李震 杨海亮

（南京水利科学研究院 江苏省南京市 210029）

随着云计算、大数据、物联网、移动互联网、人工智能等信息技术的高速发展，当前科研院所信息化建设正在从网络化、数字化向智能化转型，智慧院所建设方兴未艾。作为承载科研院所业务的信息化服务平台，应从基础设施、支撑平台、业务软件等各层面进行整合，构建基础设施即服务、平台即服务、软件即服务的一站式云计算服务架构，实现科研资源的共享和业务协同。

1 云计算的概念

云计算是一种提供动态资源池、虚拟化和高可用性的计算模型[1]。它将计算任务分布在大量计算机构建的资源池上，可以根据计算任务的需求分配相应的计算、存储、软件、带宽和信息服务资源，其服务类型有IaaS、PaaS、SaaS 三种，如图1所示。

IaaS 将服务器、存储、网络等基础设施封装为服务供用户使用，其优势是允许用户动态申请、增加、减少或释放计算资源。在IaaS环境下，用户类似于使用实体服务器和存储，既可以自由选择操作系统，也可以自定义软件开发运行环境，但面对多节点计算任务的时候，用户必须考虑各节点计算任务的协同问题。

PaaS 一般构建在IaaS 之上，也可以基于基础设施构建PaaS，PaaS 可以为用户提供应用程序的运行环境。当PaaS 和IaaS 共存时，应提供统一管理平台对计算资源和相关服务进行全生命周期的管理和监控。PaaS可以对资源进行动态扩展、缩减，以及相应的容错管理，用户可以不用考虑各节点相互之间的配合问题，代价是牺牲用户的自主选择权，用户必须使用特定的系统环境和开发运行环境[2]。

SaaS 是一种软件应用模式，既不同于IaaS 提供基础资源服务，也不同于PaaS 提供系统应用环境，它将相应的软件功能封装为定制化的服务，供特定的用户进行调用。SaaS 改变了传统软件服务的提供方式，降低了本地部署所需的成本，凸显了软件的服务属性。

2 云计算服务平台架构

云计算服务平台提供信息化基础资源，在此基础上部署各类业务应用环境和管理运营系统，为用户提供虚拟主机、系统开发部署环境、定制化的应用服务等。科研院所的业务涉及科研、科技开发、综合办公、项目管理、人力资源管理、财务管理、物资设备管理等多个方面，云计算服务平台应当具备安装部署容易、运行稳定可靠、资源扩缩便捷、安全保障有效、运维管理方便等特征[3]。

平台总体架构由物理层、资源抽象控制层和云服务层组成，如图2所示。物理层主要包括服务器、存储、网络等信息化基础设施，是形成资源池的硬件基础；资源抽象控制层主要包括虚拟计算资源池、虚拟网络资源池、虚拟安全资源池、分布式存储资源池等；云服务层包括IaaS 服务（云主机、云存储、云安全等）、PaaS 服务（中间件、数据交换平台、开发测试平台等）、SaaS 服务（科学计算、协同办公、网站群等）。云安全防护体系提供DDoS 防御、漏洞扫描、租户隔离、认证审计等功能；运行监控及维护管理体系提供设备、配置、镜像、备份、日志、监控、报表等管理功能；云服务管理体系提供服务目录、用户管理、流程管理、计费管理等功能。云计算服务平台部署拓扑图见图3。

图1：云计算服务类型

图2：云计算服务平台架构图

云计算服务平台的网络安全规划和部署是云基础架构建设的重要环节，需要充分考虑环境安全、技术安全和管理安全[4]。在网络层面可以采取双链路模式，避免单点故障；使用防火墙、网页防篡改、入侵检测、漏洞扫描等安全设备来提供基本的防护能力；部署备份系统对虚机、系统和重要数据进行备份，制定合理的备份策略，定期开展还原演练，防止故障并降低损害；部署威胁感知等系统，快速发现网络攻击并及时处置，提升主动防御能力。除了合理配置网络安全设备、科学制定网络安全策略以外，加强制度建设和内部管理也是非常重要的，只有管理和技术“双管齐下”，参照业界通用的分析方法和国家《信息安全风险评估指南》《信息系统安全等级保护基本要求》，科学制定安全总体架构才能建立健全云计算服务平台防御体系[5]。

