1、2023 年 2 月第 59 卷 第 2 期铁 道 通 信 信 号Railway Signalling&CommunicationFebruary 2023Vol.59 No.2铁路云平台国产化适配方案研究刘佳,高洋,安婷玉,安琪摘 要:铁路云平台的国产化改造是维护铁路上层业务应用系统信息安全、实现自主可控的必然要求。分析了铁路云平台国产化改造的现状和需求,研究了铁路云平台国产化适配方案,提出了评估规划和技术准备、测试验证与迁移实施、运行验证与正式上线3个阶段实施流程,并针对基于ARM架构的飞腾芯片服务器和麒麟操作系统,总结了适配迁移重点过程,进行了主机高可用模块部署和安全加固。铁路云平台经测
2、试验证、试运行后正式上线,为下一步应用系统在铁路云平台下向国产化平滑迁移,提供可行的环境支撑。关键词:铁路;国产化;适配;云平台;高可用中图分类号:U285.4 文献标识码:A Research on Localization Adaptation Scheme of Railway Cloud PlatformLIU Jia,GAO Yang,AN Tingyu,AN QiAbstract:The localization transformation of the railway cloud platform is an inevitable requirement for maintai
3、ning the information security of the upper business application system and achieving autonomy and controllability.This paper analyzes the current situation and needs of the localization and transformation of the railway cloud platform,studies the adaptation scheme of the localization of the railway
4、cloud platform,proposes a three-stage implementation process of evaluation planning and technical preparation,test verification and migration implementation,operation verification and official launch,and summarizes the key process of adaptation and migration for the Phytium chip server and Kylin ope
5、rating system based on ARM architecture,and carries out the deployment and security reinforcement of host high availability modules.The railway cloud platform is officially launched after test verification and trial operation,providing a feasible environment support for the smooth migration of the n
6、ext application system to localization under the railway cloud platform.Key words:Railway;Localization;Adaptation;Cloud platform;High-availability刘佳:中铁信弘远(北京)软件科技有限责任公司 助理工程师 100866 北京高洋:中铁信弘远(北京)软件科技有限责任公司 高级工程师 100866 北京安婷玉:中铁信弘远(北京)软件科技有限责任公司 助理工程师 100866 北京安琪:中铁信弘远(北京)软件科技有限责任公司 助理工程师 100866 北京基
7、金项目:中国铁路信息科技集团有限公司科技研究开发计划重大课题(KGZG-CKY-2020006(2020A04)收稿日期:2022-10-13DOI:10.13879/j.issn.1000-7458.2023-02.22338扫码浏览下载41铁道通信信号 2023年第59卷第2期近年来,我国铁路信息化飞速发展,已逐步建成了庞大的对内、对外生产服务的信息网络,打造了涵盖铁路各领域的业务系统1。在铁路主数据中心,建成了全国统一的铁路信息化基础设施云平台,实现了绝大部分业务应用系统向云计算架构的迁移,这对于解决信息化发展瓶颈问题,降低重复建设投资,实现节能环保,以及更加高效、稳定、安全和可靠地服务
