公安行业云计算解决方案0527

　 公安行业云计算建设方案

　曙光信息产业股份有限公司

　1 项目背景及建设规划 ............................................................................................................................ 3 1.1 公安云建设背景 ........................................................................................................... 3 1.2 公安云建设的必要性及可行性分析 ........................................................................... 5 1.2.1 项目建设必要性分析 ....................................................................................... 5 1.2.2 项目建设可行性分析 ....................................................................................... 6 1.3 公安云需求分析 ........................................................................................................... 7 1.3.1 业务需求 ........................................................................................................... 7 1.3.2 数据需求 ........................................................................................................... 8 1.3.3 技术需求 ........................................................................................................... 9 2 云底层相关技术实现概要 .................................................................................................................. 10 2.1 云计算概述 ................................................................................................................. 11 2.2 云计算构成 ................................................................................................................. 12 2.3 云计算技术架构和路线 ............................................................................................. 13 2.3.1 资源池化 ......................................................................................................... 13 2.3.2 弹性扩展 ......................................................................................................... 14 2.3.3 智能化云管理 ................................................................................................. 16 2.3.4 安全可控能力 ................................................................................................. 17 3 云计算整体架构及具体技术实现 ...................................................................................................... 17 3.1 应用计算资源沲构建 ................................................................................................. 18 3.2 非结构化存储资源沲的构建 ..................................................................................... 20 3.2.1 多副本数据保护技术（数据安全性）

　......................................................... 21 3.2.2 高性能的并行存储 ......................................................................................... 21 3.2.3 共享存储 ......................................................................................................... 22 3.3 事务型结构化数据存储资源沲的构建 ..................................................................... 22 3.3.1 Oracle RAC 架构 .............................................................................................. 22 3.3.2 Oracle RAC 的优势 .......................................................................................... 23 3.4 云操作系统 ................................................................................................................. 24 3.4.1 系统架构设计 ................................................................................................. 25 3.4.2 对象关系 ......................................................................................................... 27

　 1 项目背景及建设规划 1.1 公安云建设 背景 金盾工程即指公安信息化工程，是指在现有公安信息化建设基础上，建设和完善全国公安信息网络和全国公安信息系统，提高公安各业务部门的信息化程度，实现以各项公安业务为基础，以全国犯罪信息中心为核心，以“数字化警察”为目标的信息共享和综合利用，为公安机关预防和打击犯罪、提高执法能力提供信息服务。

　“金盾工程”一期建设完成后，全国公安信息一、二、三级主干网全面建成，公安基层所队接入主干网的比例超过了 80%；以人口信息管理系统为龙头的 60个公安业务应用系统建设取得重大成果；八大公安信息资源库已基本建成并面向全警开放查询；公安信息化安全保障体系基本形成，公安身份认证和访问控制管理系统在全国公安机关推广应用，全国公安信息应用的种类上百个，各类公安信息网站超过 1.6 万个，信息应用覆盖了主要公安业务，应用的警种覆盖率为 93%；公安交通管理、出入境管理、户籍管理和刑事侦查工作中的缉捕在逃人员、追缴被盗抢机动车、刑事案件串并、指纹比对、DNA 鉴别等公安业务工作，已在全国范围内形成了信息化工作流程。

　金盾二期的建设目标是在一期工程的基础上进行扩充、扩展、完善和提高，增加公安业务信息应用类型，拓展公安信息系统的应用深度和广度，进一步提高公安工作的信息化程度。

　公安系统目前主要的资源库及业务应用系统（统称为八大业务资源库）有：全国人口信息库、全国违法犯罪人员信息库、全国警员信息库、全国在逃人员信息库、全国被盗抢汽车信息库、全国机动车/驾驶员信息库、全国安全重点单位信息库和全国出入境人员/证件信息库。

　根据公安工作的性质，公安业务应用系统一般可以分为两大类：

　一类是垂直应用系统，直接处理公安业务，产生业务数据，主要面向行政管理或单一业务； 另一类是水平应用系统，直接处理公安业务，产生基础业务数据，是面向打、防、控，跨越多个部门涉及多项公安业务的系统。

　公安系统的这些业务应用系统和资源库是目前在各个业务管理部门中运作良好的信息管理系统，它们为公安系统在维护社会治安、打击刑事犯罪、保护社会稳定方面起到了相当大的作用，因此我们在充分利用这些数据的时候必须保证这些业务系统的可靠运行。但是，公安系统的各类应用系统隶属于公安系统不同业务管理部门，是在不同的时期建立的，因此它们所运行的平台、数据结构等是非常不同的,难以实现数据共享和业务协同。

　公安信息系统下一步发展的目标是要充分整合现有资源，构建一个“大整合、高共享、流程化”的综合业务系统。其主要目的是：

　1、实现公安部门内部网络化办公，实现内部信息共享、内部资源整合、内部决策支持； 2、整合各部门业务系统，加强各应用系统之间的互联互通，形成综合的、只有一个窗口对外的服务系统。

　为实现上述目标，各级公安机关正在讨论建设新一代公安信息系统。针对公安行业的特点，系统建设中需要重点关注如下几方面的需求：

　一、系统中存在大量的数据交换业务，数据库应用是关键。

　为整合公安垂直和水平的多项业务，需要建设综合信息库。在应用系统中，综合库要面向众多垂直应用系统和水平应用系统，是新一代公安信息系统的核心枢纽，因此数据库的访存能力和可靠性都是非常关键的。这在进行数据库系统建设时要充分考虑，选择合理的技术架构来构建基础设施平台。

