SDPaaS云平臺架構及其關鍵技術研究

中興通訊技術,2012,18(6):52~55

屠要峰,黃震江,陳心哲

中興通訊股份有限公司業務研究院，江蘇南京 210012

摘要： 文章提出了SDPaaS云平臺的解決方案，該平臺是電信SDP和云計算PaaS的融合。SDPaaS云平臺針對ICT網絡融合的大環境，在支持第三方開發人員快速開發和交付業務的基礎上，進一步實現了業務自動部署和托管運行、專業化集中式維護等功能。該方案是對傳統電信增值業務交付方案的一種拓展，為創建良好的社會化增值服務創新的生態環境提供了必需的技術支撐。

關鍵詞： 業務創新云計算 SDPaaS

Abstract：

Key words :

業務交付平臺(SDP)是電信設備提供商為電信運營商提供的增值業務解決方案，用于第三方基于平臺快速進行增值業務的開發和交付。該平臺提供從業務開發、執行、測試、部署和管理等各個階段的完整解決方案，對外開放電信業務能力，并支持與第三方的系統或應用的對接和集成。SDP在電信領域已經是一個比較成熟的產品，它吸引了大批的業務提供商(SP)和專業開發團隊基于平臺所開放的業務能力應用程序編程接口(API)來開發豐富的增值業務。然而，基于SDP的業務交付方案是一種電信領域內的專業性行為，對平臺的使用人員而言，有其必需的專業性要求，而普通的個人開發者或非專業人員難以參與其中。在服務社會化的今天，這種高門檻的要求也限制了SDP平臺所能產生的價值^[1-2]。

云計算技術^[3-5]的發展和成熟，為SDP平臺的優化提供了新的思路。云計算技術以服務為理念，提供了3種不同層次上的服務：基礎設施即服務(IaaS)^[6-7]、平臺服務(PaaS)和軟件即服務(SaaS)^[8-9]。其中，PaaS將軟件計算與業務能力進行抽象，形成通用的API，對外提供服務接口，而且還支持應用的托管式集中部署和運行，在降低業務開發難度的同時降低了服務提供的成本。目前，公有PaaS云平臺在技術上和商業模式上已逐步成熟，google的GAE^[10]和新浪的SAE是其中的典型代表。

電信SDP和云計算PaaS平臺的構建目標是一致的，即開放能力服務，提供應用開發和執行環境，提高應用開發效率，縮短應用上線時間。另一方面，PaaS平臺具備存儲與計算能力開放接口、應用托管、應用實例彈性可擴展等特征的服務模式和理念，這使得SDP和PaaS的結合變得尤為必要，并且形成了一種電信域增值業務交付的新方案，即SDPaaS云平臺。

SDPaaS云平臺是電信SDP和云計算PaaS的融合，是在傳統SDP的技術基礎上，結合云計算的技術特性，以服務為理念而實現的新的解決方案。它針對信息通信技術(ICT)網絡融合的大環境，在支持第三方開發人員快速開發和交付業務的基礎上，進一步實現了業務自動部署和托管運行、專業化集中式維護等功能，是對傳統電信增值業務交付方案的一種拓展，為創建良好的電信增值業務生態環境提供了必需的技術支撐。

1SDPaaS云平臺系統架構

SDPaaS云平臺構建的主旨是提供一種社會化的平臺服務，使得專業的增值業務開發團隊和普通開發者都能基于平臺進行ICT融合服務的創新，并降低服務創新的難度及服務創新的成本。圖1為SDPaaS云平臺的總體架構，該方案采用松耦合、組件化的理念設計。

BSS：業務支撐系統

OSS：運營支撐系統

SLA：服務等級協議

圖1 SDPaaS云平臺系統架構圖

SDPaaS云平臺主要由開發者社區、應用開發測試環境、應用執行環境、資源匯聚網關、能力引擎、托管環境和管理平臺七大部分組成，該平臺可以為應用開發者(AP)提供應用開發、測試、發布、運維相關的資源和服務，同時支持資源提供者(RP)接入新的能力資源到SDPaaS平臺中。

SDPaaS云平臺可以靈活部署，和IaaS沒有必然的依賴關系。SDPaaS可以部署在IaaS提供的設備之上，此時利用IaaS的設備管理能力可以實現底層設備資源的管理，也可以直接部署在物理設備上，由SDPaaS本身實現對底層設備的管理功能。當然，基于虛擬化技術的應用托管可以有效降低應用托管的成本。

(1) 開發者社區

開發者社區一方面可以讓應用開發者學習如何開發應用、獲取相關資源等；另一方面，應用開發者可以將自己開發出來的應用通過運營商的發布渠道進行銷售，而開發者社區提供相應的自助服務功能。

