麒麟信安“一云多芯”国产化云,是湖南麒麟信安科技股份有限公司(简称“麒麟信安”)基于其多年来在云计算、国产操作系统、网络安全保密等领域的技术成果和项目经验积累,围绕当前信息系统国产自主可控建设进程,定制打造的一套全面国产自主可控、运用场景多元化、安全可靠、扩展能力强的云整体解决方案。该解决方案主要致力于为各级单位构建共享共用的国产化云服务体系,可广泛运用于安全办公、职业教育、和其他各类业务系统等业务场景,为各单位构筑共享共用或者专用的私有“云基座”。目前已形成并落地建设了全国产化办公云、职业教育云、训管大数据云、模训云等多个军事领域项目案例。
二、方案架构
麒麟信安“一云多芯”国产化云解决方案,采用云桌面作为其技术架构,以麒麟信安操作系统为国产化根基,以“融合虚拟化”、“一云多芯,异构统管”、“信息安全”等为核心技术,致力于整合鲲鹏、飞腾、龙芯等多款自主CPU计算平台,聚焦在云上构建异构算力集群,实现软件和硬件、云和端的全面自主化落地,面向用户提供统一、可集中管理控制、多样化自主桌面操作系统的桌面虚拟机、服务器虚拟机,面向应用服务构建“国产操作系统+云计算+安全+应用”多元综合化云解决方案。该方案围绕信息系统国产化需求,为“云+端”软硬件系统国产化演进路线提供多种选择,有效衔接自主化前、后两个阶段的桌面使用,可有效解决国产化推进过程中所面临应用软件迁移、海量外设再利用等问题,实现用户端自主化和轻量化,助力推进信息系统全面云化转型。
图2-1麒麟信安“一云多芯”国产化云解决方案技术架构
三、应用场景
麒麟信安“一云多芯”国产化云解决方案,以全球信息产业正全面迈入云时代、国家信息技术应用创新架构“云”转型是大势所趋为背景,可以为用户解决信创推进过程中面临的应用生态过渡难题、部分商业/业务领域windows软件应用迁移难、两台电脑困境、打印机等海量外设资源因驱动原因难继续使用、运维管理难效率低等问题和挑战,可以应用在国防、党政、能源、电力等行业领域,助力推进关键行业领域信息创新应用落地和云化转型。
(一)国产化安全办公云
在信息系统国产化进程与IT信息产业界云化转型交汇融合发展的背景下,麒麟信安“一云多芯”国产化云解决方案为办公系统国产化建设提供了一种技术架构先进、安全可靠、统一集中运维管理的云计算解决方案,助力办公系统云化转型发展。
该解决方案能够在服务端、用户端终端侧,横向兼容支持鲲鹏、龙芯、飞腾、海光等多个自主CPU平台,纵向贯通集成CPU、操作系统、支撑软件、安全软件和应用软件,实现了X86架构与国产CPU的混合部署能力,并支持对不同类型CPU平台及国产操作系统实现了统一管理。通过整合飞腾、申威等多款国产CPU算力,部署和运行于服务器硬件上,构建集服务器虚拟化、桌面虚拟化、应用虚拟化功能于一体、共享共用的云服务平台。该方案的“三V一体”融合虚拟化核心技术,实现了对服务器端和用户端的有效融合,异构统管,能够助力用户单位在政策要求的时间节点完成国产化率建设目标,实现国产化进程与云计算融合发展,缓解国产化应用生态与仍占据主流的Windows/X86应用生态平滑衔接。该解决方案还与新一代保密管理系统完成了集成融合,并已在项目中得到实践验证和检验,符合安全保密建设标准要求。
该解决方案的核心产品通过信息安全测评认证中心认证,获得安全产品级证书。该产品能够有效应对以往面临的多重网络安全风险问题,包括:终端分散不易管理、数据流转不受控、违规联网事件难以杜绝、网内应用程序难监管、管理安全不可控等。在安全检查中,多次通过四级安全保密检测。
(二)模训云
