1、面向AIGC的数智广电新质生产力构建白皮书长江云“云智一体”专有云平台建设及IPTV业务快速上云实践2024前言近年来,AI 技术对广电科技创新产生着深远的影响,推动了广电内容生产创新、用户体验优化、智慧广电建设和商业模式创新等多个方面的发展。湖北长江云新媒体集团以湖北广电传媒新基地建设为契机,通过规划云智一体的专有云平台来构建一个更完善的 IT 技术架构,并创新提出了“四步走”实施路径:第一步 云智融合 一体规划:结合“云”的弹性与灵活以及“智”的融合与创新,基于全国产化硬件和软件构建长江云“云智一体”专有云平台,在保障基础硬件、基础软件、应用软件、网络和信息安全领域全面自主可控的同时,以人
2、工智能为引擎,为各业务场景提供全面的 AI 算子服务能力,提供集约化管理、高效率生产、统筹化升级等多方面的价值,加速长江云智能化战略落地;第二步 快速上云 高效迁移:面对 IPTV 自身业务以及关联软件、接口依赖的高复杂度,在 3 个月内实现了 30 多个 IPTV核心应用的“0”改造和不中断业务迁移上云,主要涉及网络组网“0”改造,IP 地址“0”改造,防火墙安全策略“0”改造等,相当于“开着飞机换引擎”,在保证业务连续性的同时更换了底层运行平台,在大规模核心业务迁移效率方面处于业界先进水平;第三步 数智并进 产品创新:基于长江云“云智一体”专有云平台充沛的 IaaS 算力和易用的 PaaS
3、 产品,逐步完善 AI 中台和数据中台的技术调优并实现 AIGC 相关工具的高效自主研发,打造长江云极致性价比的异构算力和高效的 AI 开发运行能力,不仅可以实现更高效的数据处理和分析能力,还能提供更为精准、智能的决策支持,加速集团“上云”、“用数”到“赋智”转型;第四步 聚焦场景 产业融合:面向媒体、政府、文旅、教育和健康等多个垂直领域拓展新场景和新应用的深度融合研发,充分发挥云平台的“数智价值”,深入产业,聚焦场景,通过打造跨行业的标杆应用,助力集团业务实现破圈发展,不仅在传统领域巩固地位,更在新兴领域中拓展市场份额,为集团的长期发展奠定坚实基础。长江云“云智一体”专有云平台建设不仅可以支
4、撑长江云数字化和智能化战略更好落地和新质生产力的高质量发展,同时为广电单位平台上云提供可复制、可推广的技术方案和典型案例,从而持续推动 AI 技术在广电行业的应用与发展。目录CONTENTSAIGC浪潮下的广电行业01长江云的智能化战略06122.1 智能化战略四个阶段2.2 智能化战略落地策略02前期-战略规划3.1 规划阶段 3.2 选型阶段03中期-设计和验证4.1 设计阶段4.2 验证阶段144304070304后期-云平台运维和应用开发 485253566105项目管理6.1 制定项目计划 6.2 项目实施和质量管理6.3 风险管理6667690608附录未来展望075.2 云平台运
5、营5.3 智能运维5.4 基于云平台的AIGC应用5.5 基于云平台的行业应用5.1 云平台运维AIGC浪潮下的广电行业0101 AIGC 浪潮下的广电行业0101 AIGC 浪潮下的广电行业近年来,AIGC(Artificial Intelligence Generated Content,人工智能生成内容)技术发展突飞猛进,已经实现了从实验室 DEMO 到商用的跨越。从文生文、文生图,到文生视频、图生视频和视频生视频,这些炫酷的技术除了吸引眼球,还创造了巨大的市场和商业想象空间。如何能抓住这一波技术浪潮,将新技术应用到现有的行业中让企业产生新的增长动能,是企业家和经理人需要重点思考的战略问
6、题。将 AIGC 技术落地到垂直行业并在行业中生根、发芽和结果并不是一件一蹴而就的事,需要在数据、算力、模型和市场需求的理解等多个层面都有深厚的储备和积累才能打造出受市场和客户欢迎的AIGC 应用。市场数据模型算力图 1.AIGC 应用成功要素综合来看,广电行业在 AIGC 应用落地和商业化闭环的一头一尾具备先天优势。首先,广电行业是以内容为核心的行业,具备海量的有版权的音视频数据,而高质量的数据是落地 AIGC 战略的基础与核心,从这个角度看广电行业在数据资产层面具备明显的竞争优势;此外,广电行业有海量的终端用户包括大量的 C 端客户群和 B 端行业客群,构建出 AIGC 应用后,可以在存量
