某集团工业互联网场景与平台解决方案.docx

文档编号密级集团内部公开集团工业互联网场景与平台解决方案（文档版本：V1.0）集团集团解决方案部在不同业务系统的关系型数据库或实时数据库，就可以实现有效管理。 但随着工业互联网的应用部署，各类生产数据和业务数据都将呈现爆 发式增长，海量多源异构数据的有效管理对现有系统提出巨大挑战。 未来，采用新型数据库结构、分布式存储与并行处理技术，探索对工业 数据进行相对集中式的管理将是必然趋势。三是数据驱动的工业应用创新。传统工业软件满足的是制造企业 的共性需求，差异化、精细化管理需求满足能力较弱，同时这些软件 大多作为设计、生产、管理的辅助工具而存在，数据分 析能力相对有 限。而随着工业数据的采集和集成处理能力逐步形成，面向设备运行、 工艺参数、质量优化等特定场景的数据挖掘和应用将是未来制造企业 推进智能化的主要方向。这些应用往往需要与具体行业、甚至企业的 知识经验紧密结合，涉及领域众多，单独依靠少数工业软件企业无法 提供。因此，吸引更多应用开发者参与，构建起基于数据挖掘的应用 创新生态，将是未来工业软件和应用创新的主要模式。综上所述，面对智能制造发展的迫切需求，需要更加智能化、互联 化、灵活化的全新技术载体以实现设备泛在互联、数据集成管理与深 度智能应用，工业互联网平台应运而生。2解决方案的价值主张集团云工业互联网平台已在8大行业，构建了涉及8个领域的诸 多解决方案，设备连接数达到数百万，成为国内工业互联网领域一股 纵横开阖、势不可挡的力量。过全方位地将云计算、大数据、物联网、 人工智能等新型信息技术，与工业系统进行深度融合，集团云工业互 联网平台帮助诸多企业构建了基于云的企业创新中枢系统，实现了创 新产品和新型服务的充分输出，从而全面推动了企业的数字化转型进 程。在前不久的2018中国物联网产业生态大会暨中国物联网产业生态 联盟成立大会上，集团云工业互联网平台成功入选十大工业云平台。不止于此，集团还进入了山东、江西等省的工业互联网产业联盟,也与广东等发达省区达成工业互联网的战略合作，所有的一切均表明在政府和产业层面，集团云工业互联网已经赢得了广泛认可。在贵阳召开“数据驱动经济中大数据产业高峰论坛上，集团云发布了集团云工业互联网平台战略，明确指出集团云将以一个目标、 二个布局、三个基础和四个计划，全面推动中国工业互联网的发展。一个目标，是集团希望通过2-3年的努力，实现对15个行业、10个领域、31个省区直辖市的全面覆盖，推动百万家企业数字化转型。两个布局：首先是平台布局。通过持续打造公有云+边缘云计算的服务能力，集团云将之扩展到7个节点，同时边缘云节点会持续拓展；其次是打造以物联网为核心的 数据采集能力，提供更多的大数据工具，包括敏捷的开发平台和框架 等在内；最后是打造开放的应用市场，培养生态和合作伙伴，一起打造 开放工业应用的生态。在生态布局方面，集团云将联接工业自动化和工业采集以及设备 智能改造等领域的合作伙伴，打造设备联网为主的边缘生态；二是以 数据中心和机理模型为基础的生态，集团云会基于这个平台提供更多 工业的机理模型和工业微服务；三是打造以工业场景为基础的领域应 用生态，集团云也由衷希望更多的方面参与到其中。三个基础：集团云工业互联网平台的演进中，集团云将持续强化集团的三大 能力，而这也被认为是未来工业互联网发展的三个基础。第一个能力是提供云服务平台支撑能力。目前集团公有云已进入 到中国三强之列，未来还会持续增强该平台的能力。第二个能力是集团在整个企业信息化服务方面的能力。在过去30 多年服务于中国企业信息化的过程中，集团积累了丰富的经验，对行 业和企业拥有深入的认知，深知如何将产品化与行业及生产场景进行 有机的融合。第三个能力是持续发挥先进制造业模式经验，不断实现中国智能 制造的美好愿景。目前集团服务器取得了全球第三的业绩，这充分证 明先进技术与实体制造经验的结合将会产生令人难以置信的巨大成功。首先是投资计划，未来集团云将为300万+企业提供5亿元企业上 云服务券，通过补贴的方式让企业感受集团云工业互联网平台带来的 巨大裨益，推动企业上云。中国工业互联网的发展已经刻不容缓。