可广泛应用于模拟演习训练设施、仿真训练、职业教育等军事场景。顺应信息系统云计算转型趋势,遵循自主可控发展要求,以麒麟信安操作系统为自主可控“根”、麒麟信安云为“魂”、麒麟信安保密管理系统为“盾”,为多类训练场景构建“安全可控、融合部署、弹性敏捷、前端轻载”的训练云,满足系统快速开设部署、演训场景灵活切换、3D态势高清多屏展现、高效智能运维、自主可控程度高等使用需求。麒麟信安“模训云”平台以“融合虚拟化”和“一云多芯”为核心技术特征,基于国产麒麟信安操作系统部署和运行,整合自主可控服务器、终端、交换机、存储等硬件资源,通过一朵云构建全面覆盖服务端、用户端的云服务体系,提供服务器虚拟化、桌面虚拟化服务功能,全面支持飞腾、鲲鹏、申威、龙芯等CPU架构,支持为用户、应用系统推送自主名录内全部操作系统,充分发挥“一虚多”云计算效能。在应用层面已与一体化指挥平台系统、训练数据应用支撑平台、云仿真试验训练系统完成集成应用,并在众多相关单位落地建设。
(三)职业教育云
在线学习室作为职业教育的重要建设内容,是开展全员全域全时泛在学习的基础条件保障。麒麟信安“一云多芯”国产化云以云桌面技术为核心,依托麒麟信安超融合一体机和麒麟信安云终端,融合VDI和IDV两种技术路线优势,深度集成多媒体教学、学考监控、数据管理、内容分发和电子图书馆等系统,通过系统管理平台达成对各类终端的综合统一管理。系统可根据应用场景灵活配置、动态扩展,满足职业教育“全员全域全时”使用要求,实现了智能化管理、高效化运维。可全面替代传统PC方案,彻底改变了传统终端建设、使用和管理模式。具备开箱即用、上线“零”周期、无缝横向拓展的能力,具有性价比高、部署快速、安全自主、稳定可靠等特点。该方案已全面兼容适配X86和飞腾、鲲鹏、海光、龙芯等国产CPU架构,能够为职业教育应用场景提供功能全面、交付快捷的云计算解决方案。具有便捷运维管理、学习个性化桌面、考试绿色桌面、安全保密软件兼容能力强、支持学办练一体化、国产化演进支持能力强等诸多优势,目前已经在多个相关项目中得到落地应用。
四、应用价值
(一)国产化程度高
异构融合架构能为全国产化演进提供技术支撑。该解决方案目前已经实现了底层硬件、基础软件、应用和安全保密系统的全面国产化,已在安全办公领域得到落地应用。在各建设单位仍以Windows/X86为主要生态、全国产化难以一蹴而就的情况下,该方案通过国产操作系统实现了底层自主硬件与软件系统的结合,采用云计算架构解耦了上层应用与硬件平台之间的绑定关系,可实现X86和Non-X86混合部署、生态应用异构共存,满足国产化推进过程中的应用需求;与此同时,采取“此消彼长”策略,逐步增加国产化资源配置、缩减Windows/X86资源,按既定时间节点向预期国产化目标持续演进。
(二)超融合架构
采用超融合基础架构,利于平滑扩容和集中管理,支持在同一套单元设备中不仅具备计算、网络、存储和服务器虚拟化等资源和技术,而且还包括缓存加速、备份、快照、迁移技术等元素, 支持多个节点可以通过网络聚合起来,实现模块化的无缝横向扩展(scale-out),形成统一的资源池,解决了传统架构应用扩展困难、管理困难、高可靠需高投入等问题。
(三)多维度安全保障
采用分层式安全设计,层与层之间设计相应的安全措施。云底座基于麒麟信安云操作系统定制,通过操作系统底层的自定义加固策略,如root登入、密码错误锁定、操作审计等保证系统底层的安全性。通过虚拟化技术保证虚拟机之间的计算、存储、网络之间的安全隔离,支持对管理平台操作及虚拟机访问的安全审计,同时支持对管理平台的基于策略的访问控制。在数据的安全性上,引入了虚拟机数据备份和恢复、虚拟机快照及恢复技术,另外支持存储数据的多副本冗余技术,保证数据的安全性。
(四)精简轻量
服务器虚拟化组件集成硬件、操作系统和软件于一体,利于建设和运维管理,管理员通过图形化快速搭建虚拟化系统。相对于公有云大云功能繁多、操作复杂、运营困难、所需集群规模庞大而言,麒麟信安云专注于用户核心需求,将核心功能提炼,并简化用户的运营成本,易于用户维护,起步成本低。
(五)高可靠冗余设计
该解决方案在架构设计上采用了高可用的分布式架构,可积木式横向扩展集群节点,稳定性高;管理平台做到主备冗余,保证管理层无单点故障;在计算集群维度增加了高可用的设计架构,引入虚拟机的热迁移技术、快照技术,在多层次上保证平台的稳定性、数据安全性;同时,可为用户数据提供更高要求的存储及容灾方案。