復旦大學搭建混合云架構的高校知識管理平臺

文/劉百祥 堯玉恒 張凱 趙澤宇 宓詠

?

復旦大學搭建混合云架構的高校知識管理平臺

文/劉百祥 堯玉恒 張凱 趙澤宇 宓詠

高校知識管理平臺

隨著移動設備的普及、社交網(wǎng)絡興起，知識管理的對象和手段都已發(fā)生變更，知識管理的IT基礎環(huán)境也已經(jīng)得到較大的改善。各種知識管理工具開始從單機增加云端支持、增加跨終端的理念，體現(xiàn)隨時隨地組織管理信息、知識的能力。

雖然在企業(yè)中知識管理的理念已經(jīng)逐步開始推行，但是在高校環(huán)境中知識管理理念相對較為欠缺，IT基礎設施支持偏弱，而在實際場景中相對依賴于個人、團隊中某些特定個體的喜好來進行知識管理，相比互聯(lián)網(wǎng)環(huán)境有較大差距。

現(xiàn)狀

傳統(tǒng)高校信息化系統(tǒng)建設處理關注于高校的具體業(yè)務，關注于辦公、教學工作等實際業(yè)務流程，較少考慮從用戶日常實際教學科研工作、學習等角度的信息化需求。而隨著信息化建設逐漸覆蓋大部分校園業(yè)務，校園信息化建設也開始轉變面向用戶，提供平臺化、個性化的信息化服務。在早期建設過程中，高校信息化部門也嘗試建設一些互聯(lián)網(wǎng)風格的知識管理工具，如Wiki、校園知識庫、類似百度知道的問答平臺等，但是由于此類系統(tǒng)需要大基數(shù)的用戶支持，在校園環(huán)境中很難得到有效推行，短時間推廣可以取得成果，長時間運行后用戶會逐漸淡出，導致此類系統(tǒng)形同虛設。隨著云存儲服務的盛行，部分學校也開始提供類似的個人文件存儲服務，但是僅僅停留在個人和較弱的團隊功能，還沒有關注到信息、知識層面。

校園個體用戶的知識管理多以個人喜好為導向，遵循個人工作學習中總結的知識管理風格和模式，用戶已經(jīng)基本熟練運用個人電腦，大部分會利用互聯(lián)網(wǎng)上的知識工具。校園中團隊的知識管理風格則受到其中某個特定用戶的喜好影響，由個人風格導引全團隊進行知識管理，缺少統(tǒng)一的標準和保管模式，資料分布在不同樣的互聯(lián)網(wǎng)環(huán)境中，一致性和安全性都無法得到保障。但由于高校用戶學習能力較強，部分用戶會跟蹤并利用先進的知識管理工具并引入所在團隊。用戶IT基礎能力較差時，知識管理和分享會依賴于用戶間傳播，通常是電子郵件和文件復制的方式，缺少跟蹤。對于最不熟悉IT系統(tǒng)的教師，以公開密碼的公眾郵箱來傳遞文件和課程信息也常常出現(xiàn)在實際環(huán)境中，近年來有所好轉但仍時有出現(xiàn)。

表1　知識管理平臺的主要功能

高校知識管理平臺設計

功能需求

高校知識管理平臺實現(xiàn)對知識的信息管理和內容管理，前者是對知識的外在特征進行管理，包括知識資源的介質載體、媒體格式、資產(chǎn)特性等，后者是對知識資源的內在特性進行管理。知識信息管理的價值在于讓用戶更方便、更快捷、更多地發(fā)現(xiàn)和獲取數(shù)字資源，知識內容管理的價值在于促進隱性知識轉化為顯性的學習內容，并且使學習內容體系化，從而減少學習成本。