此前多年，在综合了成本 在内的综合考量之后，外国制造厂商纷纷将生产基地转移到中国，“中 国制造”由此起步。然而，当东南亚等地区祭出更低的成本这一杀手铜 之后，中国生产制造基地的外迁已经成为事实上的常态一一尽管有些 方面可能仍不愿承认。其实，中国早已不甘心在原有制造业产业链上 的地位，期颐完成从制造大国到制造强国的跃升。在这种情况下，以工 业互联网为抓手，通过自主创新、产业创新，直接把握世界先进制造业 的价值链高端，就成为中国制造业的破局之战。工业互联网时代的大幕才刚刚开启，集团云将连同产业界各种力 量，丰富其中的技术内涵和应用模式，在计算、网络、制造信息化等方 面发挥融合创造作用，为中国的工业进步探索更有效率和价值的发展 途径。3针对性的解决方案方案概述工业互联网平台内涵及架构工业互联网平台作为工业智能化发展的核心载体，能够实现海量 异构数据汇聚与建模分析、工业经验知识软件化与模块化、各类创新 应用开发与运行，从而支撑生产智能决策、业务模式创新、资源优化配 置、产业生态培育。其本质是通过构建精准、实时、高效的数据采集互 联体系，建立面向工业大数据存储、集成、访问、分析、管理的开发 环境和应用环境，支撑工业技术、经验、知识模型化、软件化、复用化， 以数据的有序自动流动解决复杂制造系统面临的不确定性，不断优化 研发设计、生产制造、运营管理等资源配置效率，形成资源富集、多方 参与、合作共赢、协同演进的制造业生态。通过分析国外工业互联网平 台架构，其核心要素包括数据采集层、管理服务层（工业PaaS）,应用 服务层（工业APP）,体系架构如图所示。应用服务层（IJkAPP）传统工业软件面向特定场景的工业应用开发工具（建模工具、开发模型、组态工具）开发工具（建模工具、开发模型、组态工具）工业微服务组件库（工业知识组件、算法组件、原理模型组件）工业通信网络工业通信网络管理I艮务平台层（UkPaaS）工业大数据系统（工业数据清洗、管理、分析、人工都能算法等）通用PaaS平台资源部署和管理(Cloud Foundry, Docker, Kubernetes等)运营管理环境（多租户管理、资源分配、开发维护）运彳班境（分布式计算、存储、管理、服务）工业安全防护层 S a a云基础设施（服务器、存储、网络、虚拟化）数据采集层工控系统/传感器/网关智能组件（如协议转换）工业软件数据数据采集层是基础，主要通过深层次采集数据并实现不同协议数 据基层汇聚，作为工业互联网平台驱动源头，主要依赖两方面能力。一 是依托传感器、工业控制系统、物联网技术面向设备、系统、产品、软 件等要素数据进行实时采集。例如，可借助智能控制器、智能模块、嵌 入式软件等传统的工业控制和连接技术实现平台对底层数据的直接集 成，二是利用以智能网关为代表的新型边缘计算设备实现智能传感器 和设备数据的汇聚处理以及边缘分析结果向云端平台的间接集成。多 类型的边缘连接手段为工业互联网平台实现泛在连接提供坚实支撑， 丰富了工业互联网平台可采集与分析的数据来源。管理服务平台（层）是核心，基于工业PaaS架构，集成了工业微 服务、大数据服务、应用开发等功能，媲美移动互联网操作系统。一是 将云计算、大数据技术与工业经验知识相结合形成工业数据基础分析 能力，把技术、知识、经验等资源固化为专业软件库、应用模型库、专 家知识库等可移植、可复用的开发工具和微服务；二是提供数据存储、 数据共享、数据分析和工业模型构成的完整工业数据服务链，汇聚各 类传统专业处理方法与前沿智能分析工具，帮助用户方便快捷地实现 工业数据的集成管理和价值挖掘；三是构建基于工业数据服务之上的 应用开发环境，提供各类蕴含工艺知识和行业经验的工业微服务、工 业应用开发工具以及针对应用开发运维的完善管理手段，帮助用户快 速构建定制化的智能应用App并形成商业价值。应用服务层是关键，基于开放环境部署应用，面向工业各环节场 景，是工业互联网平台服务的最终输出。面向智能化生产、网络化协 同、个性化定制、服务化延伸等智能制造和工业互联网典型应用场景， 为用户提供各类在平台中定制化开发的智能化工业应用和解决方案。 