运维管理系统 ——中央广播电视总台复兴门办公区基于云计算的系统构架

【摘要】 今年年初国务院发布了《“十四五”数字经济发展规划》，产业数字化转型升级将迈上新的台阶。广播电视行业一直紧跟国家大势，朝着数字化、网络化的方向发展。中央广播电视总台更是走在行业前列，大力发展信息网络技术建设，建立高质量的云计算数据中心，为总台数字化、网络化转型升级筑牢根基。

本文以复兴门办公区搭建在总台云平台上的运维管理系统为例，简要阐述了在云平台上搭建系统的构架及其优势。

【关键字】 云计算  数据中心  PaaS  网络安全

一．云计算技术的划分
在信息化快速发展的时代，云计算技术日趋成熟，它将原本分散在各地的IT资源集中起来，通过虚拟化、分布式、多租户、自助服务等服务方式提供给客户。业界以分层理论，通常将云计算技术就“基础服务、平台、软件系统”，划分为三类：

IaaS（Infrastructures a Service）：基础设施即服务，包括网络资源、存储资源、计算资源，为用户提供虚拟磁盘，虚拟化。

PaaS（Platform-as-a-Service）：平台即服务，为用户提供操作系统、数据库、中间件、编程环境、网络协议。保证高可靠性、可用性。

SaaS（Software-as-a-Service）：软件即服务，为用户提供安全、丰富的应用体验，保证应用程序的安全、可靠性和高可用性。

另外，继IaaS、PaaS、SaaS之后，随着越来越多的数据沉淀，发展起来一种新型服务DaaS（Data as a Service，数据即服务）。

DaaS通过对数据资源的集中化管理，将数据聚合、抽象化，把数据转换成通用信息，实现数据场景化，从而为公众提供公共信息服务。

消费者通过Internet从完善的计算机基础设施获得服务。这类服务称为IaaS（基础设施即服务）。即通过软件平台将大量硬件资源集中管理，根据用户请求按需分配存储空间、计算能力、内存大小、防火墙、网络环境等基础设施，以满足用户需求。 

其优点在于基础设施可以动态扩展，根据需求升级而增加基础设施的配置和容量。用户只为自己使用到的部分付费，有效降低了运营成本。付费后可以立即获取需要的升级服务，无须等待较长时间。

将“服务器平台”或“开发环境”作为服务的产品，被称为PaaS(平台即服务)。它让用户能够使用提供商支持的编程语言和工具把应用程序部署到云中。用户不必管理或控制底层基础架构，而是控制部署的应用程序并在一定程度上控制应用程序驻留环境的配置。

PaaS的价值在于提供独特的价值能力，这些服务大多是对稀有资源的包装，通过Open API的方式供第三方调用。这些资源包括操作系统、业务数据、业务服务、计算能力、存储能力等。

SaaS（Software-as-a-Service）是一种通过Internet提供软件的模式，厂商将应用软件统一部署在自己的服务器上，客户根据自己实际需求，通过互联网向厂商定购所需的应用软件服务，按定购的服务多少和时间长短向厂商支付费用，并通过互联网获得厂商提供的服务。企业不必购买、构建和维护基础设施和应用程序，可降低企业运营成本。服务提供商会全权管理和维护软件，软件厂商在向客户提供互联网应用的同时，也提供软件的离线操作和本地数据存储，让用户随时随地都可以使用其定购的软件和服务。

其优点在于使用方便，运营成本低。缺点是软件的定制开发、升级、与其他软件整合，都需要SaaS提供商的支持。

二．传统中小型系统网络构架

传统有外网访问需求的中小型网络构架通常如图1所示，用户通过互联网访问部署于DMZ区的反向代理服务器，代理服务器再向两台应用服务器请求数据。反向代理服务器兼有负载均衡功能。

传统的中小型系统构架简单、部署较为容易。两台应用服务器互为备份，加强了服务、数据的安全性和可 靠性。

图1 传统网络构架

和云计算构架相比，传统网络构架存在多方面的 缺点：

运维成本高。系统虽然构架简单，但后期维护和网络安全管理还需要投入很大的精力。由于数据库、存储等所有重要信息都存储在DMZ区，安全性较差。

运维安全性差。受制于成本影响，中小型应用系统一般不配置堡垒机和审计系统用于运维，系统运维与提供服务通路有重合，有时还采用远程运维。这为网络入侵提供了可能，难以保障系统的运维安全。

数据安全性差。数据安全是软件系统安全保障的核心问题之一。传统的运维管理系统虽然采用了两台服务器热备份的模式，在一定程度上降低了因一台服务器故障导致的系统停止服务问题。但由于两台服务器通常放在同一个机房相近的位置，故而对于一些蓄意破坏或者不可抗的灾害问题容灾能力有限。

系统升级迭代成本高。由于系统与基础设施的高耦合性，当系统需要升级迭代时，应用系统业务连续性将受到干扰，且升级迭代成本高。

三．运维管理系统在云平台的构架

复兴门办公区新建的运维管理系统主要支撑技术人员的日常运维工作管理、设备管理和节目部门的考勤管理，包括运维管理系统、资产管理系统和安播到岗系统三 部分。

系统搭建在总台光华路办公区数据中心的PaaS云架构之上。云平台的网络带宽、存储空间、计算能力等IaaS基础设施服务由华为云提供，服务器、数据库、防火墙、用户管理、中间件等PaaS平台服务由总台数据中心提供。对于搭建在数据中心的系统来说，数据中心提供的是包含系统、数据库、用户管理等服务的PaaS平台。