　二、公安各应用系统是以数据为主线的应用系统，系统中存在大量的结构化数据和非结构化数据，这就要求在进行基础平台存储系统设计时，要充分考虑采用先进的存储技术、可靠的存储系统架构和高性能的存储系统设备来构建基础平台的存储资源。

　三、由于公安各应用系统的数据均是不可再生的核心应用数据，在系统设计时，不但要着重考虑在线存储的性能和可靠性问题，还要从系统级别进行数据备

　份设计，通过离线存储的方式为在线数据保留物理备份，从多层面保证用户核心数据的安全，保护用户应用。

　四、公安应用系统具有持续演变性，需要基础支撑平台能够具备弹性扩展功能以适应应用系统的未来变化。

　五、目前的公安应用系统一般都采用基于 SOA 的总体架构进行开发，并通过基于 B/S 多层体系结构的展示平台实现。相应的其基础平台在逻辑上可分为：数据库系统、应用中间件系统和 WEB 服务系统。在基础平台架构设计上，既需要配合应用系统进行多层架构设计，也要充分考虑新技术的发展。

　六、随着上线的垂直应用和水平应用子系统的增多，公安信息系统涉及的设备数量和种类也不断增多，规模越来越大。设备的管理难度越来越大，单纯靠增加管理人员已经无法满足实际工作的需要，亟须更好的管理方法和工具。

　七、公安系统要求具备很高的系统安全性。除了防火墙和入侵检测等手段保证网络安全，还需要从身份认证和单机登陆等方面对内部设备的使用权限进行控制，以保证由外及内的全方位系统安全。

　基于自身多年来信息系统建设和运维经验，创新性提出采用云计算模式建设公安新一代信息系统基础平台，统一支撑公安各个警种的多个应用，将极大的提升信息系统的弹性和可用性，大幅降低信息系统建设和运维成本，促进多系统之间信息和数据共享，符合未来的发展方向，在全国公安领域具有鲜明的示范意义。

　1.2 公安云建设的必要性及可行性分析 1.2.1 项目建设 必要性分析 公安信息化系统虽然能够满足目前的业务开展需要，然而依然面临着未来业务扩展及保障安全的挑战：

　首先，目前的信息化系统建设缺乏统一规划，从全区公安信息化发展过程来看，目前有 19 个警钟共 83 个业务信息应用系统，厅、地、县三级公安机关工作责任和分工不清楚，造成地州间、警种间、部门间重复投资建设情况比较严重； 第二，业务系统与平台建设之间的关系不明，造成各业务各自为战，不成体系，共享困难；

　第三，信息化建设人员分散、业务分散，没有形成强大合力，造成业务与技术两张皮，软件与工作两分离； 第四，现有的基础设施的支撑能力不足，难易对整合及集中后的业务系统提供全面的支撑。

　上述问题的存在大多是由于传统的信息化技术、架构以及传统的分散、粗放的建设模式造成的。而目前的云计算技术及应用模式的发展已经能够解决上述问题。

　目前，这些问题的存在为业务的进一步深入造成了障碍，包括难以实现跨地州、跨部门、跨经警种的业务协同，难以实现全疆公安力量的统一指挥等，不利用保障的安全形势。

　而这些问题的存在，也影响了下一步的信息化，比如目前的基础设施难以满足八大资源库及八大平台的建设，在目前的信息化建设模式下，即使建成了这些基础数据库和基础平台，也难以实现业务的交互共享。

　综上，建设公安云，利用云计算技术和建设模式，改变信息化粗放建设的局面是非常有必要的。

　1.2.2 项目建设 可行性分析 首先，领导对公安云建设的大力支持，为公安云的建设、推进、信息整合、业务系统整合打下了良好的基础； 第二，具有良好的信息化基础。目前有大量的信息化系统，全疆 19 个警种83 个信息应用系统。多年的信息化积累，不仅完成了大量基础信息资源的积累，同时也积累了大量的信息化建设、使用、运营的经验，有助于公安云的建设和运营； 第三，云计算技术的快速发展和应用为公安云的建设提供了良好的技术储备。一方面，包括虚拟化、分布式计算、分布式存储、资源池化、自动化运维等云计算技术的快速发展，为信息化的进一步深入应用注入了新的活力；另一方面，多个城市已经建立了城市云计算中心，包括无锡、成都、南京等，已经实现了成功

　运营，不仅促进了当地云计算产业的发展，同时为当地的政务、民生和产业发展提供了支撑，极大的促进了当地信息化应用的水平。

　第四，的信息资源和业务系统已经具备了整合的条件。首先，多个共享信息资源库的建立，使得综合性业务系统的建设具备了数据基础；其次，目前的业务系统大多是基于 SOA 架构进行构建的，SOA 架构中已服务为基础，已经初步具备了异构系统整合的基础。

　综上所述，公安云的建设具备了多方面的支撑，完全有条件进行建设。

　1.3 公安云需求分析 目前及各地市州已经逐步建设起了信息化业务系统，满足目前公安业务的需要。随着业务发展的需求，逐渐显现出各地业务系统发展的不均衡，在建设中逐渐呈现出缺乏规划、重复投资、资源浪费的问题，导致集中管理困难、存在数据孤岛、信息化系统效果难以评估、安全性难以得到有效保障的问题。本项目的开展，在满足发展的同时，采用云计算相关技术，将有效解决逐渐暴露出来的信息化难题。

