政府的职能和人才的资源,充分为人民服务。
整体设计
规划原则
电子政务云平台规划将遵循以下总体规划原则:
顶层设计与分步实施原则
以广义的电子政务需求为驱动进行总体设计,通过实际运行效果分步推进并不断完善总体设计。对安全和标准规范等事关全局的技术内容,尤其要强调兼顾顶层设计与分步实施。先统一建立必需的接口标准最小集合,进而在项目实践中提炼出标准体系,而不是一开始就求大求全。同时,尽量利用适合本规划目标的国家已有的相关标准法规。
集约化原则
通过建设云计算公共服务平台,为电子政务应用、公共服务类应用提供集中运营管理的公共服务,实现资源共享,体现以云计算为核心实现”共性平台+应用子集”集约化建设的总体思路。
标准化原则
电子政务云平台建设所需的设备均应该采用国际工业化标准生产,满足各个方面的标准规范。充分保重未来扩展时的兼容性和采购来源的多样化。
以增量带动存量原则
电子政务云平台的规划以新系统建设与旧系统更新作为入手点和扩
展方式,不要求所有系统的同时建设,以增量带动存量,循序渐进,不过度发展。
以小到大原则
以弹性的设计从小入手,根据实际的需求逐渐扩展规模。在保证服务质量的基础上,尽量的降低城市云投资的成本。规模按需扩展。
顶层设计
电子政务云平台将按照基础设施、应用、数据和管理四个层次做整体的统一规划,逻辑图如下:
1.1.基础设施集中规划
电子政务云的基础建设将摒弃传统电子政务分散、独立建设的思路,对基础设施进行统一的规划和建设,而每个政府部门根据不同的业务需求提出对计算、存储、网络等资源的申请,并获得基础设施资源的使用权。
基础设施集中的规划,将进一步释放政府部门的工作难度和工作量:
业务负载与物理资产紧密耦合且互相独立,数据中心被切割成多个IT孤岛,资源无法共享,整个IT基础架构效率低下;
IT基础架构缺乏弹性,无法根据业务需求动态化调整资源供给,难以满足IT服务快速增长的需求,又常常会造成资源的浪费;
IT基础架构响应需求的时间过长,服务质量难以提高,影响企事业单位的真正业务开展;
硬件平台虚拟化和自动化;
服务器、存储和网络等都在一个统一管理、分配的资源池中,底层硬件资源可高度共享,提高了IT基础架构的效率;
根据业务要求具备弹性的伸缩能力,拥有灵活的可适应性;
极其快速的工作负载置备,让业务快速开展起来;
管理难度越来越高,数据中心无法实现更高的自动化,运维成本无法降低;
每年的硬件投入无法预测,或者是硬件成本计划过高,投资保护无法得到控制
侧重在满足业务的服务上,为应用程序屏蔽底层硬件架构的复杂性;
可控的投资成本,更高效的投资保护
通过以上基础设施规划,逐渐将各个委办局的机房逐步统一到电子政务云平台,统一采购、部署、分配、管理,获得灵活、高效、低成本的智能硬件平台。
1.2.政务数据逐步整合
在传统的数据中心架构下,各个业务平台后端是根据不同业务划分的数据空间。不同的业务平台之间可能会有业务的重复或数据的重复,却没有数据的共享和比对。在电子政务云平台的整体规划中,我们要搭建一套更加统一的资源库和数据共享平台,各个业务平台通过政务数据总线将数据集中到数据统一资源库中,形成电子政务信息的数据整合,从而提高业务的更广泛性和数据的重复利用性,降低业务投入和数据获取成本。
统一的政务资源库根据前端业务和应用的不同,生成两种不同开放级别的资料库,即支持公共资源目录的公共资源库和支持交换服务目录的交换资源库。
通过统一的资源和数据集中,一方面使电子政务系统数据可以得到更高效的利用和保护,另一方面,数据的整合的目的从资源的角度来考虑,是数据共享的基础。统一的信息资源库的信息来源于电子政务的数据采集
者,每个政府部门通过各自的数据采集和生成,将可共享的数据通过政府部门间的数据总线提交到数据的共享平台上,实现资源的共享和复用,保护政府投资,提高数据的价值。
建设内容
云中心设计方案
整个部署架构包括从政务外网、政务内网、内外网数据交换摆渡区、县区接入等全面为电子政务云保驾护航。
1.3.政务外网架构设计
1.4.政务内网架构设计
1.5.内外网数据交换摆渡区架构设计
1.6.县区接入设计
其中在应用资源上采用物理机与虚拟机并行的运作方式,而云计算中心所有的关键数据将统一存放在系列存储阵列和存储系统上,选用业务领先厂家的统一管理计算、存储等平台资源。管理平台不仅能够对平台的资源进行管理,并能提供对人员、对项目和事务的统一管理。
以下是对云平台核心区域的设计。
总体框架核心部分有如下几个模块:
(1)应用资源区:将物理主机进行资源池化,生成大量的虚拟机,用来承载大部分的前端和中间层应用服务器,以及小型应用系统(前端、中间层和数据层在同一主机上),此区域将是计算资源池的主要区域;
(2)数据资源区:用来承载较大型的数据库主机或者数据库集群,保证强大的数据处理性能;
(3)运维管理区管理区:用来部署云计算管理平台,实现对云计算的全方位管理;
