云平臺(tái)技術(shù)在電網(wǎng)企業(yè)的系統(tǒng)設(shè)計(jì)與實(shí)踐

沈 巍，王 豐，夏行宇，趙國(guó)普，李愛華

（湖北省電力勘測(cè)設(shè)計(jì)院有限公司，武漢 430040）

0 引言

隨著清潔能源快速發(fā)展、電能在終端能源消費(fèi)中比例的提高，經(jīng)濟(jì)社會(huì)發(fā)展對(duì)于電能質(zhì)量、電網(wǎng)智能化的要求不斷提升。加快構(gòu)建能源互聯(lián)網(wǎng)，通過挖掘大數(shù)據(jù)價(jià)值，按照各項(xiàng)任務(wù)的工作目標(biāo)及工作內(nèi)容的要求，需要依托云平臺(tái)進(jìn)行開展，云平臺(tái)需要具備彈性應(yīng)對(duì)訪問壓力、快速應(yīng)對(duì)異地資源故障的能力。

電網(wǎng)企業(yè)構(gòu)建云化數(shù)據(jù)中心，建設(shè)云平臺(tái)，運(yùn)用云平臺(tái)的彈性伸縮、故障自愈、跨數(shù)據(jù)中心資源整合的能力，支撐多維精益管理體系變革，實(shí)現(xiàn)更好的經(jīng)營(yíng)效果、增加各種維度的安全，助力能源互聯(lián)網(wǎng)建設(shè)。

1 云平臺(tái)的應(yīng)用需求

云 平 臺(tái) 通 過 提 供IaaS（Infrastructure as a Service），PaaS（Platform as a Service），SaaS（Software as a Service）服務(wù)能力，滿足資源統(tǒng)一管理、數(shù)據(jù)去邊界、應(yīng)用高可靠、運(yùn)營(yíng)流程打通、研發(fā)效率提升的建設(shè)目標(biāo)，推動(dòng)總平臺(tái)統(tǒng)一管控計(jì)算、網(wǎng)絡(luò)及存儲(chǔ)資源，為各項(xiàng)業(yè)務(wù)提供最佳的服務(wù)能力、匹配最佳合適的業(yè)務(wù)模式，云平臺(tái)通過軟件定義網(wǎng)絡(luò)、分區(qū)分域管理多個(gè)數(shù)據(jù)中心，實(shí)現(xiàn)應(yīng)用的云上高可用，滿足云平臺(tái)的分布式架構(gòu)、滿足能源互聯(lián)網(wǎng)業(yè)務(wù)連續(xù)支撐性目標(biāo)。

從總體上，云平臺(tái)主要滿足資源統(tǒng)一納管、高性能計(jì)算存儲(chǔ)、支撐企業(yè)中臺(tái)建設(shè)等需求。

資源統(tǒng)一納管。為更好地實(shí)現(xiàn)資源靈活調(diào)配，提高利用率，滿足物理分散、邏輯統(tǒng)一的管理目標(biāo)，需建設(shè)跨數(shù)據(jù)中心的云平臺(tái)對(duì)資源進(jìn)行統(tǒng)一納管。

高性能計(jì)算存儲(chǔ)。數(shù)據(jù)中臺(tái)、管理平臺(tái)等各種業(yè)務(wù)需要依托云平臺(tái)建設(shè)。數(shù)據(jù)中臺(tái)的數(shù)據(jù)流轉(zhuǎn)非常復(fù)雜，涉及數(shù)據(jù)采集傳輸、數(shù)據(jù)分析應(yīng)用、在線處理應(yīng)用、數(shù)據(jù)資產(chǎn)管理應(yīng)用四方面，整個(gè)過程涉及的數(shù)據(jù)量、計(jì)算、轉(zhuǎn)換、業(yè)務(wù)相關(guān)方眾多，工作量、并發(fā)都成幾何級(jí)別的增長(zhǎng)，需要云平臺(tái)提供高性能的彈性計(jì)算、存儲(chǔ)。依靠高性能的網(wǎng)絡(luò)與各終端進(jìn)行對(duì)接，實(shí)時(shí)采集并存儲(chǔ)數(shù)據(jù)，數(shù)據(jù)形式多樣，終端設(shè)備自身的數(shù)據(jù)量就非常大，此外還需將數(shù)據(jù)接入數(shù)據(jù)中臺(tái)，對(duì)于云平臺(tái)的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)都有很高的要求。