7、客群中应用来提升客单价或开拓新的客户提升营收,因此,在市场和客户层面,广电行业已经积累了足够的势能和优势。另一方面,在 GPU 算力和大模型方面,广电行业自身的优势还不明显。在算力方面,广电行业除了已储备的算力资源不是太充分外,还面临现有云平台技术架构不够先进的现状。由于 AIGC 类应用对算力消耗较大,尤其是高分辨率视频模型的训练和推理算力消耗巨大,面向传统应用架构的云平台已经无法承载 AIGC 类的应用;在模型方面,当前业界已有比较成熟的基础模型。大模型的一个特点是具备微调和迭代训练的能力,基于广电的海量数据构建广电行业大模型在技术层面是可行的。整体上看,广电行业在算力和模型层面的短板并不
8、是卡脖子的问题,算力和模型层面的能力可以通过引入业界优秀合作伙伴来解决。长江云的智能化战略0202 长江云的智能化战略0302 长江云的智能化战略智能化战略是湖北长江云新媒体集团(简称“长江云”)的关键战略,通过积极拥抱和利用 AIGC 技术来实现长江云的新发展和新突破。长江云的优势是拥有海量有版权的音视频数据和对行业和市场的深刻理解,短板是现有的数据中心无法高效支撑 AIGC 类应用的训练和推理,包括底层算力资源储备和上层行业模型构建。为了补齐以上短板,集团制定了新建云平台的关键规划。为实现资源集约和充分利用的目的,新建云平台需要充分利旧老数据中心的服务器与网络安全等硬件设备,不仅要承接集团
9、的智能化战略,还需要将老数据中心的应用全部迁移到新云平台上。2.1 智能化战略四个阶段 长江云将智能化战略分为四个阶段,分别是云平台的选型和部署,IPTV应用迁移,基于云平台构建基础AIGC应用,以及面向媒体、政务、文旅、教育等立体化场景的深度融合开发,发挥云平台的优势价值。阶段周期搭建面向AIGC应用的云平台6个月3个月持续0改造迁移传统应用到云平台新云平台上构建基础AIGC应用面向垂直行业场景构建AIGC应用阶段一阶段二阶段三阶段四图 2.智能化战略落地策略建设面向 AIGC 应用的新云平台新云平台是云智一体的平台,结合了“云”的弹性与灵活以及“智”的融合和创新,以云计算为基础,支撑长江云
10、数字化战略,以人工智能为引擎,加速长江云智能化战略落地。长江云建设的云智一体专有云平台不仅适合跑 AI 应用,而且自身也具备原生大模型和 AI 中台能力。另外,云平台的底座基于全国产化硬件和软件构建,满足关键设施在基础硬件、基础软件、应用软件、网络和信息安全领域的全面自主可控的要求,保障核心数字产业持续稳定的发展和信息安全。整体上,长江云通过规划云智一体的专有云平台来构建一个更完善的 IT 技术架构,支撑集团数字化和智能化战略更好的落地和业务更高质量的发展。迁移核心 IPTV 应用IPTV 业务是长江云的核心业务,也是集团营收的重要来源,其重要性不言而喻。迁移过程中要求业务持续对外提供服务,不
11、能中断或出问题。迁移的时间也有硬性要求,不能超过三个月。熟悉 IPTV 业务的专家都清楚,满足这两点要求的技术04难度巨大,普通的“割接”方案是无法满足 3 个月内业务不中断上云的要求的。一方面是因为 IPTV 应用程序自身的复杂度很高,涉及很多周边软件和接口的依赖;另外一方面是因为 IPTV 应用还涉及和外部运营商和生态伙伴的交互。在这种背景下做 IPTV 核心应用不中断业务上云是十分有挑战的工作。对此,长江云采取的策略是让 30 多个应用在网络层面和软件层面不做任何改造,将应用零改动平移上云。最终实现了 30 多个 IPTV 核心应用在三个月时间内完成了“0”改造和不中断业务迁移上云,这是
12、特别有亮点的工程和技术实践,相当于是开着飞机换引擎。在保证业务连续性的同时更换了底层运行的平台,而且工程效率很高,在大规模核心业务迁移效率方面处于业界先进水平。构建基础 AIGC 应用当前长江云已经进入智能化战略的第三个阶段,即基于云智一体和自主可控的云平台构建自己的 AIGC 基础应用。长江云通过云平台 AI 中台的智能拆条、智能内容审核、媒体内容分析和多模态媒资检索能力和云平台数据中台“采、存、管、用”一体化技术构建广电行业的基础应用,提升了内容智能化生产、内容安全智能审核、多模态检索和 IPTV 智能化内容推荐等核心业务领域的生产效率。构建面向垂直场景的 AIGC 应用未来,长江云可以基
13、于云平台充沛的 IaaS 算力和易用的 PaaS 产品,以及完善的 AI 中台和数据中台工具,高效率的构建面向媒体、政府、文旅、教育和健康等多个垂直领域的应用。充分发挥云平台的优势与价值,助力集团业务的快速发展。长江云云智一体专有云平台不仅实现了广电行业 IPTV 核心应用的全面上云,而且还构建了自主可控的云智一体云平台,是广电行业数字化和智能化战略落地的先行者。本白皮书将详细介绍长江云在智能化战略下的云智一体专有云平台建设和 IPTV 应用“0”改造迁移上云的实践经验,期望为广电行业的兄弟单位提供参考。02 长江云的智能化战略05图 3.云平台建设策略实施和验收阶段云上运维和应用开发前期中期
