区域教育数字化发展研究|苗 玲:区域教育管理信息系统迁移政务云实践与思考
2023-06-27 来源: 浏览次数:0
摘 要: 为充分发挥政务云集约化作用,提升系统运行环境,促进数据共享开放,全国各地陆续实施政务信息系统云上建设或迁移,许多省市级教育管理信息系统也迫切需要实施迁移工作。系统迁移是一项庞大工程,过程复杂、涉及面广、风险点多,需要完善的技术方案支撑和精细化的部署实施。以天津教育管理信息系统成功批量迁移政务云为例,通过论述系统迁移工作必须经过前期调研、难点分析、方案设计、部署实施等关键步骤,详细介绍了实际迁移过程,提出系统迁移应该重点关注集中规划、风险控制、安全防护、项目管理等环节,以期为相关系统迁移工作提供借鉴。
关键词: 区域教育;教育管理信息化;信息系统;系统迁移;系统集约化;政务云
中图分类号: TP399;G434
文献标志码: B
文章编号: 1673-8454(2023)04-0086-06
作者简介: 苗玲,天津市大数据管理中心高级工程师,硕士(天津300221)
一、引言
《教育部关于加强新时代教育管理信息化工作的通知》中提出,要转变管理理念、创新管理方式、提高管理效率,支撑教育决策、管理和服务,推进教育治理现代化的进程。现有管理信息系统运行多年,系统需要优化完善,同时系统也面临基础设施支撑环境老化的问题。为了避免基础设施重复建设,提升系统运行环境,实现信息系统集中运维和安全防护,为新时代系统深度整合和数据共享提供更好的技术基础,区域教育管理信息系统云上迁移部署成为现阶段工作重点。
二、迁移背景
(一)教育管理信息系统现状
近年来,我国教育管理信息化得到长足发展,教育部陆续开展国家教育管理信息系统建设工作。按照“两级建设、五级应用”模式,教育部在各省市部署了学前学生管理、中小学学生管理、中职学校学生管理、学生资助管理、教师管理、校舍管理等6大业务应用系统,以及数据交换共享平台、应用支撑服务平台、基础数据库等3大公共支撑平台,同时为系统提供了异地灾备。根据教育管理信息化整体要求,各省市也自主建设了若干通用系统和特色系统。
(二)区域教育数据中心现状
为了承载教育管理信息系统,按照《国家教育管理公共服务平台省级数据中心建设指南》的要求,各省市在2012年至2015年间扩建省级教育数据中心。经过长时间运行,各省市教育数据中心基础设备逐渐老化,电力、空调、网络、服务器、存储设备故障频发,系统资源紧张,安全防护不足。
(三)区域政务云现状
经过多年发展,我国政务云建设取得了显著成效。国家层面,国家电子政务外网政务云平台已经为中央政务部门 30 余项业务系统部署提供了统一、安全、按需使用的基础设施环境及技术支撑服务。地方层面,据《中国政务云发展白皮书2018》数据显示,2017 年,我国 31 个省级行政区(不包括港澳台)中,有 30 个省级行政区已经建有或正在建设(完成招标)政务云,占比超九成。可以说,政务云已经成为各地发展电子政务的“标配”。
(四)区域政务系统部署新要求
新时代数据政务、智慧城市建设发展更加迫切要求电子政务信息系统集约化部署、系统协同、数据整合共享。各省市积极推动市级部门现有政务信息系统向政务云平台迁移。与此同时,也明确开始不再支持行政部门、事业单位新建或升级改造行业数据中心。
三、迁移调研及难点分析
(一)迁移系统调研
教育管理信息系统建设时间不同,部署方式和技术架构存在很大差异,要保证迁移成功,必须要对系统应用、数据、部署环境等现有情况进行调研、整理、分析。主要内容如表1所示。
表1 教育管理信息系统情况
(二)迁移难点分析
1.系统间集成度高
各省市教育管理信息系统建设,严格遵照《国家教育管理信息系统建设总体方案》,省市自建教育管理信息系统与教育部在各省市部署的业务应用系统、公共支撑平台实现系统整合。应用支撑服务平台为各业务系统提供账号管理;数据交换平台为部、省两级部署的系统及省市、区外部相关系统提供数据交换服务;基础库为各系统间提供数据共享服务;业务系统对部、省两级之间进行内部关联;业务系统之间实现数据共享,同时也向省市级数据共享交换平台、业务管理系统和区级教育管理平台提供教育数据。因此,系统之间关联紧密,相互制约、相互影响。上下级系统间、系统与系统间都存在关联关系,各系统间也存在数据交互,系统的任何变更都将影响与之通讯的其他业务系统,还会影响到中央级系统、其他省级系统、数据交换和异地灾备。上述特点决定了区域教育管理信息系统不可能单一系统独立迁移上云。此外,系统多、数据多、应用节点多,也给迁移工作带来一定的风险。
