省级电子政务云平台运维管理方案
目录
第1章政务云项目背景及需求分析 (1)
1.1 建设目标 (1)
1.2 建设范围 (1)
1.3 建设任务 (2)
第2章运维管理平台建设方案 (4)
2.1 系统总体架构 (4)
2.1.1 IT架构面临的问题 (4)
2.1.2云管理平台架构新思考 (6)
2.1.3云管理平台总体架构 (10)
2.2 云平台统一门户设计 (11)
2.2.1系统开发集成接口 (11)
2.2.2系统同ITSM系统告警对接方案 (12)
2.2.3现有ITIL/CMDB系统定制化集成 (12)
2.2.4支持SSO集成 (12)
2.2.5 API接口 (14)
2.2.6定制化能力 (14)
2.3 云运营管理系统设计 (16)
2.3.1总体架构 (16)
2.3.2运营服务门户 (17)
2.3.3权限管理 (18)
2.3.4资源池规划 (19)
2.3.5虚拟数据中心(VDC) (22)
2.3.6应用管理 (27)
2.3.7运维服务评价考核管理平台 (31)
2.3.8服务受理与交付服务 (33)
2.3.9质量和绩效管理 (39)
2.4 云资源管理系统设计 (41)
2.4.1物理资源监控管理 (41)
2.4.2虚拟资源监控管理 (60)
2.5 云运维管理系统设计 (72)
2.5.1总体架构 (72)
2.5.2运维服务门户 (73)
2.5.3权限管理 (74)
2.5.4平台日常维护 (75)
2.5.5故障管理 (80)
2.5.6主动智能运维 (84)
2.5.7报表管理 (85)
2.5.8软件测试平台管理 (86)
2.5.9施工管理 (87)
2.6 云平台服务内容设计 (90)
2.6.1云主机服务 (90)
2.6.2云主机镜像服务 (92)
2.6.3云存储服务 (93)
2.6.4 VPC虚拟私有云服务 (94)
2.6.5弹性负载均衡服务 (96)
2.6.6云防火墙 (97)
2.6.7云数据库服务 (100)
2.6.8虚拟数据中心VDC服务 (102)
2.7 设备选型和参数配置 (103)
2.7.1系统规格 (103)
2.7.2物理部署架构 (104)
第1章政务云项目背景及需求分析
1.1 建设目标
以《国务院办公厅关于促进电子政务协调发展的指导意见》为指导,统筹推进湖南省电子政务基础设施提升、电子政务业务系统协同发展、信息资源共享共用和数据开放利用;按照湘府阅[2015]53号文件要求,以资源整合、集约建设、稳步推进为原则,建成安全可靠、统一高效、国内领先的云计算平台并开展示范应用,为全省各级部门提供弹性的云计算和云存储能力、政务外网承载服务与应用能力,基本满足省直部门“十三五”期间非涉密业务的统一网络、计算资源、存储资源、数据库服务、备份服务、安全服务等需求,提升政府效能,促进政府管理创新,达到简政、兴业、惠民的目标。
1.2 建设范围
省级电子政务外网主要满足各级政府部门社会管理、公共服务等方面的需求,为各省直部门的非涉密电子政务业务提供承载服务。
本次建设省级电子政务外网统一云平台,总体框架为“1+2+N”,即“1网、2中心、N多应用云”,省本级政务大数据中心,初步形成“8+3+5”的基本框架。具体业务目标主要包括:
“一个网络”——优化升级电子政务外网平台,满足省直部门间以及省到市、市到县网络传输和承载的需求;
“两个中心”——建设云计算中心、大数据中心,满足省直部门十三五期间非涉密业务需求,为政府领导提供科学、合理的决策支持。