14、后期战略规划阶段评估和选型阶段设计和验证阶段应用维度实施迁移方案建立新云平台可观测指标需求和痛点分析供应商的技术和方案满足度评估云平台应用部署架构设计应用维度验收迁移方案新云平台运维流程和标准建设投资收益分析供应商的商务满足度评估平滑迁移到新云平台迁移方案设计老平台资源释放AIGC应用开发项目立项并启动云化战略确定供应商迁移方案可行性验证2.2 智能化战略落地策略 要承接上层的智能化战略,底层的基础设施和云平台要足够的先进和智能。云平台需要具备构建 AIGC 应用的能力,要适合跑 AIGC 应用,同时云平台自身也必须是智能化和可演进、可发展的。云平台除了要面向未来,还要能够脚踏实地的承接和运行
15、已有的传统应用。其中难点在于业务的“0”改造和不中断。长江云的传统数据中心承载了广电行业核心应用 IPTV 播控平台。IPTV 播控平台是长江云的重要生产工具,有 30 多套业务系统,传统数据中心的业务运行在 VMware 平台上。将这 30 多个核心业务在三个月的时间内以系统“0”改造,业务零中断的方式迁移到新建云平台是一件十分有挑战的复杂工程。长江云将核心工作详细拆解和梳理,按时间线分解为前期(战略规划和评估选型),中期(方案设计和实施),后期(AIGC 应用开发),并制订了详细的工作和任务流程。03 项目前期0703 项目前期3.1 规划阶段传统应用的数字化和智能化转型是众多企业提升生产
16、效率的一个清晰明确的战略,在国家的战略规划层面也有具体的指导和要求。中共中央办公厅国务院办公厅在 2022 年印发了关于推进实施国家文化数字化战略的意见(下称意见),意见明确,到“十四五”时期末,基本建成文化数字化基础设施和服务平台,形成线上线下融合互动、立体覆盖的文化服务供给体系。意见将“文化数字化”上升到国家战略高度,并提到广电行业要夯实文化数字化基础设施建设。广电总局也对广电行业的创新和智慧化发展给出了指导意见。在广电总局印发的关于促进智慧广电发展的指导意见中,明确提出要以深化广播电视与新一代信息技术融合创新为重点,推动广播电视从数字化、网络化向智慧化发展,从功能业务型向创新服务型转变。
17、近年来,AI 技术对广电科技创新产生着深远的影响,推动了广电内容生产创新、用户体验优化、智慧广电建设和商业模式创新等多个方面的发展。近日,中央广播电视总台、上海广播电视台、成都市广播电视台纷纷举行人工智能工作室揭牌仪式,持续推动AI技术在广电领域的应用与发展。基于国家层面战略指导和集团公司的规划以及行业发展趋势,长江云明确了面向未来的智能化战略。智能化战略规划阶段的核心输入是集团和公司的战略、需求痛点分析和投资收益分析。输入输出战略规划阶段需求和痛点分析业务和需求分析投资收益分析项目立项申请报告项目可行性报告项目预算金额对供应商的技术和方案需求项目规划方案图 4.规划阶段的输入和输出实施智能化
18、战略和打造 AIGC 应用的第一步是推进云平台的建设,并完成传统应用云化和智能化改造。除了明确对新云平台的技术要求外,还需要对当前老数据中心业务做详细梳理,以便完成传统数据中心应用到云平台的迁移。公司技术负责人在该阶段启动了当前业务应用系统的现状的详细分析,梳理应用间的依赖和调用关系,应用和外部生态伙伴的调用关系,并统计和量化应用对底层硬件资源的详细需求。该阶段完成后,核心输出是项目立项申请报告、项目规划方案和项目可行性报告,产出项目的整体投资预算以及对供应商的具体的技术和方案需求。3.1.1 现有 IPTV 业务架构梳理长江云现有 IPTV 播控平台中包含 30 余套业务子系统,上下游链路多
19、,业务依赖关系和接口调用逻辑复杂。08CP/SPFTP各地市电视台和CP直播系统媒资中心长江云APP运营商(电信、联通、移动)CDN机顶盒开机广告平台EPG服务AAA服务CDN播控NAS内容汇聚平台内容汇聚平台3A智能推荐数据中台注入请求【C2】手动上传媒资直播收录补齐媒资信息二次认证与鉴权C2推荐数据订购数据同步注入请求【C2】C2注入视频素材拉取媒资反馈注入成功反馈拉取成功分发请求【C2】拉取媒资流媒体服务广告下发C1图 5.IPTV 业务架构图IPTV 业务是广电行业最重要的业务之一,也是公司营业收入的重要来源。长江云作为湖北 IPTV 集成播控分平台运营方,负责将中央集成播控总平台传来
