< 首页

区域性融合媒体云平台设计构想

湖北广播电视台 聂长生(总工程师)

中央做出推动传统媒体和新兴媒体融合发展的战略部署后,按照中宣部和湖北省委规划的路线图,湖北广播电视台积极适应媒体格局深刻变化,遵循互联网发展态势和现代传播规律,通过平台化和广电+”双轮驱动战略,再造平台、流程、业务、体系,升级建立主流媒体与人民群众的有效连接,推动传统媒体和新兴媒体融为一体,合而为一

20162月,省委常委会决定,以湖北广电长江云新媒体平台为基础,建设覆盖全省的长江云移动政务新媒体平台。4月,省委办、省政府办印发长江云平台建设方案。5月中,完成移动政务新媒体体系框架设计,7月上旬,完成融合媒体生产体系主体规划。9月,系统一期建设基本到位,长江云融媒体指挥中心建立,全省近百个市州县客户端上线试运行。12月末,融合媒体生产体系基础生产能力框架成型,20171月,部分投入试用。20172月开始,平台整体生产能力陆续在湖北广电移动端和多个主频道、频率上线,指挥调度和移动采编在全省数十个市州县大规模应用,生产模型日趋完善,平台能力输出模式基本成型。

移动政务新媒体平台汇聚了湖北省市州县各级党政部门、新闻媒体、高校、企事业单位等的微博、微信、客户端产品,将舆论引导与意识形态管理平台、政务信息公开与移动政务平台、社会治理和智慧民生服务平台三者融为一体的新闻+ 政务+ 服务体系。

长江云融媒体内容生产体系以媒体内容渠道多样化汇聚、面向全媒体的内容生产策划以及移动化的生产工具和多渠道内容发布为核心业务,是电视、广播内容生产与互联网内容生产全面融合的生产管理平台。该系统面向未来内容云生产,提供多种业务应用工具和技术支撑服务,满足省、市、县三级媒体乃至部分省外媒体融合内容生产的业务需求。

以长江云平台为核心,打造区域性生态级媒体融合云平台,为湖北省各市州县包括电视、广播、报纸、杂志、网站、两微一端、自媒体等各类媒体行业主体提供融合媒体业务平台服务,为全省民众提供全覆盖、全方位的媒体信息服务,已成为当前湖北广电推进媒体融合战略部署、实现自身革新图存的迫切需要。

需求分析

长江云平台的建设是湖北省媒体融合发展的良好开端。未来几年,预计湖北全省的媒体融合发展将呈现纵深发展趋势,这主要体现在两个方面:

媒体融合将从省级层面向市州县级层面更广泛地推进。例如,虽然湖北省台通过长江云的建设运营在平台、流程、业务、体制上形成了较为完善的适应媒体融合发展的体系,但是市州县级广播电视台还未真正起步。市州县级广播电视台的媒体融合建设发展,将是下一阶段全省媒体融合工作的重要组成部分;

媒体融合将从广播电视台向包括杂志、报纸等其他传统媒体单位延伸。如何让省内其他传统媒体在媒体融合时代尽快实现转型发展,也将是下一阶段全省媒体融合的重点工作。

区域性融合媒体云平台的建设为下一步市州县级广播电视台和其他媒体机构的媒体融合发展奠定了完善的技术和业务基础,并与长江云核心平台实现资源、业务和管理层面的互通。

云平台架构分析

区域性融合媒体云平台的总体架构设计需考虑区域内各市州县单位的业务发展情况、现有业务资源分布、现有基础设施环境条件(机房、网络等)、中长期业务发展规划等多方面因素。

基于上述因素的不同考虑,从技术层面上看,区域性融合媒体云平台的建设有两种方式。

1. 集中式专属云架构

集中式融媒专属云建设模式:依托现有的长江云平台,做大规模,以专属云的模式实现区域性融媒云的能力覆盖,同城考虑建设双中心,中心之间具备业务双活部署能力,未来考虑建设异地备份中心,实现业务的异地容灾备份能力。

