省级电子政务云平台总体架构设计
目录
第1章建设目标、范围、任务 (1)
1.1 面临的问题与挑战 (1)
1.1.1 信息化建设条块分割 (1)
1.1.2 电子政务建设机制有待完善 (1)
1.1.3 投融资模式创新不足 (2)
1.1.4 部分云平台建设完成后应用效果不理想 (2)
1.2 建设目标 (3)
1.3 建设范围 (3)
1.4 建设任务 (4)
第2章总体架构 (6)
2.1 设计依据及原则 (6)
2.1.1 设计依据 (6)
2.1.2 设计原则 (8)
2.2 总体架构设计 (9)
2.2.1 云平台总体架构 (9)
2.2.2 本期建设总体部署架构 (11)
2.2.3 网络整体架构设计 (12)
2.2.4 广域网架构设计 (14)
2.2.5 城域网架构设计 (15)
2.2.6 数据中心架构设计 (16)
2.2.7 两地三中心架构设计 (17)
第1章建设目标、范围、任务
1.1面临的问题与挑战
云计算给电子政务破局带来希望,同时我们也应看到,刚刚兴起的云计算在发现道路上还存在着一些挑战,包括云服务模式、安全问题、标准问题以及在云应用方面的深入探索等。
1.1.1 信息化建设条块分割
电子政务方面,项目建设经费来源多样,有发改委的工程项目、财政部的行政经费、科技部的专项资金等等,各条线有各条线的管理要求电子政务建设在国家层面尚未形成统一的管理体系。从各部委电子政务系统建设的布局来看,由于各部委信息化建设是在一种分散体制下展开的,一个部委一个“金”字工程,一个办、厅、局一批信息系统,最终造成了国家电子政务信息孤岛、重复建设、纵强横弱等问题。各部委的信息化投入越多,形成的信息化壁垒就越高,严重影响了电子政务的投资效率和产出成果。未来政务云平台设计和建设,需要从技术上,基于平台实现各委办局信息系统的互联互通,打破信息孤岛,实现建设和应用上的统筹及协同,避免重复建设,减少投资。同时,逐步整合政府大数据资源,加大资源利用效率。
1.1.2 电子政务建设机制有待完善
目前,我国大多数地区在建设云平台的时候不得不面对的问题,就是在整合
电子政务建设中的行政壁垒,这也是造成各部委办局的信息系统之间相互独立,在信息系统资源的综合开发应用方面较少,信息孤岛的现象普遍存在的主要原因。尽管云平台的建设从技术上为消除信息孤岛提供了可能和有力支撑,但真正的消除信息孤岛还需要体制的配套和相关部门的配合。因此,在政务云平台顶层设计中,要加强组织机制方面的设计与完善,构建良好的建设软环境,消除建设中的行政壁垒。
1.1.3 投融资模式创新不足
建设统一云平台,意味着一次性建设和投入规模扩大,按照以往完全政府投资和运营的模式,会导致政府的财政支出压力变大,在很大程度上影响了建设和应用推进进度。要解决此问题,需要在顶层设计中,就要考虑投融资模式创新的问题,并加强后期持续运营模式的设计,既减少政府持续运维投入,又可实现专业商业化运营,实现前期投资的保值和增值。
1.1.4 部分云平台建设完成后应用效果不理想
就技术而言,云计算技术可以推动实现信息系统资源较高水平的整合与共享。然而在实施过程中,很多地区云平台建设主要有IT 企业规划设计,这些企业主要目标就是实现自身产品的销售,所以往往夸大基础硬件资源建设规模,对部署在云平台上的应用考虑有限,造成云平台使用率不高,云计算技术的潜能和优势无法充分发挥。建议在云平台建设初期,一定要以需求为导向,由第三方专业研究设计机构进行中立、公正的设计,做好业务应用规划及演进计划,确保后期持续运营效果。
1.2建设目标