　1.3.1 业务需求 (一) 业务与信息化融合需求 当前公安的业务系统多样，但大多业务系统与实际的业务结合不够紧密，产生了技术与业务“两张皮”的现象，进而信息化难以有效支撑业务的进展，而业务的演变难以对业务系统的进化形成促进，造成信息化与业务脱节。

　本项目的建设需要已云计算技术的应用为契机，能够快速构建、开发新的业务系统，实现信息化随着业务的发展而快速变化，真正实现业务与信息化的融合，形成业务与信息化互相促进的格局。

　(二) 业务协同与统一指挥需求 随着公安业务发展以及面临新的安全需求，需要以本项目的建设为契机，推进基础设施、业务数据及业务流程的整合，实现公安系统跨部门及跨地域的业务

　协同，将全疆公安系统通过云计算技术整合成为统一的整体，并利用完善统一的支撑体系和业务系统满足统一指挥的要求，从最大程度上保障的安全形势。

　(三) 安全管理需求 安全管理涵盖两方面的内容，包括信息安全的管理和对突发事件的快速响应。

　目前的信息化建设情况下，由于各地业务系统建设水平不一，导致安全问题分散，难以满足安全保障的需求。本项目的建设中要求采用完善全面的云安全技术，以更加严格的方式保障公安系统业务系统的整体安全。

　而针对突发事件的处理，目前由于业务系统难以实现互联互通，突发事件发生后，需要较长的沟通、协调和部署的时间。本项目的建设需要改变现状，以最快的速度对突发事件做出响应，加快沟通、协调和指挥的速度，进而降低突发事件的影响。

　(四) 信息化系统统一管理需求 目前各地州的业务系统为各自分别建设，由于各地信息化水平不一，造成信息化系统的应用、维护和管理水平的不平衡，并且各地信息化应用水平难以评估，造成了大量的安全隐患存在。

　本项目的建设要求以“统一规划、统一建设、统一管理”的方式建设业务系统，保障各地业务系统建设的水平。各业务部门无需关心业务系统的建设和运营，只需从云计算中心获取相关服务，使得各业务部门能够避免陷入运营的负担中，只需将精力集中在业务上。

　(五) 节约投资需求 公安云计算项目的建设需要在顶层框架的指引下统一实施，避免了重复建设和资源浪费；采用虚拟化等绿色节能技术，提高了基础设施的利用率；同时以集中运营管理的方式，避免了后期维护和运营的成本，有助于节约投资。

　1.3.2 数据需求 针对公安的业务系统的数据应用，具备如下特点：

　（1）

　涉及数据量大、数据资源种类多、数据共享要求高。从职能划分看，数据库包括面向具体系统平台的工作库和以提供共享及支撑为目的资源数据库；从数据量上看，包括公安内部、外部数据，包括结构与非结构数据。

　（2）

　用户群大，并发用户量大。用户群体包括疆内疆外各警种、公安部门内外各系统，支撑内容包括信息查询、业务应用、数据交换，访问频度高、并发用户量大。

　（3）

　应用类别多，应用模式复杂。不同的应用资源需求量不同、访问高峰期不同、资源响应要求不同。

　（4）

　实时数据更新。最终实现所有数据实时更新的目标，更新数据基数较大，更新时系统资源需求高。

　（5）

　数据海量查询和批量处理是主要需求。对数据进行全文全库查询、批量比对、批量分析、批量交换涉及数据量大，可能使系统产生突发性资源消耗峰值。

　这些需求对存储系统及数据的整体存储能力提出了较高的要求。

　1.3.3 技术需求 公安云计算中心的建设，拥有强大的服务能力，在服务器集群规模、存储规模和高性能计算方面均具有无与伦比的优势，在针对海量用户服务、高并发请求响应方面需克服技术瓶颈。在本项目建设中，需要具备智慧计算能力、海量存储能力和安全可控能力。

　( (一 一) ) 智慧计算能力

　本项目需具备大规模计算集群的管理、调度和运用能力，因而在建设中，需采用先进的虚拟化技术、资源自动化调度管理技术，增加系统的处理能能力。

　（1）

　虚拟化技术：采用虚拟化技术对底层服务器、存储和网络等硬件资源进行抽象以构建一个共享的资源池，在此基础之上，应用程序可以根据实际需求随需应变的申请 IT 能力，以确保 IT 资源被充分利用、保证应用系统满足实际工作负载的需求及 IT 架构的易扩展性和动态性。

　（2）

　资源自动化调度管理技术：本项目的建设，需要在业务系统需要的情况下，方便的将物理服务器、存储等资源在很短时间内热添加到一个资源池中以供上层应用系统使用，消除传统上大量的手工配置工作，甚至对当前运行的服务系统造成中断的影响，确保能够在最短的时间内部署相关的应用系统。

　( (二 二) ) 海量存储能力

　海量的存储能力不仅要求存储系统具备海量空间，同时还要具备高可用性、高并发行、按需扩展能力。

　（1）

　分布式存储技术：分布式存储技术需能够通过增加存储设备的方式，对存储容量进行在线扩容，避免了因为增加存储而导致的业务中断；需能够支持EB 级数据的存储；需能够聚合服务器硬盘带宽，随着存储设备的增加，数据的存储带宽能够达到数百 GB/S，有效提升数据的访问效率；采用数据副本策略，保证数据的完整性和安全性。

