一、 引言
由于信息技术的飞速发展,电视台内部存在大量的IT应用系统,各个系统在实际应用当中不能交互数据,形成了所谓的“信息孤岛”。
随着电视台业务的越来越复杂,必须对现有的各个系统进行整合,让这些分开的资源和系统处于统一管理和调配之下,使各个系统能够相互通信并产生整体IT业务流程,使电视台的生产环境从“局部优化”提升到“整体优化”阶段,从而达到提高经营和管理水平,增强电视台的竞争和发展能力。
IT应用系统集成技术经历了“点对点集成方法”、“企业应用集成EAI(Enterprise
Application Integration)中间件集成方法”和“企业服务总线ESB(Enterprise
Service Bus)”三个阶段。为解决EAI中间件技术集成方法中所存在的实施困难、单点失效和性能瓶颈等问题,可采用基于企业级面向服务的框架(Enterprise
SOA),通过ESB实现对机构各应用系统之间的业务流程进行跨系统整合,从而实现各个业务系统能够相互通信,产生跨系统业务流程。采用基于SOA的架构来建设电视制播以及相关IT应用系统已经成为业内共识,本文关注如何理解SOA概念并形成一套合理的构建方法。本文是《广东电视台的信息化发展规划和推进措施》工作小组工作的一部分[1]。
二、 SOA框架简介
SOA(Service-Oriented Architecture)是一种面向服务的软件系统架构模型。
SOA 最主要的应用场合在于解决在网络环境下的不同商业应用之间的业务集成问题。在网络环境下由于大量异构系统并存,不同计算机硬件工作方式不同,操作系统不同、编程语言也不同,各个系统之间无法通信,使得系统集成非常艰难。SOA架构以松耦合性,位置透明性以及协议无关性等一些典型特性来解决异构系统之间的集成问题。
图1 SOA框架图
SOA 集成系统中的功能模块如图1所示[4],可以分为五层及两个底层功能层:第一层就是系统已经存在的资源,例如制作和媒资系统等。第二层就是组件层,在这一层中我们用不同的组件把底层系统的功能封装起来,形成服务组件,以供上层调用。第三层就是SOA系统中最重要的服务层,在这层中我们要用底层功能组件来构建我们所需要的不同功能的服务。SOA中的服务可以被映射成具体系统中的任何功能模块。在服务层之上的第四层就是业务流程层,在这一层中我们利用已经封装好的各种服务来构建业务流程。在业务流程层之上的就是第五层表示层了,利用表示层来向用户提供用户服务。以上这五层都需要有一个集成的环境来支持它们的运行,底层功能层的企业服务总线(ESB)提供了这个功能。基础框架服务主要为整个
SOA 系统提供一些辅助的功能,例如QoS,安全管理等一系列辅助功能。
图2 基于SOA的应用系统集成框架
对于一个集成系统来说,良好的体系结构将会使开发结构清晰,基于SOA设计的EAI框架如图2所示,分为资源/服务层、业务层和应用层。
资源层:包括电视台内部的软硬件资源、各种信息和管理系统等都属于资源层,用于支撑整个电视台的正常运作的各种应用系统;
服务层:利用开放的标准和协议将进入集成平台的资源进行封装,屏蔽资源的异构性,以统一的调用结构为业务层提供服务;
业务层:对所有应用服务实现控制,负责服务的注册、发布以及查询;将相应的数据、服务聚集在全局业务流程中;通过业务管理系统将电视台业务流程、工作流程与底层服务关联;实现消息路由以及消息转换等。其最终目的是为了对平台服务信息进行统一管理,实现全局的信息共享以及数据交换;
应用层:即Web客户端和企业的各种应用程序,可以是企业内部资源,也可以是互联网上的个人用户,手持设备等。
通过这些 SOA 架构所具有的特性我们可以看到,SOA 架构的出现为电视台多异构系统集成提供了更加灵活的构建方式,如果基于
