刘 佳，高 洋，安婷玉，安 琪

近年来，我国铁路信息化飞速发展，已逐步建成了庞大的对内、对外生产服务的信息网络，打造了涵盖铁路各领域的业务系统［1］。在铁路主数据中心，建成了全国统一的铁路信息化基础设施——云平台，实现了绝大部分业务应用系统向云计算架构的迁移，这对于解决信息化发展瓶颈问题，降低重复建设投资，实现节能环保，以及更加高效、稳定、安全和可靠地服务信息化应用等方面，发挥了重要作用［2-3］。

面对国际安全形势的日益严峻，在信息化快速发展的同时，国产化及网络安全自主可控需求愈加凸显，国产化替代工作势在必行［4-5］。铁路作为国民经济的大动脉，其信息系统承载着大量的铁路业务数据、公民个人信息等，一旦遭到破坏并影响正常使用，将对国家安全、经济稳定和公众安全产生重要影响［6］。随着铁路云平台上层信息系统面临的网络安全威胁，以及底层基础软硬件技术封锁风险的不断攀升，铁路云平台国产化改造迫在眉睫。

铁路云计算平台在建设初期就考虑到底层技术的自主可控，为了避免出现完全依靠国外技术的情况，选择了自主研发云平台技术与成熟商业产品异构统管的技术方案［7］。其中，自主研发架构是以铁信云产品为核心，正式生产运行情况良好。然而，铁信云产品受整体技术条件限制，其服务器、CPU、操作系统等核心组件仍然受国外技术垄断控制，无法完全实现自主、可控的目标。因此，需将铁路云平台自研技术向国产体系迁移适配，屏蔽底层不同的技术路线对应用系统带来的影响，进一步提升铁路信息化基础设施的安全可控性。

2.1 铁路云平台

铁路云平台规划包括基础设施服务层（IaaS）和平台服务层（PaaS），目前已完成IaaS层建设和部署，并稳步推进PaaS层研发工作。铁路云平台以OpenStack架构为基础，实现对计算资源池、存储资源池和网络资源池的统一管理和调度，为信息系统应用部署提供基础资源服务。铁路云平台整体架构见图1。

图1 铁路云平台整体架构

2.2 总体需求

1）铁路主数据中心的建设发展应坚持走国产化之路，要对铁路云平台的国产化需求进行评估，在云平台基础软硬件方面实现国产化适配。

2）铁路云平台国产化替代工作需满足安全技术路线。无缝迁移既有云平台历史数据，在确保数据安全性和完整性的基础上，保障平台安全合规。

3）铁路云平台国产化替代工作需严谨、可靠、稳定、规范。在技术路线选择时，按照技术先进、自主可控的原则，统筹考虑知识产权自主程度、技术发展性、生态可扩展性、稳定性及可靠性等，选择适配程度深、稳定性好的技术路线，避免出现兼容性和影响运行效率问题；
同时，充分利用原有云平台建设成果，避免资源重复投入，保证发展的连续性。

铁路云平台国产化迁移适配可分为评估规划和技术准备、测试验证与迁移实施、运行验证与正式上线3个阶段，包括盘点评估、迁移准备、实验验证、业务切换、试运行、上线运维等6个环节。

3.1 评估规划和技术准备

3.1.1 盘点评估

对铁路云平台进行调研盘点，全面梳理云平台的建设使用情况，包括全栈软硬件、运行环境等。针对铁路云平台国产化替代需求，CPU应覆盖x86和ARM 2条技术路线；
操作系统可选OpenEuler技术路线，对应麒麟操作系统。

3.1.2 迁移准备

选择飞腾CPU S2500服务器，XSKY XEDP国产分布式存储平台，Kylin V10 SP2操作系统。按照尽可能接近最终生产环境的原则，搭建铁路云平台迁移验证所需的基础设施、运行环境等实验环境。成立项目小组，制定项目计划和项目组织管理方案。

3.2 测试验证与迁移实施

3.2.1 操作系统适配

目前，铁路云平台基于OpenStack构建，云平台服务部署在容器中，需要在飞腾CPU服务器上适配麒麟操作系统。主要工作如下。

1）镜像依赖包构建。整理铁路云平台所有依赖包的包名和版本列表，涉及基础镜像依赖包、云平台依赖包、宿主机依赖包等。经统计，铁路云平台使用到的依赖包共计1 000余个需要进行替代。

2）build-hci与kolla-ansible项目兼容适配。铁路云平台的安装和部署用到build-hci与kolla-ansible项目，考虑到与麒麟操作系统的兼容性，需要进行修改设计，完成包的安装与卸载，以及麒麟操作系统的兼容、存储适配等工作。

3）虚拟机镜像制作及云插件适配。重新制作虚拟机使用的麒麟版本镜像，对制作镜像使用到的云插件，如cloud-init、qga等做相应适配［8］。

4）云平台验证。以上每一步的操作均需要在国产化架构下验证，验证内容包括云平台虚拟机创建、调整配置、冷迁移、热迁移等重要功能。

3.2.2 对接存储

目前，铁路云平台采用RedHat Ceph存储，需要与国产分布式存储平台XSKY XEDP进行适配对接。主要工作如下。

1）环境检查及初始化配置。环境检查包括检查服务器各节点之间管理网络、存储集群对外网络、存储集群内部网络间互通状态，以及服务器时间等。初始化配置包括配置XSKY集群所有节点与Open-Stack所有节点双向免密，存储集群与 OpenStack 集群的时钟同步，及将OpenStack集群的IP与主机名添加到存储集群节点的 hosts 解析文件中等。