20、的节目信号与源自本省的节目信号集成在一起,规范地接入到本省 IPTV 传输系统,再由作为 IPTV 传输系统运营方的湖北地区电信运营商将 IPTV 节目信号传输给终端用户。IPTV 集成播控分平台与全国优质内容平台之间建立北向的内容导入接口,并通过专网分发给 IPTV 终端用户。湖北 IPTV 集成播控分平台通过 C 系列接口向分发系统分发内容、产品、EPG(Electronic Program Guide)信息,并收集分发系统的运营数据。C 系列接口为 IPTV 播控平台的标准接口,C 系列接口包含有 C1、C2、C3 三个接口。C1 接口C1 接口是指播控总平台和省播控分平台之间、省播控分
21、平台和分发系统之间的 EPG 模板管理接口。EPG 模板为 EPG 菜单呈现方式的单个或多个文件的文件组,包含有 HTML 文件和必须的图像文件。EPG 服务器通常部署在省市分平台,为了实现对 EPG 管理,播控平台制作好 EPG 模板后,把 EPG 模板的文件或压缩包放置在播控平台的管理服务器上,通过 C1 接口分发给集成播控分平台的 EPG 服务器或分发系统侧的 EPG 服务器,替换旧 EPG 模板文件,从而完成 EPG 模板的下发和管理。03 项目前期09图 6.C1 接口EPG制作、管理 CI接口EPG服务器播控平台分发系统C2 接口C2 接口是播控分平台与 CDN 分发系统间的内容、
22、分类、内容包的分发接口。播控分平台向 CDN 分发系统分发内容、内容编排、内容打包、产品定价等信息。图 7.C2 接口内容管理平台C2接口CDN平台播控分平台分发系统C3 接口C3 接口主要作用为内容运营管理,统计分析用户订购记录、观看记录、浏览记录、开机记录等。图 8.C3 接口观看数据订购数据用户数据内容运营管理C3接口业务运行管理播控分平台分发系统103.1.2 网络架构整体规划整个网络分为网络出口域、业务核心域、办公域。网络出口域包含与外部网络的互联链路,保证数据中心资源池内部网络高速访问外部网络,主要包括公网业务区、专网业务发布区、上游信源等出口对接,承载不同用户的业务访问。业务核心
23、域采用双核心调度路由器架构,用于调度融合直播平台、融媒生产云平台、专网发布、信源接收、办公运维等区域互联互通业务。办公域采用汇聚层和接入层两层网络架构,用于办公人员访问公网和使用云平台提供的云服务。图 9.云平台网络架构业务专网传统数据中心IDC其他可用区和Region业务资源区云平台功能区NFV网关区运维管理区第三方硬件网关区专网接入区公网接入区骨干接入区混合云接入区RDMA核心交换区核心交换区办公区公网分光器GPU节点安全设备CPU节点3.1.3 安全架构整体规划网络安全建设方案按照等保三级和关键信息基础设施安全保护条例的要求进行设计,遵循分级分域的原则进行网络区域的划分。整体分为三个主要
24、区,分别为网络出口区、业务核心区、办公区。1103 项目前期网络出口区网络出口区细分为运营商区、内容提供方区和公网区。运营商区主要覆盖融合直播平台与运营商之间的网络链路。运营商区的边界使用高性能的融合直播边界防火墙来进行隔离。防火墙具备 7 层防护功能。内容提供方区主要覆盖融合直播平台与内容提供方之间的网络链路。内容提供方区的边界使用高性能信源边界防火墙进行隔离,防火墙具备 7 层防护功能。公网区主要覆盖办公终端和服务器公网业务的出口链路。公网域的边界使用公网出口防火墙进行隔离,防火墙具备 7 层防护功能。业务核心区业务核心区细分为播出区、生产区。播出区主要由直播相关的专业设备组成。生产区承载
25、融合直播相关的业务系统,整体采用云平台的架构。云平台满足等保三级、国密的要求,使用云原生安全保障云平台网络安全。云原生安全主要包括东西向防火墙、主机安全防护、态势感知、日志审计、数据库审计、漏洞扫描、堡垒机等。云平台根据业务系统的等保级别采用不同的安全防护等级。核心生产区部署等保三级的业务系统,普通生产区部署等保二级的业务系统。除生产区外,云平台内通过 VPC 划分出逻辑 DMZ 区和研发区。办公区办公区主要包含运维、编辑、普通办公三类人员的办公终端。普通办公人员只需要访问互联网,运维和编辑人员均需要访问互联网和业务内网。首先通过安全准入设备验证接入终端的身份,然后分配对应的网络访问权限。通过