以《国务院办公厅关于促进电子政务协调发展的指导意见》为指导,统筹推进省电子政务基础设施提升、电子政务业务系统协同发展、信息资源共享共用和数据开放利用;按照湘府阅[2015]53号文件要求,以资源整合、集约建设、稳步推进为原则,建成安全可靠、统一高效、国内领先的云计算平台并开展示范应用,为全省各级部门提供弹性的云计算和云存储能力、政务外网承载服务与应用能力,基本满足省直部门“十三五”期间非涉密业务的统一网络、计算资源、存储资源、数据库服务、备份服务、安全服务等需求,提升政府效能,促进政府管理创新,达到简政、兴业、惠民的目标。
1.3建设范围
省级电子政务外网主要满足各级政府部门社会管理、公共服务等方面的需求,为各省直部门的非涉密电子政务业务提供承载服务。
本次建设省级电子政务外网统一云平台,总体框架为“1+2+N”,即“1网、2中心、N多应用云”,省本级政务大数据中心,初步形成“8+3+5”的基本框架。具体业务目标主要包括:
“一个网络”——优化升级电子政务外网平台,满足省直部门间以及省到市、市到县网络传输和承载的需求;
“两个中心”——建设云计算中心、大数据中心,满足省直部门十三五期间非涉密业务需求,为政府领导提供科学、合理的决策支持。
“N 朵应用云”——建设基于云平台的N 个全省性应用系统,包括政务服务、政务管理、政务行业、政务决策和政务办公等领域。
“8大基础数据库、主题数据库”——完成人口、法人、宏观、地理空间、政务服务信息、工商企业、信用信息、电子证照等8大基础数据库、主题数据库的建设、迁移、备份共享;
“3大平台”——完成大数据智能分析平台、数据交换和共享平台、数据开放平台3大平台;
“5大示范工程”——完成全省旅游大数据分析、12345服务平台、区域经济脸谱大数据分析、省互联网产业发展状况分析、省政府网站群智能监测分析5大示范工程;
建设建设统一的安全体系;
建设统一运维管理机制;
设计迁移策略,完成部分系统的迁移;
明确云平台建设、管理、运营模式,节约投资,提升服务质量。
1.4建设任务
充分考虑省级电子政务外网统一云平台计算、存储资源需求的阶段性和应用系统建设的复杂性,为了保证投资的有效使用,采用分期建设的原则。
(一)第一期——2016年
1.完成省电子政务外网的升级改造;
2.建设40%的计算、存储资源;
3.启动大数据中心建设;
4.启动N朵云建设。
(二)第二期——2017年
1.建设60%的计算、存储资源;
2.完成灾备中心建设;
3.完成大数据中心建设;
4.完成N朵应用云的部分建设。
(三)第三期——2018年-2020年
1.全面完成N应用朵云建设。
其中,本期云平台基础设施部分的建设任务具体包括以下:
完成省电子政务外网升级改造(含安全平台);
建设主数据中心、同城双活数据中心40%的计算、存储资源,数据交换和共享平台;
建设政府协同办公平台、政务安全邮箱;
提供省政府门户网站群五年的运维服务;
提供统一的运维管理服务(五年),确保本期建设的政务外网、安全体系、云计算中心安全稳定运行。
第2章总体架构
2.1设计依据及原则
2.1.1 设计依据
遵循但不限于下列相关国际、国家和行业标准如下:
1)国务院各级政府标准、规范、政策及其指导文件:
《基于云计算的电子政务公共平台》系列标准
?《电子政务标准化指南》系列标准
?《政务信息资源交换体系》系列标准
?GB/T21062.1-2007 政务信息资源交换体系第1部分总体框架
?GB/T21063.1-2007 政务信息资源目录体系第1部分总体框架
?GB/T25647-2010 电子政务术语
?GB50174-2008《电子信息系统机房设计规范》
?GB50462-2008《电子信息系统机房施工及验收规范》
?《国家电子政务工程建设项目管理办法》(国家发改委令第55号)
?《国家电子政务“十二五”规划》(工信部规[2011]567号)
?《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)