SOA 来构建集成系统架构,就可以从底层架构的级别来保证整个系统的松耦合性以及灵活性,这都为未来全台业务逻辑的扩展打好了基础。
三、 基于SOA的电视台网络业务应用系统架构
电视台各个业务系统互联交互时,除了解决基本的控制信息通讯外,还需要解决媒体数据的交互与传输。由于媒体数据在文件大小、网络中的传输时间上均要远远高于其他行业数据,为此引入了媒体服务总线EMB(Enterprise
Service Bus),专用于媒体数据的传输和控制。因此可采用基于SOA体系架构的ESB+EMB的双总线互联架构[2]。如图3所示:
图3 基于SOA双总线电视台网络应用系统集成总体架构
这种架构采用了面向服务设计理念,通过对各类网络系统业务流程进行业务功能分析,将各业务系统能够对外提供功能服务的模块提炼、抽象、封装为服务和接口。双总线包括企业服务总线(ESB)和企业媒体总线(EMB),分别用作元数据和媒体文件的传输,是SOA思想在电视台全台网设计中的发展和具体实现。
业务支撑平台是集成架构的核心,由企业服务总线(ESB)、媒体服务总线(EMB)、公共服务、系统监控组成,实现各业务系统在业务支撑平台的集成,数据的交换和路由,流程的管理和控制,实现全台业务系统的统一管理和互联互通。
ESB(Enterprise Service Bus):实现服务注册与管理、服务查找与调用、协议转换、消息路由、技术标准的适配器、流程定义、流程控制和监管等技术功能和实现;
EMB(Enterprise Media Bus):媒体数据的交换中心,所有板块间的媒体数据交换都通过EMB进行,并由ESB来统一调度,从而向各业务系统提供统一的资源访问服务。这些交换过程是可管理、可监控的,能够对它们进行全局的任务分配和调度;
公共服务:由统一认证、业务系统配置等功能模块及全局任务调度服务、工作流引擎服务、消息服务、迁移服务等通用公共服务组成;
系统监控:业务支撑平台应具备管理监控功能,包括基础网络管理和业务运行管理两部分。基础网络管理用于对网络设备和服务器的管理,业务运行管理用于对业务支撑平台的服务管理及跨系统业务流程的监控。
各网络业务系统通过服务接口实现与业务支撑平台的信息交互,在业务支撑平台的支持下,通过ESB中的调度服务,实现对EMB中迁移服务器的调度和控制,从而实现媒体文件的迁移、传输,最终完成网络业务系统之间的互联、互通和互操作,其最大特点是保证业务系统之间的松散耦合、位置透明和协议无关,体现SOA设计思想,在保证业务支撑平台稳定的基础上,为各业务系统提供最大的业务灵活性。
基于SOA双总线互联集成架构强化各网络业务应用系统的内部封装,实现高内聚、低耦合,任何板块的变更都不会影响到其他板块,新板块接入也无需对已有板块进行改造,连接复杂度低,易于管理,可以轻松应对业务服务变化、发展的需要。该架构适用于业务规模较大、异构系统较多、流程复杂多变的电视台网。
基础支撑平台包括网络架构、存储架构、网络安全、网络管理的实现,为各业务板块的互联互通提供数据传输链路、路由、访问控制等功能[2]。
四、 基于SOA电视台业务支撑平台的构建
1、 电视台业务支撑平台的实现
由于电视台已经部署并使用了多个制播业务系统,系统结构多样,对全台网络系统的实施、各系统之间互相连通、数据交换的需求量等方面的要求都很高。针对上述特点,电视台业务支撑平台在方案设计时应从系统的整体考虑,并结合长远规划,选择以总线架构为基础的业务支撑平台,以满足对系统数据交换、开放性、扩展性等方面的系统需求。
业务支撑平台采用基于SOA框架的企业服务总线(ESB)和媒体服务总线(EMB)构成,其整体架构可用图4来表示[1]。
图4 电视台业务支撑平台框架
