2022-06-14 10:46:59
来源:麒麟信安
2022年以来,信息系统国产化进程加速推进,覆盖范围之广、国产化指标之明确、推进节奏之紧迫,均超出市场预期。在当前信息产业界国产化产业链基本形成但整体生态尚不完备、国产化试点成效显著但落地应用领域有限、信息系统关键基础软硬件国产化能力取得重大突破但核心应用和先进技术进展不大的局面下,信息系统国产化建设如何能够在政策要求的时间节点完成国产化率建设目标、信息系统国产化进程如何与计算融合发展、新的国产化应用生态如何与当前Windows/x86应用生态平滑衔接,是当前摆在军队各单位、业界厂商面前的主要和紧迫性课题。
麒麟信安全栈国产化云平台顺应军队信息系统云计算转型趋势,遵循全面国产化发展要求,以麒麟信安操作系统为自主可控“根”、麒麟信安云为国产化“魂”、麒麟信安保密综合管理系统为“盾”,为多类国防应用场景构建“全面国产、安全可控、融合部署、弹性敏捷、前端轻载”的基础综合服务云基础设施,满足系统快速开设部署、演训场景灵活切换、3D态势高清多屏展现、高效智能运维、全维自主可控的等军事使用需求。
一、技术架构
麒麟信安全栈国产化云平台采用云计算技术架构,以“融合虚拟化”和“一云多芯”为核心技术特征,基于国产麒麟信安操作系统研制、部署和运行,集成整合自主可控服务器、终端、交换机、存储、国产操作系统、数据库、中间件等基础软硬件资源,通过一朵“麒麟信安云”构建覆盖服务端、用户端的云服务体系,提供服务器虚拟化、桌面虚拟化、应用虚拟化服务功能。服务端和用户终端全面支持飞腾、鲲鹏、申威、龙芯等CPU架构,能够按照需求为用户和应用系统推送自主可控名录内的麒麟信安、银河麒麟、深度等国产操作系统,以及Windows系列操作系统,充分发挥“一虚多”云计算效能。该平台在应用层面已与军队网络办公系统、一体化指挥平台系统、训练数据应用支撑平台、云仿真试验训练系统完成集成应用,并在多个军内项目中得到落地应用。
二、方案构成
麒麟信安全栈国产化平台解决方案由麒麟信安“全面自主、三位一体”产品线联合打造而成。该产品线包括:国产操作系统产品线、云计算产品线和信息安全产品线,主要产品有:麒麟信安操作系统、麒麟信安云桌面、麒麟信安轻量级云平台、麒麟信安保综系统,除此之外还包括:操作系统衍生增值软件,如高可用集群管理系统、存储多路径管理系统、主机安全加固软件、录屏审计软件、安全探针软件、多级阻断软件、集中运维管理系统;云计算配套硬件,如:麒麟信安超融合一体机、麒麟信安云终端;信安安全配套系统,如加密存储系统、国产打印机等。主要核心产品在IT架构中的定位如下图所示:
(一)麒麟信安操作系统
麒麟信安操作系统是在国家“863”计划重大专项、‘核高基’科技重大专项和国家发改委产业化专项政策扶持下,以兼容Linux的技术思路开发的高安全、高可用、高性能和高可定制的国产操作系统。以安全为特色,是国内首批通过并连续7次获得公安部信息安全产品检测中心等级保护第四级认证的安全操作系统,是国内自主操作系统当前所达到的最高安全等级。从2018年开始,麒麟信安操作系统多个版本入选 某产品名录,在军队信息系统国产化项目中得到广泛应用。
经过多年发展,形成了服务器操作系统、桌面操作系统、实时操作系统、定制操作系统等多种形态,提供从高端嵌入式系统、桌面级应用、云操作系统到数据中心集群的全应用场景支持,为用户提供具备更高安全性、可靠性和良好性能、兼容性的可定制的军品级产品。
麒麟信安操作系统已成功应用于国防、政务、能源、金融等国家关键行业和领域;尤其是国防领域,麒麟信安操作系统在机关办公、型号装备、任务调度和指挥系统中有大量应用,得到广泛认可。在航天领域,系统的实时性内核技术和稳定性能得到用户高度认可,目前已推广部署上万余套。
(二)麒麟信安云桌面
麒麟信安云桌面是麒麟信安云计算产品线两大核心产品之一,该产品定位为:在IT架构从“计算机+网络”向“云+端”演进的趋势和背景下,云桌面作为云计算在用户终端侧的典型应用模式,以其云计算特征、IT资源高效利用、原生网络安全保密、集中高效运维管理,逐步替代传统PC机建设模式。