“N 朵应用云”——建设基于云平台的N 个全省性应用系统,包括政务服务、政务管理、政务行业、政务决策和政务办公等领域。
“8大基础数据库、主题数据库”——完成人口、法人、宏观、地理空间、政务服务信息、工商企业、信用信息、电子证照等8大基础数据库、主题数据库
的建设、迁移、备份共享;
“3大平台”——完成大数据智能分析平台、数据交换和共享平台、数据开放平台3大平台;
“5大示范工程”——完成全省旅游大数据分析、12345服务平台、区域经济脸谱大数据分析、湖南省互联网产业发展状况分析、湖南省政府网站群智能监测分析5大示范工程;
建设建设统一的安全体系;
建设统一运维管理机制;
设计迁移策略,完成部分系统的迁移;
明确云平台建设、管理、运营模式,节约投资,提升服务质量。
1.3 建设任务
充分考虑省级电子政务外网统一云平台计算、存储资源需求的阶段性和应用系统建设的复杂性,为了保证投资的有效使用,采用分期建设的原则。
(一)第一期——2016年
1.完成湖南省电子政务外网的升级改造;
2.建设40%的计算、存储资源;
3.启动大数据中心建设;
4.启动N朵云建设。
(二)第二期——2017年
1.建设60%的计算、存储资源;
2.完成灾备中心建设;
3.完成大数据中心建设;
4.完成N朵应用云的部分建设。
(三)第三期——2018年-2020年
1.全面完成N应用朵云建设。
其中,本期云平台基础设施部分的建设任务具体包括以下:
完成湖南省电子政务外网升级改造(含安全平台);
建设主数据中心、同城双活数据中心40%的计算、存储资源,数据交换和共
享平台;
建设政府协同办公平台、政务安全邮箱;
提供省政府门户网站群五年的运维服务;
提供统一的运维管理服务(五年),确保本期建设的政务外网、安全体系、云计算中心安全稳定运行。
第2章运维管理平台建设方案
2.1 系统总体架构
2.1.1 IT架构面临的问题
1)传统IT面临的困境
近几年云计算在全球范围内得到了迅猛的发展,IT基础架构平台的规模和复杂程度出现了大幅度的提升,与此同时,很多政府单位的数据中心却因为这种提升而面临着新的困境。
?高昂的成本支出和管理运营成本。
数据中心内的服务器数量、网络复杂程度以及存储容量急剧增长,随之带来的是高昂的硬件成本支出以及运营成本支出(包括电力、制冷、占地空间、管理人员等)。
?缓慢的业务部署速度。
新的服务器、存储设备和网络设备的部署周期较长,整个过程包括硬件选型、采购、上架安装、操作系统安装、应用软件安装、网络配置等。一般情况下,这个过程需要的工作量在20~40小时,交付周期为4~6周。
?分散的管理策略。
数据中心内的IT基础设施处于分散的管理状态,管理员遵循“根据最坏情况下的工作负载来确定所有服务器的配置”这一策略导致服务器的配置普遍过高,容易出现大量“只安装一个应用程序”而未得到充分利用的x86服务器,同时缺少统一的集中化IT构建策略,无法对数据中心内的基础设施进行监控、管理、报告和远程访问。
2)虚拟化后的迷茫期
为了解决集中的大规模IT基础设施资源利用率不足的问题,从计算虚拟化、存储虚拟化,到网络虚拟化、L4-L7层服务虚拟化,以降低成本、提升IT运行灵活性、提升资源利用率为目标的各类虚拟化技术开始在政府数据中心中进行部署。
通过虚拟化技术,一方面可以提高硬件效率,另一方面也大幅提高服务器上线效率,服务器上线所需的时间从原来的以周或月为单位减少到现在的以小时或