在业务支撑平台中,ESB和EMB协同工作,配合完成交换任务。各个业务系统将提供的服务在ESB注册,业务系统调用在ESB注册的服务来完成业务。对ESB而言,EMB同业务系统一样将暴露的服务注册在ESB上,这样可以有效利用ESB的流程定义、服务管理等各种功能,并能够对全台业务流程进行建模、编排、优化、管理和监控等。
集成的各个应用系统应将各自分立的用户信息统一起来,实现用户统一管理、认证和授权,因此业务支撑平台加入了统一认证服务模块,以支持业务支撑平台的用户统一管理、统一认证及授权,并支持各个集成系统的单点登陆。
ESB和EMB及统一认证共同组成业务支撑平台,业务支撑平台必须能够对整个支撑的安全运行进行监控,以提高系统的安全性。
EMB的主要组成部分是EMB Manager和EMB Actor。EMB Manager是企业媒体总线的管理中心,负责媒体资源、交换任务及消息接口的管理;EMB
Actor是在EMB Manager的控制下,完成媒体资源交换任务的实际工作单元。各业务系统的存储资源统一注册挂接于EMB,EMB支持FC挂接和IP挂接,系统之间的媒体数据交换都通过EMB实现;各业务系统和EMB将暴露的服务统一注册于ESB,各系统需要调用其它系统服务时,通过ESB调用并获得响应,ESB支持流程定义,支持将各业务系统和EMB提供的服务组合成新的服务。
2、ESB部署问题
企业服务总线(ESB)通常被描述为由中间件技术实现并支持SOA的一组基础架构功能。ESB支持异构环境中的服务、消息,以及基于事件的交互,并且具有适当的服务级别和可管理性。在支撑平台中,ESB的主要处理对象为媒体元数据和业务控制信息。ESB总线主要完成的功能有服务注册、服务查找与调用、协议适配、消息路由、服务流程定义、部署和管理工具。在电视台信息业务中,由于长期以来对业务安全的考虑,制播生产业务和信息管理业务相对独立,存在整合的要求,这就带来对ESB部署方式的讨论[1]。
2.1 全台统一的ESB
如图5所示,所有系统都向同一个面向全台统一ESB注册。这种方式结构简明,能提高系统总体效率,但生产系统和综合信息管理系统的相互影响较大,若整合能力不足,将使得系统建设存在较大的风险。
图5 生产系统和综合信息管理系统ESB总线的关系1
2.2 双ESB部署
制编播系统和EMB将需要通过业务支撑平台实现的服务统一注册于面向业务系统的ESB,各系统需要调用媒体数据交换服务时,通过此ESB调用并获得响应,由EMB进行传输。而业务管理系统则需注册于面向业务管理的ESB。面向业务管理系统的ESB作为全台ESB总线的一条分支,使得各业务系统间的媒体数据交换业务与其他业务分割相对清晰;业务支撑平台能够独立完成交换任务,实现对所有交换处理的媒体资源的集中管理和调度,实现对所有媒体资源交换处理过程的集中监控;面向业务系统的ESB与EMB相对紧耦合,可以使交换效率相对提高。
在这种模式中可以独立进行面向节目生产业务系统的ESB部署,在时机成熟后考虑双ESB的整合。
图6 生产系统和综合信息管理系统ESB总线的关系2
3、业务流程管理
实现业务流程管理是基于SOA的电视台业务支撑平台的重要内容。业务流程是由一系列在逻辑上相关的任务或者服务组成,若根据恰当的顺序和正确的业务规则来执行这些任务,便可产生业务效果。业务接口及业务流程是业务支撑平台的核心内容,流程的编排和管理方式决定了如何来构建这样一个平台。
在业务支撑平台中,可以考虑下述业务组织和编排方式,或者混合的组织和编排方式。
3.1 由各个子系统组织业务流程
在此种方案中,业务流程直接在子系统中运行。在多系统互连平台当中,如果子系统对外部服务调用较少,而且业务功能大部分属于本系统的角色,则可以使用此方案,其结构如图7所示。有时采用直接编程的方式也不失为一个好方法,特别是对于那些非常简单的或者关注效率的合成服务。如果流程属于子系统的业务范畴,则应当使用此方案,比如制作系统调用媒资系统的下载服务,媒体文件下载后还有在制作系统进行转码及文件格式转换。
