天融信“太行云”，构筑“智慧法院4.0”稳固基石

　　1、产品设计背景

　　党的二十大报告指出，要加快建设网络强国、数字中国。建设数字中国是数字时代推进中国式现代化的重要引擎，是构筑国家竞争新优势的有力支撑。法院作为国家审判机关，其以“智慧法院4.0”为主要目标的数字化发展是数字中国实施过程的重要成果。

　　法院“十四五”规划中对“智慧法院4.0”提出了明确建设要求，其中包括“全面构建可弹性扩展、智能调度、按需服务、异构统管的自主可控一体化云网基础设施”，“与云平台同步建立健全符合等级保护2.0标准的云安全体系”。由此可知，云计算与云安全在法院行业得以进一步应用。同样在实际业务中，法院各类新业务系统的涌现要求底层平台应在部署、维护、扩展等方面更为快捷、灵活，同时通过安全防护手段保证法院核心业务系统运行不间断以及业务数据安全无风险，也呼应了法院“十四五”规划中的相关要求。但目前基于原有的数据中心架构和运维模式，IT基础系统的发展还面临很多问题。

　　传统架构的制约。在传统数据中心许多组件都是紧密耦合的，牵一发而动全身，很难做出改变。造成在各个行业中，IT运维都存在“海量数据管理压力”、“资源利用率低下”、“系统上线慢”、“业务可靠性差”等问题。

　　可靠性依赖硬件。硬件存在单点问题，纵向扩展性能有限；即使考虑分层技术，也需要额外购买软件许可，成本开销变大。虽然使用虚拟化技术，但存储依然是单个节点，需要存储做双活或本地备份保障数据的可靠性，但成本大大提高。

　　运维管理复杂。法院传统数据中心环境中，复杂冗长的规划采购动辄就是几个月，且采购回来的设备通常连接配置都较复杂，一旦发生故障，处理比较麻烦，需一层一层的进行排查。加上各个存储厂商的相关管理系统都互不兼容，当采购多家厂商的存储设备来保证数据的安全可靠性时，给管理人员也带来了较大的不便。

　　2、产品架构设计

　　为解决传统架构的制约、提升底层平台可靠性、降低运维工作复杂度、提升安全防护能力，天融信基于超融合技术打造“太行云”产品，为“智慧法院4.0”构筑稳固基石。天融信太行云整体架构如下图所示：

　　天融信太行云总体设计共分为三大核心、五个层次。

　　三大核心

　　一核心为云平台主体，包括从基础设施层至法院用户层五个层次，分别为法院用户提供业务云及桌面云两大类服务。

　　二核心为云管理平台，包括自助门户管理模块、运营管理模块与运维管理模块。

　　三核心为安全体系，基于安全通信网络、安全区域边界、安全计算环境、安全管理中心四个维度共分包括十四个安全网元。

　　五个层次

　　五个层次分为基础设施层、信息资源层、管理调度层、业务应用层与法院用户层。

　　基础设施层：包括国产、非国产化服务器以及桌面云终端，基础设施层是承载云平台物理资源的基础环境设施；

　　信息资源层：包括计算资源池、存储资源池、网络资源池、安全资源池；

　　管理调度层：包括集群监控模块、资源管理模块、任务调度模块、服务框架模块、消息队列模块、负载均衡模块、弹性伸缩模块、VPC网络模块、统一身份认证模块、API接口模块等；

　　业务应用层：包括法院业务云以及法院桌面云，法院业务云基于超融合平台构建，可按需为法院新建业务系统提供部署环境，法院桌面云根据各庭室需求可以按需分配桌面资源，并提供双网隔离、联动关机、水印设置等桌面管理功能；

　　法院用户层：法院各庭室的业务资源，可通过多租户方式相互隔离。

　　3、产品方案设计

　　围绕“三个核心、五个层次”架构，方案提供计算、网络、存储、安全四大基础模块，通过云管理平台为法院客户提供业务云、桌面云两大场景服务。

　　3.1太行云计算模块

　　太行云虚拟化平台作为介于硬件和操作系统之间的软件层，采用裸金属架构的虚拟化技术，实现对服务器物理资源的抽象、池化，将CPU、内存、I/O等服务器物理资源转化为一组可统一管理、调度和分配的逻辑资源，并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境，实现更高的资源利用率，同时满足法院应用系统更加灵活的资源动态分配需求，同时支持国产化版本，助力法院国产化转型。

　　3.2太行云存储模块

　　分布式存储在太行云系统中扮演十分重要的角色，为了更好适应太行云系统，提供更加可靠的产品和服务，天融信自主研发了一套分布式存储系统，这套分布式存储系统具备业内领先的存储性能，同时核心设计的数据分布可视化、数据自动平衡、多副本、横向拓展架构等存储优势，可以为法院用户实现更为高效、灵活的存储方案设计，同时还支持在线扩容和缩容，可以根据业务需求灵活调整资源规模，满足法院业务快速发展的需求。