分钟为单位,大大改善了政府的业务应变能力。虚拟化技术的普及,改善了政府IT建设面临的成本支出和业务部署速度问题,同时也提高了设备利用率。但新技术的引入同时也带来了新问题和新需求。
图虚拟化后新问题
在虚拟化前,每个业务系统具有独立的IT资源,虚拟化后,多个系统共享IT资源池,这样就会导致资源边界不明确,从而导致以下新问题:随着虚拟化技术的大量应用,逻辑设备的数量增加,同时也带来了配置管理的工作压力,手动配置每一个虚拟设备并上线成为了管理员的噩梦,自动化需求应运而生;
应用管理员关注应用的部署,安全管理员关注安全策略的实施,而如何将应用和安全策略部署到IT基础架构,如何实现部署过程的便捷化,实现系统协同和资源整合,成为提升IT运行效率的关键。
图如何满足云计算模式下的应用部署
当前的现实是,网络管理、存储管理、计算管理是割裂的三大系统,导致所有的应用和安全策略部署,不得不面临多系统的协同配合,以及大量的人工操作。如何实现应用在IT系统(服务器、存储、网络、终端系统)的协同部署,智能化的自动化部署,实现更加高效,便捷的新IT架构,是摆在政务云中心面前最直接的问题。
2.1.2 云管理平台架构新思考
1)政府IT基础架构演进
资源虚拟化、资源池化等技术的快速普及,使得IT基础架构资源的供给方式开始发生变化,以跨越异构、动态流转的资源池为基础提供给政府云中心可自治的服务方式逐渐成为新的趋势,IT基础架构开始实现资源的按需分配、按量计费。
如下图所示,按需服务的新型服务模式导致资源规模化、集中化,让政务专有云的建设和运维统一集中到区政府云中心,各委办局单位更加关注于自己的业务和资源需求,从而提高了政务云平台建设的效率和弹性,让政府IT系统帮助和促进政府IT服务的转型,让政府信息中心成为一个价值部门,而不是永远停留在IT维护部门的角色。
图资源按需交付
在这种按需服务的建设思路下,各委办局数据中心都会逐渐统一在政务云中心部门下,实现政府IT建设的资源集中化、规模化,能够实现对各类异构软硬件基础资源的兼容,还能够实现资源的动态流转,支持异构资源和实现资源的动态流转,可以更好的利用资源,降低政府云计算基础设施建设成本。
各委办局单位无需自建基础系统,可以更加专注于自己的业务,委办局用户可按需获取基础设施资源,通过云中心的自服务门户,按需申请,按使用量付费
和结算。
2)自动化所面临的挑战
基础架构资源的整合,对计算、存储、网络的自动化和资源整合提出了新的挑战,并带动了一系列技术、架构、商业模式的变革。
传统模式下,服务器、网络和存储是基于物理设备连接的,因此,针对服务器、存储的访问控制、QoS带宽、流量监控等策略基于物理端口进行部署,管理界面清晰,并且设备及其对应的策略是静态、固定的。
在虚拟化的基础架构中,服务器、网络、存储等都采用了虚拟化技术,形成了资源池的概念和形态。所谓资源池(Resource Pool),是一组可重用资源的集合,提供对外共享的资源服务,同时提供对于共享资源的管理机制,在集合(资源池)中的资源可回收再分配,如下图所示。计算、网络、存储资源均实现可动态分配、回收、配置,在不牺牲效率、设备利用率和扩展性的前提下,降低了资本支出(CAPEX)和运营支出(OPEX),提高了运行效率。
图虚拟化技术构建资源池
构建资源池的关键在于需要解决以下两个问题:
虚拟资源的组成单位是什么,按照什么粒度来分配,是否可回收再分配?
虚拟资源和物理资源的映射关系是什么,如何从物理资源上创建虚拟资源?