在智能化生产中，设备预测性维护、生产工艺优化等应用服务帮助企 业用户提升资产管理水平；在网络化协同中，制造协同、众包众创等创 新模式实现了社会生产资源的共享配置；在个性化定制中，用户需求 挖掘、规模化定制生产等解决方案满足了消费者日益增长的个性化需 求；在服务化延伸中，智能产品的远程运维服务则驱动着传统制造企 业加速服务化转型。面向用户实际需求的各类智能应用是实现模式创 新、业态创新的关键载体，推动着平台应用生态体系的构建。除此之外，工业互联网平台还包括用以支撑数据传输交换的网络 基础设施，以及涵盖整个工业系统的安全管理体系，这些构成了工业 互联网平台的重要保障和支撑。3.1 总体架构数据米集数据采集是工业互联网平台的基础，是实现制造全生命周期异构 数据在云端汇聚的关键，主要涉及协议转换、边缘数据处理等技术。协议转换：一方面是通过OPC、MQTT等技术将底层多源数据转 换为工业互联网平台可以接收的数据格式。另一方面是通过协议转换 器（网关）实现底层工业通讯协议（MODBUS、PROFIBUS. HART等） 的互通。边缘数据处理：基于边缘侧的计算资源和云端的协同，通过边缘 部署的应用程序，在靠近数据源的边缘侧实现对海量数据的预处理及 预过滤，提取海量数据中的关键特征，将处理过的数据传输到云端，极 大地降低对网络带宽的要求。图3-2工业互联网平台参考架构工业互联网平台技术体系PaaS通用功能PaaS是工业互联平台实现核心功能的载体，向下可以承接海量异 构数据、向上可以支撑各种工业应用的开发，主要涉及数据接入、数据 管理、资源管理与调度、多租户管理等技术。数据接入：通过集成数据模型自动识别、匹配等大数据技术，支持 结构化业务数据、时序设备监测数据、非结构化工程数据等多源异构 数据的快速接入，形成高并发、高吞吐量的数据实时接收能力。数据管理：集成分布式存储、分布式文件系统、对象存储、检索查 询、语义标注等多种数据技术，实现多源海量异构数据的标注、整理、 组织、分类、编码、存储、检索，实现数据模型和查询接口的一体化管 理，保证平台海量数据的独立性与完整性，并形成数据共享与集成的 服务接口。资源管理与调度：基于Kubernetes. Mesos等工具实现基础资源 （存储、计算、网络）的管理与调度，建立资源隔离机制，解决复杂 系统的运维保障问题。实时监控云端应用的业务量状态，基于调度算 法为应用程序分配相应的底层资源，从而使云端应用可以自动适应业 务量的变化。多租户管理：能够按照计算、存储、网络资源池进行管理，具备多 租户场景下动态资源调度、隔离能力，实现不同租户间应用程序运行 环境的隔离以及数据的隔离，保障不同租户间应用程序不会相互干扰, 并保证数据的保密性。3.1.1 开发工具开发工具是构建工业互联网平台开发者生态的基础，各种开发工 具的集成降低了开发者利用工业互联网平台进行工业创新应用开发的 门槛，主要涉及开发工具集成、开发运维一体化等方面的技术。工具集成：在云端集成命令行工具、应用程序构建整合工具以及 应用程序扩展工具等。将应用开发环境迁移到云端，从而实现本地环 境的轻量化，支持C、C+、python、Java、php等流行开发语言。开发运维一体化：通过在云端集成Chef、Puppet、Saltstack等 DevOps框架并结合云应用拓扑、编排规范等技术提供工业应用开发、 测试、维护的一体化服务，打通工业应用产品交付过程中的IT工具链。3.1.2 微服务工业微服务是工业互联网平台的核心，为用户提供面向工业特定 场景的轻量化应用，主要涉及在微服务架构下的服务通信、服务发现 等技术。服务通信：微服务架构是一个分布式系统，服务被部署在不同节 点中，服务的交互需要通过网络进行通信，服务通信包括同步模式和 异步模式。可以通过基于HTTP协议的RESTfulAPI和Thrift实现同步 模式，也可借用众多成熟的消息系统实现异步模式，如RabbitMQ、 ActiveMQ、Kafka 等。服务发现：服务间调用时需要服务发现机制识别各个服务动态生 成和变动的网络位置，主要包括客户端发现和服务端发现两种方式。文档版本管理文档版本号文档负责人文档审核人负责人联系方式完成日期具体修改内容客户端发现由客户端向服务注册表查询服务位置，并使用负载均衡算 法从返回的实例中选择其一再向其发起调用。