8、信息化应用等方面,发挥了重要作用2-3。1研究背景面对国际安全形势的日益严峻,在信息化快速发展的同时,国产化及网络安全自主可控需求愈加凸显,国产化替代工作势在必行4-5。铁路作为国民经济的大动脉,其信息系统承载着大量的铁路业务数据、公民个人信息等,一旦遭到破坏并影响正常使用,将对国家安全、经济稳定和公众安全产生重要影响6。随着铁路云平台上层信息系统面临的网络安全威胁,以及底层基础软硬件技术封锁风险的不断攀升,铁路云平台国产化改造迫在眉睫。铁路云计算平台在建设初期就考虑到底层技术的自主可控,为了避免出现完全依靠国外技术的情况,选择了自主研发云平台技术与成熟商业产品异构统管的技术方案7。其中,自主
9、研发架构是以铁信云产品为核心,正式生产运行情况良好。然而,铁信云产品受整体技术条件限制,其服务器、CPU、操作系统等核心组件仍然受国外技术垄断控制,无法完全实现自主、可控的目标。因此,需将铁路云平台自研技术向国产体系迁移适配,屏蔽底层不同的技术路线对应用系统带来的影响,进一步提升铁路信息化基础设施的安全可控性。2现状分析2.1铁路云平台铁路云平台规划包括基础设施服务层(IaaS)和平台服务层(PaaS),目前已完成IaaS层建设和部署,并稳步推进PaaS层研发工作。铁路云平台以OpenStack架构为基础,实现对计算资源池、存储资源池和网络资源池的统一管理和调度,为信息系统应用部署提供基础资源
10、服务。铁路云平台整体架构见图1。2.2总体需求1)铁路主数据中心的建设发展应坚持走国产化之路,要对铁路云平台的国产化需求进行评估,在云平台基础软硬件方面实现国产化适配。2)铁路云平台国产化替代工作需满足安全技术路线。无缝迁移既有云平台历史数据,在确保数据安全性和完整性的基础上,保障平台安全合规。3)铁路云平台国产化替代工作需严谨、可靠、稳定、规范。在技术路线选择时,按照技术先进、自主可控的原则,统筹考虑知识产权自主程度、技术发展性、生态可扩展性、稳定性及可靠性等,选择适配程度深、稳定性好的技术路线,避免出现兼容性和影响运行效率问题;同时,充分利用原有云平台建设成果,避免资源重复投入,保证发展的
11、连续性。Dashboard门户优化VNC优化用户门户Dashboard门户优化管理员门户缓存服务数据库服务云引擎(PaaS)应用容器服务大数据服务计算管理云基础设施服务(IaaS)块存储管理对象存储管理资源计量虚拟机监控资源自动伸缩网络管理安全认证资源编排资源管理物理机监控硬件存储管理网络QoS自定义镜像云主机HA存储HA网络HA访问安全异地备份超融合异构存储纳管SDN硬件硬件加速负载均衡Ceph分布式文件系统Ceph加固及调优存储虚拟化虚拟交换机 虚拟路由器网络虚拟化QUME/KVMVMware物理机虚拟化计算虚拟化VLAN/VXLANVPN图1 铁路云平台整体架构42Railway Sig
12、nalling&Communication Vol.59 No.2 20233适配过程铁路云平台国产化迁移适配可分为评估规划和技术准备、测试验证与迁移实施、运行验证与正式上线3个阶段,包括盘点评估、迁移准备、实验验证、业务切换、试运行、上线运维等6个环节。3.1评估规划和技术准备3.1.1盘点评估对铁路云平台进行调研盘点,全面梳理云平台的建设使用情况,包括全栈软硬件、运行环境等。针对铁路云平台国产化替代需求,CPU应覆盖x86和 ARM 2 条技术路线;操作系统可选 OpenEuler技术路线,对应麒麟操作系统。3.1.2迁移准备选择飞腾 CPU S2500 服务器,XSKY XEDP国产分布
13、式存储平台,Kylin V10 SP2 操作系统。按照尽可能接近最终生产环境的原则,搭建铁路云平台迁移验证所需的基础设施、运行环境等实验环境。成立项目小组,制定项目计划和项目组织管理方案。3.2测试验证与迁移实施3.2.1操作系统适配目前,铁路云平台基于OpenStack构建,云平台服务部署在容器中,需要在飞腾CPU服务器上适配麒麟操作系统。主要工作如下。1)镜像依赖包构建。整理铁路云平台所有依赖包的包名和版本列表,涉及基础镜像依赖包、云平台依赖包、宿主机依赖包等。经统计,铁路云平台使用到的依赖包共计 1 000 余个需要进行替代。2)build-hci与kolla-ansible项目兼容适配
14、。铁路云平台的安装和部署用到build-hci与kolla-ansible项目,考虑到与麒麟操作系统的兼容性,需要进行修改设计,完成包的安装与卸载,以及麒麟操作系统的兼容、存储适配等工作。3)虚拟机镜像制作及云插件适配。重新制作虚拟机使用的麒麟版本镜像,对制作镜像使用到的云插件,如cloud-init、qga等做相应适配8。4)云平台验证。以上每一步的操作均需要在国产化架构下验证,验证内容包括云平台虚拟机创建、调整配置、冷迁移、热迁移等重要功能。3.2.2对接存储目前,铁路云平台采用RedHat Ceph存储,需要与国产分布式存储平台 XSKY XEDP 进行适配对接。主要工作如下。1)环境检