业务承载重点包括电视、广播、报纸、杂志、网站等全省各类媒体单位,通过远程网络方式进行互联接入,以云服务的模式为其提供融合媒体内容生产、业务运营所需的平台资源。

 

1


集中式专属云平台以集中的资源和业务平台对外提供云服务,媒体机构本地不考虑或较少部署IT 基础设施和业务系统,完全通过逻辑或物理的网络链路集中接入到云平台,按需获取所需媒体服务。

集中式专属云平台建设架构建议采用分布式双活(或多活)+ 灾备的方式,相对于传统两地三中心的模式(三中心即生产数据中心、同城灾备中心、异地灾备中心,此模式下多个数据中心是主备关系,即存在主次,业务部署优先级存在差别,针对灾难的响应与切换周期非常长,RTORPO目标无法实现业务零中断,资源利用率低下,投资回报无法达到预期),分布式双活(或多活)数据中心将融媒云业务分布到多个数据中心,彼此之间并行为融媒云租户提供服务。分布式双活(或多活)包括两大关键特征——分布式和多活,体现出企业级用户在建设与使用数据中心时对资源调度利用和业务部署灵活性的新思路。

所谓分布式,一是指数据中心在机房基础设施、地理空间、计算/存储/网络资源的软硬件部署上是分布而非集中的,满足灾备建设与业务联系的要求,多个DC在建设上可以循序渐进地展开,彼此保持一定的独立性,未来扩容升级可与现有架构保持良好兼容;二是资源调度可以跨越多个数据中心,运维管理可以基于全局,多个数据中心间实现有机结合与资源共享,逻辑上可以视为一个全局的大数据中心。

所谓双活(或多活),一是两个或多个中心之间地位均等,正常模式下协同工作,并行地为业务访问提供服务,实现对资源充分利用,避免一个或两个备份中心处于闲置状态,造成资源与投资浪费。通过资源整合,多活数据中心的服务能力往往双倍甚至数倍于主备数据中心模式;二是在一个数据中心发生故障或灾难的情况下,其他数据中心可以正常运行并对关键业务或全部业务实现接管,达到互为备份的效果,实现用户的故障无感知

多活数据中心带来的优势是显而易见的,但其建设是一个复杂的系统工程,如图2所示。在技术层面,不仅涉及到服务器/虚拟机之间的集群协同,还包括数据的复制与同步,更重要的是涉及到跨数据中心的网络互联互通及分支/Internet用户对DC的访问,数据同步对网络带宽与服务质量的要求、IP地址设置、路由发布控制、网关设计、防火墙状态会话、流量路径规划及迂回控制等技术都是设计上必须要考虑和解决的问题。

 

1


在非技术层面,多活数据中心的建设不仅涵盖数据中心灾备,还要从宏观角度考虑业务系统的分布式部署,此外跨中心的运维协同等内容也对人员组织及流程建设提出更高挑战。

融媒专属云模式的优势在于整体资源利用效率高、业务统一管控简单,不同媒体机构之间的资源和业务共享简单,技术实现简单。不足之处在于媒体机构的日常业务运营将极度依赖中心的多个云平台,一旦专线网络链路故障影响范围较大,会造成专属云上市州电视台租户的新闻节目制作播发的风险;另外,由于媒体机构到中心云平台的链路需要租用,随着业务量特别是高清和4K音视频产品的增长,长途链路带宽资源消耗较大,长期成本开销大,也易成为瓶颈。

2. 分布式分级云架构

分布式分级云平台:部署两级云业务管理平台,中心管理平台实现对所有二级平台业务和资源的统一监控和管理。以现有的长江云为中心平台,在地市按需建设中小规模二级平台,通过广电的宽带传输网实现二级平台到中心平台的连通。

 

