1 研究背景

    铁路是国家战略性、先导性、关键性重大基础设施，是国民经济大动脉、重大民生工程和综合交通运输体系骨干，在经济社会发展中的地位和作用至关重要。自20世纪70年代，中国铁路引入信息化技术提高运营效率和管理水平，铁路信息化不断发展，现已经成为铁路运营管理的重要组成部分。2014年以来，云计算技术与铁路行业集成融合加速，信息系统上云实现铁路安全、效率和体验的全面提升，推动铁路数字化转型。

    目前，铁路主数据中心部署了商业版本和自主研发的云平台，构成异构资源池，提供计算、存储和网络等基本的IaaS功能，承载了上万台虚拟机，上百个信息系统上云运行，部分信息系统基于Kubernetes或商业产品自建了容器服务。铁路局集团公司结合企业自身的发展情况，各自建设了应用运行中心，在虚拟化、云计算方面也进行了规模化建设，其中以商业版本虚拟机为主。中国国家铁路集团有限公司（简称国铁集团）本级和各铁路局集团公司分别建设的数据中心和云平台在一定程度上实现了信息基础设施能力的统一管理、弹性扩展，改变了铁路信息化建设和资源交付模式，提升了铁路信息基础设施服务能力，缓解了IT设备装机能力不足、计算存储资源配置分散、云计算和虚拟化技术应用程度不高等问题，但仍然存在云计算架构不统一、IaaS云服务能力不足、PaaS云服务能力欠缺、对IaaS和PaaS的统一云管理能力欠缺以及供应链风险突出等问题。

    近年来，国际竞争局势风云变幻，而我国基础科学研究短板依然突出，关键核心技术仍然受制于人，核心技术领域自主可控迫在眉睫。国家“十四五”规划明确将科技自立自强作为驱动国家创新发展的核心战略，大力推动自主可控信息系统建设。2021年我国发布的《关键信息基础设施安全保护条例》提出，铁路作为国家关键基础行业，要强化关键信息基础设施安全保障。

    在此背景下，铁路行业所用的云平台迫切需要提升关键技术自主可控程度，强化云服务能力，为信息化升级、数字化转型提供可靠环境支撑。以实现铁路信创云平台的自主可控和安全可靠为目标，提出信创云平台的设计原则，对信创云平台的架构和功能进行设计，形成铁路信创云平台解决方案。

2  信创云平台设计原则

     信创云平台解决方案的设计，从自主性、开放性、可扩展性、可靠性、安全性、前瞻性等多方面综合考虑。

    （1）自主性。信创云平台需要在芯片、服务器、存储、网络设备、操作系统、中间件等多方面全面支持国产化。

    （2）开放性。信创云平台需要具备北向被集成、南向可集成第三方云平台的能力，并可通过开放接口与其他系统集成，如铁路网络安全运营平台等。

    （3）可扩展性。信创云平台架构需要统筹考虑未来业务发展需求，具备平滑扩展能力，兼备从单中心向多中心容灾演进的能力。

    （4）可靠性。信创云平台架构从管理面和业务面都需要具备本地和异地可靠性保护能力，保证单设备故障和单数据中心故障场景下关键核心业务的连续性。

    （5）安全性。信创云平台安全架构需要依据 GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》及GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》等标准，基于“一个中心”（安全管理中心）、“三重防护”（安全计算环境、安全区域边界、安全通信网络）的思想进行设计。

    （6）前瞻性。在满足业务系统稳定运行的前提下，信创云平台架构需要充分吸纳人工智能、大数据、物联网和5G等新技术，具备平滑演进和升级能力，满足未来铁路的场景化应用。

3 铁路信创云平台架构设计 

     铁路信创云平台架构设计的目标是构建标准统一、安全可靠、自主可控、全栈服务的云平台，形成铁路信息化发展的坚实底座，为传统架构应用、云化架构应用和云原生化架构应用提供服务化的信创云资源。

3. 1　总体架构　

    铁路信创云平台总体架构见图1。铁路信创云平台支持在信创基础设施硬件 （服务器、存储、网络设备、安全设备等） 之上提供信创服务能力 （容器、中间件、数据库、物联网等），支撑信创应用软件（综合办公类、生产运营类、经营管理类）的部署，同时可对接云外铁路既有的网络安全运营平台、运维服务平台，提升云平台自身安全防护能力和运维服务能力。