麒麟信安云桌面系统以麒麟信安操作系统为开发研制、运行的国产自主可控根平台,采用KVM(Kernel-based Virtual Monitor)虚拟化技术,对虚拟化管理层组件Hypervisor做深度安全加固;融合VDI(虚拟桌面架构)和IDV(智能桌面虚拟化)桌面虚拟化2类技术路线,能为用户提供一套功能更加强大、完备的桌面虚拟化解决方案。
麒麟信安云桌面系统是目前业界国产化程度最高、国产化支持能力最强的云桌面产品。全面支持鲲鹏、飞腾、龙芯、海光、兆芯、申威等国产 CPU 芯片,可有效支撑 Wintel 架构下的复杂应用向国产平台迁移过渡,且在性能优化、异构混合部署等技术创新方面走在了国内前列。目前已经完全实现了软件底层安全自主可控、软件代码自主可控、应用生态体系自主可控、系统建设和保障自主可控。
麒麟信安云桌面系统安全性高,通过信息安全测评认证中心认证,获得相应证书。该产品能够有效应对以往面临的多重网络安全风险问题,包括:终端分散不易管理、数据流转不受控、违规联网事件难以杜绝、网内应用程序难监管、管理安全不可控等。在全军开展的安全检查中,该云桌面经多次通过四级安全保密检测。
麒麟信安云桌面在国防领域得到大量推广运用。截至目前,麒麟信安云桌面系统在国防领域累计已安装近百套,单套系统最大用户规模已超5000节点,形成了云桌面模式的机关办公、指挥系统、科研办公应用等多种云桌面解决方案。
(三)麒麟信安轻量级云平台
麒麟信安云平台是麒麟信安云计算产品线另一核心产品,该产品定位为:面向国防单位的中小型私有云计算服务场景,基于国产自主可控CPU算力平台,构建数据中心服务云,聚焦核心功能、降低建设成本、简化运维复杂度。该产品已通过国家保密局测评认证。
麒麟信安云平台是基于麒麟信安操作系统及KVM虚拟化架构开发的适合中小规模应用需求的云平台管理系统。麒麟信安云平台基于“软件定义数据中心”的设计理念,采用“一云多芯”架构,可依托多种国产自主CPU架构处理器(X86、飞腾、鲲鹏、龙芯、申威等),向上层应用提供不同算力的支持,向下可以提供统一的异构管理的能力,可以根据需求,提供不同类型的计算资源服务,实现对不同架构CPU处理器进行集中调度管理,获得更灵活的、快速的业务部署、管理及实现价值。
麒麟信安云平台采用模块化、可插拔的设计理念,向用户提供按需使用、易于管理、动态高效、灵活扩展、运行稳定、安全可靠的新一代云平台系统,能够为机关办公系统、科研系统、教育训练等各类业务系统提供运行环境、运行资源、运维管理支撑。
麒麟信安云平台广泛运用于国防、党政等行业用户,在国防领域的网络化安全云办公、训练、综合信息服务、各类业务应用服务均有项目落地应用。能够为推进信息系统国产化、信创产业发展提供了一种全新、高效的解决思路,助力推进国防领域信息产业云化转型。
(四)麒麟信安超融合一体机
麒麟信安超融合一体机是一套软硬件一体集成、一体优化的云计算平台,由麒麟信安自主研发,对传统服务器硬件配置进行优化配置。该产品融合了计算、存储、网络、虚拟化功能的云计算节点,在超融合的硬件平台上,融合内置麒麟信安云操作系统和麒麟信安云平台系统软件,采用分布式存储引擎、虚拟化管理平台、虚拟网络交换等关键技术,实现了软硬件基础架构的高度整合。面向用户提供桌面虚拟机、服务器虚拟机等云计算服务。用户使用云终端去访问和连接超融合一体机上的云桌面虚拟机,并为用户提供一流的使用体验,给管理员极简的管理运维方式。
该产品有效解决了云桌面系统部署周期长、实施复杂及软硬件适配等问题。具备开箱即用、上线“零”周期、无缝横向拓展的能力,具有性价比高、部署快速、安全自主、稳定可靠等特点。该产品已全面兼容适配X86和飞腾、鲲鹏、海光、龙芯等国产CPU架构,适用于桌面虚拟化、服务器虚拟化、应用虚拟化等技术场景,能够为军事职业教育应用场景提供功能全面、交付快捷的云计算解决方案,目前已经在多个相关项目中得到落地应用。
(五)麒麟信安云终端
麒麟信安云终端是麒麟信安超融合一体机不可或缺的配套产品,采用自研的远程桌面访问协议UDAP建立用户与麒麟信安超融合一体机上桌面虚拟机之间的交互连接,部署于用户办公席位上,连接显示器、鼠标、键盘灯外设,并通过网络接口接入局域网以访问超融合一体机。