　　3.3太行云网络模块

　　天融信太行云方案支持虚拟机连接至两种网络模式：本地网络和租户网络。本地网络又称桥接网络，是指本地物理网卡和虚拟网卡通过虚拟机交换机进行桥接，物理网卡和虚拟网卡在拓扑上处于同等地位，那么物理网卡和虚拟网卡就相当于同一个网段，虚拟交换机就相当于一台现实网络中的交换机。租户网络，实际上是桥接至br-int网桥上，采用了GENEVE隧道封装协议，实现了一个分布式网桥。每个租户所具有的网络是独立的，br-int与br0通过patch接口连接，可让租户网络接通外部网络。

　　3.4太行云安全模块

　　安全是一个永恒的话题，在信息化高速发展的背景下，安全显得尤为重要。在太行云环境中，包含了计算、存储、网络，安全方面也为客户构建灵活应用的安全资源池，基于安全通信网络、安全区域边界、安全计算环境、安全管理中心四个维度分为了防火墙、WAF、负载均衡、VPN、网络数据防泄漏、堡垒机、漏洞扫描等共计十四类安全网元，为客户提供全面的安全服务。

　　3.5太行云管理平台

　　太行云管理模块可以针对物理主机、虚拟机、内置/外置存储进行全面的系统管理。针对物理主机增加/删除、用户创建/删除/密码修改、服务发现和添加，数据的可视化拉取，信息收集，硬件的退役操作，工单申请等功能。此外，还可以针对管理员进行权限的管理和划分，后续通过升级可以支持多租户业务场景的管理。从而，只需要一个管理界面，就可以帮助运维人员高效、简便的实现云计算中心IT资源的部署、运维、排障。

　　3.6法院业务云场景

　　法院业务丰富，信息化程度高，智慧法院建设过程中会涉及大量信息系统的落地，提供一个稳固的业务部署环境成为了智慧法院建设重点工作。法院业务云是天融信太行云为法院客户提供的重要业务服务。通过对计算、存储、网络等资源的虚拟化，太行云支持中级人民法院集中部署底层平台，中基层人民法院按需申请、分配资源部署业务系统，针对重点业务系统可支持动态配置系统资源，保证业务运转的连续性与可靠性。同时配合太行云安全模块提供安全资源池的服务，保证部署业务系统的同时满足等级保护安全要求。

　　3.7法院桌面云场景

　　太行云可为客户构建桌面云的应用场景，特别是在法院专网的应用场景下，天融信太行云通过双网隔离的部署模式，可实现通过一台终端便捷切换访问互联网及法院专网。另外在诉讼服务大厅接待、日常办公办案、培训教室等场景，桌面云提供了联动关机、动态资源分配、独享桌面、水印管理等贴合法院业务的应用功能，并且考虑到法院业务数据敏感性，桌面云还提供了在数据访问、传输、存储等不同环节的数据安全防护措施。

　　4、产品价值与收益

　　4.1创新融合、极致体验

　　天融信太行云采用“极致融合”的设计理念。产品提供单位级虚拟化平台，支持裸金属服务，能够支撑敏态和稳态双态业务共生；同时，太行云是业内少有支持业务与桌面双系共存的产品，能够统一为政法客户提供虚拟化和桌面服务；在硬件层面，太行云同时支持非国产化服务器架构和国产化服务器架构，并支持两种架构的双栈融合管理；存储层面，太行云采用自研分布式存储架构，支持块存储，文件存储，对象存储统一融合对外提供服务。

　　4.2运行可靠、稳定支撑

　　天融信太行云在维护业务稳定性方面做了极大的投入。太行云采用全冗余设计架构，提供虚拟机HA(高可用)、DRS(动态资源调度)、DPM(动态电源管理)等功能，确保底层架构对业务的稳定支撑；为确保数据安全，太行云的分布式存储提供多副本、纠删码、安全删除、全链路加密、CDP备份等功能；在保障业务连续性上，太行云提供主备容灾、VM 级别的存储双活容灾、VMware容灾、备份一体机联动、混合云建设等方案，支撑客户数据中心建设。

　　4.3安全防护、快速合规

　　天融信太行云为法院客户提供安全体系，包括下一代防火墙、WAF、基线核查、日志审计、数据库审计、VPN等十四类安全网元，保证客户在无需单独购买多样复杂的安全设备情况下，项目的快速合规落地，提升业务系统的机密性、完整性和可用性。

　　4.4统一管理、极简运维

　　天融信太行云为客户提供向导式产品安装，产品初始化设置向导式操作，初始化过程自动化完成；提供统一操作界面视图，全部功能配置在同一个 WEB 图形化界面完成，提升管理操作体验；一键式日常运维管理，自动化任务管理，功能配置“傻瓜式”操作，实现便捷自动巡检；在线集群规模扩容，节点自动发现，分钟级完成资源扩展。

　　责任编辑：广汉