26、文件摆渡设备保障办公区文件安全传输。云平台及网络安全运维人员的终端配置国密浏览器和国密设施配套的智能密码钥匙。3.1.4 数据安全管理整体规划数据安全管理以数据为中心,以风险为导向,遵守数据安全法和网络安全法等法律法规,确保在推动业务发展的同时,也能充分保护数据的安全和合规的使用。确保数据来源合法如果数据涉及个人或企业的敏感信息,应确保已获得相关主体的明确同意,并遵守隐私保护和数据保护的相关法律法规。数据分类分级 根据数据的性质、重要性和敏感程度对数据进行分类和分级。并制定适当的安全措施和访问控制,以确保数据的安全性和合规性。12 基于数据的来源、内容、监管要求等因素进行分类,根据数据的价值、
27、敏感程度、司法影响范围等标准来进行分级。重要数据识别和记录 识别出对决策或分析具有重要意义的数据,这些数据通常具有较高的重要性和敏感性。建立详细的数据记录,包括数据的来源、采集方式、采集频率、原始数据来源及精确程度等信息,便于追溯数据的来源和验证数据的准确性。建立稳定的数据存储系统 建立稳定可靠的数据存储系统,确保数据的一致性和完整性。采用适当的安全措施,如加密、访问控制、数据备份和恢复等,以保护数据免受未经授权的访问、篡改或破坏。定期对数据存储系统进行安全审计和监控,及时发现和解决潜在的安全风险。确保数据存储系统具有良好的扩展性和灵活性,以适应数据规模和流量的不断增长。遵守合规性和监管要求
28、遵守相关法律法规和监管要求,包括数据保护法、隐私政策等。确保数据的收集、存储和使用符合法律的规定和目的。与第三方服务提供商合作时,应要求其遵守相同的数据安全和隐私保护标准。3.1.5 对供应商的技术要求基于已有的应用和业务架构,长江云总结出了每个产品方向对供应商的技术要求,作为供应商选型阶段的重要输入。对网络产品的技术要求 网络采用软件 SDN 架构,底层物理网络和上层云网络无强耦合关系。具备 VPC、专线网关、二层网关、负载均衡、NAT 网关、组播网关、高可用虚拟 IP 和 IPv6 等产品能力。其中,负载均衡支持 FTP 和组播是 IPTV 上云所需的关键产品能力,二层网关是 IP 地址不
29、变迁移上云的关键产品。对计算产品的技术要求 采用一云多芯架构,云底座基于国产化芯片构建。计算资源池支持 x86、ARM 架构,包括但不限于 Intel x86、海光c86 和鲲鹏 ARM。支持裸金属和虚机形态和 GPU 类型的计算产品。支持镜像和快照,具备自定义镜像产品能力。1303 项目前期对存储产品的技术要求 支持分布式纠删码或多副本冗余架构。提供块存储、对象存储、文件存储和并行文件存储产品。对数据库产品的技术要求 基于集群架构并具备完善的高可用能力。提供 MySQL、Redis 云数据库和数据库管理工具。对云安全产品的技术要求 提供成熟的云安全管理平台和具备技术前瞻性的安全架构,覆盖云平
30、台安全、云租户安全、安全运维和安全运营等主要场景。提供东西向防火墙、主机安全防护、数据库审计、漏洞扫描、日志审计、态势感知和堡垒机产品。对 AI 中台的技术要求 提供包括视频、语音、图像和 NLP 等方面的 AI 算子能力。通过开放平台门户提供自助式的 AI 服务接入能力,提供高效和便捷的 AI 中台服务。对数据中台的技术要求基于湖仓一体架构提供包括数据采集,数据集成,数据治理,数据分析和数据可视化等完整的产品能力。3.2 选型阶段选型阶段要根据规划阶段对供应商的技术和方案需求进行 POC 测试。POC 测试的过程中除了基础的功能测试外,还需要对供应商提供的整体的迁移方案的进行测试,以及对性能
31、规格和稳定性进行测试。1504 项目中期04 项目中期中期主要工作是方案设计和迁移实施与验证。首先要设计云平台的应用部署架构,然后设计将老数据中心的应用平滑无损的迁移到新云平台上的迁移方案,并在已部署的平台上验证应用迁移方案的可行性。在迁移方案可行性验证完成的基础上将应用逐步实施迁移,并对迁移完成后的应用系统做评估和验收。4.1 设计阶段长江云云智一体专有云平台项目除了新云平台建设外,还涉及 IPTV 核心应用的迁移上云。针对传统 IDC 应用迁移上云,项目组制定了应用迁移的 3R 方案,即 Rehosting、Replatforming 和 Refactor。分别代表迁移上云的三种上云策略,