麒麟信安云终端具备全面安全保护、可靠连接、简化部署、简化部署、性能优异等4方面的特性。麒麟信安云终端内置军用麒麟信安安全操作系统(嵌入式定制版)作为终端的基础运行环境,针对军队安全保密要求进行了安全加固,针对运行要求对操作系统进行了深度裁剪,精简不必要的运行服务和可能带来安全风险的端口,提升终端运行效率和安全能力。目前该产品形成了飞腾、龙芯、兆芯等多个产品型号,满足各种场景下终端国产化、接口等方面的需求。
云终端外观图
(六)麒麟信安保综系统
麒麟信安保综系统是在国防领域深度推进信息系统国产自主可控建设进程的背景下,参研的新一代安全保密系统。该系统是主要为安全办公和业务信息系统中的各类涉密计算机终端提供终端安全管控、电子文件全生命周期管理、电子文件集中加密存储,以及文件打印、复印、刻录、导出等行为监管功能,是对当前安全保密系统的整合完善,以及国产化升级重构。
保综系统依托国产自主可控软硬件部署和运行,采用C/S架构,可为全国产自主可控终端和系统提供全方位、多层面的安全保密保障,是实现信息系统国产化不可或缺的重要组成部分。
在部署和应用于自主可控PC计算机终端的基础上,麒麟信安保综系统在业界首先完成了与云计算技术紧密融合,可部署和运行于国产云桌面系统之上,结合云桌面原生的安全保密能力,进一步提升用户端系统的安全保密能力。
三、核心关键技术
(一)一云多芯
“一云多芯”技术是麒麟信安在2020年“中美贸易战”大背景下,攻克并发布的一项云计算关键技术。当时,国家在推进国产化项目建设过程中,普遍面临着大量存量windows应用软件迁移困难、两台电脑并存窘境、软件应用生态不完善、海量硬件外设因缺乏驱动难继续利用等多方面的难题和挑战。在此背景下,麒麟信安围绕信息创新产业发展和用户需求,运用其在自主操作系统和云计算领域的深厚积累,创新攻关,攻克并发布了“一云多芯”技术。该技术以云桌面为技术架构,聚焦在云上构建异构算力集群、实现用户端的自主化和轻量化,能够在一个集群内混合部署鲲鹏、龙芯、飞腾、海光、兆芯等多类自主CPU服务器;基于自主CPU的虚拟化能力,向用户推送麒麟信安、统信等自主桌面操作系统;在用户端,全面支持各类自主CPU终端整机和云终端。该技术实现了X86 CPU与自主异构CPU混合部署能力,具备统一调度、统一服务、统一纳管的能力。“一云多芯”多操作系统同步推送,解决了过渡期Windows存量应用问题,其“一机多用、灵活切花”能力,接了两台电脑并存问题;多款国产CPU芯片异构部署,可为用户国产化演进路线提供多种选择;终端“零”运维,有效释放运维管理压力。
麒麟信安“一云多芯”技术架构
“一云多芯”技术已经在多个国防领域项目实践中得到了落地和验证,效果良好,得到了项目用户的广泛认可。从2020年起,连续荣获首届信创“鼎信杯”信息技术应用创新优秀解决方案、2020 年信息技术应用创新解决方案典型案例、2020 年信创安全优秀解决方案、2021 年网信自主创新优秀解决方案等多个重要奖项。
(二)融合虚拟化
针对行业应用需求,麒麟信安创新性地将服务器虚拟化、桌面虚拟化和应用虚拟化3类主流虚拟化功能通过麒麟信安云中合而为一。麒麟信安云融合虚拟化,是在当今信息化建设发展趋势下为满足数据中心大集中整合思路而形成集服务器虚拟化、桌面虚拟化、应用虚拟化三种虚拟化技术路线于一体的,并实现资源异构条件下平台、生态、场景等多形态融合的关键技术和解决方案。该技术能够基于一套硬件、一套软件,构建一个服务集群,同时提供服务器虚拟机、桌面虚拟机和应用虚拟化服务,实现资源异构条件下平台、生态、场景等多形态融合,为用户提供一揽子的云计算服务解决方案。
麒麟信安云融合虚拟化涵盖虚拟化层融合和管理平台融合。虚拟化层融合,向下实现了硬件设备统一管理,屏蔽物理硬件,向上对桌面虚拟化、服务器虚拟化和应用虚拟化提供统一的虚拟资源。管理平台融合,在一个WEB管理平台下,实现对不同类型的虚拟机、应用发布、资源、用户等进行统一管理。
麒麟信安“融合虚拟化”技术架构
四、系统部署
基于麒麟信安云桌面超融合一体机等基础设施,构建麒麟信安云服务基础设施,实现一套云管理平台能同时提供服务器虚拟化、桌面虚拟化、应用虚拟化服务,面向业务应用发布服务器虚拟机,面向用户分发桌面虚拟机,从而简化部署架构,实现软硬件应用环境的快速部署、快速切换和快速还原,提升运维效率。
(一)数据中心