图7 子系统组织流程
流程在子系统运行有利于分散系统风险。但也存在着明显的不足:业务流程逻辑是深嵌在应用程序代码当中,业务流程需要直接访问下层的业务应用,使得两者之间耦合紧密,造成系统复杂而且脆弱,而且不利于对业务流程的监控和管理[3]。
3.2 由ESB组织业务流程
对于全台网络互联业务流程,特别是跨多系统服务调用的流程,应该由ESB来组织和管理。
ESB提供了很好的业务流程执行语言WS-BPEL。
图8 ESB组织流程
WS-BPEL既可以定义编制(称为可执行流程),又可用于定义编排(称为抽象流程)。在可执行流程中,编制定义了要执行的各项具体任务,以及完成业务流程所需调用的各个服务。在抽象流成中,编排详细说明了双方或者多方的公共信息交换,编排是不可执行的,它没有定义流程的内部细节。编排的接口是由流程中的所有接受和回复活动定义的。
一般来说,以编制为中心的方法更松耦合一些。如果流程中包含跨越管理和机构的部门,那么内部流程的同步将是比较困难的;但是定义和确定合作者之间的业务协议又是很重要的[3]。
3.3 管理业务流程——业务流程管理系统(BPMS)
当系统存在大量业务及复杂的业务交互时,就需要引入业务流程管理系统。业务流程管理更加注重流程的识别、建模、开发、部署和管理业务流程,并关注业务流程的优化和改进。
转向面向服务的架构(SOA)和Web服务,将加入一个服务层。服务层包含针对特定业务领域的业务运行服务、可重用于多个业务领域的可重用技术服务和Web服务平台。服务层的引入为业务流程层和BPMS提供了理想的平台。基于ESB的业务管理系统更加灵活机动,能够提高整个IT系统的运营效率。
图9 BPMS组织管理流程
一个完整的BPMS系统应包含流程建模、流程执行、流程及业务活动监控、基础设施等。BPMS从早期的工作流系统开始,一直发展到现在的Web服务编制和编排系统。BPMS能够减少业务需求与系统间的失配,使业务流程自动化和流畅化,提高电视台机构对业务变动的机动性和灵活性[3]。
对于后期节目生产管理系统,可以建立在BPMS之上,以节目生产管理及制播一体化的全台性整体业务流程来驱动服务的调用。
4、统一认证服务
由于集成的各个业务系统已经拥有了各自的用户信息和权限信息,各个系统的用户使用业务支撑平台提供的服务在权限分配上容易造成混乱,也会带来用户及权限信息的冗余,因此需要一个专门的系统来对业务支撑平台的用户及权限进行统一管理,进行全台的统一身份认证。
统一身份认证的主要思想是在现有网络系统的基础上,通过制定相应的集中认证技术规范,实现一个以目录为核心的管理框架,由一个全台范围内惟一的认证服务系统接管各应用系统的认证模块,各应用系统只需遵循统一认证服务调用接口即可实现用户身份的认证过程。
当我们构建统一认证系统框架时,首先要解决的几个问题:
身份信息的统一存储
用户身份认证服务
业务支撑平台服务权限的统一管理
图10 ESB服务调用统一认证服务
统一认证服务系统和ESB的关系如图10所示,互联平台通过ESB Gateway将ESB和其他集成系统隔离起来,形成系统信任区。当其他系统要调用ESB提供的服务时,ESB
Gateway拦截其SOAP消息,发送至统一认证服务器对其进行相应的用户及权限验证,保障了业务系统对ESB的安全可靠访问。
图11 统一认证及单点登录框架
在具体实践过程中,可以采用Portal技术来构建全台综合信息服务门户网站,以集成全台基于B/S结构的Web应用系统,而对于已有的基于C/S结构的系统,则可以基于SOA集成,创建认证代理,从而实现对已有系统的认证服务的改造,如图11所示。