15、查及初始化配置。环境检查包括检查服务器各节点之间管理网络、存储集群对外网络、存储集群内部网络间互通状态,以及服务器时间等。初始化配置包括配置XSKY集群所有节点与OpenStack所有节点双向免密,存储集群与 OpenStack 集群的时钟同步,及将OpenStack集群的IP与主机名添加到存储集群节点的 hosts 解析文件中等。2)存储集群安装。安装产品和产品许可并激活,确认集群信息和账户信息。3)网关节点配置。对接XSKY XEDP存储平台,需要将待部署的云平台节点添加为XSKY XEDP 块设备网关节点。XSKY 可采用可视化部署,通过存储管理界面,添加OpenStack节点访问网关服
16、务器(块存储网关角色),并获取存储池pool与ceph.conf配置文件。4)部署云平台。执行云平台部署脚本 install_cloud.sh,并初始化云环境。3.2.3部署主机高可用模块当前铁路云平台在生产使用过程中,会出现服务器故障导致关机或重启的情况。当服务器出现故障时,运行在服务器上的云主机也会受到相应影响导致业务中断,因此需引入主机高可用模块,在服务器发生故障时,可以自动地将云主机疏散到其他节点上运行9。主机高可用模块包括主机高可用 API 服务(FDI)、主机高可用管理服务(FDM)和主机高可用代理服务(FDA)。FDI、FDM、FDA服务运行部署见图2。FDI 和 FDM 服务运
17、行在主控节点上。其中,FDI服务为主机高可用模块提供API服务;FDM负责所有主机高可用集群的监控与虚拟机疏散任务;FDA服务运行在每个计算节点主机上,负责检查计算节点主机的状态。FDM与FDA之间通过管理网发送管理心跳,采用写存储对象的方式更新存储心跳。3.2.4安全加固安全加固内容大致可分为以下7类。1)系统服务相关。KSM(Kernel Samepage Merging)是内核中的一种内存共享机制,通过ksmd和ksmtuned服务用于共享内存,默认为启用时可能会导致虚拟机信息泄露。可关闭 SELinux43铁道通信信号 2023年第59卷第2期(Security Enhanced Li
18、nux);关闭防火墙、ksmd、ksmtuned服务等。2)系统用户相关。为保障用户账户安全,可加固内容包括:修改用户密码策略(密码复杂度、密码到期时间、登录失败账户锁定、密码最大复用次数等);锁定nologin账号;设置用户目录所需的最小权限等。3)远程登录相关。可加固内容包括:禁止root用户远程SSH(Secure Shell)登录和Telnet登录;设置登录超时策略,用户输入空闲超过时间后自动断开;配置SSH登录提示等。4)系统日志相关。可加固内容包括:配置严谨的系统日志读写权限;开启crontab 定时任务的日志输出,默认crontab的任务执行未记录到日志中,启用日志功能,可在cr
19、ontab执行失败时找到问题原因;设置history命令保存条数等。5)网络相关。由于 ICMP重定向(ICMP redirect)可以动态地更改主机的路由,因此在系统加固中建议禁用ICMP redirect功能。6)FTP 相关。通过 vsftpd(very secure file transfer protocol daemon)服务器软件,可加固内容包括:禁止 root 用户登录;设置全局 chroot(change root),限制FTP用户权限,将其操作禁锢在指定的目录树内;禁止匿名FTP登录等10。7)其他。修改snmp(simple network management prot
20、ocol)默认团体名。因为使用默认团体名易导致系统运行的进程、系统存在的用户、运行的服务、端口情况等敏感信息泄露。3.2.5业务切换基于验证、测试结果,制定迁移割接方案,稳步实施铁路云平台的迁移和业务切换。3.3试运行与正式上线在生产环境下进行测试验证,监测发现并解决潜在问题及异常状况。在对铁路云平台功能、性能等做最终评估后,云平台正式上线,并进入运维期。4结束语铁路云平台是铁路信息化建设中的重要一环,其自主可控对维护国家安全意义深远。本文在既有铁路云平台的基础上,对构建自主可控云环境进行试点研究,通过对接国产芯片、操作系统和存储服务器提供可信的计算、网络和存储能力,采用主机高可用模块和安全加
21、固措施,为云平台的性能提供保障。铁路云平台的国产化为铁路信息系统应用部署和国产化迁移适配提供可行的环境支撑,可有效降低信息化成本。下一步将对云平台微服务、大数据、人工智能等技术进行研究,提高其先进性和普适性。参考文献1 施卫忠.铁路数据中心建设与规划研究J.中国铁路,2021(1):1-7.2 苗齐秀.浅谈云计算技术在铁路信息化的应用J.通信与信息技术,2022(4):38-39,23.3 王晓莉.简谈云平台在铁路信息系统中的应用J.铁路通信信号工程技术,2018,15(8):28-32.FDAVMVMVMVMOSDOSDOSDMONOSDOSDOSD管理心跳CEPH门户网站存储心跳(读)FD