在知識創(chuàng)造、管理和傳播的過程中，需要知識管理平臺提供兩個網(wǎng)絡，即知識資源網(wǎng)絡和知識社交網(wǎng)絡，資源網(wǎng)絡能為其知識創(chuàng)造提供信息，社交網(wǎng)絡能為其知識傳播提供幫助。知識資源網(wǎng)絡和知識社交網(wǎng)絡相互協(xié)作共同構成SoLoMo（社區(qū)化、本地化、移動化）時期的知識管理與傳播環(huán)境，知識資源網(wǎng)絡關注資源及其關系，知識社交網(wǎng)絡關注用戶及其關系，知識資源網(wǎng)絡為知識社交網(wǎng)絡提供知識，滿足用戶隨時隨地發(fā)現(xiàn)與獲取資源；知識社交網(wǎng)絡則為用戶提供隱性知識顯性化場所，從而將極大地豐富知識資源網(wǎng)絡的內容，使知識內容更具時效性、完備性。

綜上分析，知識管理平臺的核心功能包括公共知識資源管理、個人知識管理、團隊知識管理和知識分享社區(qū)管理，主要功能見表1。

混合云技術架構

對于高校來講，混合云架構更有利于知識管理與分享。提升終端用戶的隨時隨地的網(wǎng)絡接入能力、普適計算能力，還有助于用戶接入到來自公有云及不同私有云的共享數(shù)據(jù)，提高信息服務的廣度與深度。從業(yè)務功能角度出發(fā)，由于面向小范圍用戶提供服務的時候，對服務的資源需求即可由私有云滿足，同時服務范圍和業(yè)務契合度都能更好的貼近校園需求，比如可以有針性地對本校資源特色的服務組合進私有云服務中。而當服務范圍擴大，變成公眾型服務時，具有共性的服務項也相對減少，那么這時，即可通過公有云提供具有普遍意義的服務。從服務特性出發(fā)，某些服務，如圖書館資源，很可能僅能在私有云范圍內服務，而各私有云部分也可以根據(jù)自己特性提供自己的服務；而比如提醒、日程、3G網(wǎng)絡數(shù)據(jù)等涉及隨時隨地訪問的內容，由于需要使用3G網(wǎng)絡和Wi-Fi網(wǎng)絡組合訪問，因此可能更合適使用公有云的服務。

圖1給出了公有云、私有云共存環(huán)境下的共享資源關系，針對行業(yè)的現(xiàn)狀，設計平臺時，采用了公有云、私有云都可以貢獻一定的帶寬、計算、知識服務資源，供其他私有云下的用戶來分享的模式。這樣一方面無需大規(guī)模建設公有設施，充分利用現(xiàn)有環(huán)境，但對資源調度管理提出了更高需求。此模式在無需新增過多基礎設施的情況下，滿足更多用戶服務需求，節(jié)省系統(tǒng)資源消耗并提升用戶服務體驗。

圖1 公有云、私有云共存環(huán)境下的共享資源關系

平臺的運行架構如圖2所示。私有云節(jié)點包括服務注冊中心：承擔服務調度與管理，所有的服務在注冊中心標記，受各級注冊中心調度。若干平臺級服務運行于基礎設施私有云之上；平臺級服務依賴于用戶自身的私有云基礎設施特點，如存儲服務、虛擬化架構、網(wǎng)絡特征。

公有云節(jié)點包含公有服務，大量服務由于其特點早已擁有獨立實現(xiàn)：公有云存儲服務，通知、日程服務，在公有計算資源提供全局服務管理，全局用戶管理，以此協(xié)調公有云服務和私有云服務之間的數(shù)據(jù)調度和管理。

完整的私有云節(jié)點可以整體加入業(yè)務體系中，也可只加入部分，如私有云無法提供身份鑒定服務，則使用公有云的身份鑒定服務，具體由全局服務注冊管理和節(jié)點服務注冊管理協(xié)商決定。

平臺體系架構

從體系架構，平臺可從邏輯劃分為如下4層：

基礎設施層：系統(tǒng)架構于混合云之上，通過虛擬化技術、標準化接口等封裝基礎設施差異。通過分區(qū)域的注冊與調度中心進行服務的注冊與調度，優(yōu)化網(wǎng)絡與計算資源性能，提高服務使用體驗，同時提供跨區(qū)域的數(shù)據(jù)同步與備份、避免業(yè)務中斷、災難恢復等基礎保障功能。各類基礎設施服務對于用戶是透明的，用戶并不知道服務細節(jié)。