支撐企業(yè)中臺(tái)建設(shè)。以往業(yè)務(wù)應(yīng)用系統(tǒng)采用傳統(tǒng)信息技術(shù)架構(gòu)，前端業(yè)務(wù)應(yīng)用+中間件+數(shù)據(jù)庫(kù)模式，但建設(shè)上很大程度上是“部門級(jí)”，各業(yè)務(wù)系統(tǒng)形成以各自為中心的單體應(yīng)用，導(dǎo)致跨專業(yè)業(yè)務(wù)流程斷點(diǎn)、集成穿墻打洞、數(shù)據(jù)壁壘和管理粒度不匹配[1]。此弊端已成傳統(tǒng)信息技術(shù)架構(gòu)之詬病，后續(xù)的信息化建設(shè)采用共享服務(wù)模式，將可共享、可復(fù)用、共通性的數(shù)據(jù)進(jìn)行有效管控，把公司較為核心的數(shù)據(jù)進(jìn)行集中處理，實(shí)現(xiàn)前端數(shù)據(jù)的有效集成，實(shí)現(xiàn)數(shù)據(jù)和業(yè)務(wù)的最佳匹配，實(shí)現(xiàn)數(shù)字化的內(nèi)容構(gòu)架電網(wǎng)企業(yè)的核心競(jìng)爭(zhēng)力。

通過群機(jī)負(fù)載均衡、分布離散式應(yīng)用配置、冗余功能替代等模式，實(shí)現(xiàn)高可靠、高性能的冗余技術(shù)和高可靠性的冗余結(jié)構(gòu)，保證系統(tǒng)的穩(wěn)定、可靠運(yùn)行[2]。滿足管理節(jié)點(diǎn)高可用、同城雙活能力、異地災(zāi)備能力；保證系統(tǒng)穩(wěn)定、可靠運(yùn)行。

以現(xiàn)有網(wǎng)絡(luò)環(huán)境和平臺(tái)應(yīng)用需求為基礎(chǔ)，遵循國(guó)家標(biāo)準(zhǔn)，云平臺(tái)設(shè)計(jì)應(yīng)滿足等保三級(jí)，以承載等保二級(jí)、三級(jí)系統(tǒng)。系統(tǒng)之間可視情況通過租戶隔離或安全組隔離，能滿足所有應(yīng)用的等級(jí)保護(hù)相關(guān)要求。分析云環(huán)境下安全防護(hù)相對(duì)傳統(tǒng)安全防護(hù)的差異和風(fēng)險(xiǎn)，精準(zhǔn)定位云平臺(tái)面臨的安全風(fēng)險(xiǎn)點(diǎn)；確定云平臺(tái)安全防護(hù)總體架構(gòu)，分層級(jí)設(shè)計(jì)具體防護(hù)措施，健全云平臺(tái)安全防護(hù)體系，全面提高云平臺(tái)綜合防御能力；防范針對(duì)云平臺(tái)的惡意網(wǎng)絡(luò)攻擊，保障云平臺(tái)上的業(yè)務(wù)應(yīng)用、微應(yīng)用和微服務(wù)的安全，防止云平臺(tái)上租戶的重要數(shù)據(jù)及敏感信息泄露。