22、IFDM主控节点存储心跳(写)计算节点管理网业务网(外网)存储网VM(virtual machine):虚拟机OSD(object storage divice):对象存储设备MON(monitor):监视器存储集群内网图2 主机高可用模块运行部署(下转第49页)44Railway Signalling&Communication Vol.59 No.2 20235 总结在既有线 GSM-R 改造时,不仅需要从线路的车站间距、地形特点、既有光缆资源等多个方面进行考虑,同时还要兼顾方案的经济性、可实施性和产品支持度,方可选定具体的无线子系统方案。参考文献1 中华人民共和国工业和信息化部,工信部无
23、 2013 157号 关于无线电台站规范化管理若干问题的通知S.2013.2 中国铁路总公司.铁总运函 2014 31号 关于调整铁路专用无线通信业务和频率有关工作的通知 S.2014.3 王晓懿,李东兴,陆冰盈.既有普速铁路5G公网专用建设方案探讨J.铁道通信信号,2022,58(10):56-60.4 席武夷,代赛.铁路下一代移动通信系统制式研究J.铁道通信信号,2013,49(9):50-53.5 王强.GSM-R替代无线列调系统可行性探讨J.中国铁路,2013,(11):34-36.6 国家铁路局.TB/T 33672016 铁路数字移动通信系统(GSM-R)数字光纤直放站S.北京:中
24、国铁道出版社,2016.7 崔国兴.数字直放站在 GSM-R系统应用中的技术研究J.铁道工程学报,2016,33(4):87-90.8 国家铁路局.TB 100882015 铁路数字移动通信系统(GSM-R)设计规范S.北京:中国铁道出版社,2015.9 刘立海,胡晓红,刘建宇,等.铁路枢纽GSM-R无线覆盖方案设计研究J.中国铁路,2009,12:41-44.10周伟.集通铁路长大隧道GSM-R冗余方案研究J.铁路通信信号工程技术,2021,18(3):68-71,100.11王芳.既有铁路450 MHz无线列调改造GSM-R系统简析J.铁路通信信号工程技术,2018,15(5):36-40
25、.12铁道部工程设计鉴定中心,北京全路通信信号研究设计院.中国铁路GSM-R移动通信系统设计指南S.北京:中国铁道出版社,2008.13梁静.数字光纤直放站在既有线 GSM-R改造中的应用研究J.铁路通信信号工程技术,2019,16(6):31-36.(责任编辑:诸红)表23种方案主要优缺点项目上行噪声干扰多径时延区间设备发射功率设备间距(郊区)网管信源兼容性设备硬件冗余工程投资基站+模拟直放站方案无上行噪声抑制功能,容易受到干扰无时延调整功能5 W同小区一般不超过2 km直放站独立网管宏基站为信源,宏基站可发射模拟直放站可以接到任何基站设备单套设备的主要板件能做到硬件冗余大基站+数字直放站方
26、案有上行噪声抑制功能,但不能完全消除噪声有时延调整功能20 W同小区一般不超过5 km直放站独立网管带数字直放站的宏基站仅作为信源使用,不能发射数字直放站可以接到任何基站设备单套设备的主要板件能做到硬件冗余较小,区间点较多的地方更有成本优势,无需新设短段光缆BBU+RRU方案不存在上行噪声干扰问题有时延调整功能40 W同小区一般不超过5 kmBBU、RRU同网管,网管功能更完善BBU为信源,RRU发射不同厂家的BBU与RRU之间不能兼容使用BBU主控板和 RRU射频板,目前能做到硬件冗余的厂家有限大于基站+数字直放站方案,部分区段需要新设短段光缆(上接第44页)4 付晓丹,史韶旭,栗继房,等.
27、铁路局集团公司办公系统国产化替代迁移方案研究J.铁路计算机应用,2021,30(11):21-25.5 上海艾瑞市场咨询有限公司.中国信创产业研究报告(2021年)R.2021.6 魏长水,姚洪磊.铁路信息系统网络安全风险评估指标体系研究J.铁路计算机应用,2020,29(8):33-37.7 张越.铁信云,基于开源的私有云架构J.中国信息化,2016(7):56-58.8 罗利,周锡玲.Linux 环境下 KVM 虚拟化平台的构建J.信息技术与信息化,2021(4):91-93.9 唐涛,田谨源,朱力,等.基于OpenStack的城市轨道交通高可用私有云平台研究J.中国安全科学学报,2022,32(6):137-143.10杨华,董华敏.VSFTPD服务安全登录故障探讨J.网络安全和信息化,2021(8):158-160.(责任编辑:诸红)49
浙ICP备2021020529号-1 | 浙B2-20240490 
