作者:田英
首都机场作为旅客吞吐量居世界第二位的机场,年旅客吞吐量超过8000万人次,除了机场运行的基础业务以外,基于旅客服务、互联网连接业务、物联网相关业务快速发展,要求信息基础架构对业务做出快速响应,云计算相关的技术特点契合了首都机场业务发展的需求。本文是对基于云计算技术的首都机场IT基础架构建设模式的初步探索,找到适合首都机场IT基础架构发展的途径,满足首都机场的业务发展需求。
1 云计算技术以及机场业务特点分析
1.1 云计算技术特点及应用情况
云计算概念自2006年由google提出以来,迅速以其安全、便利、数据共享等特点立即受到了业内人士的关注。云计算是继水、电、气和通信之后的第五效用( Utility),用户不需要购买软件及硬件,只需通过互联网即可随时获取资源,按需请求资源,按实际用量付费。云计算的这种特性克服了企业软硬件投资,技术缺乏等问题,可以有效提升企业的信息化水平,自云计算提出以来,亚马逊、微软、谷歌、IBM、英特尔等公司纷纷提出了“云计划”。例如亚马逊的AWS(Amazon Web Services),国内各大厂商也纷纷推进云计划,如阿里巴巴推出了面向公众服务的阿里云,国内各大IT基础设施提供商如世纪互联等纷纷推出面向企业的公有云服务。
2015年年初,铁道部订票系统与阿里云合作,将部分余票查询系统部署到阿里云上,这一重大举措也使得云计算进一步为公众所熟悉。随着全面创业潮的兴起,大量互联网企业放弃搭建自有的IT基础架构,改为租用公有云资源作为企业的IT基础,以减少创业初期的资金压力。2015年9月,阿里云盾升级触发bug致用户文件及命令误删除,也让公众对公有云的安全性提出了质疑。
1.2机场业务的特点及发展方向
在首都机场业务范围内,分布着多个独立的驻场单位,分别负责机场运行管理、旅客服务、安检服务、广告业务等众多的服务提供和服务支持单位,多个驻场单位协同合作以及与外部公有云资源的互联互通的,具有以下特点及发展方向。
(1)各驻场单位的业务关联度高,都是基于机场的航班流程、旅客流程、行李流程等机场三大基本流程展开,这些系统的服务水平要求相对一致,系统对信息安全、运行安全的要求一致。
(2)不同驻场单位的IT基础设施物理位置相对集中,同时这些信息系统共享机场内部网络。
(3)各驻场单位的信息系统建设相对独立,由于各公司IT发展程度不一致,信息系统建设要求不统一,部分单位后期维护管理由机场股份统一管理。
“互联网+”行动计划的深入进一步提高了对信息基础设施的响应要求,内外部互联增多,如随着机场大数据研究以及旅客服务的需求,需要从外部获取内容服务,基于互联网网站安全的需求,需要从外部获取攻击拦截的服务等。
云计算的核心思路是按需提供服务,可以大胆的设想未来全国的机场逐步共享资源,形成全国的“机场云”。“云”下的所有机场只需要接入云端并可以共享机场资源,以实现资源节省以及更换的响应诉求。
2基于云计算技术的机场云平台设计与实现
2.1机场云平台总体架构设计
由基础设施服务商提供的公有云资源可伸缩性强但安全性不够,单独搭建机场内部的私有云相对安全但伸缩性较差;而为机场其他驻场单位所提供的云服务又具有其独有的特点,根据云计算发展的现状以及首都机场业务需求,基于信息安全要求等多方面要求,搭建基于混合云的信息基础架构,混合云集成要通过数据同步、应用集成及消息同步、服务器点对点连接、VPN加密连接等方式实现。建设模式如图1所示。
平台总体架构分为以下5个部分。
(l)基于云平台的管理与运营中心。运营中心负责对整个平台的运营与管理,包括对外提供云计算服务的总体管理;云平台硬件及虚拟资源、应用资源监控管理;具有平台的总体运维和系统管理功能。
(2)企业内部私有云服务。根据业务的需求,提供业务应用服务,计算资源服务,存储以及网络服务。
(3)专有云服务。针对机场范围内其他驻场单位的信息特点,有的放矢的提供特色服务,包括信息系统的托管服务、接入服务以及按需分配的云服务。
(4)提供第三方公有云接入。随着“互联网+”的进一步推进,机场内部信息系统与外部进一步互联,通过与第三方公有云之间的接口,在确保信息安全的前提下,可以实现系统的互联互通。
(5)安全与灾备服务。从“云计算”的概念提出以来。关于其数据安全性的质疑就一直不曾平息,一方面资源聚合技术的应用使得资源高度集中,如果发生故障造成的后果较传统数据中心更为严重。同时,虚拟化等技术的应用使得传统物理安全边界缺失,传统网络安全设施与防御机制难以满足日益复杂的安全防护要求,用户信息安全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。
2.2云平台的功能设计
云平台功能设计的总体目标是对首都机场内部提供IaaS以及PaaS云服务,满足驻场单位接入、托管等服务,同时满足内部单位使用公有云资源的需求,基于此,我们将需求融入到多个功能模块,如图2所示。
(1)虚拟资源及应用池搭建
云计算提供了三种交互模式,云提供了三种交付模型,包括基础架构即服务(laaS),平台即服务(PaaS),软件即服务(SaaS)。