?《“十二五”国家政务信息化工程建设规划》(发改高技[2012]1202号)
?《基于云计算的电子政务公共平台顶层设计指南》(工信信函[2013]2号)
?GB/T21064-2007《电子政务系统总体设计要求》
?GB/T20988-2007《信息系统灾难恢复规范》
?GB/T21061-2007国家电子政务网络技术和运行管理规范
?《中华人民共和国计算机信息系统安全保护条例》(1994国务院147号令)
?《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
?《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
?《电子政务信息安全等级保护实施指南(试行)》(国信办[2005]25号)
?《信息安全等级保护管理办法》(公通字[2007]43号)
?《关于开展信息安全等级保护安全建设整改工作的指导意见》(公安部[2009]1429号文)
?GB17859-1999计算机信息系统安全保护等级划分准则
?GB/T22239-2008《信息系统安全等级保护基本要求》
?GB/T22040-2008《信息系统安全等级保护定级指南》
?GB/T25058-2010《信息系统安全等级保护实施指南》
?GB/T25070-2010《信息系统等级保护安全设计技术要求》
?GB/T28448-2012《信息系统安全等级保护测评要求》
?GB/T28449-2012《信息系统安全等级保护测评过程指南》
?ISO17799:2005信息安全管理体系实施细则
?ISO/IEC27001:2005信息安全技术信息安全管理体系要求
?ISO-9000(2000)质量管理
?ISO20000-1:2005IT服务管理规范
?ISO20000-2:2005信息技术服务管理规范
?ITIL标准IT服务管理标准库
?ITSS国家信息技术服务标准
?国家其它相关的法律法规及有关强制性的标准和规范
2)国际标准规范:WS-*、SOAP、JMS、XML、IS027001云服务安全认证、IS020000、云安全联盟C-Star等。
2.1.2 设计原则
遵循“四统一”原则。统一领导,分步实施;统一建设,资源共享;统一管理,保障安全;统一服务,注重成效。
(一)统一领导,分步实施
加强云平台领导小组的职责,牵头制定云平台顶层规划设计,统筹基础设施、重大工程建设实施,指导协调部门应用发展。
(二)统一建设,资源共享
统筹建设省级电子政务外网统一云平台,整合信息资源,逐步实现政务信息资源(人口库、法人库、宏观经济、地理空间、电子证照、信用信息、政务信息和工商企业等基础资源)的集中。
(三)统一管理,保障安全
遵循国家信息安全等级保护相关规定,强化网络和信息安全管理,落实责任机制,加强要害信息系统和信息基础设施安全保障,确保安全可控。
(四) 统一服务,注重成效
以提升政府管理能力、提高民生服务水平为需求导向;有序推动省级电子政务外网统一云平台的建设,制定合理迁移计划。
2.2 总体架构设计
2.2.1 云平台总体架构
形成四横两纵的“省级统一云平台”总体技术架构“省级统一云平台”的总体技术架构为四横两纵,四横是指:
基础设施服务层(IaaS)、数据服务层(DaaS )、平台服务层(PaaS )、应用软件服务层(SaaS );两纵是指:信息安全体系、管理体系和标准体系。
(图1:“省级统一云平台”总体技术架构)
基础设施服务层(IaaS):提供基本的计算、存储、网络服务;提供基础资源的虚拟化服务、资源的动态分配、再分配和回收。
数据服务层(DaaS):DaaS数据即服务。数据共享交换平台通过进行数据的比对、处理、融合和共享,为电子政务应用和各厅局的专业应用提供统一数据支撑。大数据智能分析平台,通过高性能的实时和非实时大数据计算能力、丰富的统计、分析、挖掘模型,为政务决策提供智能支撑。
