摘要：雲計算技術是基于互聯網的基礎設施服務的集約化建設模式，達到信息化系統以更優化的方式共建共享的目的，無論是在政府或企業等其他領域都具有十分重要的價值和意義。本文就雲計算技術在信息系統管理、安全、運維等方面進行了分析，為進一步促進信息化建設的共建共享提供理論支撐。

現階段，在政府和企業等領域已普遍利用雲計算技術建設了各類雲計算平台（以下簡稱：雲平台），提供計算、網絡、存儲、安全等雲服務，把服務器、網絡、存儲等信息化資源統一接入和管理起來，實現資源的統一調配，快速部署和彈性擴展。通過雲平台對現有信息資源進行有效的整合，滿足各類領域的應用和未來擴展的需求。

1雲平台基礎設施建設

雲平台基礎設施主要包括應用雲平台服務器群和數據庫服務器等設備。通過對服務器資源的統一管理和動态分配，實現多種應用系統的快速部署和性能管控，為多種應用系統提供一個公共服務平台。

1.1雲平台服務器群

1）虛拟機

雲平台服務器群的主要表現形式是虛拟機，基于不同應用系統對服務器的需求，充分利用服務器的物理資源，實現不同需求的應用系統部署在同一個服務器上，更高效地利用有限的物理資源。

2）物理服務器

考慮各應用系統對虛拟機的内存要求較高，物理機選擇時應采用物理機内容較大的服務器。

1.2數據庫服務器

對于重要數據庫服務器，可以采用獨立的高性能服務器。由于數據庫業務對整個服務器的CPU處理性能和内存要求較高，需要保證整個系統的高吞吐和高可靠性，并為全局型應用、資源型應用以及後續準備上線的業務應用系統預留空間。

2雲平台管理系統

雲平台管理系統将物理資源雲化，建立統一的物理資源池，提供一體化的資源動态管理，提供服務器、存儲、網絡的虛拟化功能，支持存儲和計算等資源的高可擴展性。

雲平台管理系統主要功能如下：

1）物理資源管理

雲管理平台系統支持服務器、存儲設備、網絡設備、安全設備等設備的管理。

2）虛拟化資源管理

雲管理平台系統可以統一管理全部的虛拟資源，包括存儲（集中存儲以及分布式存儲）、網絡和計算資源等。

3）監控管理

主要針對雲平台的計算、網絡、存儲等資源進行監控。支持多維度分類監控，方便用戶管理使用。主要有對于計算集群、服務器、虛拟機的CPU占有率、内存占有率、網絡流入流出、磁盤IO、告警;物理機的電源、風扇;交換機的流量;存儲設備總容量，可用容量，剩餘流量，挂載數據、告警統計進行監控。實現對雲平台管理系統的軟硬件資源運行情況的整體把控。

4）自動化運維

自動化運維是管理員通過對雲平台資源配置不同的調度策略，同時實現智能調度管理，提升設備利用率和彈性伸縮。

5）基本角色的訪問控制

可在不同域和組織上創建不同的角色，分配不同的管理權限，包括角色管理、用戶管理、授權、認證、鑒權等功能，是實現雲平台管理系統的安全保障。運維管理可以接入第三方認證服務。

6）安全管理

包括日志安全、操作系統安全、賬戶和密碼安全數據安全管理等。

3存儲備份容災系統

數據是雲平台建設中最重要的資源，數據的完整性、安全性、可用性和管理性是業務正常運轉的必要條件。雲平台數據資源将采用數據集中存儲、本地備份及同城容災的解決方案。建立某數據中心确保數據的安全性，同時部署一套備份設備對重要業務服務器的數據庫和操作系統等進行備份，建立同城異地數據災備中心，應對突發的災難或者事故。

存儲備份容災系統建設目标是保護業務系統的連續性，保證在災難發生時業務系統不中斷和防止誤删除等操作導緻的數據丢失，對生産中心本地業務的備份，保證數據可靠性。

1）業務連續

能夠滿足雲計算平台和物理機集群混合情況下的應用7×24小時不中斷運行。

2）數據安全

能夠滿足虛拟機和物理機、各種通用文件系統和數據庫的備份和恢複。

3）容災擴展

能夠滿足虛拟機和物理機混合環境的數據級和應用級同城容災，兼顧保護現有投資和災備切換便捷性。

3.1數據存儲系統

數據存儲系統采用基于FCSAN架構的集中式存儲 分布式存儲的解決方案，提高設備利用率，解決傳統集中式數據存儲問題。

3.2容災備份系統

容災備份系統通過在某數據中心部署主備存儲系統，同時建立同城異地數據災備中心，應對突發的災難或者事故。容災備份系統通過在某數據中心存儲網關接管主機側的I/O和整合存儲資源，實現同時對主存儲和備份存儲進行寫操作，通過設置輪詢或優先級的方式決定從哪個儲存中讀取數據，采用同城容災的方式可以避免自然災害和設備自身原因引起的數據丢失，确保業務的連續性。

