浦东新区政府政务云平台建设方案杭州华三通信技术有限公司2020年7月第1章项目建设概况1.1项目建设意义电子政务云平台的搭建将有助于浦东新区政府电子政务从粗放式、离散化的建设模式向集约化、整体化的可持续发展模式转变,使政府管理服务从各自为政、相互封闭的运作方式向跨部门跨区域的协同互动和资源共享转变。1、云计算能够降低电子政务成本在电子政务云环境下,可以将信息技术资源交给专业的第三方云服务商管理,由云服务商提供需要的信息技术基础架构、软硬件资源和信息服务等,政府根据按需付费的原则定制需要的信息服务。这为政府带来了两大好处:一是政府不需要投资建立数据中心和大型机房,购买服务器和存储设备等,从而节省建设费用;二是信息软硬件资源交给专业的云服务商管理,政府不再负担信息系统维护和升级,节省了运维费用。2、云计算提高电子政务部署效率电子政务云具有较高的灵活性,政府实施新的电子政务工程时,不必购买额外的软硬件,而是利用已有云基础设施,快速部署系统,提高电子政务应用部署速度。开发者在一个平台上构建和部署应用程序,大大提高了信息系统部署效率。3、云计算降低信息共享和业务协同难度长期以来,我国电子政务普遍存在各自为政、资源分散等问题。尽管信息难以共享的根源在于电子政务机制问题,但云计算能从技术上降低信息共享和业务协同的难度。通过电子政务云平台,多个政府部门可以共用相应的基础架构,实现各政务系统之间的软硬件共享,提高电子政务信息共享的效率,扩大信息共享范围;软硬件资源和信息资源的共享将有利于促进各部门内部与部门之间的业务系统的整合,为政府部门业务协同创造条件。4、云计算有助于提高政府服务效率电子政务云实现政府委办局部门软硬件资源所有权与使用权的分离,政府各委办局将在不拥有软硬件资源的情况下享受信息服务。因此,政府各委办局部门能够集中人力物力进行本部门的业务运转,从而减轻行政负担,使政府能有更多的精力专注于面向公众的公共服务,提高政府效率。同时,在部署了以云计算为技术支撑的电子政务云以后,后台信息的烟囱式部署方式的壁垒将被打破,从而实现电子数据的统一共享,这对前台服务界面的统一打通有着重要意义,将使得电子政务统一化不再停留在前台展示层面,而切切实实的实现电子政务服务的高效与统一。1.2项目建设原则浦东新区政府政务专有云的总体建设原则如下:一、统一规范由于云计算是一个复杂的体系,应在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好系统的标准化设计与施工。二、成熟稳定由于云计算的发展变化很快,而本项目建设时间紧,涉及面广,应用性强,在设计过程中,应选成熟稳定的技术和产品,确保建成的政务云平台适应各方的需求,同时节约项目施工时间。三、实用先进为避免投资浪费,政务云平台体系的设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,使系统具有容量的扩充与升级换代的可能,以便该项目在尽可能的时间内与业务发展和信息技术进步相适应。四、开放适用由于云计算平台为各业务应用系统提供支撑,必须充分考虑系统的开放性,提供开放标准接口,供开发者、用户使用。五、安全可靠本项目涉及用户范围广,数量大,实时性强,设计时应加强系统安全防护能力,确保系统运行可靠,业务不中断,数据不丢失。1.3总体建设目标与分期建设目标本项目的总体目标是建设统一的政务云平台和云网络,为网上政务大厅和其他业务系统提供安全可靠的云基础设施和云软件服务。本项目共分两期,第一期目标是新建一套云计算平台和云网络,满足50个机柜的部署容量;第二期目标是完善一期架构,增加健壮性和可靠性,扩容到100个机柜的部署容量。第2章需求分析2.1项目需求的理解浦东新区市政府目前下属所在委办局的信息化投入建设均是各自规划,信息独立,资源投入巨大。目通过前期对网络的了解,本次市政府信息中心新建一个政务云计算数据中心机房,建设一个大的浦东新区政务云平台,为各个委办局提供云服务,降低下属委办局的重复资源建设投入。