32、三种上云策略的改造成本逐步提升,但云化程度也越来越高。具体选取那种迁移上云方案,要结合企业具体的实际情况来确定。图 10.迁移上云策略迁移上云方案描述特点云平台改造上云(Rehosting)中间件云原生改造上云(Replatforming)应用云原生改造上云(Refactor)仅云平台改造云平台+容器平台和中间件改造云平台+容器平台和中间件+应用需要改造改造代价最小,中间件层和应用无需改动应用架构需要进行较大的调整基于云原生的重构应用程序,改动代价最高 Rehosting 策略:仅改造云平台,充分利用云平台的可扩展性和弹性能力。Replatforming 策略:改造云平台+容器平台和中间件,除
33、了利用云平台的优势外,还充分利用容器平台灵活性的和云上中间件的能力。Refactor 策略:将应用层面进行全面的云原生化改造。基于前期的技术架构梳理,发现长江云应用系统较多,且已完成了微服务架构改造,服务间的调用关系较复杂。当前的重点是优化和提升云平台底座的能力和性能,在这个背景下不建议对微服务中间件和上层应用做改造。长江云云智一体专有云平台项目中采用了 Rehosting 迁移策略。迁移的关键点之一,是让中间件及上层应用在“0”改造的情况下迁移到新的云平台。在完成第一阶段的存量业务迁移后,第二阶段在新平台的基础上再部署 AI 中台并开发 AIGC 新应用。确定了整体的迁移策略之后,下一步是要
34、考虑如何将迁移策略实施和落地。16图 11.应用架构变化应用IPTV播控平台EPG营销平台数据库MySQLRedisOracleMongoDBMariaDB安全安全策略态势感知数据库审计主机安全漏洞扫描网络VLAN隔离VRRP高可靠专线路由器LVS+Ngnix组播HadoopHive大数据平台IBM 硬件存储NetApp 硬件存储存储虚拟机物理机计算VMWare云平台云平台IDC基础设施基础设施KafkaPrometheusKong网关中间件老数据中心架构应用IPTV播控平台EPG营销平台数据库RDSSCSOracleMongoDBMariaDB安全安全策略态势感知数据库审计主机安全漏洞扫描网
35、络VPC隔离HAVIP专线网关BLB负载均衡组播HadoopHive大数据平台块存储CDS对象存储BOS高性能文件存储PFS存储BCC虚拟机BBC裸金属HPC GPU服务器计算ABC Stack云平台云平台云平台基础设施基础设施KafkaPrometheusKong网关中间件ABC Stack云平台架构4.1.1 成立联合设计团队虽然 Rehosting 的方案对应用改造最小,但由于当前的 IPTV 应用系统较复杂,传统应用迁移到新云平台仍然是一项大工程,涉及多个业务团队且项目复杂度高、工程量大,需要有专门的团队来支撑项目的顺利落地。从实际项目经验来看,至少要成立一个三层组织的虚拟团队才能保障
36、项目快速和顺利的落地。而且这个虚拟组织最好是广电侧的专家和云平台的专家联合组成的。比如双方的架构师临时组成一个虚拟的架构师小组,共同负责设计应用迁移方案。图 12.联合设计团队项目负责人(CTO、CEO)架构师负责人运维和实施负责人业务方负责人质量保障负责人项目管理负责人网络计算存储安全1704 项目中期4.1.2 云平台的目标架构以长江云云智一体专有云平台为例,新云平台的整体架构从下至上主要分为基础设施、能力中台、业务平台、应用前台和应用场景。图 13.云平台的目标架构家庭娱乐美丽乡村教育酒店医疗健康文旅智慧社区党建政企其他应用场景IPTV业务OTT业务政企业务APP业务其他业务应用前台数据
37、库容器中间件大数据PaaS云服务器云存储云网络云安全IaaS服务器存储网络安全硬件IPTV播控平台综合运营平台直播平台安全管理平台媒资管理平台监控运维平台业务平台人脸识别图像识别语音识别NLP敏感词识别OCRAI剪辑AI视频增强视频DNA智能标签AI中台数据采集数据存储加工/计算算法模型指标监控标签建模BI报表数据座舱智能推荐用户画像数据中台18云平台 IaaS 层部分包括计算、存储、网络、安全等基础硬件资源。硬件向上抽象成对应的资源池,提供云计算、云网络、云存储、云安全、云数据库、云桌面等服务。在 PaaS 层具备大数据、中间件、容器、应用管理等服务能力。AI 中台和数据中台提供 AI 通用
38、能力和大数据处理和建模能力。整体架构具备全方位的安全防护能力,通过防火墙、负载均衡、堡垒机、日志审计、漏洞扫描、终端准入、主机防御、数据库审计、态势感知等安全防护模块保障云平台及主机安全,通过边界防火墙保障各网络边界安全。系统基于“一个中心、三重防护”安全建设的核心思想,整体满足国家安全等级保护三级的部署要求。上述模块按照统筹规划、统一纳管的原则设计,建成后可为新媒体业务提供服务,也可以赋能家庭娱乐、教育、医疗健康、智慧社区、政企、美丽乡村、酒店、文旅和党建等业务。网络架构云平台采用多 VPC 网络架构,不同的 VPC 承载不同的业务系统,实现业务层面的逻辑隔离。图 14.云平台网络架构业务专