(4)核心接入区:采用万兆网络和安全设备,对资源接入提供服务,互联政务内网和县区接入平台。
应用资源区建设
1.7.架构设计
在电子政务的业务类型中,对于应用的需求基本属于两类,一类是应用系统部署,一类是数据存储。应用系统关系到数据的安全,需要对应用系统进行安全保护,采用web防火墙,防护来自外部的应用系统防护。
3.2结构设计
数据资源区建设
1.8.架构设计
应用资源区是大尺度的数据中心,所以云计算中心的设计也要基于数据中心不同业务类型与需求分别设计。云计算中心中,对计算资源的需求依旧主要为:数据库业务系统、普通业务系统以及密集型计算业务系统的计算需求。对于这些数据资源,需要进行安全防护,保护数据资源不被外部窃取。
4.2架构设计
运维管理区建设
1.9.需求分析
较之传统的数据中心,云的管理更为复杂,要求也更高。云管理解决方案必须能够高效的、安全的、自动化的管理云中的资源,并完成服务的快速交付,并且必须有服务质量保证措施,因此,云平台的管理解决方案非常
重要,云管理解决方案的好坏影响着云平台是否可按预定目标正常运转、是否可以取得预期的收益。
在云计算中心中,具备大量的计算设备、存储设备、网络设备,虚拟机、物理机,还有不同层级的管理人员,以及在云计算中心中的不同业务和项目需求,资源、人员等需要管理的对象越来越多,如何保证可管理性和简易型,尤其是如何能够进行统一的管理。
良好的管理解决方案带来的数据中心自动化技术可以大大降低数据中心
管理的难度,大幅度提升业务敏捷性、提高服务质量,并获得更好的成本效益。
1.10.架构设计
核心接入系统设计
云计算中心网络子系统包含两部分:
1) 云计算中心接入网络
2) 云计算中心局域网
1.11.设计原则
安全性
网络安全需要从网络安全架构入手,遵从总体的信息安全体系建设,包括安全域的划分、安全技术手段的部署等等;
可靠性
网络架构必须能够达到/超过业务系统对服务级别的要求。通过多层次的冗余连接考虑,以及设备自身的冗余支持使得整个架构在任意部分都能够满足业务系统不间断的连接需求;
网络按区域设计的原则
在云计算中心网络部署中网络分区的划分原则为结合应用进行分区,同时考虑云计算中心未来发展的需要标准性:网络规划遵循业界公认的标准制度一个高兼容性网络架构,确保设备、技术的互通和互操作性,方便快速部署新的产品和技术,以适应业务的快速增长。
可扩展性
网络架构在功能、容量、覆盖能力等各方面具有易扩展能力,以适应快速的业务发展对基础架构的要求;
易管理性
网络架构采用分层次、模块化设计,同时配合整体网络/系统管理,
优化网络/系统管理和支持维护。
1.1
2.接入网络设计
接入网络是云计算中心的一个重要组成部分,是云计算中心与用户连接的纽带。
接入网络负责
云计算中心与外部网络的连接
云计算中心接入线路的管理和调度
网络接入必要的安全防护措施
接入网络的安全设计和规划必须要结合整网安全防护策略进行,因此,需要在总体上进行安全设计和防护策略的规划。
整体规划
作为对外提供服务的区域,目标架构中本区域采用冗余架构,含有中国移动提供的两个互联网出口,设备包含出口路由器,流量清洗设备,链路负载均衡设备,IPS,防火墙,服务器负载均衡设备,其中防火墙要求采用双层异构模式。
各部分设备实现的功能将在下面的部分进行详细描述。
安全规划
接入网络既与核心网相连,又是一个Internet出口,必将是黑客入侵、病毒侵蚀、网络钓鱼欺骗等众多危害的最严重区域,所以此处的安全部署更是不容忽视的地方,建议部署安全设备应具有如下特性:整体设计需要实现如下目的:
L2-L4基础安全防护:通过部署2层异构防火墙实现安全域的划分、访问控制,特别是对DMZ区Web、APP、DB等之间也要实现精细化控制。
L4-L7深度安全防护:通过部署IPS系统实现针对Web等关键服务器的应用层防护,避免网页篡改、SQL注入、植入木马等应用层安全威胁。同时,IPS集成专业的防DDoS攻击能力,对TCPFlood、DNSFlood、UDPFlood、CC等高级攻击进行防护
系统可靠性保障:通过在出口部署链路负载均衡和服务器前端部署应用加速设备,实现针对链路的容错能力、服务器性能优化+负载均衡,保证在突发大流量、系统故障等情况下,系统仍然能够稳定运行。
智能分析监管系统:对全网网络、安全、服务器等设备进行统一的监控、审计和管理,能够实时智能分析出各种网络安全事件,实现分层的网络安全状态监视,从而能够及时智能的安全事件做出处理。
互联网防火墙部署
在Internet出口配置两台万兆防火墙,两台防火墙与链路负载均衡设备之间采取全冗余连接,保证系统的可靠性,
为了保证系统的可靠性,我们建议配置两台防火墙为双机热备方式,在实现安全控制同时保证线路的可靠性,
同时,为了今后的可扩展性考虑,建议防火墙支持策略路由和BGP,便于今后实现旁挂流量清洗设备。