平臺服務層：包括知識服務和基礎服務。

知識服務包含知識組織與管理所需的基礎服務，如統(tǒng)一搜索、知識地圖、自動與人工標注、全文與關鍵屬性檢索等；同時構建符合SOA標準的規(guī)范與開放式數(shù)據(jù)標準，提供統(tǒng)一的搜索接口、知識地圖接口、數(shù)據(jù)存儲接口、權限管理與控制接口等。完整遵循服務規(guī)范與標準的第三方服務均可無縫納入知識服務體系，現(xiàn)有的成型業(yè)務也可通過增加中間件方式并入云知識服務體系中。

基礎服務包含聯(lián)盟認證與權限服務、通知與推送服務、日程管理服務、地理信息服務等多種基礎型服務，部分此類服務已經(jīng)為成熟業(yè)務，不僅僅為知識管理系統(tǒng)服務。

軟件服務層：對多種組件化服務的具體封裝，提供業(yè)務流程組裝，包含SNS、討論、知識管理工具、業(yè)務管理等具體服務。

用戶交互層：提供桌面型設備、平板設備、便攜式設備的支持，同時開放通用API便于第三方提供自定義終端、自定義客戶端程序等服務。

技術特點

知識組織管理

1.元數(shù)據(jù)標注

知識在系統(tǒng)中以數(shù)據(jù)和文檔的方式體現(xiàn)，為了不損失知識的復雜多樣性，系統(tǒng)在對數(shù)據(jù)進行存儲時，采用增加元數(shù)據(jù)方式記錄數(shù)據(jù)的特征信息，包括數(shù)據(jù)產(chǎn)生和發(fā)展的全生命周期信息，周邊的關聯(lián)數(shù)據(jù)等。如創(chuàng)建時間、創(chuàng)建者、文件大小種類等即為最常見的數(shù)據(jù)描述項示例。

但由于對知識進行描述時存在不同的視角，通用的數(shù)據(jù)描述項并不能夠完善的覆蓋知識的元數(shù)據(jù)。構建平臺時提供了元數(shù)據(jù)擴展管理接口，可以對元數(shù)據(jù)項進行按需擴展，設定如字符、數(shù)字、日期等類型的數(shù)據(jù)項，提供更靈活的知識組織能力。

2.統(tǒng)一索引模式

由于存在知識管理工具的多樣性，參與項目的合作伙伴數(shù)據(jù)、信息系統(tǒng)的多樣性，知識管理平臺并不使用傳統(tǒng)的門戶方式接管業(yè)務系統(tǒng)功能，而采取了元數(shù)據(jù)管理模式，通過元數(shù)據(jù)記錄信息、知識的特征和位置，用戶可以進行檢索和個人標注。元數(shù)據(jù)并不涉及具體知識內容，知識內容仍在各服務系統(tǒng)中保管，如果有實際訪問的需求，則由服務系統(tǒng)自行判斷權限決定是否允許用戶訪問。

在這樣的設計模式下，多方合作伙伴的服務系統(tǒng)均可將自己擁有的文檔、數(shù)據(jù)生成元數(shù)據(jù)交由平臺管理，共同提供服務，完善平臺的索引信息，用戶直接在平臺檢索元數(shù)據(jù)以獲取信息，以往的跨組織查閱信息的流程被簡化，而在后繼需要訪問具體內容時可以申請服務系統(tǒng)授權或者聯(lián)系不同組織的合作伙伴。

3.多維度標注

在對數(shù)據(jù)進行分析處理時，不同的用戶、團隊，不同的關注視角，都會導致對數(shù)據(jù)的標注有所區(qū)別。在這樣的前提下，知識管理平臺提供了和權限相關的多維度標注系統(tǒng)支持，用戶依照其關注內容、所屬團隊、標注的可視范圍等，可以充分利用標注系統(tǒng)來對數(shù)據(jù)進行描述，通過標簽體系來準確定位數(shù)據(jù)。

