浙江省政务服务网云平台建设-邓世友（政务云 云平台）

2014年6月25日，全国首个省、市、县一体化的网上政务服务平台——浙江政务服务网正式开通运行，成为政府部门实施“阳光政务”、实现职能变革的重要基础。浙江省政务云平台部署采用了H3Cloud云计算解决方案,是目前国内的最大、最完善的省级云平台，真正采用云服务自助交付。浙江省政务服务网目前的注册用户已超过10万，各项业务应用稳定运行，用户体验良好。

浙江省政务服务网云平台建设

文/邓世友

    如今，各地政府从省、地市乃至区县政务云的建设如火如荼，然而从目前已建设完成的政务云项目来看，普遍存在如下问题。

    ¡  云平台承载的业务少，大多是空有一个平台，只承载了少量边缘应用。迫于安全、性能、可靠性等多方面因素的考虑，核心业务不敢部署至云平台中，原有老的业务应用也很难迁移至云平台中。

    ¡  运营模式粗放，基本全是手工方式交付云服务，自动化程度极低。大部分云平台的建设成为服务器虚拟化软件的部署，缺乏一套真正的云平台来实现完整的、自动化的运营流程与云服务申请审批交付流程，以及按云服务计量计费。大多都是采用“项目承包—线下人工会签--手工分配资源部署”的模式，并非真正的云。

    ¡  项目外包模式建设，无法让云平台承建企业（云服务商）获得良好收益持续发展，导致云计算的建设成为“IT界的房地产圈地运动”。不少地方政府为了招商引资，给出丰厚的招商引资政策，吸引企业采用以BOO^[1]模式承建云平台、政府购买服务的方式。但承建企业往往拿下项目后，由于对需求的理解、技术、运维能力等因素的限制，很难将云平台运营起来，形成“投资-收益-再投资”良好的循环。

    针对上述存在的普遍性问题，浙江省政府办公厅成立了“政务云专家组”，对云计算的技术、产品、建设模式进行调研、考察与分析；对于浙江省政务云平台的建设，采用的不是“先建平台，后上业务”的思路，而是从业务应用入手，拉通各厅局委办业务流程数据、提升政府办事效率，构建一个集中、统一的政务服务网，促使向服务型政府转型。而支撑这个政务服务网的IT基础，就是政务云平台。之后再将云平台的资源对各厅局委办发布，促使厅局委办申请云服务，逐步将政务业务向云平台迁移。云平台建设的基本需求如下：

    ¡  浙江省政务服务网主要面向公众用户和政府用户两大类用户，公众用户关注的是信息交互的便利性和应用的体验，政府用户关注的是安全性、可靠性与灵活性；

    ¡  实现省-市-县三级政府机构的数据交换与互通、分级管理与互为备份。

 

一、      浙江省政务云平台建设模式

    传统政务云项目，通常是政府各厅局委办自建、自用、自运营的模式，从基础设施、硬件平台、软件平台到运营维护都是政府单位自己来做，供应商销售相应的软硬件产品。与传统项目不同的是，浙江省政务云平台建设采用的是购买云服务的模式（如图1、表1所示），各厅局委办不再关注基础设施软硬件平台的搭建，而是向云服务提供商（浙江电信）租用云资源，直接在云资源上部署政务业务应用。华三通信向云服务提供商提供云平台的整体方案与产品。

图1 浙江省政务专有云建设模式的转变

表1 基础云服务清单概要

 

二、      政务云整体框架设计与建设要素

    浙江省政务专有云的总体任务是完成浙江省、市两级政务云平台，形成完善的云安全保障、云灾难备份和云运维管理体系，分两个阶段完成：

    ¡  第一期建设任务是制定省政务专有云平台、安全和管理相关标准，建设省级云平台，通过全省政务外网，联通省、市、县（市、区）单位的网上办事大厅和业务系统，支撑浙江省政务服务网的运行。初步完成云安全和云运维管理体系建设，省级厅局委办新业务部署到云平台中；

    ¡  第二期建设任务是依照统一标准，各市根据实际情况建设本地政务云平台，完成全省云安全、云灾难备份和云运维管理体系建设；全省各厅局委办单位的政务业务应用向云平台中迁移。