运维管理系统的架构如图2所示，代理服务器、生产服务器及数据库均以虚拟机的形式部署在光华路数据中心华为云上。其中数据库部署在核心区，核心区拥有最高的安全等级。生产服务器部署在办公内网的云上，外网不能直接访问。外网用户只能通过设立在DMZ区的代理服务器，间接访问生产服务器。

图2 运维管理系统构架

1.运维部署

为保证应用系统运维安全，生产服务器、代理服务器及数据库的部署、运维只能通过总台堡垒机进行，在复兴门办公区指定了一台运维电脑通过访问总台堡垒机进行运维及部署。图2中红色线为运维通路。运维线路各环节只申请开通了运维必需的访问策略，其他不必要的端口全部 关闭。

2.业务访问

业务访问的通路如图2中黑色线所示，内部网络访问时会被指向代理服务器的云内网址，外部网络访问时域名会被解析为代理服务器的云外地址，然后通过NAT转换指向代理服务器。

四．云平台技术的优点

1．高可扩展性。

云计算平台下的数据中心的模块化扩展能力解决了传统数据中心扩容难的问题。

传统数据中心在扩容时会受到系统设计、机房设计及网络设计的影响，对于机房扩容来说是一个系统性的工程，特别是在空间和电力能源有限的情况下，要实现扩容是无法完成的事情。然而，云计算数据中心可以在总体空间和电力提供不变的情况下，通过提高单机架的容纳能力及降低PUE等方式实现“扩容”。

云计算的网络、存储、计算资源松耦合，可以根据数据中心内各种资源的消耗比例适当增加或减少某种资源配置。使得数据中心的管理具有较大灵活性，资源配置更加优化。

2．构建完善的安全体系

构建一个完善的安全体系，是云计算平台的命脉所在，也是用户选择云服务时考虑的核心问题。总台网络安全部门携手云服务供应商，构建了完善的网络安全方案。

安全计算环境保障措施：

①在主机上部署了防病毒软件，基于病毒库对已知病毒等恶意代码进行查杀。

②对堡垒机登录采用了双因素认证措施、需同时提供硬件USB KEY及密码。将运维登录与身份认证网关进行结合，做到了人为操作的有据可查。

③在重要服务器设备上，部署了内核加固软件，通过其加入了标记及强制访问控制的措施。

安全网络边界保障措施：

①在数据中心与办公网的边界处部署防火墙，对进出数据中心的数据实施过滤和访问控制。

②在数据中心与办公网的信息边界，部署防病毒网关设备，基于病毒库对信息流中的恶意代码进行查杀。

③在数据中心网络内部部署入侵检测设备，防范外部的入侵行为；

安全管理中心部署措施：

①部署运维审计、数据库审计，对用户的设备操作和数据库操作行为进行审计。

②部署安全管理平台，对所有安全设备的日志进行收集汇总和集中分析，对网络中发生的各类安全事件进行识别、分析和报警。

通过构建覆盖计算环境、网络边界、安全管理等多层次的安全防御体系，防止恶意用户对总台云平台核心数据的破坏。

3．自动化管理体系

自动化管理是传统数据中心没有的功能。云计算数据中心的自动化管理使得在规模较大的情况下，实现较少工作人员对数据中心的高度智能管理。此特性一方面能降低数据中心的人工维护成本，另一方面能提高管理效率，提升客户体验。
云平台能够提供精细的管理和监控，比如能够观察应用运行的情况和具体数值(比如吞吐量Throughput和响应时间Response Time等)来更好地衡量应用的运行状态。

4．经济性

云平台的租户模式，让在基础设施层的“多租户”，通过虚拟化技术，能够在一个物理服务器上生成多个虚拟机，并且能在这些虚拟机之间能实现全面的隔离，这样不仅能降低服务器的购置成本，而且还能同时降低服务器的运维成本。符合我国节能减排、绿色环保的可持续发展 战略。

云平台提供的虚拟机，能支持多种操作系统，所以云平台所支持应用的范围是非常广泛的。

五．运维管理系统部署在总台云平台的优点

1．扩容容易

云平台上计算能力、存储空间、网络带宽等资源松散耦合，搭建在云平台上的运维管理系统只需根据现阶段服务所需申请网络、存储资源。后续如系统业务范围扩大或有新增业务时，只需向总台数据中心申请扩容，便可快速实现业务范围的扩大。

2．安全性好

云服务供应商及总台数据中心负责数据库、虚拟机、网络环境的安全防护，不仅安全性能好，还可以为应用系统的部署节省很多精力。

在运维安全方面，由指定的堡垒机对服务器进行运维，且需使用身份认证USB KEY和密码双因素认证才能登录堡垒机。在数据传输环节，使用SSL数字证书进行加密处理。在网络传输边界，仅开放业务必须的端口及协议，阻断基于通用协议的攻击。多方位保障应用系统的安全。

3．经济性

不论是在部署，还是在运行的时候，运维管理系统都无需为服务器、 操作系统、网络和存储等资源的运维而操心，这些繁琐的工作都由云服务供应商和总台数据中心 负责。

对于在云平台上搭建应用系统的用户，大大减少了网络安全方面的工作量，极大方便了系统的搭建及后期的维护管理。B&P

参考文献

[1]广电总局发布电视台、广播电台融合媒体平台建设技术白皮书[J].中国广播,2016(04):101.

[2]熊伟.中央广播电视总台光华路办公区数据中心现状分析与节能探索[J].现代电视技术,2021(12):145-148.

[3]薛慧丽,邵孟良.云计算的核心技术与应用前景研究

[J].实验室科学,2015,18(06):55-59.

[4]魏喜莲.云数据中心网络安全设备部署研究[J].铁道通信信号,2021,57(04):41-47.

[5]董红.基于混合云架构的广播电台融媒体技术平台[J].卫星电视与宽带多媒体,2020(13):68-69.[管理运营Management]