　（2）

　分布式数据库技术：分布式数据库为长期积累的海量数据的查询、处理提供了解决方案，需具有高速的数据加载性能、海量数据抽取和查询功能。

　( (三 三) ) 安全可控能力

　为了避免系统性的风险及技术风险，云计算中心的建设需采用自主可控的软件及硬件进行搭建，产品的核心技术、关键部件具有我国自主知识产权，同时采用完善的基础安全、数据安全和网络安全等措施，保证系统的安全性。

　2 云底层相关技术实现 概要 为了能够让云中涉及到的技术能够更便于理解，我们有必要再来回顾一下什么是云计算

　2.1 云计算概述 云计算是一种 IT 资源的交付和使用模式，指通过网络（包括互联网 Internet和企业内部网 Intranet）以按需、易扩展的方式获得所需的软件、应用平台、及基础设施等资源。

　云计算具有资源池化、弹性扩展、自助服务、按需付费、宽带接入等关键特征。

　从部署和应用模式来讲，云计算又分为公有云、私有云和混合云等。

　云计算从服务模式上来讲主要包括基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）等内容。

　IaaS 是 Infrastructure-as-a-Service（基础设施即服务）的建成，云计算中心可使用 IaaS 的模式将其资源提供给客户，通过虚拟化技术，虚拟数据中心可以将相应的物理资源虚拟为多个虚拟的数据中心，从而在用户一端看到一个个独立的，完整的数据中心（虚拟的），这些虚拟数据中心可以由用户发起申请和维护，同时，这些虚拟数据中心还具有不同的资源占用级别，从而保证不同的用户具有不一样的资源使用优先级。

　PaaS 是 Platform-as-a-Service(平台即服务)的简称，PaaS 能给客户带来更灵活、更个性化的服务，这包括但不仅限于中间件作为服务、消息传递作为服务、集成作为服务、信息作为服务、连接性作为服务等。此处的服务主要是为了支持应用程序。这些应用程序可以运行在云中，并且可以运行在更加传统的企业数据中心中。为了实现云内所需的可扩展性，此处提供的不同服务经常被虚拟化。PaaS 厂商也吸引软件开发商在 PaaS 平台上开发、运行并销售在线软件。

　SaaS 是 Software-as-a-Service（软件即服务）的简称，一种通过 Internet提供软件的模式，厂商将应用软件统一部署在自己的服务器上，客户可以根据自己实际需求，通过互联网向厂商定购所需的应用软件服务，按定购的服务多少和时间长短向厂商支付费用，并通过互联网获得厂商提供的服务。

　在 SaaS 模式下，企业不再象传统模式那样花费大量投资用于硬件、软件、人员，而只需要支出一定的租赁服务费用，通过互联网便可以享受到相应的硬件、软件和维护服务，享有软件使用权和不断升级，这是网络应用最具效益的营运模式。同时，服务提供商通过大规模的客户收取一定服务费用，一方面来达到软件

　的最大利用率，另一方面也降低频繁的客户现场实施和维护费用，更多的精力投入到技术及服务质量上，更好地通过有效的技术措施保证每家企业数据的安全性和保密性。

　2.2 云计算构成 云计算包括云计算中心、高速接入网络和客户终端三个关键要素。

　终端用户通常采用手机、PAD、互联网电视等终端设备获取云计算中心服务。在云计算的模式下，客户端为轻量级设备，无需做复杂的信息处理，只需要通过浏览器等 UI 与后端的云计算中心实现互动，随时、随地、随需获取交通信息、教育信息、互动游戏、医疗社保等信息服务。

　高速传输网络是实现云计算的基础。当前各大运营商都在积极的升级各自的基础设施，这为云计算的发展铺平了道路。三网融合的不断深入，使得广电网络也成为一个理想的云服务传输通道，数亿家庭的数字娱乐需求将通过广电网络得以满足。物联网则使得数以亿计的物体接入互联网络，使得人、机、物三者之间的实时双向互动成为可能。

　云计算数据中心是实现云计算的关键，也是本项目重点关注的内容，包括平台层和应用层。在平台层，云计算中心构成整个“云”的支撑平台，包含云计算、

　云存储和云安全的全部信息。此外，通过云间资源调度管理系统，可以实现”云”与其他行业私有云和混合云之间的互动和协作，由此构建一个完整的云生态系统。

　2.3 云计算技术架构和路线 无论是公有云，还是私有云，提供服务的云计算中心的基本技术路线主要包括：资源池化、动态资源调度、智能化云管理等。

　2.3.1 资源池化 资源池化就是将计算资源、存储资源、网络资源通过虚拟化技术，将构成相应资源的众多物理设备组合成一个整体，形成相应的计算资源池、存储资源池、网络资源池，提供给上层应用软件。

　资源虚拟化是对上层应用屏蔽底层设备或架构的资源封装手段，是实现云计算资源池化的重要技术基础。

　虚拟化技术由来已久，所谓虚拟化是相对于物理实体而言的，即将真实存在的物理实体，通过切分或（和）聚合的封装手段形成新的表现形态。

　聚合封装是将多个物理实体通过技术手段封装为单一虚拟映像/实例，可用于完成某个业务。例如 SMP、计算集群（Cluster）、负载均衡集群（Load Balance）、RAID 技术、虚拟存储、端口汇聚（port trunk）、交换机堆叠（stack）等。

　切分封装是将单个物理实体通过技术手段封装为多个虚拟映像/实例，可用于执行不同业务。例如主机虚拟化、存储分区、虚拟局域网（VLAN）等。

　其中， SMP、计算集群、负载均衡、主机虚拟化等属于计算虚拟化的范畴； 存储分区、RAID 技术、虚拟存储等属于存储虚拟化的范畴； 虚拟局域网（VLAN）、交换机堆叠、端口汇聚等则属于网络虚拟化的范畴。