支持多數(shù)據(jù)中心模式，前期先挑選單個(gè)機(jī)房進(jìn)行實(shí)施，使實(shí)施的云平臺(tái)具備支持多數(shù)據(jù)中心拓展能力，將計(jì)算能力、存儲(chǔ)能力、網(wǎng)絡(luò)能力進(jìn)行集中管控，實(shí)現(xiàn)自動(dòng)伸縮、故障自愈，為業(yè)務(wù)應(yīng)用為提升用戶體驗(yàn)，保證全天候服務(wù)，云平臺(tái)提供高可用、跨數(shù)據(jù)中心遷移的能力，且需要云平臺(tái)管理整合國(guó)家電網(wǎng)有限公司分散的數(shù)據(jù)中心資源，并實(shí)現(xiàn)網(wǎng)絡(luò)互通，在應(yīng)用發(fā)生故障或本數(shù)據(jù)中心出現(xiàn)網(wǎng)絡(luò)問題、資源不足的情況下進(jìn)行遷移，實(shí)現(xiàn)業(yè)務(wù)的高可用[3]。

2 總體架構(gòu)

云平臺(tái)總體架構(gòu)包括物理硬件、IaaS 實(shí)現(xiàn)方式、PaaS 實(shí)現(xiàn)方式、SaaS 實(shí)現(xiàn)方式[4]。還需要建設(shè)配套的運(yùn)維支撐、持續(xù)構(gòu)建，支撐傳統(tǒng)應(yīng)用及微服務(wù)應(yīng)用的穩(wěn)定運(yùn)行，通過其高性能、高可靠、可擴(kuò)展的特性，提升服務(wù)質(zhì)量，滿足業(yè)務(wù)擴(kuò)展、業(yè)務(wù)創(chuàng)新的目標(biāo)。根據(jù)需求，云平臺(tái)整體業(yè)務(wù)架構(gòu)如下：

圖1 云平臺(tái)整體業(yè)務(wù)架構(gòu)

架構(gòu)設(shè)計(jì)包括數(shù)據(jù)管理、計(jì)算節(jié)點(diǎn)設(shè)計(jì)、存儲(chǔ)節(jié)點(diǎn)設(shè)計(jì)、網(wǎng)絡(luò)設(shè)計(jì)、災(zāi)備設(shè)計(jì)等內(nèi)容。

數(shù)據(jù)的采集、存儲(chǔ)、備份等數(shù)據(jù)管理，主數(shù)據(jù)管理、元數(shù)據(jù)管理、數(shù)據(jù)的標(biāo)準(zhǔn)化、數(shù)據(jù)惟一性等在云平臺(tái)的體現(xiàn)，對(duì)指導(dǎo)平臺(tái)資源分配以及資源擴(kuò)容具有重要的幫助意義[5]。

計(jì)算節(jié)點(diǎn)的數(shù)量及機(jī)房布局，各計(jì)算節(jié)點(diǎn)性能配置及機(jī)柜部署，計(jì)算節(jié)點(diǎn)網(wǎng)絡(luò)規(guī)劃及網(wǎng)絡(luò)配置，計(jì)算節(jié)點(diǎn)軟件安裝及配置，計(jì)算節(jié)點(diǎn)自動(dòng)伸縮及故障自愈配置。

存儲(chǔ)的備份，按照“物理分散、邏輯集中”的技術(shù)路線，設(shè)計(jì)IP-SAN（Storage Area Network）網(wǎng)絡(luò)存儲(chǔ)、FC-SAN（Storage Area Network）存儲(chǔ)、備份存儲(chǔ)，滿足不同場(chǎng)景需求。為數(shù)據(jù)中臺(tái)、物聯(lián)管理平臺(tái)提供充足的存儲(chǔ)容量，保證可備份近10年的主要業(yè)務(wù)應(yīng)用產(chǎn)生的數(shù)據(jù)。存儲(chǔ)的架構(gòu)，充分利用存儲(chǔ)虛擬化技術(shù)，按業(yè)務(wù)重要性采用多種級(jí)別存儲(chǔ)方案。

網(wǎng)絡(luò)設(shè)計(jì)支持大三層的設(shè)計(jì)方式，支持虛擬網(wǎng)卡、支持虛擬交換機(jī)，一般采用分布式以及軟件定義網(wǎng)絡(luò)（SDN）技術(shù)來構(gòu)架數(shù)據(jù)中心[6]。