图片

图 1　信创云平台总体架构

    铁路信创云平台采用低耦合的模块化设计，包含IaaS、PaaS等云服务以及云管平台。

    IaaS服务为基于统一的标准、通过开放的架构来构建的计算、存储、网络、容器等基础服务，通过信创计算设备、存储设备、网络设备、安全设备等为云平台提供基础能力支撑。

    PaaS服务为通过信创中间件、数据库、物联网、大数据及人工智能等组件构建的平台软件服务和敏捷开发支撑环境。

    云管平台负责云平台基础设施的运维、云服务的运营、云安全服务的供给。通过开发API接口与运维服务平台深度融合对接；同时，可与国铁集团网络安全运营平台按需对接并逐步融合，以增强信创云平台安全能力。

3. 2　技术架构　

    铁路信创云平台技术架构分为资源层、逻辑控制层与服务层（见图2）。

图片

图 2　信创云平台技术架构

    （1） 资源层主要采用KVM虚拟化、SDN技术（Vx⁃LAN）、虚拟化IO等技术对物理资源层物理硬件资源进行抽象与调度；将基础设施层提供的硬件设备按照逻辑功能的不同划分为不同功能的资源池；进一步地，按照主机组、可用区 （Available Zone）、区域 （Region）等不同粒度将数据中心内的计算资源、存储资源、网络资源划分为隔离域。通过不同的隔离域进一步缩小单点故障的影响范围。

    （2） 逻辑控制层作为云服务的后端实现实体，通过对资源层相关资源的封装，实现云资源服务的发现、路由、编排、计量、接入等功能，完成从资源到服务的转换。OpenStack为逻辑控制层的主要技术框架，为信创云平台基础能力构建提供技术支撑，为信创云平台其他能力提供基础服务保障，包括计算、存储与网络等基础服务。Kubernetes、容器作为云原生的主流技术，为逻辑控制层的重要组成部分，基于OpenStack封装后提供的计算、存储与网络服务，在上层构建容器计算引擎，并结合云原生的主流技术实现微服务等解决方案，构建容器云服务。此外，以数据库技术提供的数据库引擎为基础，通过自动化编排等技术完成数据库即服务模式的封装。

    （3） 服务层作为云服务呈现层，为用户提供整体的管理、运维、控制等统一入口。服务层主要基于CMDB技术配合其他数据采集与分析等手段实现全局统一资源配置管理，管控从基础设施到租户应用全景资源。云平台与云外的网络安全运营平台、运维服务平台的集成也由服务层完成。根据云服务的作用范围不同，服务层可分为区域 （Region） 级服务和全局级服务。区域级服务主要为授权区域提供服务资源，服务资源在该区域内访问不受可用区 （AZ）、虚拟网络控制等限制，通过区域级资源管理调度提供相应的云计算服务；全局级服务为全级提供共享的服务资源，如为“一朵云”下的所有区域提供统一的云管理相关服务。

3. 3　云安全模型　

    信创云平台安全防护架构参考等保三级相关标准，需要满足“安全通用要求”和“云计算安全扩展要求”，应按照等保“一个中心，两个层面，三重防护”架构的安全控制点，基于硬件安全设备、云平台原生安全特性以及安全云服务等多维防护能力，分别为云平台和租户2个防护对象构建通信网络、区域边界、计算环境的三重安全防护，通过安全管理中心实现安全统一管理。

    基于责任共担模型，将防护对象 （云平台、租户），与安全控制点 （通信网络、区域边界、计算环境、安全管理中心） 的防护措施有机组合，云安全责任共担模型设计结构见图3。

图片

图3　云安全责任共担模型设计结构

    云平台安全建设在满足基础等保三级安全合规要求的同时，也要满足云计算安全扩展要求。安全通信网络层面从网络架构、通信传输方面开展防护；安全区域边界通过部署在不同区域的安全设备实现安全区域边界的访问控制、入侵防范、防病毒及审计等能力；安全计算环境，通过平台自身安全基础能力（如虚拟化资源隔离、系统加固）、主机安全等提供计算环境身份鉴别、访问控制、入侵防范、安全审计、数据安全的保障。安全管理中心对云平台进行统一权限管理、服务管理，实现云环境的集中安全管控，并通过接口与铁路既有网络安全运营支撑平台对接，实现安全信息的交互。

