案例概述

　　湖北省楚天云是“智慧湖北”建设的龙头与核心工程，也是涵盖信息基础设施、应用和大数据产业三位一体的综合性系统工程。楚天云打造全省统一的信息资源交换中心、云计算中心和大数据中心，为促进政府转型、带动信息产业和驱动创新创业提供支撑。楚天云按照“统一标准、统一服务、资源汇聚、协同共享”的原则，整合汇聚省内各行业云、区域云和信息通信技术(ICT)资源，为省直部门、市州政府和企业用户提供云服务器、云存储、云数据库、云负载均衡、云安全等各类基础云服务;建设多级数据交换平台，整合全省政府数据资源，建立覆盖全省的四大基础数据库;支撑“智慧湖北”各类应用，展示“智慧湖北”建设的深度、广度、高度。

　　楚天云在技术及实际应用上主要面临以下挑战：

　　安全可靠性

　　楚天云作为省级政务云平台，承载超过50个厅局单位的业务，必须确保各项政务应用系统的安全性和可靠性。

　　快速交付能力

　　针对各政府单位的业务需求，楚天云需要提供各场景政务业务的快速交付能力。

　　平滑迁移能力

　　楚天云在建设过程中需要保证与各厅局单位现网实现无缝对接，在不影响单位现有网络架构的前提下确保业务能够平滑迁移到楚天云平台中。

　　弹性扩展能力

　　楚天云建设是一个长期而又复杂的过程，随着各单位应用和数据逐步迁移到楚天云上，云平台需要提供横向的弹性扩容能力，满足不断增加的资源需求。

　　兼容开放性

　　楚天云平台技术选用上应考虑适度的超前性，具备兼容性、开放性，满足原有政务业务迁移需求及新建业务接入需求。

　　降低TCO

　　各厅局委办业务集中到楚天云管理后，业务量大，系统复杂，需要完善的运维体系，降低TCO。

　　楚天云工程建设内容主要包括:1 个基础设施平台、4 大基础数据库，1 个大数据产业园、3 个中心，1 套保障支撑体系。在此基础之上，建设10+N 朵云及全省政务系统备份中心、购买有普遍使用价值的大数据、开发7种典型的大数据应用。“楚天云”总体架构概括为“1+4+10+N”、“1 园3 中心”和一个支撑体系。

　　楚天云总体业务架构

　　其中云平台作为承载楚天云各类业务的核心基础平台，采用OpenStack开放架构，为楚天云提供更为开放、可靠、弹性、安全的基础支撑能力。

　 解决方案

　　楚天云技术架构主要由物理层、资源控制层、云服务层、云安全防护平台、运行监控及维护管理平台和云服务管理平台等六部分组成。

　　物理层包括云数据中心机房运行环境，以及计算、存储、网络、安全等设备。云中心机房分为数据库区、大数据处理区、业务应用区、存储区、系统管理区、安全访问控制区等。

　　资源控制层通过虚拟化技术，负责对底层硬件资源进行抽象，对底层硬件故障进行屏蔽，形成计算、存储、网络、安全和数据库资源池。

　　云服务层提供IaaS、PaaS 和SaaS 三层云服务。IaaS 主要提供硬件和软件基础设施服务;PaaS 支持统一的云应用框架，提供云中间件、云数据库、大数据处理等服务;SaaS 支持即开即用的软件服务，如统一政府门户、阳光权力运行等。

　　云安全防护为物理层、资源抽象与控制层、云服务层提供全方位的安全防护，满足国家安全等级保护3级的部署要求。

　　运行监控管理平台为云平台运维管理员提供设备管理、配置管理、镜像管理、备份管理、日志管理、监控与报表等，满足云平台的日常运营维护需求。

　　云服务管理平台对云服务管理平台提供给厅局委办用户的云服务进行配置与管理，包括服务目录的发布，组织架构的定义，委办局用户管理、云业务流程定制设计以及资源的配额与计费策略定义等。

　　楚天云平台技术架构

　　根据楚天云的实际需求，通过部署经过深度优化和定制开发的OpenStack平台，为楚天云构建了一整套围绕OpenStack的云架构，提供了稳定可靠的基础云资源管理能力、自主可控的云安全能力、灵活可视的云监控能力、智能高效的云服务提供能力以及兼容开放的云开发能力。

　　在IT基础设施管理方面，通过云平台打通了与各硬件设备的接口，将各类异构厂商的服务器、存储、网络等设备纳入统一资源管理和调度，有效帮助客户实现硬件解耦，同时具备完整的国产自主可控能力。

　　通过对不同虚拟化平台的集成，能够提供基于VMware、KVM、XEN等多种类型的虚拟化架构，满足不同单位和应用的需求。

　　云平台能够同时提供IP-SAN、FC-SAN、分布式存储的各类存储架构，在SAN存储架构中，与EMC、Netapp、华为等众多国内外一线厂商实现对接管理，在分布式存储架构中，搭建了基于Ceph的存储架构，并实现了不同类型存储架构的统一管理与资源调度，满足了不同类型的数据存储需求。

　　在网络层面，云平台提供了智能灵活的SDN网络控制能力，基于VxLAN的网路架构为多租户组网提供了基础。创新的采用了SDN+VRF功能，解决了不同厅局IP地址重叠的障碍，实现网络平滑对接。

　　云平台通过集成vFW、vLB、vWAF等各类NFV设备，为不同租户的安全隔离和自主安全管理提供了便利。

　　基于智能的自动化编排功能，云平台为租户提供了完全自动化的服务申请和下发能力，同时云资源能够感知业务实现智能弹性伸缩。

　　云平台提供了各种类型的API接口，将用户需要纳入云管理的各类技术需求，如第三方监控、PaaS平台、大数据平台等进行集成，为客户提供开放的定制化能力。

　　客户价值

　　通过采用OpenStack云管理平台，为楚天云带来以下价值：

　　更开放的架构，实现了软\硬件的完全解耦，有效避免了厂商锁定。整个云资源架构能够采取多厂商、多架构的技术方案和产品，在大幅节省成本的同时有效实现自主安全可控，为未来楚天云平台的持续发展提供了保证。

　　更安全的架构，云平台架构完全参照电子政务以及等价保护三级标准构建，通过不同region的划分实现不同网络的隔离。基于VPC的租户隔离，满足不同厅局的独立资源需求，满足政务网络的高标准安全要求。

　　更可靠的架构，通过云平台的软硬件HA、分布式架构、一体化灾备等特性，能够同时支撑高敏捷性要求和高稳定性要求的政务业务。

　　更灵活的架构，云平台实现各厅局网络在IP重叠的情况下无须变更厅局的原有网路架构，并实现多种网络接入模式，满足了各单位业务快速灵活迁移的需求。

　　更高效的架构，云平台以OpenStack+SDX(SDN、SDS)构建敏捷云架构，结合灵活的自动化编排，实现了分钟级的云资源构建及发放能力，大大提高了政务云业务的建设效率。