服务端发现机制中，客 户端请求是发给负载均衡器的，由其查询和选择服务实例并转发请求。3.1.3 建模及应用建模应用是工业互联网平台具备工业实体虚拟映射和智能数据分 析能力的关键，主要涉及虚拟样机、数据分析建模等技术。虚拟样机： 将CAD建模技术、计算机支持的协同工作(CSCW)技术、用户界面设计、 基于知识的推理技术、设计过程管理和文档化技术、虚拟现实技术集 成起来，以实现复杂产品论证、设计、试验、制造、维护等全生命周期 活动中基于模型/知识的虚拟样机构建与应用。数据分析建模：利用统计分析、机器学习、机理建模等多种技术并 结合相应的领域专家经验知识，面向特定工业应用场景，对海量工业 数据进行深度分析和挖掘，并提供可调用的特征工程、分析建模等工 具包，能够快速建立可复用、可固化的智能应用模型。3.1.4 安全安全是工业互联网平台可靠、平稳运行的综合保障基础。工业互 联网平台安全从数据流动路径来看主要涉及数据接入安全、工业互联 网平台本身安全和访问安全等技术。数据接入安全：一方面，边缘侧的数据出口处通过工业防火墙技 术、工业网闸技术等保障数据源的安全。另一方面，在数据传输过程中 采用加密隧道传输技术，防止数据泄漏、被侦听或篡改。平台本身安全：通过平台入侵实时检测、网络安全防御系统、恶意 代码防护、网站威胁防护、网页防篡改等技术实现工业互联网平台的 代码安全、应用安全、数据安全、网站安全。并建立相应的容灾方案， 保证平台能够应对各种导致计算机系统失效的意外情况以及业务应用 在7X24小时内不间歇运行。访问安全：根据不同的用户及所属类别来限制用户的访问权限和 所能使用的计算机资源和网络资源，建立统一的访问机制，防止非法 访问，提供统一身份认证机制，实现对云平台重要资源的访问控制和 管理,阻止未授权使用资源和未授权公开或修改数据。3.1.5 laaS层架构平台设计将以国际主流laaS技术OpenStack为核心，基于它提供 的计算资源管理、存储管理、网络管理、镜像管理、认证管理、计量管 理和其他模块进行优化，结合分布式存储Ceph,构建一个面向未来的、 易于横向扩展的、高可用的、不被厂商锁定的弹性计算存储云资源池。将来可以实现如下的总体架构: 平台将通过VLAN隔离以及设备（服务器和存储资源）的物理隔离等方 式，限制外网和内网之间的安全划分，同时结合内网资源（子网 /VLAN/IP/安全组）的管理，做好应用之间的隔离。用户自助界面J L首理员界面优化私有云引擎流程管理1监控集成AD集成自动部茗，可用安全加囿虚机访问用户管理计量管理租户管理消息队列日志管理虚拟机管理存储管理自动化过理数据库对外Web API接口openstackOpenstack开源云计箕框架膜板管理大数据支持支持集中式存储（数据库文件）后储资源池）分布式存储（备份）府储资源池）集中式存传（可逸）分布和"I布式计翼云量触分布式存储（镜像和文件） 传储资源池）|、男分布式网络（网络资源池）照努器虚拟化 （计算资源池）千兆，万充交换机图3-3逻辑架构外层用户：根据应用/基础架构资源的层次，整个云平台所面向用 户有四类，相应的权限限定如下：云平台系统外部用户：从因特网访问云平台系统，但无法访问内 部系统。根据这一访问特点，云平台可以通过前端设备NAT映射的来 限定可以被外网访问的系统，同时结合防火墙设置以及VLAN分配，做 好对外防护和对内隔离的设置。云平台系统内部用户：从内网访问云平台系统或者办公系统，云云平台系统应用层管理员（云租户）：负责支持系统应用层的运维, 负责应用层的监控、升级和问题解决。具有系统相对应的操作系统、存 储、网络和数据库等基础架构资源的访问和管理权限。云平台将通过 租户管理模块，从逻辑上进行组织划分以及可使用资源的限定，进行 租户隔离云平台管理员：云平台整体管理员，负责云平台的租户管理、资源 分配、状态监控和系统运维等工作。上层交互界面：租户使用界面：云计算租户作为各个应用系统的管理员，通过租 户界面，租户可以访问自己的操作系统和存储资源，请求新资源，同时 进行一些基本的管理操作。