　对于虚拟化技术也可以组合使用，以灵活地满足各种应用环境。例如， 存储分区可以是对单个磁盘，也可以是针对 RAID 磁盘组； 虚拟化主机通过负载均衡又可以实现应用单一映像。

　虚拟化技术的一个重要结果是降低 IT 架构中部件之间的依赖关系，以计算虚拟化为例，集群、主机虚拟化等计算虚拟化技术实现了应用软件与物理基础设施解耦。

　云计算平台的计算虚拟化技术形式众多，所要解决的问题也各不相同。例如， 主机集群化技术使得应用处理获得了更大的处理能力； 主机虚拟化技术则是提高显存处理能力的利用率。

　但是从最终的效果而言都是分离了应用软件与物理基础设施，解除或弱化了它们之间的耦合，从而也就削弱了各自的技术发展所受到的相互限制，拓展了技术发展的空间和灵活性。

　 2.3.2 弹性扩展 云计算中心要实现所提供服务的质量，动态的资源调度是必不可少的。

　现有数据中心的 IT 基础架构采用固态配置 固态配置，灵活性很差，当业务发展超出预期时，无法及时根据业务需求调整资源供给，难以满足业务快速增长的需求。而且系统资源扩展需要一定的周期，在此过程中，业务系统将处于高危运行状态，造成服务质量下降。而为了应用峰值而扩展的资源在正常情况下，将处于低负荷状态，造成资源浪费。

　而云计算中心要避免这样的情况出现，就必须要实现动态的资源调度，实现业务系统资源配备的按需调整，结合管理系统的资源监控，根据业务负载等情况，调整业务资源配给，保障业务系统的资源供给，满足其运行需要，也就保障了业务的服务质量。

　云计算中心弱化了应用软件与底层物理资源依赖关系，使得物理资源能够更加灵活地向优化系统性能、提高可靠性、提高易用性、提高运维效率等方面发展，使得动态资源调度成为可能，从而为上层的应用软件提供更好的服务质量。而提高底层的计算、存储、网络等物理资源的耦合性，对于解决上述问题具有关键作用。

　首先通过对计算资源、存储资源、网络资源进行优化配给，提高资源能力的耦合性，则可以更好地提高云计算平台的整体性能。

　然后智能化地根据用户需要封装、分配资源，形成虚拟应用平台，用户在简单地部署自己的应用或数据后，应用系统即可投入使用。

　利用整合了计算、存储、网络等方面资源的运维专家系统，只需基于虚拟应用平台对物理资源的使用分析，即可动态地对其所用物理资源进行优化调整，以提高用户应用的运行效率和服务质量。

　在云计算中心，运维人员无需过分关心上层应用的情况，只需基于虚拟应用平台对物理资源的使用分析，进行资源优化调整，保证云计算中心的稳定高效即可。

　2.3.3 智能化云管理 云计算中心具有 IaaS、PaaS、SaaS 等众多的服务模型，提供计算服务、存储服务、乃至整合各种资源的综合性服务，其资源的构成更加复杂、规模更加庞大。为了提高易用性和可维护性，各种资源构成之间的关系复杂。为了保证云计算中心的服务质量，对于众多用户资源配给的调整也要求更精准的、更及时。

　这些要求已经不是依靠运维人员的能力所能满足的，需要采用更加智能化的自适应运维管理。

　● 紧耦合的资源管理

　云计算中心采用资源综合管理，即将系统中的计算、存储、网络等资源视为整体系统，实施统一管理，这有利于优化整体性能、精确定位问题、是实现动态资源调度的重要因素。

　● ● 多维 度的资源 管理 云计算中心的资源具有多种视图，例如物理资源视图、虚拟资源视图、虚拟组织视图，因此，云管理也应该是多维的。

　2.3.4 安全可控能力 根据 IDC 在 2009 年年底发布的一项调查报告显示，云计算服务面临的前三大市场挑战分别为服务安全性、稳定性和性能表现。

　云计算中心实现了用户、应用、数据的高度集中，安全性是客户选择云计算时要考虑的重要因素，因此应该特别重视安全方面的问题，把安全系统建设作为一项重要工作加以实施。

　同时云计算中心也是资源集成度很高的综合系统，其中涉及到云计算、云存储、云基础设施等多种资源，包括物理资源、虚拟资源池、虚拟组织等多个层面，因此云安全平台也应该针对多类型、多层面的资源实时保护，整合网络安全、系统与应用安全、数据安全等众多安全防护手段，提供多层次全方位的安全防护和完备的安全管理与监控功能，为云计算中心提供立体的云安全平台。

　3 云计算整体架构 及具体技术实现 下面的架构是标准的云计算架构，其中曙光的云计算平台提供的是 IAAS 及PAAS 平台的功能实现，SAAS 平台是指运行在曙光平台上的的各警种的应用软件，或者组织相关厂商开发，或者与曙光合作开发，在这里我们不做详细叙述，我们只做 IAAS 及 PAAS 平台实现的具体技术描述。

　 3.1 应用 计算资源沲构建 计算资源通过虚拟化引擎（HyperVisor）、负载均衡等虚拟化技术，将物理的计算资源虚拟成计算资源池，供给支撑层的板块要素使用。如下图所示：

　虚拟化引擎（Hypervisor）通过主机虚拟化技术，将物理计算资源进行精细切分，可以有效提高计算资源的利用率，通常适用于业务逻辑计算、内容展示等应用，诸如 web 应用、OA、邮件等。

