海云捷迅贡献了一条统一、协同、敏捷的高速云公路

业务需求

某公司在交通行业率先使用公有云部署各类应用，打造行业标杆。目前云建设已初见成效，数字化转型成果得到了各界的高度认可。但是随着数字化转型进入到攻坚深水区，公司在取得智慧交通发展和数字化转型阶段成果的同时，逐渐发现当前模式已无法完全满足外部政策和内部发展要求，具体体现在：一、全面落实“党管数据”，二、逐步探索“混合云”模式，三、打造自主可控的专属“行业云”。通过建设高速云平台，管理所有基础设施资源、网络资源、数据资源，从而全面打通公有云和企业资源之间业务数据和资源相互流动渠道，确保“高速云”建设完成后可以为企业各类信息化建设需求提供全栈式的云计算服务。

解决方案

高速云平台建设是整个“车联网先导应用环境构建及场景测试验证平台建设项目”的一部分，建设支撑上层业务的区域云平台，是实现整个“车联网”项目车路云协同的关键节点。

图｜高速云总体设计架构图

车联网先导应用环境构建及场景测试验证平台建设项目云平台整体架构分为 IaaS 基础架构层、PaaS 平台服务层两个逻辑层次，如上图所示。基础设施层包含计算资源池、存储资源池和网络资源池，PaaS支撑层包含容器服务、数据库平台、中间件服务、人工智能平台和大数据分析，SaaS业务应用层是各种管控服务应用系统。本项目主要实现整体架构中红框部分，包含整个IaaS层和部分PaaS层功能。

IaaS 层服务按需提供包括计算、存储、网络和其它基本的底层资源，为前端应用的部署与运行提供基本信息资源支撑。通过 IaaS 层平台，项目中的业务无需管理或控制任何云计算基础设施，包括网络、服务器、操作系统、存储等。

PaaS 层服务对外提供应用运行和开发环境，核心作用是使得上层应用及业务更敏捷、项目 IT服务水平更高、资源利用率更高，PaaS 层服务平台可以加快本项目中 SaaS 应用的开发速度。

图｜高速云总体逻辑架构

• 云管理平台

云管理平台为用户提供虚拟机、网络、防火墙、PaaS服务等平台管理相关功能。

• 业务区

业务区为业务提供虚拟机、容器平台、镜像仓库、数据库、消息对接等服务，用户的核心业务部署在该区域内。

• 数据存储区

数据存储区主要为云管理平台提供块存储和对象存储服务。

• 安全管理区

安全管理区域主要用于对网络流量、网络设备、服务器、安全设备所产生的网络安全信息、原始数据信息进行收集、管理、分析和处理，对网络安全管理和运维工作提供技术支撑。

• 核心区

核心区内拥有物理核心交换机，启用三层功能为内外部数据流量交换提供支撑。

• 运维管理区

运维管理区提供办公终端和堡垒机供远程接入进行运维管理等操作。

• 云安全资源池

云安全资源池为不同VPC之间的网络提供访问策略，阻止未经授权的访问；主要部署和管理设备包括IDS、漏洞扫描、数据库审计、日志审计、流量侦测分析系统、态势感知系统、抗DDOS攻击系统。

• DMZ区

DMZ区是为了解决在防火墙阻断下外部网络不能访问数据中心内部服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于数据中心公共服务和外部互联网之间的小网络区域内，在这个小网络区域内部署的一些必须公开的服务器设施，通过这样一个DMZ区域，更加有效地保护了内部网络。

业务区在互联网数据交互通信加解密所使用的签名验签服务器、加密机设备部署在DMZ区。通过公共服务的业务服务器对外部发布的WEB等应用服务部署在DMZ区，供外部用户访问。

• 互联网接入区

互联网接入区主要由链路与全局负载均衡、出口路由器、出口防火墙、IPS等设备组成。

链路负载均衡设备放在核心业务出口区最前端，部署在外部线路与分光器之间，主要作用是对互联网线路进行选路，解决网络环境中流量分担的问题，充分提高多链路的带宽利用率；并且通过为用户分配最佳的通信线路，使用户获得绝佳的访问体验。分光器和分流器组合部署。

出口路由器负责业务平台面向内部的核心业务与互联网的互联互通和路由功能。出口防火墙设备提供整体的出口融合安全防护。IPS直连防火墙，分析应用层流量和内容，具备漏洞攻击防护能力。

图｜AWCloud部署架构图

通过AWCloud云计算管理平台统一入口，实现IaaS、PaaS、SaaS全栈云解决方案，通过CMP实现多个云平台统一管控功能，帮助企业在一个平台实现多云细粒度管理。通过AWCloud附加安全管理模块，实现云与数据中心安全设施集成，帮助企业在一个平台实现基础资源、业务数据、安全资源的统一管理。

客户收益

结合业界众多成熟技术和实践经验制定AWCloud云计算全栈解决方案，通过松耦合、模块化方式将多个组件进行整合，体现了平台设计的先进性、开放性、兼容性、可扩展性、可靠性、可用性、可管理性等优势。做到了数据互通、资源共享，形成更大的合力，为未来的数字化发展提供强大动力。