云平台管理员界面：云平台整体管理员通过这一界面实现对整个 云平台的资源分配、监控和管理。管理员也可以通过命令行进行一些 更高级的管理操作。API接口：云平台同时提供整体云平台的API,可以基于此二次开 发，可以和其他系统进行集成。中层核心框架：基础模块：用户记录各个模块数据的结构化数据库、用户保存监控数据的非结构化数据库和用户个模块之间通信的消息模块核心云计算框架：包含认证模块、计算（虚拟化）管理模块、存储 管理模块、网路管理模块、镜像管理模块和自动化运维模块，通过这些 核心组件，构建软件定义数据中心的基本框架。业务流程引擎：根据云平台云的需求进行资源申请和审批的业务 流程资源监控：监控整个云平台资源使用情况异构兼容：按照扩展需求，能够支持结合插件（Plug-in）和驱动（Driver）,将异构的硬件整合到云平台中底层架构：计算节点虚拟化：通过在每个节点上部署虚拟化软件，实现计算 资源的虚拟化，提供虚拟机资源分布式存储：通过分布式存储Ceph为云平台提供各种存储资源。组件架构平台将划分为控制区域、计算区域、分布式存储区域，三个区域构 建，区域之间管理和存储分别通过千兆和万兆网络，通过不同的VLAN 划分各个网络，保证业务隔离。控制区域本区域主要为云平台提供虚拟机管理、存储管理、网络管理，为避 免控制节点出现单点故障，故采用三物理节点做HA来提供控制区域 的高可用性。控制区域部署控制端所需组件，各个组件均提供HA的能 力。需要对KVM计算区域及VMWARE计算区域的网络进行统一的分 配和管理，可以实现vmware同cluster下多网络的统一纳管，虚拟机 网络部分直接采用物理网关和外部通讯。具体组件构成如下图所示：各组件之间通过如下的逻辑关系构成，控制节点部署所需的API、 镜像服务、数据库服务、消息服务等所需的服务。采用HAProxy. packmakerGalera等集群技术构建控制节点高可用，详细如下图所示， 在应用层形成高可用方案：horizonMariadb/Galera Cluster)*Active/BackuQ .一 " " keepalived1(,g F、J ? V/ / /、 : / V * , MongoDB Cluster Active/Backup RabbitMQ Clusteryyy尸 尸 尸 产1.AX b :( 、(,、(>(v(r .(Active/ActiveIIHAProxyglance-apineutron-apinova-consoleInfluxDBrabbitmqceilometer-apiglance-registryMongoDB(nova-metadatacinder-api7控制节点1 I mysql-wsrepnova-api(keystone-api控制节诵2 1 mysql-wsrep HAProxyceilometer-api ).： y 二一j ；：6 .二 glance-registry Jglance-apinova-apikeystone-apineutron-apicinder-apihorizonnova-metadatanova-consoleInfluxDBMongoDBrabbitmqManadb/Galera Cluster"Arbitration"keepalived ,vip控制节点3garbdHAProxyceilometer-apiglance-registry'Cglance-api工、 一3 3>MongoDB Cluster""ArbilraitionRabbitMQ ClusterActive/Active. ( nova-api.Ceystone-api )、(neutron-api )' cinder-apihorizon* nova-metadatanova-consoleInfluxdDB, V MongoDB；abbitmq图3-5组件逻辑关系计算区域计算区域将有X86服务器组成，使用多种虚拟化技术同时作为虚 拟化软件，提供虚拟化能力。OVS提供为虚拟机提供vswitch,从而为 灵活组网提供支撑。Libvirtd作为虚拟化管理API层，为上层novacompute 提供控制kvm的接入层。