2.系统支撑平台多样
按照教育部统一部署,部省教育数据中心均是VMware虚拟化环境,系统应用节点和数据库节点均部署在此环境下。现今,区域政务云平台大多为华为、曙光等云平台,其基础环境有所不同。另外,各教育管理信息系统建设时间不同,操作系统、数据库、中间件类型和版本应用也不同,在迁移中需要解决各种适配问题。
3.系统应用实效性强
教育管理信息系统服务于日常教育教学管理,意外或长时间停机对业务应用影响很大。数据迁移发生故障或迁移未按时完成等都可能会影响业务系统正常运行。业务系统最长允许中断时间是迁移工作需要重点考虑的因素。多个系统同时迁移,时间规划更难。
4.系统迁移协调难度大
系统迁移是一个庞大的系统工程,涉及面广,牵涉部省两级系统运维管理部门、业务应用部门、系统开发厂商、运维技术团队、政务云提供商,需要各单位业务管理、网络管理、计算资源管理、存储管理、系统管理、安全管理等各方面专业技术人员参与。涉及单位多,技术人员广,沟通协调复杂。
四、迁移方案设计
基于教育管理信息系统的特点,经过反复分析研究,在政务云上创建与现有教育数据中心相同的内网环境,将集成度高的系统一次性迁移部署上云,系统调试成功后集中切换上线是目前最为高效和稳妥的方案。
(一)网络规划
网络出口配置决定系统访问效力,教育管理信息系统受众为广大教育用户,网络出口需要侧重于用户快速访问。另外,系统需要与教育部系统数据同步、与省市数据平台交换数据、实现教育系统异地灾备,政务云必须配置多个虚拟专用网络。政务云平台操作系统底层合理规划计算资源池,在保证计算资源充足的条件下,可以考虑为教育管理系统分配独立的物理主机节点,提供独立的计算资源。
(二)虚拟机迁移
政务云上划拨独立的物理主机节点,部署教育管理系统的虚拟机,配置与原系统相同的计算资源、存储资源,保障系统稳定性和可靠性。系统迁移主要采用V2V模式,运用云平台业务系统迁移软件在线迁移。对于迁移软件无法兼容的特殊节点,则采用重新部署安装的方式。
(三)数据迁移
数据迁移采用在线传输和线下拷贝相结合的方式。通过数据同步工具将系统挂载的网络附属存储(NAS)进行数据同步。对于操作系统和数据库版本不变的系统,直接通过数据库备份和恢复的方式进行迁移。对于数据库版本升级的系统,将数据库文件导出,并通过人工的方式挂载至云平台设备进行数据导入,保障了系统关键数据的可用性及完整性。
(四)调整变更
对于版本较低的支撑软件,借系统迁移之机,可以在系统开发原厂测试确认可升级的情况下,进行操作系统、数据库系统等的版本升级。对于由于客观环境造成的必须变更的网络、安全等配置进行最小化调整。
(五)云安全部署
教育管理信息系统中存有大量个人信息,系统上云部署的同时,必须基于关键基础设施安全保护、信息系统等级保护、重要数据和个人信息保护的要求,部署系统安全防护、监测和审计保障。
五、天津教育系统迁移实践
2018年,天津以推行电子政务、建设智慧城市、推动“政务一网通”改革等为抓手,加快构建全市政务信息资源共享体系,成立市大数据管理中心,统筹数据资源管理和基础支撑平台建设,建成全市政务信息资源统一共享交换平台。随后,按照“云服务商投资建设,政府统一购买服务”的方式,建设可满足各市级政务部门信息化系统需求的政务云,提供统一的虚拟主机、存储等服务,实现计算资源、存储资源、服务支撑、安全保障等共性基础设施的集约共享,为各部门电子政务公共服务应用提供了“按需、动态、可靠、高效”的基础硬件支撑服务和运维保障。2021年,天津启动教育管理信息系统向政务云迁移工作。2022年2月,天津主要的教育管理信息系统成功上云,开始正式运行。
(一)迁移实施过程
为了减小对全市教育业务工作的影响,最终确定迁移工作分为三个阶段:迁移准备、正式迁移、割接上线。迁移准备和正式迁移阶段,原有系统正常对外应用,割接上线阶段限制系统使用。迁移准备阶段,完成教育网接入政务云,测试教育数据中心与政务云网络连通性,配置网络安全相关策略、云资源、安装操作系统和迁移工具,进行应用和数据库迁移测试,实施系统与数据备份。正式迁移阶段,在原有系统不停机的情况下,完成所有系统应用节点与数据迁移、迁移验证、安全部署、业务检查。割接上线阶段,限制原有系统应用,数据再次同步,系统割接、业务检查、上线试运行及开展日常运维。