对于Web访问方式,用户首先登录综合信息服务门户网站,用户通过向Portal提供身份信息,Portal传递用户信息到认证中心进行用户身份验证,通过验证获得授权票据,通过授权票据,可以访问具有权限的Web应用系统。Portal平台通过Web的方式对外提供SSO(Single
Sign On,单点登录)的登录、注销、验证服务以及全局会话管理、用户安全信息管理等。
对于WebService访问方式,则可以通过ESB Gateway对SOAP对象进行拦截,对于未认证用户则调用统一认证服务来验证用户的权限。
对于新建系统的权限认证则可以直接调用统一认证服务接口,作为新应用的认证授权模块。统一认证服务主要由基于目录服务的用户管理LDAP服务器、认证服务器、权限数据库及单点登录模块构成。
5、基于支撑平台数据交换的实现
根据各个应用系统的业务需求,涉及到大量的数据交换业务。ESB后台流程调度采用BPEL规范,通过工作流引擎实现了对外部系统的交互调用;EMB的任务是通过ESB发起的,ESB通过预先定义的流程模型,设定的某个流程节点通过EMB接口生成数据迁移任务;EMB
Actor在具体数据迁移中可以以IP方式或者FC方式进行读写。
其具体实现模式可用图12表示:
图12 基于支撑平台的数据交换
6、业务支撑平台提供的服务
业务支撑平台对外提供的服务有三大类,包括流程组合相关服务、功能性服务和辅助类的服务。
流程组合相关服务是业务支撑平台将各系统注册在平台上的服务组织为业务流程后,对应的流程启动服务接口。这些服务包括入库提交服务、下载提交服务、交换共享服务等。
入库提交服务:媒体文件所在系统主动调用该服务,使媒体文件入库到接收节目的系统中。
下载提交服务:需要接收媒体文件的系统主动调用该服务,从媒体文件所在系统下载。
功能性服务包括转码服务、MD5校验服务等。
转码服务:在进行文件迁移时,根据源和目标的格式要求,调用这个服务,增加转码任务。
MD5校验服务:平台调用这个服务增加MD5验证任务。
辅助类服务包括查询任务进度服务、资源注册服务、服务的注册修改和查找和流程服务等。
查询任务进度服务:各个应用系统可以调用这个服务来获取某个交换任务的进度。
资源注册服务:通过资源服务注册/管理工具,用户可以在平台中新增、修改和删除资源对象。
服务的注册、修改和查找:记录每个业务系统提供的服务的详细信息,以备其它服务消费者使用。
流程服务:满足不同的用户根据需要对业务流程进行规划和定义的需要。各个应用系统可以调用这个服务来获取各自用到的流程。
此外,业务支撑平台还提供协议适配、媒体资源管理、交换任务管理、路由解析等管理型服务或者平台内部功能。
五、存储、基础网络结构及安全
1、存储结构
在电视台网络建设的起步阶段,不同业务域的存储都是各自独立的,但随着互联互通的推进,分散的存储部署会造成路由复杂、大量存储端口需求,使得网络传输和存储效率低下,带宽要求急剧增加,阻碍了网络一体化的实现。基于业务支撑平台,可以考虑统一集中部署存储,对于不同应用的存储在物理和逻辑上可以是相对独立、按实际需求配置,集中、分布相结合,这样便于集中管理,优化路由和存储资源配置,提高资源利用率和效率。对于部分有特殊应用需求的系统,可以考虑采用分散的部署方式。图13是基于上述思路的一个存储结构示意。
图13 存储集中部署的数据中心
图13中在线存储系统采用基于IP和FC SAN混合存储模式,结合了FC SAN存储和IP存储的特点,通过直接接入FC
SAN,为需要高性能、高服务质量的下的存储访问客户端服务器及工作站提供数据访问。同时,在IP层面,部署NAS网关或在客户端安装共享文件系统的LAN