Nova-compute对集群节点进行计算 资源管理，neutron-ovs-agent对集群节点网络进行管理，ceilometer- compute-agent提供数据采集，为上层的计费和监控提供数据。Zabbix- agent提供监控数据采集。平台可以通过划分Region和AZ的方法来实 现多区域以及多资源池的管理，解决平台规模扩展和性能瓶颈的问题, 同时区分不能的虚拟化技术池。Ceph分布式存储区域非融合部署架构：控制、计算、存储节点部署在不同的服务器上，Ceph 集群为 InCloud OpenStack 提供存储资源，Ceph 由 Ceph Monitor20服务（3个节点各部署一个Ceph Monitor服务进程）与CephOSD服务（每个节点根据硬盘数量部署多个Ceph OSD服务进程）组成，每个 CephOSD服务进程管理一块硬盘。分布式存储网络考虑到业务使用以 及性能要求，将划分为4个网络，具体如下图所示：管理网络：管理Ceph集群服务的网络，需1Gb以上带宽Ceph public网络:OpenStack及VM访问Ceph集群的数据网络，需 10Gb以上带宽C即h cluster网络：Ceph集群内进程数据东西向通信的网络，需10Gb以上带宽10Gb 0p«nStack 业务时10Gb 0p«nStack 业务时Cephnode 1Ceph node 2Ceph node nCeph MonitorCeph MonitorCeph MonitorCeph OSDCeph OSDCeph OSDCentOS 7CerrtOS 7CeirtOS 7IF3IF2IF2IF2IF3IF2IF3IF2IF3OpenStack ControllerOpenStack ControllerOpenStack ControllerOpenStack ComputeOpenStack CompirteIF2 IF3IF 2 IF3CentOS 7CentOS 7CeirtOS 7CentOS 7CentOS 7node 1ipenstacinode 2peiiSTacl node 3penstaclnode 4ipenstacinoden图3-6分布式存储OpenStack Image ServiceStorageShared Datastore图3-7 VMWARE纳管ClustersvSphere通过对OpenStack平台网络部分的架构改造，使其适应于vmware、 kvm共存的异构资源池，因Vmware本身产品的限制，需要对网络进 行部分改造以便对多个网络同时进行管理。3.2 计算资源设计计算虚拟化是计算资源池化提供计算即服务的主要技术手段，也 是软件定义计算最主要的解决途径。依托计算虚拟化技术，虚拟机成 为计算调度和管理的单位，可以在数据中心内部甚至跨数据中心的范 围内动态迁移而不用担心服务中断。计算资源主要以物理机及虚拟机两种方式提供服务。其中，物理 机主要承载数据库服务的部署；虚拟机主要承载应用中间件、WEB服务 器等服务。在部署业务时，首先考虑使用虚拟化平台，优先采用虚拟主机满 22足，对于虚拟主机不能满足的应用，则采用物理服务器满足。对内存容 量、10、扩展性的要求都不高，且有节约空间和能源的应用，我们推荐 采用虚拟化计算资源来满足；对于高性能计算，大容量存储，大容量内 存和高10的需求，虚拟化不能满足应用需求，则采用4路或者8路 X86服务器等高性能物理主机满足；采用虚拟主机能节约计算资源、 机架空间、能源；数据库服务器需要承担大量实时并发处理和数据分 析能力，对10和计算要求都非常高，为了保证数据安全和系统稳定, 建议采用物理机。3.3 存储资源设计在生产内网，分别部署集中式存储和海量存储，推荐配置高端集 中式存储和海量存储，集中式存储用来承担各业务系统的核心数据库, 海量存储通过FC光纤网络或IP以太网和云管平台连接，用来存储各 业务系统虚拟机文件，海量存储用来存储视频安防监控系统的视频流。