　曙光 Cloudview 1.5 云计算操作系统从功能性及实用性出发，为云计算平台提供统一部署实施、虚拟机规模创建、资源动态调度、用户分级管理等特色功能。在设计上采用层次化、模块化结构，系统自身具有良好的可扩展性，支持系统功能模块扩展，可满足云计算中心的动态业务需求，极大提高系统的运营效率、管理效率，并进一步降低运维成本。

　 多租户租赁：

　Cloudview1.5 云计算管理系统能够将资源提供给多组用户使用，实现应用和数据隔离以保证用户的核心信息资产数据不被其他用户看到和篡改，同时保证不同用户之间的应用性能不会受到影响。

　满足企业用户对云计算中心的资源申请、使用需求，避免传统云计算管理系统直接面向单一用户分配和维护资源的管理复杂性。

　 完善的自服务机制 ：

　Cloudview1.5 云计算管理系统为用户提供多种可选择的资产类型，用户可以根据需求申请不同类型的资产，并在使用资产过程中进行资产变更、资产保留、资产启用、资产退租等申请。

　用户可以创建多个成员，将申请到的资产分配给不同的成员使用，并对成员以及资产的生命周期进行管理。

　 定制的资产类型 ：

　Cloudview1.5 云计算管理系统提供可定制资产类型的功能，管理员可以根据用户的需求添加或删除资产模板，在资产模板中定义不同配置、不同数量的资源以供用户快速的完成资产申请;同时用户也可以自定义资产的配置和数量，以满足用户个性化需求。

　 按需弹性计算 ：

　Cloudview1.5 云计算管理系统能够快速实现用户对资源的申请，变更，退租等操作，使用户的需求能够即时得到满足;具有快速伸缩的能力，用户可随时申请、释放和调整云计算服务资源的使用，根据应用资源需求进行调整。

　 全方位虚拟机管理 ：

　Cloudview1.5 的“虚拟机管理”模块为管理员提供了对系统内虚拟资源的全面管理，可以执行启停、重启、挂起、唤醒、手动迁移以及 VNC 访问等操作，满足用户在使用过程对虚拟机的各种操作需求。

　用户可以通过 VNC 以及 SSH 等方式访问分配给该用户的虚拟机资源。

　系统基于自动化资源分配策略，根据系统实时运行状态，自动匹配合适的存储资源及计算资源创建虚拟机，避免传统管理软件手动指定创建虚拟机的弊端。

　 资源池化机制 ：

　Cloudview1.5 支持把资源构建成一个统一的同质化资源集合，根据用户需要将资源动态地分配或再分配给不同的用户使用。

　资源池化的对象包含计算资源、内存资源和存储资源，提供计算、内存、存储资源统一抽象，资源的分配、回收在资源池中进行，实现资源复用，快速满足用户资源需求。

　 混合资源管理 ：

　Cloudview1.5 支持用户对计算资源、内存资源和存储资源的租赁请求。除了向用户提供虚拟机资源，也可以添加物理资源到资源池，向用户分配物理资源。通过物理和虚拟资源混合租赁机制，可以满足用户的多种业务应用对不同类型资源的需求 3.2 非结构化 存储资源沲的构 建 对于公安行业用户来说，容量与性能的线性扩展是必须的，而对于传统的存储架构来说，这却是不可逾越的鸿沟。在越来越复杂的信息系统中，为了完成计算任务，提高系统的计算能力，不断的加入新的节点，虽然提高了整个网络内的集群的计算节点，结果却带来了很大的存储问题，存储系统的 I/O 带宽难以为继，很多计算节点因为无法获得数据而被迫停止运算或降低运算效率，存储系统成为了限制发展的羁绊。同时，集群系统中，每一个用户都面临着随着用户节点的不断增加，而对于很多原有的存储系统来说，提升容量并不能提升速度，这样一来，即使提升了容量，节点也会因为无法及时获得数据而遭遇性能的瓶颈。

　并行存储系统其性能可以随着存储容量的增加而线性增加，是解决公安行业海量非结构化数据存储的理想平台。

　曙光 ParaStor200 并行存储系统采用了代表存储技术、网络通信技术以及数据管理技术发展方向的并行体系架构，是一款面向海量非结构化数据处理、拥有自主知识产权的高端存储系统。

　ParaStor200 并行存储系统汇集了曙光公司多年以来在并行计算和海量数据处理方面的丰富经验，从架构上彻底消除了传统存储系统的瓶颈，能够满足高带宽和高并发的海量文件存取的需求，为用户带来前所未有的存储性能体验。

　3.2.1 多副本数据保护技术 （数据安全性）

　数据是业务基地的关键，如果数据被损坏，那么业务基地的各种应用将无法正常工作，数据损坏对于业务基地来说甚至是致命的。因此业务基地的存储资源池应该具有更优秀的数据安全性。

　传统数据保护多采用 RAID 等数据校验手段来保证数据的安全性，允许存储部件的部分损坏，但是对于业务基地所需的 PB 级的海量存储系统而言，由于容量的大幅提高，使得传统数据保护手段的有效性大幅下降，已经不能满足业务基地对存储的需求。

　存储资源池应该采用更好的数据保护技术。数据多副本技术建立在允许任何部件出现问题的基础上，将数据的多个副本存放在不同的存储设备上，在整个存储系统中，任何一个或多个部件出现损坏，都不会影响到存储系统的正常使用，也不会出现数据不可访问的现象，使存储资源池获得前所未有的数据安全性。