1）數據備份容災

主存儲和災備存儲之間通過虛拟化網關集群的鏡像功能，存儲網關同時向兩個存儲下發I/O，兩台存儲均寫完後向主機層返回寫完成信号，再次寫下一個I/O。從而保障了數據實時嚴格一緻，且兩台陣列之間沒有主備的概念，一旦任意一台故障，另外一台繼續為上層應用提供數據讀寫，上層業務無感知，業務零中斷。

根據容災業務系統可知，主存儲和備份存儲容量保持一緻，采用數據鏡像方式。對數據安全的威脅主要有物理故障和邏輯錯誤兩方面，兩方面都要防範。根據架構設計方案的規劃，容災容量與存儲容量保持一緻并适當預留。

2）應用級容災

容災備份系統需實現對雲平台内重要的應用、數據和操作系統進行應用級備份，實現應用級容災，确保應用的連續性。

4雲平台安全體系

安全建設，是各信息系統建設不可或缺的一部分。雲平台應根據本業務部門的安全需求，建設滿足相應的信息系統安全等級保護的要求。

雲平台安全體系包括資源抽象與控制層安全、雲服務層安全以及雲安全基礎服務五個方面内容，其中雲服務層安全包含IaaS安全、PaaS安全和SaaS安全。雲平台安全體系框架圖如圖所示。

1）物理資源層安全

物理資源層安全是指政務雲運行所需的機房運行環境安全，以及主機、存儲和網絡等設備的安全。

2）資源抽象與控制層安全

①利用安全加固技術作為資源抽象與控制層安全的穩定運行的有力保障，能夠及時修複虛拟化相關技術漏洞。

②采用虛拟化重定向技術限制政務雲IaaS層對物理資源層的直接訪問，保證IaaS層服務對物理資源層的調度和管理均在資源抽象與控制層内完成。

③通過采用内存獨占模式來保證虛拟内存地址的唯一性，不同虛拟化實例間無法共享内存，互相之間無法訪問。

④通過采用分布式離散存儲技術來保證虛拟化實例的獨立性和高可用性，部分數據損壞不會影響其常使用，損壞的數據可以自動修複。

⑤采用數據鍊路層、網絡層訪問控制技術實現對不同虛拟化實例的有效隔離，和對以太網畸形協議訪問等攻擊行為的隔離。

⑥對資源抽象與控制層的運維操作實時監控和審計，系統管理員和審計管理員賬号及權限分離。

⑦對于多用戶模式，在同一物理計算、内存和存儲資源被回收後，支持按策略徹底釋放和完全清除虛拟化實例數據。

3）雲服務層安全

雲服務層安全主要是為基礎設施安全提供抵禦分布式拒絕服務和應用攻擊等網絡行為的能力，基礎設施主要包括雲服務器、雲存儲和雲網絡等。

①雲服務器的安全要求如下：

a）雲服務器之間應安全隔離，雲服務器對外部公共網絡的訪問要做到嚴格管控。

b）不同雲服務器用戶的默認隔離，對不同雲服務器間端口和通信協議做到有效的訪問控制。

c）保障雲服務器安全策略有效性，安全策略随雲服務器的遷移而遷移。

d）雲服務器應在鏡像生産環節通過加入協議級、服務級、必要的補丁升級及防入侵安全客戶端等措施實現安全加固。

e）雲服務器應保證其鏡像和快照文件的完整性，防止被惡意篡改，鏡像和快照文件應具備容災措施。

②雲存儲安全要求如下：

a）利用分布式離散存儲技術保存雲用戶數據，隔離不同雲用戶之間的存儲數據。

b）利用通訊鍊路加密技術保障雲端用戶數據和本地用戶數據的通訊安全。

c）根據策略對雲用戶敏感數據信息提供加密存儲，雲提供方不得掌握密鑰。

d）利用雲端存儲空間訪問權限控制技術保證雲端數據的最小授權訪問，從而防止系統管理員對雲用戶數據的非授權訪問，以及雲用戶間的數據非授權訪問。

③雲網絡安全要求如下：

a）提供安全的訪問控制手段，實現專有雲網絡對外部公共網絡的訪問控制。

b）提供安全接入通道，保障雲用戶通過公網或VPN（虛拟專網）接入專有雲網絡。

c）提供雲網關、雲防火牆等訪問控制措施，實現雲用戶對專有雲網絡的訪問控制，實現專有雲網絡内部之間的訪問控制。

5 結論

基于雲計算技術的信息系統，相關部門可直接在雲平台部署建設各自的業務系統和數據系統，不再需要單獨自建、更新和升級硬件環境，不再需要考慮應用實現的技術細節，可大大提高基礎設施的利用率和業務的部署效率，可進一步促進基礎信息共享，優化現有業務系統、業務流程和工作模式，提高各部門信息化條件下履行職責的能力，進一步提升我省政務服務的能力和水平。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!