1


在分布式分级云平台方式下,湖北广电长江云作为核心平台,各省级媒体单位可通过城域专网链路接入。二级云平台考虑由地市电视台按需建设,各地媒体机构就近接入当地的云平台。两级云平台之间通过长途骨干专网链路互联,实现业务和资源的交互。该方式的优势在于两级云平台分布部署、统一管理;各媒体单位就近接入、服务便捷,整体链路带宽成本相对较低;两级云平台之间互相备份,且资源可灵活调度相互补给,具有更好的整体可靠性和扩展性。不足之处在于各市州台需承担一定的二级云平台系统运行维护工作。

从长期考虑,分布式分级云平台建设方式更适合湖北全省媒体系统的融合发展。长江云在规划之初,就确立了平台化发展战略,以建设区域性生态级媒体融合平台为发展目标,打造面向全台、全省的媒体融合平台。市州二级云平台可视为长江云大平台的延伸,作为市州级的新媒体产品生产管理平台和广电融合媒体制作平台。通过二级云平台的建设,实现各市州县媒体生产的联合策划、统一汇聚、个性制作、独立分发、多屏呈现,从而大幅度提高生产效率、降低制作成本、提升服务能力,有效支撑全省各级各类媒体融合创新业务的快速发展。

云平台总体架构设计

1. 体系架构设计

体系架构设计主要包括两方面,即整体平台的体系结构以及节点体系结构。

1)整体体系结构

针对整体平台的体系结构设计,需要重点考虑统一监管、资源共享和业务互通的要求。为实现整体平台在系统、资源和业务层面上的统一监管,需要实现中心云节点部署的IaaS层管理和运维平台、PaaS&SaaS层管理平台与二级云部署的IaaS层管理和运维平台、PaaS&SaaS层管理平台之间的互通和分级管理。

对于IaaS层业务管理和运维平台,中心平台应可从全局角度对二级平台进行统一的资源用量、性能、告警以及各类IT设备的监控和分析,可从中心平台登录后跳转到二级云平台进行IaaS层业务的操作。

对于PaaSSaaS层业务管理平台,中心平台应具备从全局角度对二级平台PaaS的资源适配、服务调度、流程引擎、公共服务以及SaaS的系统软件、工具软件进行状态监测,并根据权限设定跳转到二级平台进行相应PaaSSaaS层业务的操作。

为实现跨节点的资源共享和业务互通,必须通过广域网链路实现中心平台和各二级平台之间的大二层互联。在单个云平台内,不同的媒体机构或部门(即媒体租户)所分配使用的虚拟业务资源均被划归在逻辑独立的虚拟数据中心(VDC)内,相互之间二层隔离,并通过IaaS云业务管理平台进行管理。对于某些同时在中心平台和二级平台部署了业务资源的媒体租户,需要将两个云平台内的VDC之间二层打通,实现两个VDC内业务系统的互通互访,例如允许中心云平台内VDC内的非编虚机去访问二级云平台内所属VDC内的媒资存储资源。

 

1


2)节点体系结构

当前,湖北广电长江云采用的云平台体系结构遵循IaaSPaaSSaaS三层设计。通过实践,该体系结构可满足移动政务新媒体、广播电视台媒体融合生产等业务的需要。

 

1


该体系结构纵向分为媒体设施服务层(IaaS)、媒体平台服务层(PaaS)和媒体软件服务层(SaaS)。

IaaS层包括计算、存储、网络和安全硬件资源,各类资源的虚拟化系统,IaaS云业务管理平台及北向API接口集,以及与IaaS层对应的云运维管理平台等。

计算资源:可划分为通用 CPU虚拟化服务器、GPU虚拟化服务器、数据库专用服务器、管理系统类服务器等;

存储资源:可划分为虚机镜像和数据库所需的块存储设备、生产制作和媒资系统所需的NAS存储设备、媒资归档所需的NAS或对象存储系统。设备形态上可采用Server SAN或传统IP/FC SAN存储系统;

网络资源:包括物理网络和逻辑网络两个部分;

安全资源:根据各种场景的安全防护需求和防护级别,需部署包括防火墙、入侵防御系统、WEB防火墙、VPN、负载均衡、堡垒机、数据审计和防DDoS系统等,在云内还需要部署NFV形态的安全网元;