　3.2.2 高性能的 并行 存储 业务基地具有更高的存储访问密度，并且具有更高的发展速度，因此对于存储资源池的性能提出了更高的要求。

　高性能的并行存储系统性能超越了所有 SAN 存储，面向大数据量进行了 I/O优化，带宽可达几十 GB/s 甚至几百 GB/s。

　并行存储系统的体系结构类似于 SAN，每个节点都可以直接访问它的存储设备，又不同于 SAN，没有 SAN 结构中 RAID 控制器的瓶颈问题，当客户端（计算节点）的规模增大时，该优势非常明显。

　此外，并行存储系统可以自动优化数据的分布，并允许客户端（计算节点）向多个 I/O 节点并行读写，最大化单个客户端（计算节点）的吞吐率。

　并行存储系统专门针对大数据量的传输做了优化，可以为业务基地提供高性能的吞吐率和全局数据共享环境，特别是在网络带宽足够的情况下，多进程和多客户端更有利于体现并行存储系统超强的聚合 I/O 能力。

　3.2.3 共享存 储 业务基地的云计算中心所要面对的应用和用户的规模将远大于现有数据中心，由此所带来的问题就是存储的规模也是十分巨大的，如果采用磁盘阵列这样的传统存储设备，那么设备的数量也是极其庞大的，而且不同的应用系统或用户需要使用不同的 LUNs，面对数量庞大的 LUNs，将极大地增加存储运维管理的难度，因此在云计算中心，这种 LUNs 独占模式是不可取的。

　业务基地的云计算中心应该采用能够实现多应用系统或用户共享海量数据的存储系统，更有效地提高存储的利用率、易用性和易管理性。

　3.3 事务型 结构化 数据 存储资源沲的构建 数据库是 IT 系统的核心， 数据库系统对可用性和性能的要求都非常高。而Oracle RAC(Oracle Real Application Cluster)架构具有最高的可用性和创世界记录的性能，因此它是构建企业级数据库平台最佳的体系结构；此外，Oracle RAC还是一种可以随需而变的、具有弹性伸缩能力的体系结构，非常适合私有云。

　3.3.1 Oracle RAC 架构 Oracle RAC 是从 9i 开始，Oracle 推出的一种高可用、高性能的数据库体系结构。到目前，RAC 技术已经不断成熟，被广泛采用。RAC 可以利用低成本的普通硬件设施来降低总体成本，并且可以扩展以分散不断增长的应用负载。

　Oracle RAC 是一种共享存储的集群架构，多个相互独立的服务器通过高速网络互连起来相互协作形成一个整体的、单一的系统。Oracle RAC 架构对上层应用是透明的，不需要对上层应用程序做任何修改。此外，这种架构比 SMP 系统具有更高的错误恢复能力并且可随着系统增长而逐步扩展。在 Oracle RAC 架构

　中，节点、网络和磁盘都是冗余的，这样可以避免单点故障和提供杰出的错误恢复能力。

　曙光 Oracle RAC 解决方案架构图

　如上图所示，多个主机通过高速网络互连构成数据库服务器节点集群，该主机集群共享存储空间，存储可以是 SAN，这样，在存储层和主机层都提供高可扩展的能力、并且避免了单一失效点。此外，Oracle 还通过缓存融合(Cache Fusion)等技术，保证了整个 RAC 架构的高吞吐能力和高性能。

　3.3.2 Oracle RAC 的优势  最高的可用性  随需应变的弹性伸缩能力  较低的硬件成本  创纪录的性能表现  网格计算的基础

　更多信息可以参考 Oracle RAC 技术白皮书1、6 。

　Oracle RAC 不仅仅是一种高可用、高性能的数据库平台，而且也是一种非常适合私有云的体系结构，因为 Oracle RAC 的设计体现着动态化、弹性化的效用计算的思想。从 10g 开始，Oracle RAC 就逐渐走向成熟，在效用计算/网格计算方面得到很大加强。

　2

　以下是一些 Oracle RAC 的特色功能：

　 动态增删节点：Oracle RAC 中的节点都可以动态添加/删除；  存储虚拟化：Oracle 的 ASM 其实就是一种存储的虚拟化，允许用户动态的增加或者删除 ASM 中的磁盘组和磁盘组中的磁盘；  效用计算，应用即服务：Oracle RAC 中的 Service 其实就是效用计算思想的体现，可以实现对资源(实例)的分组，客户端通过 Service 访问实例，不需要指定实例，也不需要知道那个实例在为自己服务； 而这些特点，正是私有云对企业级数据库的需求。所以说，Oracle RAC 是一种适合私有云的数据库体系结构。

　3.4 云操作系统 云管理平台主要进行系统资源的服务化、实现资源快速部署与按需分发、用户资产租赁服务、系统全局安全保障等。借助于云管理平台，可以构建易于管理、动态高效、灵活扩展、稳定可靠、按需使用的新一代业务基地云计算中心。

　云计算中心的管理需要采用全新的管理模型和灵活的功能架构，并且充分考虑基础设施（资源）、业务运行、运维服务等各种管理要素，面向用户应用需求，通过按需装配资源组件，建立一个开放式、标准化、易扩展、资源可联动的统一智能管理平台，实现精细化管理，为云计算中心的各种业务系统提供支撑。

　管理的具体目标包括：

　● 实现端到端、大容量、可视化的基础设施整合 ● 实现物理资源与虚拟资源的自动化管理 ● 实现面向业务的应用管理和资源耗用分析 ● 实现可控制、可审计、可度量的运维管理