開發者社區主要包括開發者注冊、能力超市、資源下載、應用發布管理和論壇等功能。

(2) 應用開發測試環境

SDPaaS應用開發環境滿足應用開發者簡易快速地完成應用邏輯生成、編譯的功能要求，業務開發環境有離線業務開發環境和在線業務開發環境兩種。從應用種類上講，SDPaaS應用開發環境可以支持系統類的應用，也可以支持移動終端上的應用，例如Android應用。

● 在線業務開發環境

應用開發者可通過Web頁面在線進行應用開發，無需安裝客戶端環境。在線業務開發環境主要用于以創意為主并且應用邏輯簡單的應用開發，比如功能相對簡單的融合應用或者基于內容聚合的移動應用。它主要面向對程序語言不太熟悉的開發者，并且對開發者的技能沒有太高要求。

● 離線業務開發環境

應用開發者需要下載并安裝客戶端環境，對開發者有一定的硬件配置要求。對于應用邏輯復雜、功能要求復雜的應用，特別是需要開發者自行擴展較多組件的應用，可以使用離線的業務開發環境來開發。離線業務開發環境主要面向熟悉編程語言的專業開發者。

離線業務開發環境提供圖形化的開發界面和軟件開發工具包(SDK)，開發者可以根據自己的使用習慣選擇使用圖形化的開發界面，或者基于SDK進行應用開發。

應用測試環境(STE)提供業務模擬測試環境，應用開發者可以進行端到端的模擬測試，并可以查看應用模擬運行結果。

(3) 應用執行環境

應用執行環境負責提供應用運行所必需的容器或沙箱，它是應用運行時的環境，也是應用隔離的實現保證。第三方應用的執行或者二次編排的組合能力的執行，都需要應用執行環境進行控制和檢測，并將應用的運行狀態和資源使用情況等參數上報給管理平臺。

應用執行環境根據應用的種類分為java應用執行環境、dotnet應用執行環境以及基于SOA中間件的應用執行環境。應用執行環境可以運行在物理機上，也可以運行在虛擬化平臺提供的虛擬機之上。

(4) 資源匯聚網關

資源匯聚網關負責封裝能力引擎所提供的能力服務接口，并以通用的服務接口方式暴露出來，它為應用開發者提供統一的開放接口。資源匯聚網關可匯聚電信能力、互聯網能力，并提供開發工具供開發者編排出新的能力。

資源匯聚網關上匯聚的能力可以動態擴展。資源提供者可通過管理平臺提交新的資源接口，并通過審核的資源將自動加載到資源匯聚網關上，這樣便可實現動態加載，且不會影響現有能力資源和應用的運行。

資源匯聚網關是能力調用的入口，它可以在管理平臺的配合下，由資源匯聚網關負責對能力調用的請求進行認證、鑒權和計費。

(5) 能力引擎

能力引擎負責平臺所提供的能力的實現。對于傳統的電信業務能力，能力引擎負責電信業務能力的適配，并通過與多種電信網元按照標準的電信協議進行交互，從而實現電信業務能力。對于互聯網業務能力、IT能力和其他的業務能力，能力引擎的主要作用是接口適配。當然，對于接口已經是Webservice等通用形式的能力，也可以不需要能力引擎的適配，直接由資源匯聚網關進行集成。

(6) 管理平臺

管理平臺提供SDPaaS云的管理門戶和后臺管理服務，包括AP管理、RP管理、工作流管理、資源管理和簽約管理等功能，實現了應用從提交、審核、部署到發布全生命周期的管理，

管理平臺還負責向開發者社區、應用開發測試環境、應用執行環境和資源匯聚網關同步數據，開發出的應用可以通過管理平臺發布到應用商店。

此外，管理平臺需要和業務支撐系統(BSS)/運營支撐系統(OSS)、應用商店等外部網元進行交互，以便實現網管、計費、應用交易等功能。

(7) 托管環境

應用托管環境是應用部署和運行的物理環境。在應用測試完畢后，開發者可以根據應用運行的實際需要申請應用部署所需的資源和服務，包括需要部署的應用實例數量、應用實例的動態調整策略和應用的生命周期等。審批通過后，系統根據應用的類型和所需要的執行環境，自動打包并生成應用的虛擬機模板（即鏡像文件），并加載到虛擬機中并完成啟動。通過這些簡單方便的操作，就可以用最快的速度完成應用的部署并即刻開始提供服務。當然，如果是通用的業務運行環境，應用托管系統也可以預先準備好應用模板，再通過應用開發者加載應用的開發包到模板之中，這樣以來應用部署的時間將進一步縮短。