Client,使IP客户端与FC客户端访问访问相同的数据资源。对于系统的在线备份,则可以采用只基于FC
SAN存储模式,这样能够实现多系统的文件数据的高速、可靠的备份。
在线存储系统由制作、媒资、新闻制作等业务系统在线存储,在线存储应急和备份以及其它扩展在线存储组成。上述各个业务系统都可以存在着各自的近线存储,媒资可能还存在离线存储。除特殊业务系统(如播出系统)的存储和服务器以外,其它各系统的存储及服务器都统一部署在数据中心。
2、网络结构
全台网架构中采用基于IP和FC的双网混合式网络结构,各业务系统根据需要采用单网或双网结构,通过万兆链路连接到全台网核心交换机,并针对不同的业务板块采取不同的网络安全设计和管理措施。
2.1 局域网(IP网)
台内局域网采用基于以太网虚拟专用网络来搭建支持多业务的统一的网络基础硬件平台,为台所有在此基础网络平台上运行的业务支撑平台及各网络应用系统提供高效、安全、具备质量保证的基础网络通信保障。该基础网络平台采用VPN(Virtual
Private Network,虚拟专用网络)技术组网并实现各区域同安全级别间的数据交换,以及各不同VPN之间通过相应的访问策略来实现不同区域、不同安全级别之间的数据交换。
台内部网络统一通过防火墙经过高速路由器访问外部广域网,结构可参照图14[1]。在广域网和局域网之间建议设立一个相对封闭的隔离区,它是公共网络和内部网络之间的缓冲区,它的设立,可以在为台内各类业务系统提供安全的网络接入方式,在满足多样化访问需要的基础上,较大程度上有效保护局域网内部资源。所有内部、外部之间的交换需要通过隔离区的各类服务器进行中继。通过隔离区服务器进行内、外系统的安全隔离。能提供更为安全的网络连接保障,同时数据交换效率也可以得到保证。
图14 IP网络结构
隔离区主要提供对外的节目交换业务、邮件、台官方主页、DNS、以及其他业务,比如远程办公、远程节目生产管理等各内网业务系统的远程访问需求。
台内部局域网通过三层交换技术来组建内部以太局域网,通过VPN来划分内部子网,各子网分别属于不同的安全区域,分别有不同的访问策略,有权限访问外部互联网的子网通过隔离区访问外部网络。
三层交换技术是在OSI模型中的第二层数据链路层的交换技术上加上第三层的网络转发技术。采用三层交换技术的网络框架,能够很好的隔离由二层网络引起的广播风暴,为虚拟专用网络提供了基础,从而能够有效地实施安全性控制。并且为各个应用系统内部提供更为便捷的QoS的保障体系,可以提供更灵活的网络连接模式,为各应用系统后台之间提供的直接通路,进行相对高效的数据访问交换,很大程度上避免了二层交换网络架构的技术缺陷,能改善网络整体性能。
网络中心是内部局域网的核心,是内部网络高速交换的主干,对整个内部网络的连通起着至关重要的作用,能够为整个内部网络提供高可靠、高效率、低延时、可容错及能管理的网络安全连通保障。为了保证网络中心网络的高性能和高稳定性,应尽可能的减少网络中心网络设计的复杂性,尽量简化网络中心网络要实现的功能,保证主干链路的畅通。只有在此基础上,才可以保证网络中心核心作用的独立性,为未来网络的发展提供良好的扩展能力。网络中心应该采用高性能高带宽的交换机,并且采用双机热备份,能够实现均衡负载,从而带来高性能的内部以太局域网。
具有功能类似及相同的安全级别的服务器或者终端分别汇聚,划归不同的子网,再接入网络中心。这样既可以减轻网络中心核心设备的负荷,又可以对具有不同安全级别需求的接入实施安全控制。汇聚区的子网具有实施安全策略、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。在网络设计上,尽可能的将网络功能的实施,如路由交换使用、QoS等功能在汇聚层上使用。汇聚层网络的调整主要考虑和网络中心之间的冗余连接,并实现三层交换网络的结构。将路由功能的实现尽量在汇聚层完成,以减少网络中心的压力。