基础架构即服务直接向租户提供虚拟机的计算资源、存储资源以及网络资源。平台及服务层提供包括传统的中间件平台应用,包括身份认证、内容管理、报表引擎、工作流引擎、消息队列、服务总线等,另外,为多个小型系统提供各类数据库服务。资源、虚拟机映像,接口、资源使用情况监测统一管理。
(2)服务运营层设计
通过统一的管理平台入口实现计算、存储、网络、安全的统一管理,实现用户申请资源的自助式服务,并提供基础资源的功能、配置、性能、监控告警、访问控制的全方位管理。
平台提供用户访问控制和审计功能,针对不同的用户在资源使用权限、平台管理功能使用权限方面进行控制、并对用户操作进行审计。
统一的云服务门户提供服务的目录,租户根据实际业务需要,申请虚拟机资源并审批完成后,门户自动部署资源及安全策略,并开启资源的计费审计和生命周期管理工作,申请流程如图3所示。
由于不同的信息系统的资产隶属于不同的组织机构,理清IT投资与受益的关系是首要任务,其建设模式可以考虑以下几种模式。
分租模式。平台由一方建设,参考市场上公有云的租用模式,结合首都机场信息系统安全要求以及服务水平要求,制定对外租用方式及定价体系,这种模式提供给小的用户较好的选择,用户无需在前期建设投入精力,只需要提出需求即可,在后期维护也可以由资源出租方统一运维,减轻运维压力。
共建模式。建立首都机场云平台建设标准,由各资源需求方共同建设云平台以及云资源管理平台,按照资源需求量分摊建设成本,在基础平台搭建完毕后,后续新增的基础设置按照相同的设备采购标准和建设标准补充建设,确保平台建设标准的统一,实现资源利用的最大化。
(3)物理资源管理层设计
对物理和虚拟资源进行统一管理和调度,支持资源进行弹性扩展,并具备高可靠性,高安全性和高可用性。实现跨厂商、多型号服务器集中硬件的统一监控,简化服务器的远程运行维护,实现一键操作;集成BIOS开关机、KVM、硬件巡检、可视化面板等维护工具;实现IT能耗集中监控,并可对能耗统计分析和优化功能。
(4)制定基于机场云平台的信息安全标准
在考虑云计算时,安全性是首要问题,特别是多组织结构共同使用同一平台,安全问题显得尤为突出。在基于云计算的IT基础架构中,从确保安全出发,考虑以下安全体系结构。
从网络、主机以及存储层面进行基础安全加固。网络层面,实行多租户网络安全隔离,核心生产系统资源池与办公网络隔离、内部网络和DMZ区互相隔离,从可信公有云到私有云之间,通过VPN接入,确保接入的安全,制定流量控制策略,防止网络攻击对整个平台造成的巨大影响;对于虚拟机,在虚拟机资源的申请流程里增加了系统加固的环节,确保上线系统上线前经过加固,封堵系统漏洞,减少系统被攻击的可能性;从管理平台方面实现用户隔离,确保虚拟机的安全访问控制,同时,采用基于平台物理主机底层的防病毒措施;在存储方面,做好数据访问控制和安全加密,同时做好数据的备份工作。对于存放在公有云上的数据,除了确保数据访问控制以外,还需要确定当虚拟机租用完毕后,数据的销毁措施。同时,加强基础架构的强壮性和冗余措施,确保物理架构的基本安全。
云安全接入:提供VPN的方式接入到私有云内,确保内部网络安全,同时,对于不同的组织结构之间,采用云防火墙隔离的方式隔离数据。
云安全服务:云安全服务包括两个部分,一方面是确保信息安全,防止内外部攻击,包括提供安全扫描、入侵检测、用户控制等服务,在提供的云数据库、云应用方面,提供多账户隔离,确保数据访问安全;另一方面是运行安全服务,提供主机、存储、网络、操作系统到应有等多个层面的监控服务、确保平台运行安全。
云安全管理:云平台的风险加强基于云计算的安全管理制度和管理流程,梳理云安全的应急响应机制和处理流程,确保安全问题的应急响应速度和流程顺畅;同时建立安全控制机制,如通过堡垒机或4A管理平台实现用户登录安全控制,进行集中帐号(Account)管理、集中认证(Authentication)管理、集中权限(Authorization)管理、集中审计(audit)管理,如图4所示。
3结语
随着机场业务的发展以及未来京津冀一体化协调发展顶层设计方案的出炉,首都机场将面临着进一步的快速发展,本文探讨了基于云计算的首都机场云平台建设模式以及建设过程中的几个关键点,能有效的解决当前IT基础架构建设和维护过程中遇到的问题,提升资源的使用率,降低投资成本和运维成本,提高运维管理水平,为首都机场各驻场单位协同发展奠定物理基础,对新机场基础建设以及未来京津冀一体化协同发展中,交通行业的融合都有一定的参考价值。
4【摘要】
随着民航业快速发展,首都机场业务不断扩展,机场在航班管理、旅客服务、安全管理等多方面的需求增多,机场间协同发展以及各相关单位的互联互通不断深入,对于信息服务能力要求不断提高,基于云计算概念和方法的信息系统架构建设,将引领机场信息服务能力有质的飞跃。本文分析了云计算的技术特点以及应用情况,结合首都机场信息系统的特点,提出了基于混合云的首都机场基础架构云平台的想法,基于机场业务特点和安全要求,提出云平台架构设计方案和功能特点,并探讨该平台的建设模式,该平台的建设对机场协同发展具有一定的指导意义。