系统整体框架分为以下几个部分（如图2所示）。

图2 浙江省政务云整体框架

    ¡  全省政务云采用混合云架构，分为可信公有云和政务专有云两大部分。可信公有云部署互联网公众应用，主要承载公众服务类业务；政务专有云分为政务应用专区和资源共享专区，政务应用专区部署省级各政府单位的政务业务应用，资源共享专区部署各政府单位横向互通共享类应用。

    ¡  省政务云采用省、市两级架构。省级政务云主要为省级单位服务，也可为有需要的地方提供云计算服务；市级政务云为本地（含县、市区）单位提供云计算服务；县级政府原则上不再建设政务云平台。

    ¡  通过数据交换平台，配合云节点前置的部署，对各省级厅局委办、地市、区县现有机房内的相关数据进行提取与交换，实现数据层全省的互通。

    ¡  各单位政务外网的业务系统应根据服务对象逐步迁移至省级政务云或公有云上，实现集中集约部署，避免基础实施重复建设。

    ¡  全省政务云平台采用“11+1”的异地容灾模式，即11个市级政务云利用省级政务云平台中的资源进行异地备份；省级政务云选择一个市级政务云建设异地灾备中心。

    在规划与建设过程中，需要考虑到省政务专有云建设的以下关键点。

    ¡  云服务自助式交付。目前，公有云的自助式云服务交付相对完善，但对于专有云平台，现阶段大多数厂商的云平台方案中，自助式交付的云服务大多局限在云主机、云存储服务，而云防火墙、云负载均衡、云网络（子网）、云数据库等服务均只能线下通过管理员后台手工交付，无法真正的实现自助式全自动化交付。

    ¡  云安全。云安全是一个庞大的体系，尤其是基础设施层的安全，在采用云计算模式建设后，各厅局委办共享同一个云数据中心内的基础设施，如何在保证各厅局委办租户间隔离的同时，又保证单个厅局委办租户内部业务系统间的灵活访问控制？对于云平台方案的设计与部署是一个很大的挑战。

    ¡  运营维护。采用BOO模式建设云平台，政府单位只关注云服务的租用，不再关注底层基础设施的运营，这部分的工作将全部转移到云服务提供商，由云服务提供商去完成所有厅局委办的基础设施运维，不仅仅对运营团队的技术要求提高，更对云管理平台的可靠性与易维护性上提出了更高的要求。因此要求云服务商具备完善的运维团队，云管理平台提供丰富的运营维护工具，以支撑云平台的正常运营。

    ¡  规模与可持续发展性。浙江省政务专有云平台预计三年内的规模将达到5千台物理服务器，未来可达到2万台物理服务器，如此大的规模要求云平台的架构设计要有足够的扩展能力。同时由于海量计算、海量存储的需求，也对传统计算虚拟化、存储架构的部署提出了更高的要求，必须采用新的技术来提升计算虚拟化的超配能力，并通过新的分布式存储技术来提升存储容量与降低单位TB存储空间的成本。

 

三、      H3Cloud云计算方案设计与部署

1.      云平台整体架构

    考虑到上述关键需求与技术点，浙江省政务专有云平台基于H3C VCF虚拟融合架构构建，通过模块化分层设计，在保证高可靠、易扩展的同时，解决了云计算中网络、安全的虚拟化及自动化技术短板，实现基础设施（计算、网络、存储、安全）服务的全自动化交付。云平台整体分为基础设施层、融合控制层、资源调度层三个层面（如图3所示）。

图3 浙江省政务专有云平台架构

    ¡  基础设施层：部署上百台H3C R390、R590高性能服务器，并通过分布式存储（H3C vStor）技术，实现对服务器本地硬盘的虚拟化整合，实现云主机、云存储的融合交付。部署H3C 12500-X数据中心级交换机和M9000多业务安全网关，构建Overlay虚拟网络并实现云安全、云网络服务的交付，保证多租户环境的网络安全隔离。

    ¡  融合控制层：通过H3C CVM虚拟化管理系统实现计算/存储的虚拟化资源抽象及控制，通过网络控制器VCFC实现网络、安全的虚拟化资源抽象及控制，让上层的资源编排调度与底层硬件解耦合。

    ¡  资源调度层：通过部署H3C CSM云管理平台，实现计算、存储、网络、安全、数据库、负载均衡等云服务的全自动化交付；并提供基础资源的功能、配置、性能、告警的全方位管理，集成应用性能管理（APM）、运维流程管理（SOM）、业务系统管理（BSM）、IT服务管理（ITSM）等运维管理组件，给云服务商提供完善的运维管理工具。