虚拟化系统:包括计算虚拟化系统软件、存储虚拟化软件(一般用于分布式Server SAN系统)、基于SDN的网络虚拟化;

●IaaS云业务管理平台:当前主流采用基于OpenStack的云业务管理平台;

●IaaS云运维管理平台:对云平台内的各类IT 设备物理资源、虚拟化后的逻辑资源进行全方位图形化监控管理。

PaaS层架构上,自下而上主要包括资源适配服务子层、资源服务调度子层、服务引擎、公共能力服务子层、运营支撑服务子层和业务集成服务子层以及北向平台开发接口子层。

SaaS层主要包括应用服务产品体系,将传统模式下运行的各种应用软件重新定义成媒体软件服务层下多租户模式的应用,充分利用PaaS IaaS层提供的服务和硬件,实现应用服务可配置、可扩展、网络化、多用户。通过融合媒体云服务门户系统,在门户WEB上提供用户单点登录、身份认证和服务产品的集中呈现。

2. 管理架构设计

融媒分级云平台建设的整体设计需要重点关注以下方面:

统一监管:分布式分级云平台物理上是分散的,逻辑上是统一的;业务上是分散的,管理上是统一的。整个大平台必须在统一监管的原则上进行建设,确保系统、业务、内容的绝对合规和可管可控。统一监管也是推动媒体融合发展,巩固宣传思想文化阵地、壮大主流思想舆论的内在要求。

架构一致:融合媒体云三层架构设计体现了当前云计算主流技术,总体先进合理,二级云平台的建设在系统上应架构一致,规模按需。架构一致是实现中心平台和二级平台管理统一、资源共享、业务互通的基础条件。

资源共享:中心云平台与二级云平台各自部署的业务资源应可实现互联互通,实现跨节点的相互授权调用,实现整体资源利用效率最大化。对最终用户而言,各平台的资源应无差异化,均可按需获取。当二级平台本地业务资源不足时,应可从中心平台获取,反之也应如此。

业务互通:分布式的两级云平台内应在各站点实现包括新闻、政务、民生服务、行业服务等领域的业务互通、合作开发,进而实现业务模式的创新,推动广电+”产业链的发展。

1)省级平台节点

长江云目标之一是打造湖北省最全面最权威信息发布的云稿库,构建全省共享互通的中央厨房,实现跨站点调用、跨区域订阅,丰富各地新媒体的内容并显著提升其品质。省级融媒租户可以通过云平台进行资源的申请和使用。同时,省级云平台也可作为地市云平台的统一资源管理平台,实现对地市云平台的统一纳管。省级云平台提供统一的云门户和云运维门户,各级用户通过省级云平台的门户单点登录,实现对各级云平台的资源管控和运维管理。

2)地市平台节点

地市媒体行业单位作为全省融媒云建设整体规划的一部分,建设新的云平台必须符合上级云平台建设标准。新建的云管理平台必须基于上级云管理平台采用同一架构开发,并能够被纳管到省级云管理平台下,由省级云管理平台统一管理所有主机资源、网络资源、安全资源和存储资源。地市新建的融媒云平台将通过省级的云管理平台申请本地融媒云资源,构建自己的融媒云中心,并在自建的融媒云中心内管理和部署自己的应用系统。地市融媒云的基础运维管理由本单位负责,省级云管理平台可实现对地市云资源分配和使用情况的监管。

如果地市媒体单位已建有融媒云中心,并部署了云管理平台,则需要进行接口的对接和功能开发或改造,以实现省级云管理平台与地市媒体单位的云管理平台的对接,并间接实现资源的纳管。纳管后,地市融媒单位将可通过省级的云管理平台申请本地资源,构建自己的融媒云中心,并在自有融媒云中心内管理和部署自己的应用系统。