生产网络存储本地数据保护方式使用存储同步镜像方式实现，保 证备份存储数据与主存储数据的完全一致性，当主存储系统出现故障 后，可以快速切换应用至备份存储系统并持续对外提供业务访问。存储设计指导原则如下： 按照数据重要性级别进行有效分类，区分块级、应用的需求 按需区分性能和容量，将投资回报率有效提高 存储系统包含多协议融合、分布式技术，可以按需提高性能 集中式企业级高端存储具有高可靠、高扩展、高性能、功耗低、尽全球新一轮科技革命和产业变革蓬勃兴起，制造业重新成为全球 经济竞争的焦点。世界主要发达国家采取了一系列重大举措推动制造 业转型升级，德国依托雄厚的自动化基础，推进工业4.0。美国在实施 先进制造战略的同时，大力发展工业互联网。与此同时，法、日、韩、 瑞典等国也纷纷推出制造业振兴计划。各国新型制造战略的核心都是 通过构建新型生产方式与发展模式，推动传统制造业转型升级，重塑 制造强国新优势。数字经济集团席卷全球，驱动传统产业加速变革。 互联网的发展极大地改变了人们的生活方式，构筑了全新的信息产业 体系，并且通过技术和模式创新不断渗透影响传统领域，为全球经济 增长注入新动力。随着数字经济与实体经济加速融合，互联网技术、 理念和模式将向更多的实体经济领域渗透，为传统产业变革带来巨大 机遇。伴随制造业变革与数字经济集团交汇融合，云计算、物联网、 大数据等信息技术与制造技术、工业知识的集成创新不断加剧，工业 互联网平台应运而生。量节省部署空间等产品特性，可以提供数十万1(5及99.9999%以上 的可靠性支撑，发生故障时更换配件尽量不降低性能、不需要停机进 行维护。同时，存储双活镜像技术实现数据的同步，当主存储系统出现 故障后，可以在极短的时间内将业务切换到备用存储系统并持续对外 提供业务访问。主存储中数据与备存储实时同步或根据链路可调整为 异步复制方式，RPO约等于0。海量存储面向云计算、大数据、视频监控应用等海量数据业务，支 持 NAS、Object. SAN 存储功能，融合 iSCSI、Infiniband 及 10Gb 万 兆主机接口，囊括了目前主流的存储网络架构及主机连接方式。支持 海量存储，在线横向扩展，控制器集群体系架构，所有控制器并行承担 数据10、保障系统整体负载均衡，数据分散存储，避免单控制器故障 带来的风险和性能的瓶颈，支持控制器在线横向扩展，满足持续增长 的容量和性能需求；模块化设计，人性管理，客户按需选择，维护、升 级、管理简单方便；绿色节能，全系统选取节能降耗的处理器、芯片 组、风扇和散热片等部件，提高系统的能效利用率；支持在线扩容/缩 减时数据自动迁移，确保系统按需配置，同时支持Maid磁盘节能技术, 降低磁盘能耗，节约开支；支持自动精简技术，大大提高存储资源利用 率。3.4 网络资源设计网络设计规划整个网络分为互联网环境、办公内网环境和生产网环境三大部分。 在办公网和核心生产网分别设置核心骨干三层交换机以太网交换设备, 办公网和互联网可以共用交换机，通过网络技术技术进行逻辑隔离。 具有万兆交换能力的三层以太网交换机，作为各子网络区域的统一接 入和数据交换处理，通过链路聚合提高网络资源利用率，实现网络负 载和链路冗余备份。各子网络区域内单独部署汇聚交换设备，与核心 交换机进行连接。图3-8网络整体架构3.4.1 网络安全设计依据国家等级保护的有关标准和规范，结合信息系统的建设目标, 为地铁建立一个完整的安全保障体系，有效保障其系统业务的正常开 展，保护敏感数据信息的安全，保证地铁行业信息系统的安全防护能 力达到信息安全技术信息系统安全等级保护基本要求中第三级的 相关技术和管理要求。安全域的划分是网络防护的基础，事实上每一个安全边界所包含 的区域都形成了一个安全域。这些区域具有不同的使命，具有不同的 功能，分域保护的框架为明确各个域的安全等级奠定了基础，保证了 信息流在交换过程中的安全性。在本项目中，将严格按照信息系统的重要性和网络使用的逻辑特 性划分安全域，根据地铁网络与信息系统各节点的网络结构、具体的 应用以及安全等级的需求，按照技术体系中网络安全规划，将地铁系 统划分为八个安全域。