2SDPaaS云平臺關鍵技術及其解決方案

SDPaaS云平臺是傳統電信域能力開放與云計算技術的結合，主要涵蓋了以下關鍵技術。

2.1 能力集成與開放

服務能力集成與開放是云平臺服務需要解決的關鍵問題之一。SDPaaS平臺需要對外提供包括電信能力、互聯網能力和IT能力在內的多種能力服務接口，并實現參數封裝與映射、接口鑒權、SLA控制、消息路由和資源有效性監控等功能，從技術實現上講，需要重點考慮以下內容：

(1) 接口封裝與適配

接口封裝基于面向服務的體系結構(SOA)架構，并采用互聯網通用的接口服務形式，提供基于簡單對象訪問協議(SOAP)的Webservice和RESTful Webservice等多種形式，從實現語言的角度，支持java、C和Android等多種編程語言。

(2) 接口鑒權

應用在調用資源匯聚網關能力接口時，平臺需要根據應用所攜帶的信息，如資源的應用標志(APPID)和開發者標志(APID)等對接口調用進行鑒權和認證，判斷應用是否有權限來使用相應的能力資源。

(3) SLA控制

SLA控制是平臺即服務的一個重要特征，它允許不同的應用申請不同水平的服務策略（能力許可、流量控制）。平臺則會根據這些策略對應用的接入請求進行控制，并確保業務能力調用的服務質量。對于違反SLA中規定的請求予以拒絕，并返回對應的異常錯誤代碼，并記錄日志。

(4) 消息路由

注冊到平臺的能力接口，有從網絡側發起的上行消息，也有從應用側發起的下行請求，平臺需要根據該消息類型和接口規范來實現消息的分發和路由。同時，在存在多個能力引擎的情況下，還需要根據一定的路由策略實現下行消息的分發。

(5) 資源有效性監控

平臺需要對能力資源的狀態進行監控，當對能力引擎的調用出現連續異常，且次數超過系統配置值時，資源匯聚網關會向管理平臺上報該資源異常。資源異常的情況包括：資源響應時長超過警界值、資源無法連接等。

(6) 能力編排

平臺需要提供可視化的能力編排工具，該工具能夠將多種下層網元提供的能力接口按照一定的邏輯進行編排，形成一種新的能力，進行接口封裝后，可將新能力對外開放。

2.2應用隔離

應用隔離是應用執行環境安全運行的關鍵，對于非信任域內的第三方應用，需要確保某一個應用運行時故障不會引起整個系統出現故障。應用隔離的實現方案主要有3種：虛擬機隔離、容器隔離和應用實例隔離。

(1) 虛擬機隔離

虛擬機隔離功能，即一個應用獨占一個虛擬機，每個虛擬機上安裝獨立的應用執行環境。應用部署時，系統根據應用類型從虛擬機資源池中獲取對應的虛擬機及應用執行環境，并將應用安裝在虛擬機上。

虛擬機部署的優點是應用隔離比較徹底，應用之間相互不影響，比較安全。但是對于移動互聯網應用來說，大部分是小眾應用，如果一個應用獨占一個虛擬機，則會消耗大量的虛擬機資源，成本較高。因此虛擬機隔離適合于有大量并發用戶訪問的應用。

(2) 容器隔離

容器隔離是以應用運行的容器為單位來進行應用隔離的，一個應用獨立部署在一個容器中，一個虛擬機或者一臺物理機上可以部署多個容器。容器隔離方案的缺點是無法給某一容器分配或者限定資源，只能對容器所消耗的資源進行監控，一旦發現某一容器占用的資源達到指定閾值，就執行既定的策略（比如殺掉該容器進程），但這樣會中斷業務，影響用戶體驗。和虛擬機隔離方式相比，容器隔離對資源的消耗相對較低。但是，該方案在物理上還是要占用較多的內存、CPU等系統資源。

(3) 應用實例隔離

應用實例隔離是指在一個應用運行的容器中部署多個應用，每個應用的實例運行在一個獨立的沙箱中，由沙箱對應用運行時的安全進行控制，如圖2所示。

圖2 應用實例隔離

應用實例隔離方案具有以下特點：

● 進程內隔離

虛擬機上安裝一個或多個容器，其中一個容器就是一個獨立的進程。應用部署在容器內的沙箱中，應用實例的運行安全則由沙箱去保證。這種隔離方式是進程內的隔離，占用系統資源最少。同時，采用沙箱技術也可以控制單個應用實例對資源的占用。

開放服務網關協議(OSGI)^[8]是解決應用實例隔離的方案之一，其缺點是目前只能針對java應用。Google為了解決跨平臺的瀏覽器插件隔離問題，還提出了NACL的解決方案，但是這些技術都有它們的局限性。