    租户安全防护通过复用数据中心各个区域及云平台侧的安全防护能力，同时使用云平台给租户提供的安全能力，为租户业务提供安全保障。云平台在安全通信网络、安全区域边界、安全计算环境、安全管理中心都应提供相应的安全服务。

3. 4　部署架构

    铁路信创云平台可采用分布式部署模式，在国铁集团和铁路局集团公司进行两级部署，在站段侧部署边缘计算节点形态，以云边协同的方式，实现云服务的延伸。按照铁路网络体系，铁路信创云平台可分别在外部服务网、内部服务网、安全生产网内建设独立的云管平台，实现网内资源的统一管理，满足安全、管理隔离需要。

    单一数据中心的铁路信创云平台典型部署架构包含云管理区、云业务区、云核心交换区、云环境边界区以及云专线接入区（见图 4）。各区之间通过高速网络互联，构建安全、高效的协同机制。

图片

图4　信创云平台部署架构

    （1）云管理区：作为铁路信创云的管理中心，部署云操作系统、云管平台以及各类云服务管理虚拟机等管理组件。

    （2）云业务区：典型的云业务区包括通用业务区和存储区。其中，通用业务区：提供业务所需的虚拟机资源和裸金属资源，部分PaaS层组件（如中间件组件、数据库等）均通过虚拟机或裸金属形式部署在通用业务区，同时通过部署若干网络节点提供软件SDN网络能力。存储区：提供业务所需的存储资源，分为块存储、文件存储和对象存储，满足业务对不同存储类型的需求。

    （3）云核心交换区：主要是完成各功能分区之间数据流量的高速交换，是整个平台南北向流量和东西向流量的交汇点。同时，部署WAF与核心交换机互联，对访问云管平台的 Web 业务，如 API 网关、云管界面进行Web入侵检测；部署漏洞扫描、数据库审计与核心交换机互联，实现对云平台资源的漏洞扫描、数据库审计。

    （4）云环境边界区：主要提供铁路信创云平台和云外数据中心的边界安全防护能力，如网络流量审计，IPS/AV等，在云环境边界出口统一对南北向的流量进行网络威胁检测、恶意代码识别、网络流量审计。

    （5）云专线接入区：主要作为其他内部IDC机房接入的汇聚，用于搭建云外数据中心与云平台之间高速、低时延、稳定安全的连接通道。

4 铁路信创云平台功能设计 

      铁路信创云平台提供多类服务，支持上层应用系统的需求。

4. 1 IaaS服务　

    铁路信创云平台IaaS服务聚焦在计算、存储与网络资源的基础服务建设。

    （1）计算服务能够提供虚拟机、裸金属服务器、镜像及弹性伸缩等计算相关资源和服务。用户可以便捷地获得虚拟机资源，同时具备灵活的弹性扩展和收缩能力。

    （2）网络服务提供基于SDN的虚拟私有云、弹性负载均衡、安全组等网络相关服务，可以满足业务快速部署的要求，并可实现网络自动化部署、灵活弹性、业务动态变化和多租户网络隔离。

    （3）存储服务包括云硬盘服务、弹性文件服务和对象存储服务。云硬盘服务是一种基于分布式架构的、可弹性扩展的虚拟块存储设备，具有较高的数据可靠性和I/O吞吐能力，主要给弹性云服务器和裸金属服务器提供块存储空间。弹性文件服务提供按需扩展的高性能文件存储，可为云上虚拟机，容器、裸金属服务器提供共享访问。对象存储服务是一种将数据作为对象进行管理的存储服务，可为用户提供海量、安全、高可靠、低成本的数据存储能力。

    （4）容器服务提供容器引擎、多云容器管理、容器边缘节点管理等服务。容器服务为用户提供容器应用统一编排、运行、管理能力以及容器基础设施的统一管理能力，并且支持管理中心云资源池和边缘资源池，用户可以便捷地部署和管理自己的容器应用。