依据安全域划分原则，同一安全域拥有相同的安全等级和属性,互联网接入区域、核心交换安全域、对外服务器区域、内部服务器区域、远程接入区域、安全管理域、用户终端区域内部是相互信任的, 安全风险主要来自不同的安全域互访，需要加强安全域边界的安全防 护。区域之间依据业务及安全的需要配置安全策略，有效实现信息系 统合理安全域划分。远程接入区SSL VPN集群互联网接入域ISPISP链路负机均衡找负载均雳下一代防火埴下一代防火墙密负板均湎下一代防火墙上网拧为管理安全管理域Q一 全网态势感知内部服务器区域日 终端检测响 应日志审计 蓟,数据障审计下一代防灿t下一代防火墙核心交换域下一代防火墙用户终端域图3-9网络分区架构互联网接入区域：提供统一的对互联网威胁的防护能力，通过链 路负载均衡、下一代应用防火墙（包含入侵防御、防病毒网关等功能模 块）上网行为管理等设备进行网络边界的安全防护，提供外网用户对 网内数据访问的安全保障。对外服务器区域：是指对外网访问者提供服务的网站、WAP、短信 平台、微信、外部门户等系统，通过Web防火墙（包含网页防篡改模 块）和服务器负载对服务器的安全保护。安全管理域：网络安全管理安全域是指通过安全管理平台、日志 审计、运维审计、数据库审计等系统对全网进行安全管理的区域。核心交换安全域：核心交换安全域是指对全网进行提供数据交换 的核心区域，包括核心交换机及部分汇聚交换机。内网服务器区域：地铁内网服务器区域，包括信息系统所在的服 务器群，主要有财务管理、资产管理、施工管理、运输策划管理、票务 管理、运营日报管理、乘务司机管理等，同时包括系统所涉及的配套基 础，如数据库、存储等设备。跟进等级保护建设基本要求，对重要区域 进行划分和防护，如果服务器就直接接在核心交换机上，将会存在很 大的安全风险。内网终端区域：地铁网络中的各个终端区域，包括接入网络中的 PC和移动终端、笔记本等。另外，随着移动办公和无线热点的不断发 展，人们上网对无线的使用越来越多，所以对外无线网络的用户，也需 要进行隔离划分，并能进行审计和控制远程接入区域：随着互联网的不断发展，不断出现网络架构的调整 的，同时第三方协同办公、运维、移动办公的普及，数据的安全传输是 一个比较重要的问题，所以对于远程接入的部分重点进行划分，做数 据的加密传输，保障整个网络的安全性。3.5 云平台设计云计算平台由资源池、虚拟化平台、云管理平台组成。资源池部分 主要有物理设备组成，包括服务器，存储和网络等基础架构资源，通过 虚拟化平台对基础架构设备进行池化，从而形成资源池；虚拟化平台 就是将物理资源进行池化的软件组合；云计算管理平台就是对底层资 源池和虚拟化软件进行管理，并且，针对管理和运维需要，云计算管理 平台实现云计算服务的交付和云计算中心用户和流程的管理以及数据中心的监控。以Openstack为核心，构建开放融合安全的云产品竞争力行业云行业云1CMA : InCloud ManaqeAII (数据中心级运营、运维服务平台)云安全SSA SSR SDPSSCfoQManagerlog网asm痴由Core (椀小季台)Extensions '软件定义网络CS/ySRjjgjKVM/ InOgudStorageAQ/NSX/OVSSSR-v/SSR-h/ykBX8班另务器/P owe小VIi知器/交岗匚安全没备图3-10云平台整体架构InCloud OpenStack是集团的云资源管理平台，设计实现上遵循 以下原则：(1)基于主流开源方案，保持各组件解耦及实现对于厂商的弱依 赖，可提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平 台。OpenStack通过各种互补的服务提供基础设施即服务(laaS)的解 决方案，每个服务提供API以进行集成。(2)综合分布式存储和集中式商业存储，满足容量和性能的需求。(3)支持基于大二层网络的分布式组网，结合SDN技术，实现资 源跨区域共享和自动化管理。通过VxLAN构建跨多数据中心的虚拟化 网络。首先通过跨站点的大二层网络打通，构建多租户的云计算服务 环境，并提供方便的数据复制、同步的网络基础服务，满足对旧的数据 中心无缝升级改造以及基于虚拟机层面构建多节点数据中心的需求。(4)通过网络隔离，实现不同租户不同