复旦大学搭建混合云架构的高校知识管理平台

文/刘百祥 尧玉恒 张凯 赵泽宇 宓詠



复旦大学搭建混合云架构的高校知识管理平台

文/刘百祥 尧玉恒 张凯 赵泽宇 宓詠

高校知识管理平台

随着移动设备的普及、社交网络兴起，知识管理的对象和手段都已发生变更，知识管理的IT基础环境也已经得到较大的改善。各种知识管理工具开始从单机增加云端支持、增加跨终端的理念，体现随时随地组织管理信息、知识的能力。

虽然在企业中知识管理的理念已经逐步开始推行，但是在高校环境中知识管理理念相对较为欠缺，IT基础设施支持偏弱，而在实际场景中相对依赖于个人、团队中某些特定个体的喜好来进行知识管理，相比互联网环境有较大差距。

现状

传统高校信息化系统建设处理关注于高校的具体业务，关注于办公、教学工作等实际业务流程，较少考虑从用户日常实际教学科研工作、学习等角度的信息化需求。而随着信息化建设逐渐覆盖大部分校园业务，校园信息化建设也开始转变面向用户，提供平台化、个性化的信息化服务。在早期建设过程中，高校信息化部门也尝试建设一些互联网风格的知识管理工具，如Wiki、校园知识库、类似百度知道的问答平台等，但是由于此类系统需要大基数的用户支持，在校园环境中很难得到有效推行，短时间推广可以取得成果，长时间运行后用户会逐渐淡出，导致此类系统形同虚设。随着云存储服务的盛行，部分学校也开始提供类似的个人文件存储服务，但是仅仅停留在个人和较弱的团队功能，还没有关注到信息、知识层面。

校园个体用户的知识管理多以个人喜好为导向，遵循个人工作学习中总结的知识管理风格和模式，用户已经基本熟练运用个人电脑，大部分会利用互联网上的知识工具。校园中团队的知识管理风格则受到其中某个特定用户的喜好影响，由个人风格导引全团队进行知识管理，缺少统一的标准和保管模式，资料分布在不同样的互联网环境中，一致性和安全性都无法得到保障。但由于高校用户学习能力较强，部分用户会跟踪并利用先进的知识管理工具并引入所在团队。用户IT基础能力较差时，知识管理和分享会依赖于用户间传播，通常是电子邮件和文件复制的方式，缺少跟踪。对于最不熟悉IT系统的教师，以公开密码的公众邮箱来传递文件和课程信息也常常出现在实际环境中，近年来有所好转但仍时有出现。

表1　知识管理平台的主要功能

高校知识管理平台设计

功能需求

高校知识管理平台实现对知识的信息管理和内容管理，前者是对知识的外在特征进行管理，包括知识资源的介质载体、媒体格式、资产特性等，后者是对知识资源的内在特性进行管理。知识信息管理的价值在于让用户更方便、更快捷、更多地发现和获取数字资源，知识内容管理的价值在于促进隐性知识转化为显性的学习内容，并且使学习内容体系化，从而减少学习成本。

在知识创造、管理和传播的过程中，需要知识管理平台提供两个网络，即知识资源网络和知识社交网络，资源网络能为其知识创造提供信息，社交网络能为其知识传播提供帮助。知识资源网络和知识社交网络相互协作共同构成SoLoMo（社区化、本地化、移动化）时期的知识管理与传播环境，知识资源网络关注资源及其关系，知识社交网络关注用户及其关系，知识资源网络为知识社交网络提供知识，满足用户随时随地发现与获取资源；知识社交网络则为用户提供隐性知识显性化场所，从而将极大地丰富知识资源网络的内容，使知识内容更具时效性、完备性。

综上分析，知识管理平台的核心功能包括公共知识资源管理、个人知识管理、团队知识管理和知识分享社区管理，主要功能见表1。

混合云技术架构

对于高校来讲，混合云架构更有利于知识管理与分享。提升终端用户的随时随地的网络接入能力、普适计算能力，还有助于用户接入到来自公有云及不同私有云的共享数据，提高信息服务的广度与深度。从业务功能角度出发，由于面向小范围用户提供服务的时候，对服务的资源需求即可由私有云满足，同时服务范围和业务契合度都能更好的贴近校园需求，比如可以有针性地对本校资源特色的服务组合进私有云服务中。而当服务范围扩大，变成公众型服务时，具有共性的服务项也相对减少，那么这时，即可通过公有云提供具有普遍意义的服务。从服务特性出发，某些服务，如图书馆资源，很可能仅能在私有云范围内服务，而各私有云部分也可以根据自己特性提供自己的服务；而比如提醒、日程、3G网络数据等涉及随时随地访问的内容，由于需要使用3G网络和Wi-Fi网络组合访问，因此可能更合适使用公有云的服务。