39、网专线新云平台用户/机顶盒/CDNIDC机房/分支/合作伙伴DNS云安全防护VPC-1接入层业务接入层负载均衡BLB专线接入层二层/三层专线网关VPC间接入层对等互联/云智能网容器平台CCE/CCR容器层虚机BCC/裸金属BBC/专属服务器DCC/GPU实例应用层Kafka/RabbitMQ/API网关中间件层RDS/SCS/MongoDB数据库块存储CDS/对象存储BOS/文件存储CFS/高性能并行文件存储PFS存储VPC-2接入层业务接入层负载均衡BLB专线接入层二层/三层专线网关VPC间接入层对等互联/云智能网容器平台CCE/CCR容器层虚机BCC/裸金属BBC/专属服务器DCC/GPU
40、实例应用层Kafka/RabbitMQ/API网关中间件层RDS/SCS/MongoDB数据库块存储CDS/对象存储BOS/文件存储CFS/高性能并行文件存储PFS存储1904 项目中期负载均衡支持 FTP根据广电行业的 IPTV 标准规范,IPTV 业务中最关键的节目下载和分发要使用 FTP 协议。在老数据中心中,后端有多组 FTP 服务器集群,每个集群中有多台 FTP 服务器。通过 LVS(Linux Virtual Server)的方式实现 FTP 流量的分发。由于视频文件一般比较大,对 FTP 拉取的数据需要让服务器直接回复给客户端,不再经过负载均衡设备的转发,来降低负载均衡设备的转发
41、压力,进而保障整个业务系统的稳定运行。图 15.云平台负载均衡支持 FTPLVSFTP服务器FTP服务器FTP服务器FTP服务器FTP服务器组-1FTP服务器FTP服务器FTP服务器FTP服务器FTP服务器组-NFTP响应FTP请求FTP响应IPTV/地市电视台/合作伙伴/CDN老数据中心BLBFTP服务器FTP服务器FTP服务器FTP服务器FTP服务器组-1FTP服务器FTP服务器FTP服务器FTP服务器FTP服务器组-NIPTV/地市电视台/合作伙伴/CDNFTP响应FTP请求FTP响应新云平台FTP 协议中,控制通道和数据通道是独立的。数据通道的建立方式分为主动模式和被动模式两种,在大部
42、分场景下使用的是被动模式。被动模式需要 FTP 服务器侧开启一个对外提供服务的端口范围,在广电 IPTV 场景中,由于客户端数据较多,FTP 服务器的端口范围一般不小于 2 万。通过负载均衡为 IPTV 业务提供接入层访问服务。在专线接入层通过三层专线网关为云上 VPC 和线下 IDC、分支机构和合作伙伴提供专线互通能力。通过对等互联、云智能网产品提供同地域和不同地域间的多租户多 VPC 互联方案。后端的应用承载在容器平台和服务器上。通过中间件产品实现应用间和应用和数据库间的互通。通过云平台的存储产品实现数据的持久化存储和读取。20图 16.FTP 的主动和被动模式FTP协议协议通道建立方式数
43、据通道建立方式主动模式(PORT)被动模式(PSAV)服务器通过21端口和客户端建立连接服务器通过21端口和客户端建立连接服务器主动连接到客户端开放的端口服务器端开放端口后等待客户端连接特点客户端需主动开启对外可被服务器连接的数据端口FTP服务器需要开放主动对外访问权限不推荐使用主动模式对客户端侧无特殊要求推荐使用被动模式云平台的负载均衡产品 BLB 在支持 FTP 的同时还支持 DR 模式(Direct Routing 直接路由模式)转发,很好的解决了IPTV 业务中最关键的 FTP 服务器集群迁移上云的需求。高性能的专线网关广电行业普遍通过物理专线连接上下游系统,由于业务特点,专线上不仅连
44、接数量多,而且承载的流量也比较大。在云平台的方案中,专线流量是通过专线网关接入到 VPC 的,所以专线网关的稳定性及处理性能十分关键。为提升专线网关的稳定性,一般考虑将专线网关作为独立的集群进行部署,即该硬件集群只用来承载专线流量。在提升专线网关稳定性前提下,还需要保证网关的处理性能。提升网关处理性能的一个思路是水平扩展硬件资源,另外一个思路是通过软硬件一体化来提升网关处理性能。在长江云云智一体专有云平台的项目设计方案中,高性能专线网关作为独立和专用的网关角色存在。即高性能专线网关部署在独立的集群中,并只处理专线流量。这在一定程度上提升了整个云平台的稳定性,并将专线业务流量的故障域进行了隔离和