3. 平台安全架构设计

融合媒体云设计需要通过界定各系统的重要性和安全风险等级,然后根据不同的保护等级,从网络、主机、应用系统等不同层面逐步建设由网络与信息安全基础设施(如防火墙、入侵防御、防病毒、账号管理以及相应的控制端等)、安全集中管理系统或者它们的一部分构成的多层立体防护体系,提高对网络攻击、病毒入侵、网络窃密的防范能力,防止有害信息传播,保证业务网络和支撑系统的安全运行。

整个云计算的安全体系设计由被动防御与主动防御两部分组成,涵盖基础层安全、服务层安全、应用层安全以及统一安全管理。IaaS层安全设计需考虑等保要求和实际业务需求,兼顾云边界安全和内部安全。

云边界安全:考虑到未来业务系统访问模式,在安全的前提下,设计实现互联网出口与融媒云之间安全可控的访问。

融媒云内安全:融媒云安全需求包含租户间安全和租户内安全。云平台承载不同租户业务,租户之间必须形成安全高效的隔离环境,以保证租户间形成安全边界。租户内部大二层网络内部虚拟机之间东西向流量同样有安全隔离的需要。

终端安全:办公终端包括PC以及越来越多的移动终端,需要保证终端的安全可靠接入,终端需要经过认证授权方可接入到网络,访问网络的过程中可监控终端的行为。

云主机安全:云主机是业务的重要承载体,云主机会面临操作系统层面的漏洞攻击、主机层面的攻击,需要在云主机上面部署安全保护机制,保证云主机的安全。

云安全管理:融媒云的综合安全会部署一系列网络层、应用层安全设备,需要有一套管理软件能够收集日志,比如NAT日志、告警日志,能够将网络中的安全事件以图形化的报表形式展现;另外需要有堡垒机来记录管理员对设备进行的各种命令操作,保证设备的运维安全;需要有主动防御机制,部署一套漏扫软件,由管理员定期对网络里面的系统、WEB服务器、数据库等进行扫描,主动发现各种漏洞。

1)业务分区分域

遵循国家安全等级规范要求,在云计算数据中心各安全域(互联网接入区,DMZ 服务器区,核心生产区,核心交换区,内部互联区,开发测试区,办公终端区,维护管理区等)之间采用相应的安全防护手段进行有效隔离,并对各安全域进行有效整理和归并,减少接口数量,提高安全域的规范性。

 

1


2)安全防护要求

满足公安部和国家信息中心对云计算的相关安全建设规范和安全等级保护要求,基于等保的云安全解决方案由数据中心基础安全防御、多区域安全服务、安全管理三个部分组成。基础安全部分包括基本的互联网接入区和DMZ服务器区防护;融媒云的建设中涉及内部服务器区域进行云化改造,涉及内部服务器区与其他区域之间的隔离与互联;应用优化系统包括负载均衡设备。多业务安全服务设备包括精细化DDOS/WEB防护服务,虚拟防火墙/虚拟IPS服务,IPsec VPN/SSL VPN服务,安全事件通知和安全报表订购服务组成,具体实现如下:

需要提供VFW云防火墙满足多区域云安全防护需求;

需要提供LB针对DMZ服务器区、内部服务器区的服务器负载均衡以及互联网接入区的链路负载均衡;

需要提供IPSFWweb应用防火墙、防DDOS对外网访问流量进行安全控制;

针对不同的安全区域内部虚拟机数据提供防火墙、LBIPS等安全防护;

针对云平台架构中的所有网元设备进行安全管理及安全审计。

结束语

响应党中央媒体融合的战略部署,在湖北省委、省政府高度重视下,湖北广播电视台积极适应媒体格局深刻变化,通过分析媒体行业汇聚、生产、发布等各个环节的特性,并从长远发展考虑,采用分布式分级云平台建设方向,符合湖北全省媒体系统的融合发展需求。省中心节点与地市节点通过专线互通,实现全省联合策划、统一汇聚、个性制作、独立分发、多屏呈现,将大幅度提高生产效率、降低制作成本、提升服务能力,有效支撑全省各级各类媒体融合创新业务的快速发展。