● 資源訪問控制

在容器內部署多個相同或不同的應用實例，通過類加載白名單機制對應用可訪問資源進行控制，應用不能訪問系統內部的資源文件，只能訪問其自身應用的資源文件和類文件。該方案還禁止應用對某些關鍵系統資源（如本地存儲、線程、網絡等）的訪問，在屏蔽這些系統資源調用的同時，也必須為應用提供必須的替代功能，這也是GAE、SAE等提供分布式存儲、任務隊列等計算和存儲能力暴露接口的原因之一。

2.3 彈性伸縮與調度

SDPaaS云平臺可以在兩個層面實現彈性伸縮調度。

(1) 硬件基礎設施層面。SDPaaS云平臺通過與IaaS的整合，使系統具有IaaS所擁有的虛擬化計算與存儲服務能力。SDPaaS與IaaS的整合需要虛擬化平臺暴露相關的接口，主要包括創建虛擬機、啟動虛擬機、關閉虛擬機、刪除虛擬機和狀體上報等5類接口。

(2) SDPaas層面。SDPaaS云平臺可以在一個虛擬機上部署多個應用實例，通過進程級別的監控來識別每個應用的CPU/內存使用情況，并根據每個應用的CPU/內存使用情況進行應用級別的動態伸縮。也就是說，監控程序監控各個應用實例的運行參數，當某一單實例應用的性能出現瓶頸時，監控程序可以通過復制一個新的應用實例的方式來提高處理性能；在業務性能指標要求下降時，可以通過動態減少應用實例的方式來節省資源。

2.4 負載均衡與域名轉換

SDPaaS需要實現動態的應用請求二級域名轉換和負載均衡，以便支持應用的動態加載、即時服務。SDPaaS在功能實現上可以基于Apache或者NGINX等開源軟件。同時，考慮到應用請求接入協議多樣，負載均衡設備需要支持四層交換、七層交換、GSLB等功能。作為系統最前端，負載均衡還要盡可能解決接入安全等問題，并提供攻擊防護、流量控制、腳本檢測等功能，幫助應用解決性能、擴展性、可靠性、安全性問題。

在應用部署時，通過接口動態更新負載均衡設備的配置策略，可以實現應用的二級域名地址到虛擬機IP地址的映射轉換，并可以動態分發請求。當一個應用部署到多個虛擬機時，還可以起到負載均衡器的作用，如圖3所示。

IAG：智能業務網關

圖3 負載均衡的實現

3 SDPaaS云平臺的應用場景

SDPaaS云平臺目前已經有3種商用的應用場景，分別是能力開放平臺、企業應用數據中心和應用工廠，每種應用場景都有自己的側重點。

(1) 能力開放平臺

SDPaaS云平臺接入各種電信能力、互聯網能力及其它能力，并提供能力開放服務。電信能力包括短信能力、彩信能力、wappush能力、數據類能力、IP多媒體子系統(IMS) 能力以及定位能力等。互聯網能力主要有股票行情查詢能力、航班查詢能力等互聯網上開放出來的能力。開發者也可以通過能力編排，創新出新的能力，并作為服務開放出去。

(2) 企業應用數據中心

對于中小企業或專業開發者，開發出的服務端應用需要托管到互聯網數據中心(IDC)機房，不僅費用高昂，而且技術要求高、調試運維難。SDPaaS云平臺底層可以基于IaaS平臺，而計算能力、存儲能力和網絡能力等可以由SDPaaS云平臺統一監控、管理，自動具有彈性伸縮、按需分配和故障遷移等云計算特性。中小企業開或者專業開發者可以直接將自己的應用托管在SDPaaS云上，構建企業私有的應用數據中心(ADC)。

(3) 應用工廠

SDPaaS云平臺提供了應用開發環境、應用執行環境、應用仿真測試環境，并為應用的開發、測試、部署提供完整的生命周期管理，開發者基于平臺可以方便地開發、測試、部署自己的應用。開發出來的應用既可以托管在SDPaaS云平臺，又可以快捷地放到運營商的應用商店里銷售，從而形成“前店后廠”的模式。

4 結束語

作為促進電信和互聯網“長尾”業務模式快速發展的重要手段之一，能力開放平臺的發展得到了全球產業界的廣泛關注。我們在長期增值業務平臺技術實踐的基礎上，通過吸收、消化互聯網和云計算技術，創造性地提出了SDPaaS這一具有云計算特性的融合業務開放平臺并付諸研發實踐。以SDPaaS平臺提供了完整的端到端產品解決方案，是電信運營商向移動互聯網轉型的嘗試，也是電信設備商從傳統的賣產品向賣服務的戰略轉型的嘗試。