主要针对后续新上线的业务系统会承载在新建的云平台上,原有的业务系统暂不迁移。在为委办局提供云服务的同时,还需考虑安全、网络的互联、虚拟机的备份,特别是虚拟机故障后的恢复机制,新建政务云的先进性、稳定性、可操作性。2.2浦东新区政府电子政务现状调研根据前期调研,了解到浦东新区政府机构内部管理领域信息化现状。浦东新区政府多个直属部门的电子政务投入资金很大。总体来看,浦东新区政府政府机构内部管理领域的信息化现状可以总结为以下三个特点,一是资源整合需求迫切;二是服务对象众多;三是系统建设和维护成本较高。该领域信息化建设与云计算的结合解决方案就是电子政务云。可以利用电子政务云,依托政务专网,为政府各个部门搭建一个底层的基础架构平台,把现有的政务应用迁移到平台上并且在统一的基础设施上开发定制未来的新应用平台和系统,去共享给各个政府部门,提高它的服务效率和服务的能力。目前,浦东新区政府电子政务主要面临以下问题:一是网上政务大厅的建设。市级政府部门未设立集中办事的实体大厅,迫切需要统一的政务云平台,为审批业务系统提供云主机、云存储、云开发平台、共性应用软件等,从“基础施设即服务”、“平台即服务”、“软件即服务”等多个层面来支撑网上政务大厅有效运行。同时,各市也迫切需要建设市级政务云平台,以承担市级业务应用。二是政务云计算标准不统一。目前,工业和信息化部尚在制定电子政务云相关标准,我市的地方标准尚未发布。由于缺少对电子政务云的建设和运维的指导性意见,各地、各部门对电子政务云总体框架理解不一,“低标准、小规模、建设散、弱运维”的现象突出,反而造成不必要的资源浪费。三是云安全意识相对薄弱。目前,大多数在建和已建政务云的政务部门对云安全认识不足,尚未系统开展云安全建设工作。由于云计算的复杂性,对其安全运维管理也带来新的要求,如果没有统一的云安全防范措施,将不利于政务云的建设和管理,用户也将面临更大的安全风险。2.3浦东新区政府政务专有云建设关键需求针对浦东新区政府电子政务存在的问题,结合其实际情况和不同部门顶层设计调研结果,我们提出利用云计算技术构建浦东新区政府电子政务专有云,为电子政务的集约化建设模式提供有效的实现手段,通过云服务的模式支撑政务网的业务需求。浦东新区政府电子政务专有云提供如下类型的云服务:1、政务云资源型类服务:其目标是向所有政务网内的部门提供基础设施资源服务:云主机资源,云网络资源、云安全资源、云存储资源。2、政务云平台支撑类服务:其目标是向市级各政务部门提供平台型的支撑功能。可以提供包括开发测试环境、数据库服务、应用服务引擎、Web应用环境等。3、政务云运维咨询类服务:其目标是市级各政务部门提供系统运维与规划咨询服务,包括系统规划咨询、系统运维、应用性能监控与报表、应用安装部署、系统与数据迁移、数据备份等。对于上述三种类型的云服务,需要满足如下要求:安全可靠政务云平台集中承载了支撑网上政务大厅运行的核心业务和数据,承担着稳定运行和业务创新的重任。伴随着数据与业务的集中,云计算平台的高可用保证是政务业务应用高可靠的基石,因此平台的建设从基础资源池(计算、存储、网络)、虚拟化平台、云平台等多个层面充分考虑业务的安全可靠,基础单元出现故障后业务应用能够迅速进行切换与迁移,用户无感知,保证业务的连续性。需要要充分保障物理资源层、资源抽象与控制层和云服务层稳定性与安全性,并提供云安全基础服务,并提供异地容灾备份服务。统一平台,自助交付云计算的最终目标是要实现系统的按需运营,多种服务的开通,而这依赖于对计算、存储、网络资源的调度和分配,同时提供用户管理、组织管理、工作流管理、自助Portal界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理,还要从全局而非割裂地管理资源,因此统一管理平台与自动化服务交付是提升服务效率的重要因素。