隨著容災(zāi)系統(tǒng)建設(shè)的深入，以同城雙中心加異地災(zāi)備中心的“兩地三中心”的災(zāi)備?？捎眯院蜑?zāi)難備份的能力[7]。

將原有業(yè)務(wù)應(yīng)用系統(tǒng)（傳統(tǒng)架構(gòu)業(yè)務(wù)應(yīng)用）從服務(wù)器或虛擬機(jī)由遷移工具遷移到云主機(jī)（虛擬機(jī)），數(shù)據(jù)庫(kù)采用祼金屬方式遷移；或?qū)⒃瓰闃I(yè)務(wù)應(yīng)用系統(tǒng)微服務(wù)化改造，從服務(wù)器或虛擬機(jī)部署在容器中，Oracle 數(shù)據(jù)庫(kù)進(jìn)行升級(jí)改造提供接口，向云管理平臺(tái)注冊(cè)服務(wù)并對(duì)外提供自動(dòng)分配、彈性伸縮服務(wù)。

3 安全防護(hù)

云平臺(tái)采用云計(jì)算、虛擬化等新技術(shù)，在風(fēng)險(xiǎn)層面上，應(yīng)保障存儲(chǔ)、服務(wù)器、網(wǎng)絡(luò)設(shè)備安全，除滿足上述物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全技術(shù)保障，運(yùn)維安全保障，安全制度保障需求之外，還應(yīng)考慮虛擬化帶來的新的安全風(fēng)險(xiǎn)[8]。另外，數(shù)據(jù)資源的集中存儲(chǔ)更易吸引攻擊者，如攻擊者通過發(fā)起攻擊、利用數(shù)據(jù)庫(kù)漏洞提取數(shù)據(jù)庫(kù)管理權(quán)限、掃描未及時(shí)清除的剩余數(shù)據(jù)竊取敏感信息等，將導(dǎo)致用戶數(shù)據(jù)資產(chǎn)丟失、被竊取和被破壞的情況。

結(jié)合云平臺(tái)的特點(diǎn)，分析云環(huán)境下安全防護(hù)相對(duì)傳統(tǒng)安全防護(hù)的差異和風(fēng)險(xiǎn)，精準(zhǔn)定位云平臺(tái)面臨的安全風(fēng)險(xiǎn)點(diǎn)；確定云平臺(tái)安全防護(hù)總體架構(gòu)，分層級(jí)設(shè)計(jì)具體防護(hù)措施，建立健全云平臺(tái)安全防護(hù)體系，全面提高云平臺(tái)綜合防御能力；防范針對(duì)云平臺(tái)的惡意網(wǎng)絡(luò)攻擊，保障云平臺(tái)上的業(yè)務(wù)應(yīng)用、微應(yīng)用和微服務(wù)的安全，防止云平臺(tái)上用戶的重要數(shù)據(jù)及敏感信息泄露。

依照“分區(qū)分域、安全接入、動(dòng)態(tài)感知、全面防護(hù)”的安全策略，云平臺(tái)應(yīng)滿足等保三級(jí)的國(guó)家標(biāo)準(zhǔn)，以承載等保二級(jí)、三級(jí)系統(tǒng)。系統(tǒng)之間通過租戶隔離或安全組隔離，滿足應(yīng)用的等級(jí)保護(hù)相關(guān)要求。

依照安全框架和整體規(guī)劃逐步完善安全保障體系，達(dá)到全面保障云平臺(tái)及系統(tǒng)安全的建設(shè)目標(biāo)。分析業(yè)務(wù)應(yīng)用系統(tǒng)在云環(huán)境下和傳統(tǒng)環(huán)境下的差異，重點(diǎn)對(duì)差異內(nèi)容進(jìn)行安全研究和分析，明確需要重點(diǎn)考慮的云平臺(tái)的安全防護(hù)內(nèi)容，進(jìn)行重點(diǎn)安全防護(hù)設(shè)計(jì)。