计算虚拟资源的最小粒度是以虚拟机为分配单元,存储虚拟资源的最小粒度是以存储空间或者虚拟卷为分配单元。而网络虚拟化的情况则最复杂,虚拟网络资源的最小粒度仅仅依靠虚拟网络设备是不够的,还需要解决虚拟网络路径的分配问题,这就意味着网络虚拟化需要同时处理设备虚拟化和路径虚拟化,将计算资源、存储资源、用户连接在一起的同时保障路径的隔离、独立和连通性,这是
一个艰巨的任务。
图网络虚拟化
挑战一:网络自动化,完成网络的虚拟化、实现自动化的网络路径连通性。
只有网络能够充分感知到计算资源池、存储资源池和用户访问的动态变化,才能进行动态响应,为新创建的计算资源、存储资源提供即时的网络接入,同时保障网络的路径连通性和网络策略的一致性,让用户能够即时的访问到计算、存储资源。
为了解决网络虚拟化之后的自动化问题,网络控制器必不可少。如果没有这个集中控制点,管理员就需要通过人工干预和手工配置虚拟网络老适应计算存储资源的变化,会大大降低云计算平台的灵活性、可扩展性。
作为网络资源池的唯一控制点,网络控制器需要实现网络虚拟化,通过网络分片实现网络的纵向隔离和虚拟化,通过网络节点虚拟化,自动为接入网络的计算资源、存储资源、用户提供接入策略、接入控制等服务,同时提供网络动态调整的能力,满足动态的网络容量规划要求。由于在基础架构层面实现网络、计算、存储、终端等资源相互联动的可行性很低,必须在虚拟控制层面打通,这就要求计算控制器、网络控制器、存储控制器之间能够进行有机的融合,形成一个统一的融合控制器。
图自动化需要控制器
挑战二:跨领域的资源管理和业务统一编排,实现计算、存储、网络资源的整合,形成一个有机的、可灵活调度和扩展的资源池,面向应用实现自动化的部署、监控、管理和运维。
而当前的现实是,网络管理、存储管理、计算管理是割裂的三大系统,应用管理员关注应用的部署,安全管理员关注安全策略的实施,所有的应用和安全策略部署,不得不面临多系统的协同配合,以及大量的人工操作。如何将应用和安全策略部署到IT基础架构,如何实现部署过程的便捷化,成为提升政务云平台运行效率的关键。
应用的部署不再仅仅限于单个领域资源的申请和使用,而是会跨越多个领域,使用计算、存储、网络、安全、LB、DNS等各个领域的资源,通过引入跨领域的统一资源管理,能够更有效的利用资源,更快速的响应。
图跨领域的资源管理
跨领域的资源管理解决的是资源的综合利用和资源统一管理问题,势必涉及
到资源生命周期管理,包括资源申请、分配、回收、监控等,需要全新的交付模式和交付手段,自服务门户会逐渐成为虚拟资源管理的主要形式。
图自助服务门户
2.1.3 云管理平台总体架构
云管理监控平台系统是湖南省省级政务云服务平台的技术支撑系统。该系统为平台运营人员、运维人员、用户提供对应的操作界面和操作系统,提供运行服务、运行维护和运行保障服务提供支撑服务。
系统总体架构如下:
2.2 云平台统一门户设计
运管平台可以与本项目相关的信息系统进行集成,调用其它信息系统的功能或为其他信息系统提供必要的数据,实现业务流程的端到端配合和自动化。
2.2.1 系统开发集成接口
系统对外接口
北向:提供标准的服务和运维北向接口和周边运营运维系统对接
南向:通过设备Driver 和OpenStack/资源池适配包兼容管理各异构设备和资源池东西向:提供同4A ,短信/邮件网关,ITSM 系统的对接能力。
2.2.2 系统同ITSM 系统告警对接方案
告警转工单方案
2.2.3 现有ITIL/CMDB 系统定制化集成
可与客户现有ITIL/CMDB 系统定制化集成,构筑以ITSM 流程为中心的运维。
● 支持按多个维度(设备、位置、客户、告警级别等)设置告警故障
自动工单规则
● 支持按根据策略自动创建告警故障工单
● 支持处理告警时手工创建告警故障工单
● 事件关闭时,自动清除关联的告警(可选)
2.2.4 支持SSO 集成
基于标准的CAS SSO Server 提供了完整的单点登录集成方案,支持CAS SSO Client 的第三方软件统可以单点登录集成。
各个部件也可以作为CAS SSO Client 集成到第三方的 CAS SSO
告警管理
3rd ITSM