2）存储集群安装。安装产品和产品许可并激活，确认集群信息和账户信息。

3）网关节点配置。对接XSKY XEDP存储平台，需要将待部署的云平台节点添加为XSKY XEDP块设备网关节点。XSKY可采用可视化部署，通过存储管理界面，添加OpenStack节点访问网关服务器（块存储网关角色），并获取存储池pool与ceph.conf配置文件。

4）部署云平台。执行云平台部署脚本install_cloud.sh，并初始化云环境。

3.2.3 部署主机高可用模块

当前铁路云平台在生产使用过程中，会出现服务器故障导致关机或重启的情况。当服务器出现故障时，运行在服务器上的云主机也会受到相应影响导致业务中断，因此需引入主机高可用模块，在服务器发生故障时，可以自动地将云主机疏散到其他节点上运行［9］。

主机高可用模块包括主机高可用API服务（FDI）、主机高可用管理服务（FDM）和主机高可用代理服务（FDA）。FDI、FDM、FDA服务运行部署见图2。

图2 主机高可用模块运行部署

FDI和FDM服务运行在主控节点上。其中，FDI服务为主机高可用模块提供API服务；
FDM负责所有主机高可用集群的监控与虚拟机疏散任务；
FDA服务运行在每个计算节点主机上，负责检查计算节点主机的状态。FDM与FDA之间通过管理网发送管理心跳，采用写存储对象的方式更新存储心跳。

3.2.4 安全加固

安全加固内容大致可分为以下7类。

1）系统服务相关。KSM（Kernel Samepage Merging）是内核中的一种内存共享机制，通过ksmd和ksmtuned服务用于共享内存，默认为启用时可能会导致虚拟机信息泄露。可关闭SELinux（Security Enhanced Linux）；
关闭防火墙、ksmd、ksmtuned服务等。

2）系统用户相关。为保障用户账户安全，可加固内容包括：修改用户密码策略（密码复杂度、密码到期时间、登录失败账户锁定、密码最大复用次数等）；
锁定nologin账号；
设置用户目录所需的最小权限等。

3）远程登录相关。可加固内容包括：禁止root用户远程SSH（Secure Shell）登录和Telnet登录；
设置登录超时策略，用户输入空闲超过时间后自动断开；
配置SSH登录提示等。

4）系统日志相关。可加固内容包括：配置严谨的系统日志读写权限；
开启crontab 定时任务的日志输出，默认crontab的任务执行未记录到日志中，启用日志功能，可在crontab执行失败时找到问题原因；
设置history命令保存条数等。

5）网络相关。由于ICMP重定向（ICMP redirect）可以动态地更改主机的路由，因此在系统加固中建议禁用ICMP redirect功能。

6）FTP相关。通过vsftpd（very secure file transfer protocol daemon）服务器软件，可加固内容包括：禁止root用户登录；
设置全局chroot（change root），限制FTP用户权限，将其操作禁锢在指定的目录树内；
禁止匿名FTP登录等［10］。

7）其他。修改snmp（simple network management protocol）默认团体名。因为使用默认团体名易导致系统运行的进程、系统存在的用户、运行的服务、端口情况等敏感信息泄露。

3.2.5 业务切换

基于验证、测试结果，制定迁移割接方案，稳步实施铁路云平台的迁移和业务切换。

3.3 试运行与正式上线

在生产环境下进行测试验证，监测发现并解决潜在问题及异常状况。在对铁路云平台功能、性能等做最终评估后，云平台正式上线，并进入运维期。

铁路云平台是铁路信息化建设中的重要一环，其自主可控对维护国家安全意义深远。本文在既有铁路云平台的基础上，对构建自主可控云环境进行试点研究，通过对接国产芯片、操作系统和存储服务器提供可信的计算、网络和存储能力，采用主机高可用模块和安全加固措施，为云平台的性能提供保障。铁路云平台的国产化为铁路信息系统应用部署和国产化迁移适配提供可行的环境支撑，可有效降低信息化成本。下一步将对云平台微服务、大数据、人工智能等技术进行研究，提高其先进性和普适性。

猜你喜欢国产化集群部署元器件国产化推进工作实践探索军民两用技术与产品(2022年7期)2022-08-06一种基于Kubernetes的Web应用部署与配置系统成都信息工程大学学报(2021年5期)2021-12-30LNG接收站扩建工程低压泵国产化应用管理煤气与热力(2021年7期)2021-08-23ASM-600油站换热器的国产化改进能源工程(2021年3期)2021-08-05晋城：安排部署 统防统治今日农业(2021年7期)2021-07-28部署非公有制企业党建(2020年5期)2020-06-16基于国产化ITCS的卫星导航仿真研究铁道通信信号(2020年9期)2020-02-06海上小型无人机集群的反制装备需求与应对之策研究军事运筹与系统工程(2019年4期)2019-09-11一种无人机集群发射回收装置的控制系统设计电子制作(2018年11期)2018-08-04Python与Spark集群在收费数据分析中的应用中国交通信息化(2017年3期)2017-06-08