4 現(xiàn)場(chǎng)實(shí)施

為滿足快速推進(jìn)的需要，在前期工作中，制定實(shí)施和建設(shè)方案，結(jié)合業(yè)務(wù)需求與云平臺(tái)基本需求，初步確定集群規(guī)模以及部署架構(gòu)，根據(jù)機(jī)房實(shí)際情況，初步確定設(shè)備位置。根據(jù)建設(shè)方案中的云平臺(tái)服務(wù)器及網(wǎng)絡(luò)設(shè)備需求，對(duì)已到貨設(shè)備進(jìn)行配置與角色等進(jìn)行調(diào)整；結(jié)合現(xiàn)有設(shè)備的硬件詳情，開展硬件兼容性測(cè)試工作，避免部署期間出現(xiàn)硬件不兼容的問題。

結(jié)合現(xiàn)場(chǎng)實(shí)際情況與云平臺(tái)需求制定網(wǎng)絡(luò)規(guī)劃方案和云平臺(tái)實(shí)施方案，其中網(wǎng)絡(luò)規(guī)劃包括云平臺(tái)管理網(wǎng)、業(yè)務(wù)網(wǎng)、存儲(chǔ)網(wǎng)等的IP 地址規(guī)劃，設(shè)備位置規(guī)劃圖，不同角色設(shè)備連線圖，云平臺(tái)總體網(wǎng)絡(luò)拓?fù)洌辉破脚_(tái)實(shí)施方案包括云平臺(tái)總體架構(gòu)，各組件物理設(shè)備規(guī)劃，組件內(nèi)部設(shè)備不同角色的規(guī)劃，并形成服務(wù)器的機(jī)柜圖；依據(jù)總體部署方案形成實(shí)際部署方案；明確不同組件之間的依賴關(guān)系，便于聯(lián)調(diào)測(cè)試。

結(jié)合現(xiàn)場(chǎng)實(shí)際業(yè)務(wù)需求，確定目前的容器規(guī)模，并根據(jù)容器部署手冊(cè)進(jìn)行安裝部署并完成與云平臺(tái)的聯(lián)調(diào)測(cè)試，形成聯(lián)調(diào)測(cè)試報(bào)告。依據(jù)云平臺(tái)功能點(diǎn)列表，測(cè)試各項(xiàng)功能點(diǎn)是否正常，形成云平臺(tái)功能點(diǎn)測(cè)試報(bào)告。根據(jù)業(yè)務(wù)部門的需求分配租戶、虛擬機(jī)和網(wǎng)絡(luò)等，配合業(yè)務(wù)系統(tǒng)數(shù)據(jù)的遷移工作，協(xié)助處理遷移過程的問題，并記錄匯總。

按照業(yè)務(wù)、人員、組織、技術(shù)、資源、安全等方面將風(fēng)險(xiǎn)進(jìn)行分類，并對(duì)已識(shí)別的風(fēng)險(xiǎn)按照高（可能導(dǎo)致整體工作無法完成）、中（可能導(dǎo)致部分工作無法完成或整體工作延期）、低（可能導(dǎo)致部分工作延期）三個(gè)級(jí)別進(jìn)行記錄。實(shí)施過程中發(fā)現(xiàn)實(shí)施質(zhì)量出現(xiàn)偏差時(shí)，應(yīng)及時(shí)協(xié)調(diào)處理偏差。

4 結(jié)束語(yǔ)

本文基于電網(wǎng)企業(yè)的業(yè)務(wù)需求構(gòu)建云化數(shù)據(jù)中心，運(yùn)用云平臺(tái)的彈性伸縮、故障自愈、跨數(shù)據(jù)中心資源整合的能力，支撐多維精益管理體系變革，實(shí)現(xiàn)企業(yè)經(jīng)營(yíng)績(jī)效、電網(wǎng)安全經(jīng)濟(jì)運(yùn)行水平的全面提升，助力能源互聯(lián)網(wǎng)建設(shè)。