针对各单位业务应用系统和用户规模实际,在机房部署若干台麒麟信安超融合一体机,采用分布式架构构建服务集群,提供服务器虚拟化、桌面虚拟化、应用虚拟化服务,可根据用户单位实际选用服务模块。麒麟信安超融合一体机内置Hypervisor和麒麟信安云软件,并与硬件模块深度集成优化,实现虚拟化性能、硬件兼容性、管理型最佳融合。麒麟信安超融合一体机支持飞腾、鲲鹏、申威、海光、兆芯等多类CPU架构,可实现混合部署。可根据业务需求,增配GPU显卡,以显卡虚拟化、显卡直通等方式,满足高清显示、3D图像处理等使用需求。
(二)用户端
在用户侧,部署麒麟信安云终端,通过局域网络访问数据中心超融合一体机上的虚拟机资源。麒麟信安云终端内置国产麒麟信安操作系统(根据云终端轻载计算需求,实施深度裁剪优化)和麒麟信安云桌面客户端功能软件,针对不同业务流程从操作系统内核、核心库、云终端程序等层面进行性能优化,充分发挥硬件能力,用户体验流畅。麒麟信安云终端采用一体化交付,配置服务地址即可投入使用,入网后可以通过管理平台进行集中管理和维护,极大简化了部署和维护操作。麒麟信安云终端国产化程度高、产品成熟稳定,除X86架构外,还支持多款自主可控CPU,包括龙芯、飞腾、兆芯、海光等国产芯片。种类丰富的各型终端能够满足不同场景的使用需求。
五、方案特点
(一)融桌面虚拟化和服务器虚拟化于一体,支持异构融合
为满足国内关键系统软件国产化的需求,麒麟信安服务器虚拟化软件支持包括X86、ARM、MIPS、LoogARC、Alpha多种硬件架构,可支持在一套环境下同时存在多种架构的物理硬件,并对混合架构的环境使用同一个管理界面进行管理。
(二)超融合架构,利于平滑扩容和集中管理
采用超融合基础架构(Hyper-Converged Infrastructure,或简称“HCI”),支持在同一套单元设备中不仅具备计算、网络、存储和服务器虚拟化等资源和技术,而且还包括缓存加速、备份、快照、迁移技术等元素, 支持多个节点可以通过网络聚合起来,实现模块化的无缝横向扩展(scale-out),形成统一的资源池,解决了传统架构应用扩展困难、管理困难、高可靠需高投入等问题。
(三)多维度安全保障
采用分层式安全设计,层与层之间设计相应的安全措施。云底座基于麒麟信安云操作系统定制,通过操作系统底层的自定义加固策略,如root防登入、密码错误锁定、操作审计等保证系统底层的安全性。通过虚拟化技术保证虚拟机之间的计算、存储、网络之间的安全隔离,支持对管理平台操作及虚拟机访问的安全审计,同时支持对管理平台的基于策略的访问控制。在数据的安全性上,引入了虚拟机数据备份和恢复、虚拟机快照及恢复技术,另外支持存储数据的多副本冗余技术,保证数据的安全性。
(四)精简轻量,利于建设和运维管理
麒麟信安服务器虚拟化集成硬件、操作系统和软件于一体,管理员通过WEB图形化快速搭建虚拟化系统。相对于公有云大云功能繁多、操作复杂、运营困难、所需集群规模庞大而言,麒麟信安云专注于用户核心需求,将核心功能提炼,并简化用户的运营成本,易于用户维护,起步成本低。
(五)高可靠冗余设计,稳定性高
麒麟信安云解决方案在架构设计上采用了高可用的分布式架构,可积木式横向扩展集群节点;管理平台做到主备冗余,保证管理层无单点故障;在计算集群维度增加了高可用的设计架构,引入虚拟机的热迁移技术、快照技术,在多层次上保证平台的稳定性、数据安全性;同时,可为用户数据提供更高要求的存储及容灾方案。
(六)生态丰富,有效支撑国产化建设和过渡演进
通过麒麟信安轻量级云底座支持X86和Non-X86混合异构部署,实现Wintel存量应用与Non-X86生态应用融合运行,极大减轻管理员的运营负担。支持推送Non-X86平台上的各种Linux发行版,包括各类国产Linux发行版以及《军队自主可控名录》内的操作系统。
六、关于我们
湖南麒麟信安科技股份有限公司(简称“麒麟信安”)基于多年来在云计算、国产操作系统、安全保密等领域的成果积累,以及国产化项目中的探索研究,围绕当前信息系统国产自主可控建设进程,与业内友商协作,联合打造了“麒麟信安全栈国产化云平台”解决档案,为国防单位构建信息化国产云服务体系基座,广泛服务于国防各类专业业务系统、职业教育等场景。