2.      专有云交付流程逻辑

（如图4所示）政务专有云服务的交付流程逻辑分为前台的云服务门户和后台云资源编排两个层次。

图4 政务专有云服务交付逻辑

    ¡  云服务门户：提供服务目录，包括云主机、云存储、云数据库、云负载均衡、云安全等服务，以及相应的开户、租户网络等；各厅局委办租户用户可以根据业务应用的部署需要，在此门户上选择相应的服务项进行申请审批。

    ¡  云平台资源编排：当云服务申请完成审批后，云平台将会创建相应的虚拟资源，并实现对计算、存储、网络、安全、数据库、负载均衡等云服务资源统一编排，为每个厅局委办用户构建虚拟数据中心，用户就像在自己的数据中心内部署业务一样，可以灵活的配置相应的子网、路由器、负载均衡与安全访问策略。每个厅局委办的虚拟数据中心之间是相互隔离的，保证基础设施层的安全。

3.      云平台安全方案

图5 浙江省政务专有云安全架构

（如图5所示）政务云安全是省政务非常重视的一个内容。云方案的部署整体分为以下四部分。

    ¡ 基础安全加固：包括网络、主机、存储三大基础资源的安全加固。

    ¡ 云安全接入：遵循全省政务外网的VPN划分，保证各厅局委办的网络接入安全。

    ¡  云安全服务：包括IaaS、PaaS和SaaS层服务的安全，项目一期重点部署IaaS的安全，提供云防火墙、云负载均衡、DDoS流量清洗、安全扫描等服务。

    ¡  云安全管理：包括日常运维的安全规章制度、应急响应机制与处理流程、租户间安全策略的部署与调整、日志分析及行业审计。通过云安全管理来明确云服务商与租户间的安全责任边界。

    在本次部署中重点考虑了基础设施层安全隔离与云安全服务两个方面。

    l  基础设施层安全隔离

    虚拟化技术是基础设施多租户隔离的基本支撑。通过VXLAN Overlay网络虚拟化方案的部署，真正实现网络连接的虚拟化，在同一张物理承载网络上为每个租户虚拟出一个或多个Overlay子网，实现网络层的安全隔离（如图6所示）。

图6 网络连接虚拟化-Overlay

    ¡  虚拟化二层网络环境的构建：基于VXLAN协议的Overlay网络方案部署，可以实现跨三层物理网络的二层网络构建，为虚拟机迁移、业务集群提供二层网络环境。

    ¡  虚拟网络与物理网络的解耦合：Overlay方案部署后，为租户提供的虚拟网络，其IP地址、路由等网络策略的规划可以完成脱离物理网络的规划，实现物理网络的解耦合，由租户根据自身的业务来规划虚拟网络。

    ¡  虚拟网络安全策略的部署：传统基于物理网络部署的安全访问控制策略，在多租户环境下会产生严重的冲突；采用Overlay方案后，租户的网络安全访问控制策略可以直接基于虚拟网络来部署，租户间彼此策略互不影响，并此虚拟网络的策略会随虚拟机的迁移而联动。

    l  云安全服务

    通过H3Cloud云平台部署，不仅仅可以交付云主机、云存储、云数据库的服务，还可以交付云安全（云防火墙、云负载均衡）、子网与公网IP等服务，其中云安全服务的交付是通过H3C M9000融合安全网关实现的，在M9000上部署高性能SecBlade FW插卡，通过虚拟防火墙技术实现一虚多，形成安全资源池，为租户提供虚拟防火墙设备，由租户自定义安全策略。

    基于H3Cloud云平台提供的云主机、云存储、云安全、云网络、云数据库服务，委办局租户可以将这些编排成属于自己的虚拟数据中心vDC拓扑，根据业务的需要灵活规划vDC的子网及安全访问控制策略，如图7所示。

图7 租户虚拟数据中心拓扑

 

四、      项目一期实施效果

（如图8所示）浙江省政务服务网项目一期业务部署包括前台展现和后台支撑。

图8 浙江政务服务网业务部署架构

    ¡  前台展现的WEB门户部署在阿里公有云中，公众个人用户通过互联网Internet接入，通过WEB、移动APP、微信等工具完成业务的申办与查询等交互。

    ¡  后台支撑部署在H3Cloud政务专有云平台上，目前已经上线了31个云主机业务应用与15个数据库服务实体，主要包括电子监察、行政审批、身份认证、数据交换平台等应用服务，以及相应的数据库，由数据交换平台通过省电子政务网络到各政府单位查询与交换相关数据。