市-区县两级云资源互通根据市政府的规划,云平台的建设可预先规划采用市-区县二级模式,本次主要新建市级政务云主要为市级单位服务,将来也可为有需要的区县提供云计算服务;市级政务云为本地(市区)单位提供云计算服务,为有效利用云资源。未来可在两级平台网络互通的基础上,需要实现上下级云之间的计算、存储资源互通,当区县云资源不够时,可以快速借用市政务云内的资源实现备份与扩展,并在区县云业务突发时可以将业务应用云爆发到市级政务云中运行。第3章总体方案设计3.1政务云总体架构政务云总体架构,如下图所示:图表1政务云总体架构图具体描述如下:1.市政务云采用市、区县两级架构。市级政务云主要为市级单位服务,也可为有需要的地方提供云计算服务;区县级政务云为本地(含县、市区)单位提供云计算服务。2.根据市政务外网标准,市政务云分为资源共享专区和公众服务专区,资源共享专区主要承载数据交换、资源共享、行政审批等服务,公众服务专区主要承载公众服务类业务。3.政务云资源共享专区通过安全隔离措施访问公有云(互联网)、公众服务专区;各单位政务外网的业务系统应根据服务对象逐步迁移至市级政务云,实现集中集约部署。3.2政务云逻辑架构市政务专有云平台整体架构设计如下图:图表2政务专有云平台整体逻辑架构设计图整体分为六大部分:1、物理层物理层包括运行政务专有云所需的云数据中心机房运行环境,以及计算、存储、网络、安全等设备。云中心机房的部署按照分区设计,主要分为数据库区、业务应用区、存储区、系统管理区、网络出口区和安全缓冲区等区域。2、资源抽象与控制层资源抽象与控制层通过虚拟化技术,负责对底层硬件资源进行抽象,对底层硬件故障进行屏蔽,统一调度计算、存储、网络、安全资源池。其核心是虚拟化内核,该内核提供主机CPU、内存、IO的虚拟化,通过共享文件系统保证云主机的迁移、HA集群和动态资源调度。同时通过分布式交换机实现多租户的虚拟化层的网络隔离。在存储资源池的构建上,采用分布式存储技术,实现对服务硬盘的虚拟化整合,并通过多副本(3~5份)技术保证存储数据的高可靠。3、云服务层云服务层提供IaaS、PaaS和SaaS三层云服务:IaaS服务:包括云主机、云存储(云数据盘、对象存储)、云数据库服务、云防火墙、云负载均衡和云网络(租户子网/IP/域名等)。IaaS层服务向PaaS层提供开放API接口调用。PaaS服务:包括消息处理队列、通用中间件(请求代理、事物处理、地理信息)、数据交换平台、开发测试平台,为上层政务应用提供标准统一的平台层服务,并提供API接口和SDK开发包,供SaaS层软件开发与部署调用。SaaS服务:包括本期需要上线的电子监察、行政审批、协同办公业务应用,以及政务网站群等,本层服务的提供由应用软件开发商完成。上述云服务通过自助服务门户,向各局委办用户提供自助的线上全流程自动化交付。用户可以在自助服务门户上进行服务的申请,完成审批后相应的云资源将会交付给用户远程控制使用。4、云安全防护云安全防护为物理层、资源抽象与控制层、云服务层提供全方位的安全防护,包括防DDoS攻击、漏洞扫描、主机防御、网站防御、租户隔离、认证与审计、数据安全等模块。满足国家安全等级保护3级的部署要求。5、运行监控与维护管理此模块为云平台运维管理员提供设备管理、配置管理、镜像管理、备份管理、日志管理、监控与报表等,满足云平台的日常运营维护需求。6、云服务管理此模块主要面向政务云管理员,对云平台提供给局委办用户的云服务进行配置与管理,包括服务目录的发布,组织架构的定义,市局委办用户管理、云业务流程定制设计以及资源的配额与计费策略定义等,此部分的功能实现根据市政务专有运要求进行定制。3.3云管理平台整体架构云管理是整个政务云后台的管理、调度、运维中心。基于Openstack平台的商业化云服务平台,在继承原有架构灵活、扩展性强、开放性和兼容度高的基础上,产品稳定性和可靠性大大增强。基于租户到应用的端到端的云服务配置和管理,将用户申请的服务组装成服务链,统一管理和配置。通过对租户的分级管理,实现了私有云多级资源分配的要求,通过定制个性化的审批流程,使得服务的申请更符合某些特殊