45、区分。图 17.高性能专线网关流量路径专线接入路由器专线接入区核心交换区业务资源模块-A区租户资源区服务器云功能模块-B区VPC网关高性能专线网关IDC/地市电视台/合作伙伴2104 项目中期此外还采用了软硬件一体化的思路来提升专线网关的处理性能。当前在长江云云智一体专有云平台部署的软硬一体的专线网关具备水平扩展能力和丰富的软件功能,如支持专线 NAT 和专线 FlowLog 等功能,可以从容应对超大规模的专线流量并满足专线场景下多种多样的软件功能需求。图 18.高性能硬件可编程网关实物图如果不采用软硬一体化方式的专线网关,可以通过普通的通用服务器的方式来构建专线网关集群。一般一台通用服务器的
46、流量处理性能约 50Gbps,如果要处理有 400Gbps 的专线流量,在考虑高可靠的情况下需要 16 台通用服务器,这将产生上百万的硬件成本。此外,通用服务器在处理“大象流”时存在稳定性风险,大于 5Gbps 的大象流量会导致通用服务器的 CPU 出现单核打爆的问题。综合来看,软硬一体的硬件可编程专线网关在大流量场景下的性价比和可靠性都很高,是比较好的选择。在长江云云智一体专有云平台项目中,软硬一体的硬件可编程专线网关已经承载核心业务流量并持续稳定运行。在专有云领域,长江云在软硬一体可编程网关新技术实践方面走在了业界前列。组播在 IPTV 场景下,组播是视频流传输的关键技术。比如将一个频道的
47、视频流通过组播的方式从播控中心分发到电信、移动和联通的 RP(Rendezvous Point)点,RP 再将收到的视频流复制给自己的多个组播成员。在这种场景下,由于组播复制发生在运营商内部的 RP 点侧,从播控中心到运营商的 RP 点只需要占用一份视频流带宽,从而实现了高效视频流的传输和分发。22 图 19.IPTV 组播组播成员(IPTV机顶盒)组播成员(IPTV机顶盒)组播路由器组播成员(IPTV机顶盒)组播成员(IPTV机顶盒)组播路由器组播路由器RP电信/联通/移动运营商网络服务器服务器服务器服务器组播源组播路由器广电IPTV播控平台专线在云平台上也需要支持组播技术来实现组播源通过组
48、播协议把视频流分发给运营商的 RP 节点。云平台通过 VPC 内的组播网关产品来实现组播流量的复制。在组播网关上,通过添加 IP 地址的方式,添加组播源和组播成员。在接收组播源的流量后,将组播流量复制和分发给组播成员。组播成员可以在 VPC 内也可以在 VPC 外。比如 IPTV 场景下,RP 作为组播成员,在运营商的网络内,组播流量通过专线网关发送到 VPC 外的组播成员。图 20.VPC 组播网关实现组播流量分发专线网关组播网关(224.0.0.8)组播源VPCRP组播成员组播成员组播成员运营商网络物理专线122304 项目中期高可用虚拟 IP(HAVIP)广电行业的应用类型较多,部分应用
49、在老数据中心中通过 VRRP 等技术方案提供的虚拟 IP 地址和虚拟 MAC 地址来构建应用的高可用能力,如自建 Ngnix 和自建数据库等应用。要实现将应用平滑的迁移到云上,需要在云上提供高可用虚拟 IP。云平台提供了产品化的高可用虚拟 IP 的能力,配合服务器上已有的 Keepalived 实现应用的高可靠架构。HAVIP 承载在 BVR(Baidu Virtual Router)网关上,HAVIP 和虚机关联后,BVR 会对虚机做 ARP 探测。图 21.HAVIP 实现机制物理机1VM1(主)VM1-IPBVS物理机2VM2(备)VM2-IPBVSBVRHAVIPkeepalivedA
50、RP响应ARP探测ARP探测在发生主备切换后,ARP 更新信息,通过组播方式在云平台的网关间进行快速同步。在云平台上,HAVIP 自身能实现200ms 以内的切换性能,保障核心应用的高可用,进而保障应用迁移到云上之后的 SLA 服务标准不降级。IPv6IPv6 是国家“十四五”规划中的一项重要工作。国家在 2021 年发布了 关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知。通知中的主要里程碑包括,2023 年末基本完成 IPv6 改造工作,主要的应用实现从 IPv4 到IPv4+IPv6 的双栈的改造;2025 年末,新增的应用需要支持 IPv6 单栈;在 2030 年左右,
浙ICP备2021020529号-1 | 浙B2-20240490 