平台服务层(PaaS):平台服务层包括信息资源与应用支撑。应用支撑主要提供网络信任体系、中间件、应用开发、单点登录等功能。
软件服务层(SaaS):SaaS软件即服务,开展政务服务云、政务行业云、政务管理云、政务决策云、政务办公云等建设。
两纵指的是云平台信息安全管理体系:针对云平台建设,通过技术手段保证数据安全、应用安全、主机安全、网络安全、物理安全、管理安全,保障省级电子政务外网统一云平台的安全。
管理体系:包括运行维护管理和运营管理,保障云平台的正常运行,提供资源管理、调度管理、监控管理等运维功能,以及业务管理、流程管理、订单管理等运营功能。
2.2.2 本期建设总体部署架构
(图示:本期建设总体部署架构)
通过优化升级,构建一张全省统一的高性能、高可靠的电子政务外网,采用丰富的云基础设施、云存储、云安全和各类服务构件共同部署2个云计算中心,为省委、省人大、省政府、省政协、机关和省直部门的非涉密业务提供服务,打造政府内部业务应用云、互联网业务应用云,形成省级统一云平台内、外两朵云。
“一网”:省电子政务外网架构主要由核心交换区、省级城域网、省市县三级广域网、数据中心网络组成。广域网用于覆盖省、市(州)、 县各层级行政区域,由各级行政区域内广域骨干节点设备和之间传输链路组成;城域网主要用于同城政务部门互联,为各个省职政务部门提供互联互通、信息共享的基础平台。新构建的外网关键设备和链路无单点故障,带宽得到升级,承载能力和安全保障
网络资源存储资源池计算资源池网络资源存储资源池计算资源池...
裸光纤
网络资源存储资源池计算资源池网络资源
存储资源池
计算资源池
互联网
互联网
交换区
国家电子政务网
能力得到全面提升,保证系统可持续、高效、安全运行,满足国家部委、市州部门、县市区部门、乡镇社区的网络业务需求。
“两云计算中心:采用同城双活数据中心的架构建设2个云计算中心,每个云计算中心分为内部数据中心和外部数据中心,内外数据中心均部署网络资源、计算资源和存储资源,采用虚拟化技术搭建云计算平台。内部数据中心连接互联网,主要部署互联网业务,内部数据中心连接电子政务外网,主要提供电子政务业务。
2.2.3 网络整体架构设计
互联网互联网
(图示:网络整体架构设计)
省电子政务外网采用分区规划,分层设计,双节点冗余部署。整个网络分为
核心路由区、广域网区、城域网区、数据中心区、互联网出口区。核心路由区由2台广域网高端核心路由器和2台城域网高端核心交换机口字型互联。广域网采用省级、市级、县级三层部署,省级到市级采用1000M链路,市级至县级为100M 链路。城域网分为核心层、汇聚层和接入层三层架构,核心层到汇聚层采用双冗余10G线路互联,汇聚层到接入层1000M线路互联。数据中心网络结构扁平化,采用VXLAN技术部署大二层网络,充分利用虚拟化和堆叠技术提高网络可靠性和资源利用率,同时合理部署安全设备实现网络安全可控。
另外,湖南外网使用广域网核心路由器与国家电子政务外网工程办下发的上联路由器设备进行双链路千兆连接,拓扑结构如下图所示:
2.2.4 广域网架构设计
(图示:广域网架构设计)
广域网采用省、市(州)、县三级部署,省级广域网的核心节点上连国家电子政务外网,同时做为全省电子政务广域网骨干节点,市(州)网络结点是承上启下的关键节点,上行双链路双归属核心节点,下接县级节点。
各级节点由两台高性能路由器组成,两台设备既互为备份又负载均衡,不同节点间采用不同运营商链路进行链路保护。
2.2.5 城域网架构设计
(图示:网络整体架构设计)
城域网采用三层架构设计,核心层采用双核心组网,是城域网的数据转发中枢,为接入区和汇聚区提供跨区域的数据转发,上行采用10GE链路连接广域网核心,下联省委、省政府、省人大、省政协、省二院和长沙市政府6大汇聚节点,同时与内部数据中心互联。