图1给出了公有云、私有云共存环境下的共享资源关系，针对行业的现状，设计平台时，采用了公有云、私有云都可以贡献一定的带宽、计算、知识服务资源，供其他私有云下的用户来分享的模式。这样一方面无需大规模建设公有设施，充分利用现有环境，但对资源调度管理提出了更高需求。此模式在无需新增过多基础设施的情况下，满足更多用户服务需求，节省系统资源消耗并提升用户服务体验。

图1 公有云、私有云共存环境下的共享资源关系

平台的运行架构如图2所示。私有云节点包括服务注册中心：承担服务调度与管理，所有的服务在注册中心标记，受各级注册中心调度。若干平台级服务运行于基础设施私有云之上；平台级服务依赖于用户自身的私有云基础设施特点，如存储服务、虚拟化架构、网络特征。

公有云节点包含公有服务，大量服务由于其特点早已拥有独立实现：公有云存储服务，通知、日程服务，在公有计算资源提供全局服务管理，全局用户管理，以此协调公有云服务和私有云服务之间的数据调度和管理。

完整的私有云节点可以整体加入业务体系中，也可只加入部分，如私有云无法提供身份鉴定服务，则使用公有云的身份鉴定服务，具体由全局服务注册管理和节点服务注册管理协商决定。

平台体系架构

从体系架构，平台可从逻辑划分为如下4层：

基础设施层：系统架构于混合云之上，通过虚拟化技术、标准化接口等封装基础设施差异。通过分区域的注册与调度中心进行服务的注册与调度，优化网络与计算资源性能，提高服务使用体验，同时提供跨区域的数据同步与备份、避免业务中断、灾难恢复等基础保障功能。各类基础设施服务对于用户是透明的，用户并不知道服务细节。

平台服务层：包括知识服务和基础服务。

知识服务包含知识组织与管理所需的基础服务，如统一搜索、知识地图、自动与人工标注、全文与关键属性检索等；同时构建符合SOA标准的规范与开放式数据标准，提供统一的搜索接口、知识地图接口、数据存储接口、权限管理与控制接口等。完整遵循服务规范与标准的第三方服务均可无缝纳入知识服务体系，现有的成型业务也可通过增加中间件方式并入云知识服务体系中。

基础服务包含联盟认证与权限服务、通知与推送服务、日程管理服务、地理信息服务等多种基础型服务，部分此类服务已经为成熟业务，不仅仅为知识管理系统服务。

软件服务层：对多种组件化服务的具体封装，提供业务流程组装，包含SNS、讨论、知识管理工具、业务管理等具体服务。

用户交互层：提供桌面型设备、平板设备、便携式设备的支持，同时开放通用API便于第三方提供自定义终端、自定义客户端程序等服务。

技术特点

知识组织管理

1.元数据标注

知识在系统中以数据和文档的方式体现，为了不损失知识的复杂多样性，系统在对数据进行存储时，采用增加元数据方式记录数据的特征信息，包括数据产生和发展的全生命周期信息，周边的关联数据等。如创建时间、创建者、文件大小种类等即为最常见的数据描述项示例。

但由于对知识进行描述时存在不同的视角，通用的数据描述项并不能够完善的覆盖知识的元数据。构建平台时提供了元数据扩展管理接口，可以对元数据项进行按需扩展，设定如字符、数字、日期等类型的数据项，提供更灵活的知识组织能力。

2.统一索引模式

由于存在知识管理工具的多样性，参与项目的合作伙伴数据、信息系统的多样性，知识管理平台并不使用传统的门户方式接管业务系统功能，而采取了元数据管理模式，通过元数据记录信息、知识的特征和位置，用户可以进行检索和个人标注。元数据并不涉及具体知识内容，知识内容仍在各服务系统中保管，如果有实际访问的需求，则由服务系统自行判断权限决定是否允许用户访问。