圖2 混合云架構示意

數(shù)據(jù)支持SLA標準管理混合云

混合云將公有云和私有云的業(yè)務集中到一起，為了保證高校師生得到滿意的服務質量，嘗試使用服務等級協(xié)議SLA （Service Level Agreement）來解決高校師生、信息化管理部門和服務提供商之間的服務質量問題。在高校環(huán)境中，存在其特殊性，在校園環(huán)境內部視角，用戶為在校師生員工，服務商為信息化部門；而在外部視角，用戶為信息化部門，服務商為外部的網(wǎng)絡運營商、資源服務商等。

在跨校園的知識管理平臺中服務模式產(chǎn)生了更復雜的用戶關系，包括：用戶-組織服務管理者-供應商路徑；用戶-私有云管理者/公有云管理者-混合云管理者路徑等多種服務關系，因此作為嘗試，在系統(tǒng)中考慮了完善的數(shù)據(jù)采集組件來嘗試為SLA提供數(shù)據(jù)支持，為進一步研究在混合云環(huán)境中完善SLA支持做出準備。

用戶認證授權管理模型

1.聯(lián)邦認證體系

平臺設計為多個組織服務，因此引入了教育行業(yè)常見的聯(lián)邦認證體系，由WAYF服務，多組織IDP，多組織SP等多個業(yè)務組件構成。

其中WAYF為Where are you from服務，用來定位用戶來源并引導用戶至其所屬組織的身份驗證服務；IDP為IDentity Provider服務，用來驗證用戶身份；SP為 Service Provider，提供具體的服務內容，權限管理交給SP系統(tǒng)自行判斷。

在需要使用時，由平臺引導用戶前往平臺內部目標地址或者外部合作系統(tǒng)，用戶通過聯(lián)邦認證體系標示自身身份，外部系統(tǒng)(SP)自行進行權限判斷，解決用戶的跨平臺認證問題。避免出現(xiàn)過于廣泛的權限管理需求，導致管理失效。

2.RBAC+ABAC權限模型

在聯(lián)邦認證體系架構設計中，將業(yè)務系統(tǒng)授權管理范圍保留在業(yè)務系統(tǒng)本身，但仍存在一系列數(shù)據(jù)需要在平臺范圍進行保護，如元數(shù)據(jù)信息、索引信息、標注信息等。

行業(yè)中通常采用的兩種權限模型為RBAC和ABAC，在混合云中考慮使用RBAC與ABAC相結合的統(tǒng)一授權模型，結合兩種授權模型的優(yōu)缺點。利用了RBAC進行角色職能管理，也利用ABAC來進行信息內容權限管理方面。

平臺中的具體實現(xiàn)模式為：通過聯(lián)邦認證體系來管理用戶的身份信息，各接入組織IDP保證其管理用戶的身份信息權威性；獲取身份信息后，通過平臺管理組件授予RBAC風格的權限組，決定用戶在平臺內部系統(tǒng)的功能；在離開平臺授權范圍時，采用基于ABAC的授權規(guī)則，向第三方系統(tǒng)發(fā)送聯(lián)邦認證用戶身份信息后，由應用系統(tǒng)自行判斷組織用戶權限。

系統(tǒng)實施

在系統(tǒng)實際的環(huán)境中，以公有云模式運行于復旦大學，同時提供私有云模式運行于浙江大學，直接運行于各所學校的計算資源虛擬化平臺，提供了足夠的安全性和擴展性；在復旦大學提供的公有云環(huán)境中，數(shù)據(jù)保存于基于Restful的云存儲中間件平臺，提供了自動伸縮調度數(shù)據(jù)熱點，自動跨區(qū)域安全保障等功能；部分數(shù)據(jù)保存于復旦大學、云南大學、河西學院和其廠商共同建設的跨校資源管理平臺之上，提供冗余備份能力；現(xiàn)已保存了超過10萬條的元數(shù)據(jù)信息以及1T以上的數(shù)據(jù)資料。同時接入了浙江大學圖書館文獻管理系統(tǒng)，清華大學校園SNS系統(tǒng)等外部知識管理分享工具。

高校間通過聯(lián)邦認證平臺接入，可以通過用戶校園的身份訪問平臺以及接入的其他外部系統(tǒng)。

（作者單位為復旦大學信息化辦公室）

基金項目:教育部 — 中國移動科研基金項目(MCM20121032)