资源接入主要是台内各应用系统服务器和数据库服务器以及资源共享的存储设备,以满足大量客户集中访问各业务系统资源的需求。由于资源接入连接着大量系统设备和数据集中存储设备,并承担着客户端集中访问的巨大压力,其子网系统需要更多的考虑承载能力、高可用性、冗余路由以及数据访问安全等,例如可以对子网交换机实行双机热备份,提高性能和可靠性;对于业务支撑平台所在子网,由于存在大量数据交换业务,可以采用四层交换技术,提高数据交换性能。
终端接入主要是各业务系统的客户端;扩展接入主要是对上级管理机构的网络接入以及未来扩展无线局域网络的接入。
2.2 存域网(FC SAN网)
由于电视台存在大量媒体资源,存储量特别大,所以电视台以存储为中心,最短路径数据交换为基本原则来组建存域网。因此,大型存储网络系统结构适宜考虑三大板块:存储中心、资源接入板块和客户接入板块,各个制作应用系统的存储网络将依托这个架构搭建系统。在各个制作应用系统之间通过业务支撑平台实现信息交换和共享,其结构如图15所示。
收录服务器在执行收录任务时,文件需要在收录服务器本地硬盘中落地一次,本地硬盘作为中心存储的缓存使用。
图15 FC网络结构
其中存储中心主要连接核心存储设备,资源接入板块负责接入各类服务器资源,客户接入板块则面对的是数量众多的制作系统客户端。
存储中心可采用双节点设备以保证核心系统的安全可靠,核心存储设备分别连接两个核心交换机,以保证业务系统的压力分担和保证了业务系统的应用连续性。同时,为了满足大量的客户接入层FC设备接入核心节点FC设备的需要,可以考虑选用端口密度较高的导向器级别核心交换设备。
同时根据各个应用系统内部的需要,采用基于主机端口的原则进行的Zoning划分,减少在一个Zoning内设备的数量,在一定程度上,可以减小单Fabric内各应用设备之间的相互影响,保证系统的相对安全可靠。
3、网络安全
如前所述,由于电视台牵涉到大量的业务应用系统和终端用户,不同的系统和用户具有不同的安全级别要求,根据安全要求来划分不同的子网,对子网所属的安全域实施相应的安全控制。“安全域”是根据信息性质、使用主体、安全目标和策略等的不同来划分的,是具有相近的安全属性需求的网络实体的集合。
对于安全级别要求不同的业务系统,按照业务需求划分不同的业务逻辑区域,每个业务逻辑区域内部依据不同的安全需求将不同的客户端、系统资源划分成不同的逻辑子网。技术上通过划分不同VPN,同时在每个VPN内划分不同的VLAN来实现业务的隔离(例如应用系统客户端和系统资源按照物理位置划分为不同的VLAN,然后按照安全级别归入该业务逻辑子网不同的VPN内,以实施不同的安全策略)。
在实际的实施过程中,可以采用分层次的网络安全体系来划分不同的安全域,如图16所示。按照级别的高低可以考虑以下几个域:
图16 安全域的划分
外部连接域:就是前面的隔离区,主要提供对外的节目交换业务、邮件、台官方主页、DNS、以及其他业务等
综合办公域:日常(内网)业务,同时需与互联网连接的业务
内部交换域:提供台内客户与服务资源之间的各类数据交换业务,如业务支撑平台
业务资源域:内部数据集中存储、管理和提供核心业务,如各制作及新闻制播存储及服务器
播出域
六、结语
由于目前广电系统存在各种网络应用系统及存储结构,加之前几年对于信息化飞速发展,整体规划难以到位,导致了现在的信息化瓶颈的问题,所以实现异构系统之间的通信互访已成为急需解决的问题。
本文介绍了基于SOA框架的广电内部网络应用系统集成架构,提出了一系列基础构建方法,目的是实现电视台应用服务的松散耦合集成,从而使电视台信息化程度扩展到全台业务,形成科学、合理的全台网建设实践。 |