(二)技术实现
天津教育管理信息系统部署有300余台虚拟机,存有近100T的数据,最终经过多次讨论确定系统迁移实施方案,按照完备的技术方案快捷、有序、安全地迁移上云,保障系统应用的连续性、安全性。系统迁移后的部署如图1所示。网络出口方面,天津教育科研网两条链路接入政务云互联网区的互联网出口处,一条用于教育用户快速访问,另一条配置IPSec VPN,用于与教育部系统数据同步和系统异地灾备。系统部署的政务云互联网区,通过网闸与天津政务外网连通,用于数据推送至政务外网区的天津数据交换平台。政务云平台为教育管理系统分配独立的物理主机节点,提供独立的计算资源,系统节点配置原有内网IP地址,配置与原系统相同的计算资源、存储资源,保障系统迁移中的稳定性和可靠性。天津政务云平台划分不同子网,通过访问控制列表(ACL)将教育管理信息系统与其他委办局系统隔离,同时划分单独的网络安全区域,在安全域中规划不同子域,采用不同等级的安全策略,保障各系统之间网络安全隔离,系统虚拟化节点间安全隔离、访问策略限制。云上系统定期进行系统和数据备份,实时部署云防火墙、漏洞扫描、云堡垒机、Web应用防火墙、网页防篡改、数据库审计、日志审计、云服务器杀毒等安全防护。
图1 教育管理信息系统云端部署图
六、对系统迁移的思考
天津教育管理信息系统原有建设部署是省市标准配置,其成功迁移模式对其他同行也具有一定的参考价值。
(一)保证集中规划实施
区域教育管理信息系统之间关联性强、集成度高,系统迁移必须统筹规划、集中实施。如果采用分批陆续上云的方案,不仅会破坏系统间数据与接口的互通互联,需要精准全面的配置修改,而且在系统运行过程中,还需要在原数据中心与政务云之间架设相关的数据通道,数据安全性与数据一致性方面存在一定的风险,也很难保证逐个上云系统部署成功。
(二)突出迁移风险控制
迁移测试期间,记录各环节用时情况,科学计算各阶段的工作时长,兼顾系统应用业务期,合理制定迁移工作时间表。多系统迁移,一定要选择在各系统业务量小的窗口期进行迁移,减小对系统使用的影响。系统在线迁移过程中,必须随时关注系统资源损耗情况。若发现整机资源,如CPU使用率达到较高上限(70%)时,应停止迁移,查找原因,以保障业务运行。一旦发现生产机资源占用过高,应立刻关闭迁移工作,等待非工作时间再进行迁移操作。
迁移工作全面开展之前,利用一个较为独立的系统进行全过程迁移测试是迁移工作成功完成的重要基础。迁移测试包括:系统安装测试、虚拟机节点和数据库迁移测试、数据库裸金属服务器与虚拟化节点间网络测试、数据库RAC测试、系统功能测试等。简单的IP地址配置错误,就可能带来巨大的影响。因此,系统迁移前期应进行充分的梳理调研。迁移过程中,建立配置核查机制,避免配置错误出现。迁移后的系统测试和数据比对必须到位。测试云主机和裸金属服务器,检查服务运行情况以及配置权限是否正确;对应用系统进行运行环境检测、数据完整性验证、功能验证、性能测试和稳定性测试等。
(三)强化迁移项目管理
系统迁移,特别是多系统同时迁移,是一个复杂的系统工程,必须借鉴和采用工程项目管理,详细计划、精心组织、周密部署、协调实施。需成立专业的工作团队,建立明确的工作机制,随时召开专题讨论会,建立基于应用系统的横向和纵向沟通交流机制。迁移过程中也要严格控制时间进度,避免因某个环节进度滞后影响后续实施,严重拖延整个项目进度。日志是验证数据迁移工作有效性和发现问题的重要事项。在系统迁移过程中,打开所有的审计日志记录,详尽记录各种迁移日志。迁移工作结束后,马上进行日志分类归档。完整的迁移日志和项目档案可为后续运维和故障排查提供技术基础。
(四)落实安全防护措施
系统迁移各个环节均需密切关注人员安全、数据安全、系统安全。各方参与人员签署保密协议,进行安全教育。实施过程中,每个环节要安排操作人员和审核人员,做好工作记录,保证迁移中每一步操作可回退。数据迁移期间,利用迁移软件的加密机制,确保数据在传输过程中不会被截取,保证迁移过程的安全。迁移完毕,主机及系统漏洞扫描修复,部署各项安全防护,及时进行系统应用和数据备份。