一(yī)、 行業(yè)發展現狀

随著(zhe)我國(guó)政府向公共服務型政府的轉型，政府對民(mín)生(shēng)問題的重視不斷加強，電(diàn)子政務是重要抓手。國(guó)家發改委發布的《關于加強和完善國(guó)家電(diàn)子政務工(gōng)程建設管理的意見(jiàn)》中特别指出要“推進新技(jì)術(shù)在電(diàn)子政務項目中的應用。鼓勵在電(diàn)子政務項目中采用物(wù)聯網、雲計算(suàn)、大數據、下(xià)一(yī)代互聯網、綠色節能(néng)、模拟仿真等新技(jì)術(shù)，推動新技(jì)術(shù)在電(diàn)子政務項目建設中的廣泛應用”，并且強調要保障電(diàn)子政務項目安全可控。

電(diàn)子政務雲（E-government cloud）屬于政府雲，結合了雲計算(suàn)技(jì)術(shù)的特點，對政府管理和服務職能(néng)進行精簡、優化、整合，并通(tōng)過信息化手段在政務上(shàng)實現各種業(yè)務流程辦理和職能(néng)服務，為(wèi)政府各級部門(mén)提供可靠的基礎IT服務平台。電(diàn)子政務雲通(tōng)過統一(yī)标準不僅有利于各個(gè)政務雲之間的互連互通(tōng)，避免産生(shēng)“信息孤島”，也有利于避免重複建設，節約建設資金。

二、 政務雲建設需求

政務雲建設的需求，旨在通(tōng)過統籌規劃、整合資源，打造可持續提供基礎設施、平台和應用三種服務形式的雲計算(suàn)平台，為(wèi)租戶提供IT系統運行環境。實現資源的按需分配、按需擴展，實現系統從(cóng)粗放(fàng)型分散建設向集約型雲計算(suàn)模式轉變，最終形成統一(yī)的以“信息集成、資源共享”為(wèi)特色的雲計算(suàn)管理平台和雲計算(suàn)服務平台。

1．可以實現将政府的硬件(jiàn)資源重新進行統一(yī)管理、統一(yī)分配、統一(yī)部署、統一(yī)監控和統一(yī)運維。實現業(yè)務系統硬件(jiàn)資源的一(yī)鍵式分配，縮短系統搭建周期。

2．完成雲平台的分區分層分級設計和建設，實現不同區域資源規劃和安全隔離，實現雲運營、雲管理、雲運維、雲安全、雲應用等模塊的标準化、流程化、可視化。

三、 政務雲解決方案

本解決方案雲平台采用虛拟化、雲計算(suàn)技(jì)術(shù)，優化業(yè)務應用于部署，構建相(xiàng)對完善、可擴展的雲計算(suàn)數據中心。政務雲解決方案，主要包括以下(xià)方面:

1.雲服務

可提供IAAS、PAAS、SAAS 三層雲服務，本次主要聚焦與IAAS層建設，以及部分PAAS層數據庫服務的建設，SAAS層根據後期業(yè)務發展需求進行規劃。IaaS服務：包括雲主機(jī)、雲存儲、雲數據庫服務、雲防火牆、雲負載均衡和雲網絡（租戶子網/IP/域名等）。IaaS層服務向PaaS層提供開(kāi)放(fàng)API接口調用。

雲服務通(tōng)過自(zì)助服務門(mén)戶，向各部門(mén)、成員(yuán)單位提供自(zì)助的線上(shàng)全流程自(zì)動化交付。用戶可以在自(zì)助服務門(mén)戶上(shàng)進行服務的申請，完成審批後相(xiàng)應的雲資源将會(huì)交付給用戶遠(yuǎn)程控制使用。

2.雲等保解決方案

随著(zhe)目前大量服務區虛拟化技(jì)術(shù)的應用和雲計算(suàn)技(jì)術(shù)的普及，在雲計算(suàn)環境下(xià)的安全部署日益成為(wèi)關注的重點問題，也關系到(dào)未來數據中心發展趨勢。在本設計方案中，采用符合雲等級保護要求的解決方案，采用高(gāo)性能(néng)網絡安全設備和靈活的虛拟軟件(jiàn)安全網關（NFV 網絡功能(néng)虛拟化）産品組合來進行雲安全設計。在滿足多(duō)業(yè)務的安全需求時，一(yī)方面可以通(tōng)過建設高(gāo)性能(néng)、高(gāo)可靠、虛拟化的硬件(jiàn)安全資源池，同時集成FW/IPS/LB等多(duō)種業(yè)務引擎，每個(gè)業(yè)務可以靈活定義其需要的安全服務類型并通(tōng)過雲管理員(yuán)分配相(xiàng)應的安全資源，實現對業(yè)務流量的安全隔離和防護；另一(yī)方面，針對業(yè)務主機(jī)側的安全問題，可以通(tōng)過虛拟軟件(jiàn)安全網關實現對主機(jī)的安全防護，每個(gè)業(yè)務可以針對自(zì)身擁有的服務器(qì)計算(suàn)資源進行相(xiàng)應的安全防護和加固的工(gōng)作。