    （5）灾备服务提供平台级的同城数据中心间高可用、异地数据中心间容灾能力，支持虚拟机容灾服务、虚拟机高可用服务、云硬盘高可用服务，最大限度保障用户数据的安全性和正确性，确保业务安全。

    （6）安全服务包括为安全通信网络提供虚拟私有云、负载均衡等服务，为安全区域边界提供云防火墙、网络ACL/安全组、云WAF等服务，为安全计算环境提供主机安全、容器安全、网页防篡改、数据加密等安全服务，为安全管理中心提供云堡垒机、日志审计服务、集中监控等服务。

4. 2 PaaS服务　

    铁路信创云平台PaaS服务聚焦在为用户提供完整的应用程序开发、测试和部署所需平台。在铁路信创云平台中，主要包括中间件、数据库、应用平台、物联网等服务。

    （1）中间件服务提供主流消息中间件和缓存中间件，并实现统一的监控和管理。消息中间件基于高可用分布式集群技术，提供完整的消息队列服务，为业务应用提供跨网络访问的消息通道；缓存中间件兼容原生Redis，提供在线分布式缓存能力，满足用户高并发及数据快速访问的业务诉求。

    （2）数据库服务提供主流数据库。其中，MongoDB等开源数据库由云平台直接提供，达梦、人大金仓等商用第三方数据库通过云平台集成提供，满足业务对数据库服务的需求。

    （3）应用平台服务，以应用为中心，提供应用开发、运行、集成、运维等全生命周期能力，包括微服务平台、应用运维管理、服务网格、应用性能管理、应用集成服务和数字资产运营服务等服务。

    （4）物联网服务提供海量设备连接、设备和云端双向消息通信、批量设备管理、远程控制和监控等能力，并可将设备数据灵活流转到其他服务或消息中间件，快速完成设备联网及行业应用集成；支持多样化的接入方式，同时支持物模型定义、协议编解码插件定义，满足各类物联网设备和应用接入场景要求，适用于铁路云边协同架构。

4. 3 云管服务　

    云管平台提供运维中心（运维管理能力）、服务中心（运营管理能力）以及外部集成（接入集成）能力。

    （1）运维中心包含集中告警、统一监控、运维可视化、操作运维中心、日志中心等功能模块，支撑日常运维、系统变更、运营分析等运维业务场景，实现集中运维管理。

    （2）服务中心包括产品目录管理、订单管理、用户/角色管理、配额管理、计量计价管理、流程审批等功能模块，支撑运营管理员的管理操作，以及普通租户的资源自助申请和管理，实现集中运营管理。

    （3）外部集成包括将第三方服务集成到云平台中的云服务Console集成能力，将云平台自身能力以接口方式提供给第三方对接的北向接口网关能力，以及将云平台流程与已有流程对接的SSO集成与流程集成能力。

5 结束语  

    针对铁路信息化建设情况，为提升自主可控能力、补强云平台服务功能、降低重复建设和运维成本，提出建设基于全栈信创体系的、满足铁路业务需求的云计算平台，研究了铁路信创云平台的架构设计和功能设计，形成了铁路信创云平台解决方案。基于以上解决方案研发的铁路信创云平台原型系统已在实验室环境下进行了测试和验证，并成功与部分综合办公类、生产运营类系统进行了国产化适配，各项功能服务运行情况良好。未来将在国铁集团主数据中心和各铁路局集团公司进行推广部署，助力铁路业务持续发展与不断创新。下一步将在该原型系统基础上，继续完善PaaS服务，加强整合铁路既有基础性、通用性、典型性服务和数据能力，不断提高铁路信创云平台的服务能力和水平。

图片

相关信息

作      者：

潘红芹，中国铁路信息科技集团有限公司。

高洋，中铁信弘远（北京）软件科技有限责任公司。

安婷玉，中铁信弘远（北京）软件科技有限责任公司。

代娇，中国铁路信息科技集团有限公司。

引用文本：潘红芹，高洋，安婷玉，等. 铁路信创云平台解决方案[J]. 中国铁路, 2024(3): 71-77.

图片

END

图片

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。