核心、汇聚、接入节点均采用虚拟化堆叠技术,可以将复杂的网络拓扑结构简化为层次分明、互联关系简单的网络结构,网络各层之间通过链路聚合,自然消除环路,不需要再部署MSTP、VRRP等协议,支持跨设备的链路聚合功能,实现跨设备的链路冗余备份。
2.2.6 数据中心架构设计
(图示:数据中心架构设计)
湖南政务云数据中心采用标准化、开放和高扩展的云计算架构,支撑省政府各部门的政务外网、互联网等多种不同业务服务。
(1)网络资源设计:网络采用扁平化二层架构,分为核心层和接入层,提高性能,减少时延;网络大二层部署,保证虚拟机在资源池内部的热迁移能力;核心交换机旁挂负载均衡器,提供负载均衡增值服务;防火墙支持虚拟防火墙能力,实现业务系统之间的安全隔离。外网服务区与互联网服务区之间网络通过部署数据交换平台实现不同业务域之间的安全隔离。
(2)计算资源设计:采用标准化的X86物理服务器,构建计算资源池。采用OpenStack 开放架构,支持Xen 、KVM 等主流虚拟化平台。X86服务器根据业务系统对资源的不同需求,配置不同的产品型号及物理配置,划分高性能计算区、通用性能计算区,分别作为虚拟化资源和物理机资源。
(3)存储资源设计:多样化存储部署,满足不同业务系统的需求,降低存
广域网
市-县网络
城域网
厅-局网络
互联网
虚拟化计算资源池
物理机数据库FC 存储网络IP 存储网络FC 存储资源池分布式存储资源池核心交换机
TOR 交换机TOR 交换机TOR 交换机全局、应用负载均衡
全局、应用负载均衡
虚拟化计算资源池
物理机数据库FC 存储网络IP 存储网络FC 存储资源池分布式存储资源池核心交换机
TOR 交换机TOR 交换机TOR 交换机全局、应用负载均衡
全局、应用负载均衡
Hadoop 服务器
虚拟化计算资源池
物理机数据库FC 存储网络IP 存储网络FC 存储资源池分布式存储资源池核心交换机
TOR 交换机TOR 交换机TOR 交换机全局、应用负载均衡
全局、应用负载均衡
防毒墙虚拟化计算资源池
物理机数据库FC 存储网络IP 存储网络
FC 存储资源池分布式存储资源池
核心交换机
TOR 交换机TOR 交换机TOR 交换机
全局、应用负载均衡
全局、应用负载均衡
防毒墙-1
互联网
储的投资成本。对于数据库、VM文件系统采用FC SAN进行承载;对于非结构化数据、虚拟化镜像等数据存储,建议采用分布式文件系统存储承载,保障存储性能和扩容能力。
(4)业务云化设计:根据各政府部门业务对云资源的不同需求,以及业务云化的难度,分批逐步的将现网业务系统迁移至云服务商政务云,实现更多政务业务的云化。
(5)云管理平台设计:构建统一云管理平台,通过对政务云基础资源的抽象和资源池化,提供自助式的IaaS、PaaS、SaaS服务。政府客户可通过云管理平台统一门户自助申请云服务,并进行灵活的管理。同时,云管理平台也负责对政务云所有基础资源进行统一的运维管理。
2.2.7 两地三中心架构设计
(图示:两地三中心架构设计)
采用“同城双活+异地灾备”的技术方案,建设两地三中心。在同城租用电信运营商机房作为主数据中心,通过波分设备与省二院机房互联组成同城双活数据中心,同时向外提供业务服务,实现关键业务双活。任意一数据中心站点故障,
都不会中断业务,确保云平台安全,实现业务连续性保护。在异地建设一个容灾备份中心,通过存储远程复制技术和数据备份技术,实现双中心业务数据的异地备份,当双中心出现区域灾难,可确保业务数据不丢失。
通过两地三中心的建设,省级电子政务外网数据中心的灾难恢复能力达到“信息系统灾难恢复规范”国家标准GB/T 20988-2007 的6 级,即RTO 为数分钟,RPO 为0,部分业务RTO 可以达到0 的水平。