3.安全服務鏈

傳統安全業(yè)務的部署，通(tōng)常基于物(wù)理拓撲，将安全設備串行到(dào)業(yè)務流量路(lù)徑當中，這種部署模式存在如下(xià)問題：業(yè)務上(shàng)線或業(yè)務變更需要調整整個(gè)路(lù)徑下(xià)設備的策略，無法滿足快速變更的需求；設備能(néng)力擴展性較差，一(yī)旦出現性能(néng)不足，通(tōng)常隻能(néng)更換更高(gāo)端的設備；設備的能(néng)力無法在多(duō)業(yè)務間共享；傳統基于路(lù)徑的部署方式無法應用于Overlay網絡。

基于Overlay網絡構建集中的安全能(néng)力資源池。通(tōng)過集中的控制器(qì)将需要進行安全防護的業(yè)務流量引流到(dào)安全能(néng)力中心進行防護，并且根據業(yè)務需求編排安全業(yè)務的防護順序，也就(jiù)是通(tōng)常所說的服務鏈。由于實現了物(wù)理拓撲的解耦，所以能(néng)夠很好地支持安全能(néng)力的彈性擴展及多(duō)業(yè)務能(néng)力共享。

4.雲安全運維

雲管理是整個(gè)雲後台的管理、調度、運維中心。基于OPENSTACK平台的商業(yè)化雲服務平台，在繼承原有架構靈活、擴展性強、開(kāi)放(fàng)性和兼容度高(gāo)的基礎上(shàng)，産品穩定性和可靠性大大增強。基于租戶到(dào)應用的端到(dào)端的雲服務配置和管理，将用戶申請的服務組裝成服務鏈，統一(yī)管理和配置。通(tōng)過對租戶的分級管理，實現了私有雲多(duō)級資源分配的要求，通(tōng)過定制個(gè)性化的審批流程，使得服務的申請更符合某些特殊業(yè)務的多(duō)級審批要求。通(tōng)過對服務鏈的健康狀态的整體監控和評分，對每個(gè)租戶的總體服務質量有全面的把握和管理。

5.混合雲對接能(néng)力

混合雲網絡中包含了公有雲和私有雲兩種來源的計算(suàn)資源，但是兩種資源需要通(tōng)過“雲橋”實現互通(tōng)。在私有雲和公有雲分别部署“混合雲插件(jiàn)”，兩個(gè)網關形成一(yī)個(gè)雲橋，由雲橋來轉發公私有雲的雲主機(jī)之間的報(bào)文。

H3C的私有雲VPC支持與公有雲VPC互通(tōng)，可采用專線或路(lù)由網關。網絡地址由總部統一(yī)規劃，公有雲VPC内支持創建子網，每個(gè)子網都可以配置路(lù)由表，與其他子網内虛拟機(jī)。

6.提供PAAS雲服務能(néng)力

PaaS服務以開(kāi)發者為(wèi)核心，平台用戶可以在上(shàng)面開(kāi)發、測試和部署軟件(jiàn)。這意味著(zhe)，軟件(jiàn)的整個(gè)生(shēng)命周期都可以在PaaS上(shàng)完成。這種服務模式專門(mén)面向應用程序的開(kāi)發人員(yuán)、測試人員(yuán)、部署人員(yuán)和管理人員(yuán)。

PaaS實現了應用開(kāi)發角度的資源抽象化。在建設PaaS平台的時候，将信息系統中的重要功能(néng)中間件(jiàn)，如遠(yuǎn)程過程調用、數據庫代理、消息處理、對象請求代理、事(shì)物(wù)處理、工(gōng)作流和地理信息等，納入到(dào)一(yī)個(gè)集中的，面向服務架構的平台上(shàng)，形成可以複用的服務構件(jiàn)。應用提供商可以在PaaS平台上(shàng)為(wèi)各政府部門(mén)創建各自(zì)獨立的用戶域，每個(gè)用戶域可以選取各自(zì)不同的軟硬件(jiàn)服務平台，并按照(zhào)自(zì)己獨有的業(yè)務環境和模式來組織這些服務。所有的信息化系統可通(tōng)過PaaS平台聚合成一(yī)個(gè)有機(jī)的整體。

四、 方案優勢

● 基于等保标準的全體系安全防護

● 私有VPC實現租戶安全隔離

● 400+廠商日志(zhì)适配實現主動防禦、安全态勢可感知

● Openstack架構滿足擴展性

● 完善的數據存儲+帶庫備份方案保障數據可恢複

● 租戶可以運營自(zì)己的VPC以及大數據資源

● 從(cóng)傳統IaaS基礎架構到(dào)PaaS服務、政務應用升級

五、 案例

19個(gè)省級政務雲、200餘個(gè)地市(shì)政務雲案例