　云平台管理应该从运维、运营与用户三个层面对云计算数据中心进行管理。

　基于云管理平台的 IaaS 平台 3.4.1 系统架构设计 云管理平台采用模块化的系统架构设计，方便系统部署、管理与升级。云管理平台整体系统架构图如下图所示。

　服务器设备 存储设备虚拟化主机资源池 虚拟化存储资源池 服务资源池资源抽象系统设备用户Portal网络设备公共服务系统运维管理员 系统运营管理员 系统终端用户硬件设备接口 (Linux/Unix/MS Windows + Hypervisor)虚拟机管理 虚拟网络管理 虚拟主机管理适配层物理机适配器 虚拟存储适配器 虚拟机适配器虚拟存储管理虚拟网络适配器虚拟化管理资源池系统运维用户管理计算资源租赁服务 存储资源租赁服务 应用租赁服务系统服务系统运营资源调度 资源部署 存储管理 系统能耗管理用户生命周期管理资源状态监控系统公共组件设备监控系统核心平台配置管理服务云安全资源监控日志服务页面集成数据库引擎告警引擎报表引擎平台通信用户资产生命周期管理 系统资源信息管理更新服务License管理系统自维护告警报表管理安全设备 云管理平台系统架构图 适配层

　适配层主要负责管理系统当中所有的硬件基础设施。这些硬件基础设施为系统运行提供硬件平台，是系统运行并对外提供服务的基础。具体设备会包括服务器设备，存储设备，网络设备及其他设备等。适配层所管理的所有硬件设备须具有符合系统全局监控管理服务功能模块所定义的设备接入标准接口。监控管理服务通过该接口实现对硬件设备的监控管理功能。

　资源抽象层

　资源抽象层是系统的核心，提供对系统硬件设备与软件服务的抽象管理，并为公共服务层提供资源使用及管理的接口。资源抽象层所要实现的功能集包括资源管理及资源池管理两部分。资源管理包括物理机管理、虚拟机管理、存储管理、网络管理、公共服务管理等功能子系统，主要负责对经过抽象形成的各种系统资源进行管理；资源池管理包括资源查询、资源分配与回收、资源添加与删除及资源维护等功能子系统，主要负责对系统各种资源池中的资源进行管理，为公共服务层提供使用资源的接口。系统对接入的硬件设备，操作系统，虚拟化软件，以及部分基础服务软件等进行抽象处理之后，形成系统底层核心资源。这些资源是系统为用户提供服务的基础和载体，也是系统公共服务层功能集相关子系统和功能模块所要管理和应用的基本元素。

　公共服务层

　公共服务层是系统对外提供服务的窗口，也是系统高效灵活使用资源的指挥中心。服务层实现的功能集包括系统终端用户服务，系统运营管理，系统运维管理三部分功能。终端用户服务包括计算资源租赁服务、存储资源租赁服务、应用资源租赁服务；系统运维管理/运营管理包括计算资源管理、存储资源管理、服务资源管理、部署管理、用户管理、记账管理及报表、告警管理等功能。通过运维/运营管理功能集的作用，生成可用的系统服务，并由系统 Portal 将这些服务交由不同角色的用户访问，实现系统对外提供服务的能力。

　云安全功能子系统

　云安全功能子系统为云管理平台提供用户身份认证管理、用户数据加密服务、系统网络安全管理等多层次安全保障。

　上述各功能系统的正常运行依赖于系统公共组件及系统核心平台提供的服务，包括系统日志服务、系统权限管理服务、系统模块管理服务、系统页面集成服务、系统全局监控管理服务、系统配置管理服务、系统远程管理代理服务、系

　统告警报表服务、系统全局策略管理服务等基础服务功能子系统。这些子系统协同作用，保证系统其他子系统能够正常的运行，并且使得系统运维人员可以即时发现系统运行过程中发生的异常，避免系统由于非正常运行给终端用户带来的损失。

　3.4.2 对象关系 云管理平台对象关系图如 2-1 所示。物理服务器、hypervisor、虚拟机、存储设备、网络设备在系统中都属于资源，且通过物理资源分区组织起来进行管理，或以逻辑资源分区视图查看资源信息。将不同的资源关联起来生成系统资源时，资源的选择不受分区的限制。新生成的系统资源通过虚拟数据中心组织起来进行管理。系统可以管理多个组织，每个组织代表一个企业用户。每个组织管理多个项目，项目中包含资产及项目成员。一个项目中的资产可由不同虚拟数据中心中的系统资源组成。下面是云管理平台运行时对象关系图 IntranetInternet网络防火墙...服务器组存储分区共享存储数据库集群...存储分区终端用户Portal运营管理Portal运维管理Portal组织 组织 项目项目资产 资产项目成员 项目成员访问控制 访问控制计费审计 计费审计虚拟数据中心 虚拟数据中心系统资源 系统资源共享存储 共享存储逻辑资源分区 逻辑资源分区物理资源分区 物理资源分区虚拟机 虚拟机虚拟机文件管理网络交换机 数据网络交换机应用服务器

　云管理平台系统运行时对象关系图如上图所示。应用服务器上部署资源管理子系统、系统资源管理子系统、计费管理子系统、能耗管理子系统、动态调度子系统、虚拟化管理子系统等，为运营管理员、运维管理员提供服务；项目管理子系统为终端用户提供服务。远程接入代理主要实现用户登录访问虚拟机时的 VNC或 SSH 转发功能。