图3：云计算服务平台部署图

3 业务数据迁移与运维管理

保证业务应用的连续性是业务迁移的核心要求，南京水利科学研究院业务“上云”之前普遍采用传统服务器加存储的模式，部署在物理机或早期虚拟化平台的各类业务应用及数据需要平滑迁移到云计算服务平台上，因此业务迁移通常包括P2V 和V2V 两种模式，存在着跨系统、跨平台的复杂性和不确定性。首页要认真开展调研、分析和论证，必要时进行相关的测试，制定科学合理规范的迁移方案和应急回退方案，选择合适的技术路线，减少和避免因人为错误导致的故障，按照“先易后难”的原则在计划日程内完成业务系统的迁移工作，做到业务停顿时间最短、影响范围最小。

数据迁移一般分阶段实施，迁移要确保数据的安全性，避免数据损失、丢失等风险。在数据迁移过程中要尽量缩短停机时间，同时尽量避免给在用主机带来不必要的风险，造成业务系统非计划宕机。由于之前运行的大多数应用系统都是基于数据库开发的，所以在数据迁移的过程中要保证数据一致性，避免数据迁移后系统无法正常启动运行等风险。为了确保数据迁移的安全、可靠，数据迁移工作需要用户、原系统开发方和相关设备厂商的技术人员共同完成。

在云计算服务平台建设之前，对“散装”的服务器和系统进行运维是一件非常困难的事，消耗了大量的人力物力，管理粗放，资源利用率低，管理成本高。云计算服务平台基于VDC（虚拟数据中心）模式，为各部门的业务提供不同的资源服务，将信息化资源的建设与使用进行剥离，通过统一的运维管理体系，可以实现“按需分配、动态调整”的资源管理要求。平台的运维系统向内可以对资源进行监控、分析、统计和预警等，实现日常运维、变更管理和运营分析等功能，向外提供统一运维管理接口。

4 成效

云计算服务平台投入运行，成为科技创新信息化支撑条件建设的“里程碑”。平台整合信息资源，实现信息共享，为科研人员快速搭建计算环境、开发模型软件、部署业务应用构建了基础服务平台，真正做到“即插即用”，提升了科研效率；平台按需分配调度管理信息化资源，资源利用效率大幅提升，以网站系统为例，“上云”前占用3 台物理服务器，使用6 个CPU（共计48 核），“上云”后改用3 台虚拟服务器，占用10 核CPU，不到“上云”前的四分之一；通过虚机“漂移”和存储“双活”等技术以及异地备份等策略，平台的稳定性可靠性明显提高，原来物理服务器恢复系统、应用和数据往往需要几小时甚至数十小时，“上云”后虚机灾备恢复缩短到几十至十几分钟；平台基本构建较为完善的网络安全防护体系，对比各系统原来“单兵作战”安全防护方式，既提升了安全防护能力又节省了费用。

5 展望

随着新一代信息技术应用不断深入，云计算服务平台实现“IT基础设施”的“按需使用、动态调整”仅仅是初步的实践与探索，为后续智慧院所的建设奠定了良好基础条件。随着“上云”业务越来越多，云计算服务平台资源优化调度的重要性日益凸显，要准确度量各系统对资源的需求量，又要及时科学地根据需求变化动态调整资源分配。“上云”的应用系统包括：内部管理业务系统、互联网应用系统、科研应用系统、高性能计算系统、测试系统、运维管理系统等，需要根据应用系统的业务特点和安全防护需求合理划分安全域，针对不同的安全域分别制定安全策略、落实防护措施，进一步确保云计算服务平台的安全。