    ¡  前台展现（阿里公有云）与后台支撑（H3Cloud政务专有云）之间通过专线互连，完成前后台的数据交互。考虑到政务外网与互联网的安全隔离要求，在H3Cloud政务专有云上设立安全访问控制区，实现边界防护与安全策略的部署。

    （如图9所示）华三通信为政务专有云平台定制了自服务门户，各政府单位可以直接登录申请相应用的云服务，政务云管理员（省政府电子政务处）和各委办局租户管理员可以登录云管理平台，对云资源、用户、业务、告警等信息进行管理，同时可直观的监控到运行在云平台中的业务应用层健康状况，一旦业务应用访问体验下降或出现故障，可以快速的定位故障点。

图9 政务专有云管理平台-应用性能分析

 

五、      项目建设效益分析

1. 经济效益

通过政务专有云平台的建设，推动浙江全省各级部门的计算、存储、网络、数据灾备、安全保障、运维服务等基础设施共享共用，可以节约资源，减少能耗，降低全省电子政务建设和运行维护成本。根据前期调研的情况，在建设政务云平台之前，浙江省全省政府每年的信息化投入约59.5亿，主要包括基础设施平台、政务应用软件和运营维护三大部分；采用云服务租用模式之后，由于云平台采用了虚拟化、自动化等先进的技术，基础设施平台的租用成本会大幅降低，每年的信息化投入会减少21亿，整体降低35%左右。

此外，由于基础设施的运维转移到了云服务提供商，对于政府各厅局委办，对于基础设施层的运维工作会大幅减少，可以让政府投入更多的运维人力去关注上层政府业务的应用，以提供电子政务的应用体验。

2. 社会效益

本项目将有效支撑省网上政务大厅和其他业务系统运行，实现省市县各级政务资源的共享和审批协同，方便公民和企业办事，提高政府监管能力和服务水平。通过互联网化的思路，推进权力事项集中进驻、网上服务集中提供、数据资源集中共享，打造扁平化、一体化的网上政府，实现网上晒权、网上行权，深化网上办事。这对倒逼政府转变职能、科学行使权力，加快推进省法治政府、服务型政府建设具有重要意义。让老百姓对政府部门行使职权实行全流程监督，将有效促进行政权力科学、规范运行。

 

六、      结束语

相比公有云和其它私有云方案，基于H3C VCF虚拟融合架构、并部署了H3Cloud云计算解决方案的政务专有云平台，很好的解决了网络、安全的虚拟化与自动化问题，不仅仅可以自动化的交付云主机、云存储等基础服务，还能够交付云网络、云安全、云负载均衡、云数据库等增值服务，实现数据中心完整基础设施（计算、网络、安全、存储）云服务交付，各厅局委办政府单可以申请完整的IaaS服务，构建属于自己的虚拟数据中心vDC。

 

 

 

附：浙江省政务服务网简介

浙江政务服务网（http://www.zjzwfw.gov.cn）是集行政审批、便民服务、政务公开、效能监察、互动交流等功能于一体，省市县统一架构、三级联动的网上公共服务平台，致力于实现政务服务一站式办理、行政权力全流程监督，逐步形成服务规范化、体验便捷化、建设集约化、资源共享化的覆盖全省的虚拟型“政务超市”，如图所示。

图 浙江政务服务网功能简介

¡  该网把50个省级部门、11个市、90个县（市、区）4000多个政府机构的政务服务资源联接在一起，将全省4千多个政府机构联为一体。为浙江省开创了中国省级政府自上而下、全面触网的历史先河。

¡  采用互联网技术倒逼政府依法行使权力，倒逼政府接受社会监督、提高效能，给每个权力事项编发“身份证”、建立“跟踪卡”实现了行政审批事项、网上办理事项两个全覆盖。

¡  将政府部门权力清单、企业投资项目负面清单、财政专项资金管理清三个清单全公开，公布的行政权力有4236项，每一项行政许可项目都标明了办理流程、办结时限、收费标准等信息，一目了然。让老百姓对政府部门行使职权实行全流程监督，将有效促进行政权力科学、规范运行。

 

 

 

注释：

【1】BOO：Building-Owning-Operation，建设-拥有-运营。