在这样的设计模式下，多方合作伙伴的服务系统均可将自己拥有的文档、数据生成元数据交由平台管理，共同提供服务，完善平台的索引信息，用户直接在平台检索元数据以获取信息，以往的跨组织查阅信息的流程被简化，而在后继需要访问具体内容时可以申请服务系统授权或者联系不同组织的合作伙伴。

3.多维度标注

在对数据进行分析处理时，不同的用户、团队，不同的关注视角，都会导致对数据的标注有所区别。在这样的前提下，知识管理平台提供了和权限相关的多维度标注系统支持，用户依照其关注内容、所属团队、标注的可视范围等，可以充分利用标注系统来对数据进行描述，通过标签体系来准确定位数据。

图2 混合云架构示意

数据支持SLA标准管理混合云

混合云将公有云和私有云的业务集中到一起，为了保证高校师生得到满意的服务质量，尝试使用服务等级协议SLA （Service Level Agreement）来解决高校师生、信息化管理部门和服务提供商之间的服务质量问题。在高校环境中，存在其特殊性，在校园环境内部视角，用户为在校师生员工，服务商为信息化部门；而在外部视角，用户为信息化部门，服务商为外部的网络运营商、资源服务商等。

在跨校园的知识管理平台中服务模式产生了更复杂的用户关系，包括：用户-组织服务管理者-供应商路径；用户-私有云管理者/公有云管理者-混合云管理者路径等多种服务关系，因此作为尝试，在系统中考虑了完善的数据采集组件来尝试为SLA提供数据支持，为进一步研究在混合云环境中完善SLA支持做出准备。

用户认证授权管理模型

1.联邦认证体系

平台设计为多个组织服务，因此引入了教育行业常见的联邦认证体系，由WAYF服务，多组织IDP，多组织SP等多个业务组件构成。

其中WAYF为Where are you from服务，用来定位用户来源并引导用户至其所属组织的身份验证服务；IDP为IDentity Provider服务，用来验证用户身份；SP为 Service Provider，提供具体的服务内容，权限管理交给SP系统自行判断。

在需要使用时，由平台引导用户前往平台内部目标地址或者外部合作系统，用户通过联邦认证体系标示自身身份，外部系统(SP)自行进行权限判断，解决用户的跨平台认证问题。避免出现过于广泛的权限管理需求，导致管理失效。

2.RBAC+ABAC权限模型

在联邦认证体系架构设计中，将业务系统授权管理范围保留在业务系统本身，但仍存在一系列数据需要在平台范围进行保护，如元数据信息、索引信息、标注信息等。

行业中通常采用的两种权限模型为RBAC和ABAC，在混合云中考虑使用RBAC与ABAC相结合的统一授权模型，结合两种授权模型的优缺点。利用了RBAC进行角色职能管理，也利用ABAC来进行信息内容权限管理方面。

平台中的具体实现模式为：通过联邦认证体系来管理用户的身份信息，各接入组织IDP保证其管理用户的身份信息权威性；获取身份信息后，通过平台管理组件授予RBAC风格的权限组，决定用户在平台内部系统的功能；在离开平台授权范围时，采用基于ABAC的授权规则，向第三方系统发送联邦认证用户身份信息后，由应用系统自行判断组织用户权限。

系统实施

在系统实际的环境中，以公有云模式运行于复旦大学，同时提供私有云模式运行于浙江大学，直接运行于各所学校的计算资源虚拟化平台，提供了足够的安全性和扩展性；在复旦大学提供的公有云环境中，数据保存于基于Restful的云存储中间件平台，提供了自动伸缩调度数据热点，自动跨区域安全保障等功能；部分数据保存于复旦大学、云南大学、河西学院和其厂商共同建设的跨校资源管理平台之上，提供冗余备份能力；现已保存了超过10万条的元数据信息以及1T以上的数据资料。同时接入了浙江大学图书馆文献管理系统，清华大学校园SNS系统等外部知识管理分享工具。

高校间通过联邦认证平台接入，可以通过用户校园的身份访问平台以及接入的其他外部系统。

（作者单位为复旦大学信息化办公室）

基金项目:教育部 — 中国移动科研基金项目(MCM20121032)