本文作者為新疆農信科技部運行中心總經理 孫世海,原文刊發(fā)于《金融科技時代》2020年第10期。
摘要:2016年,新疆維吾爾自治區(qū)農村信用社聯社(以下簡稱“新疆農信”)開展了首期云平臺建設,逐步構建了面向內部應用和地州行社服務的IaaS基礎設施云平臺,并于2018年12月上線。在2020年二期建設中,又進一步優(yōu)化了基礎設施云平臺及CMP云管平臺,增加了智能縱深安全防御體系。同時,構建了基于容器,面向云原生應用的持續(xù)交付平臺,從而支撐銀行應用面向未來的架構轉型。
關鍵詞
金融科技 云平臺 云計算 信息化
一、新疆農信的入云準備
(一)IT現狀及優(yōu)化訴求
新疆農信是地方性質的金融機構,在全疆13個地州(市)設有合作銀行,縣(市)行社83家,營業(yè)網點1221個,主要經營人民幣存款、貸款、各種資金結算以及代收代付等業(yè)務。近年來,新疆農信各項業(yè)務實現跨越式發(fā)展,主要指標均創(chuàng)歷史新高,在中國銀監(jiān)會對全國農村中小金融機構經營及風險指標排名中躋身前列。
在業(yè)務、技術需求持續(xù)發(fā)展、行業(yè)標準不斷提高的背景下,與業(yè)界標桿對比,新疆農信的IT現狀及業(yè)務存在以下有待優(yōu)化的地方:
一是新疆農信與當時銀行業(yè)的IT發(fā)展相匹配,在業(yè)務的持續(xù)性投入較大,但是在服務器的CPU利用率、資源及應用交付周期上存在較大問題;
二是各地州行社的IT能力參差不齊。地州數據中心的建設流程繁瑣,資源零散,地州研發(fā)需要IT部門提供測試環(huán)境,且地州個性化業(yè)務應用需要生產環(huán)境支撐;
三是技術架構單一,易受國外廠商技術綁定。如采用國外的虛擬化技術,存儲類型都是SAN存儲,從建設成本和新的技術趨勢角度考慮,需要引進不同服務級別的存儲以應對不同的應用場景;
四是現有應用主要架構為主備和集群模式,數據庫為主備或RAC模式。從應用類型看,目前主要為常規(guī)性應用,但是隨著“互聯網+”的興起,未來將會出現更多面向最終用戶及上下游合作伙伴的互聯網應用的交付需求。
(二)云現狀及規(guī)劃
在2018年完成統(tǒng)一的基礎設施云平臺建設后,新疆農信已經有效實現了IT資源的池化管理,云平臺也承載了很多生產業(yè)務。按照云平臺整體規(guī)劃,將在互聯業(yè)務區(qū)部署私有云資源池,通過統(tǒng)一云管平臺對內網區(qū)域和互聯網區(qū)域資源池進行集中管理,建設完成后可以為地州特色業(yè)務及互聯網金融業(yè)務提供基礎設施服務(IaaS)。
此外,為了支撐更多的業(yè)務系統(tǒng)上云、滿足業(yè)務快速發(fā)展需求、保證業(yè)務系統(tǒng)穩(wěn)定運行,新疆農信也對運維能力提出了更高的要求,建設全局運營運維體系勢在必行。
眾所周知,大部分的銀行業(yè)務應用需至少滿足等保三級要求。在云等保2.0標準發(fā)布后,為保證應用系統(tǒng)安全合規(guī)運行,在確保原有安全項都滿足云等保2.0“通用要求”的基礎上,針對新規(guī)中橫向擴展對云計算的安全要求,需要進行額外的云計算等保三級安全方案設計及實施落地。
最后,在早期進行云計算戰(zhàn)略的制定時,新疆農信的目標是云平臺能實現資源的池化管理并承載已有的傳統(tǒng)應用。而經過幾年的發(fā)展,新疆農信借鑒國內外銀行業(yè)和互聯網金融公司的經驗,逐步開展互聯網應用的探索及實踐,旨在實現銀行應用架構轉型。此刻,需要進一步云平臺升級,提供互聯網應用所需的基礎架構。
二、建設思路
回顧首期云平臺項目建設成果可見:通過項目初期的顧問、咨詢、規(guī)劃服務與首期云平臺的建設,新疆農信已有效實現計算、存儲、網絡基礎設施的“池化”管理,資源利用率從15%提高到80%以上。通過自助服務能力,新疆農信80%的標準運行環(huán)境、操作系統(tǒng)環(huán)境、數據庫環(huán)境、中間件環(huán)境和大數據運行環(huán)境已實現一鍵式交付和服務監(jiān)控。建設完成面向內部應用和面向地州的基礎設施服務(IaaS)平臺建設,已承載的業(yè)務包括綜合業(yè)務類、渠道管理類等八大類應用。開發(fā)測試、生產環(huán)境全面投產,實現生產資源的集中供給、集中運營和集中災備,覆蓋兩地數據中心和生產上線33套運行環(huán)境,運行實例近300個,CPU資源使用量近2000核,內存5TB,存儲容量超過100TB。
因此,在首期云平臺成果的基礎上,新疆農信決定啟動二期建設:通過新增、擴容提升云資源的使用支撐范圍,支持更多的業(yè)務上云,服務更多的業(yè)務部門;通過安全加固滿足等級保護的合規(guī)要求;通過融合云管理平臺提升和優(yōu)化對云資源的使用;通過容器云平臺滿足敏態(tài)業(yè)務的快速迭代和發(fā)布需求。
三、上云部署
(一)戰(zhàn)略制定及落實
2016年,新疆農信明確了IT發(fā)展方向,即充分利用云計算技術打造未來全新的IT體系,但受限于自身定位,難以對后續(xù)的云計算戰(zhàn)略進行規(guī)劃。于是,新疆農信結合自身實際,對業(yè)務發(fā)展和IT現狀進行梳理,并借鑒國內外銀行業(yè)信息化先進實踐,謀劃了云計算的規(guī)劃與部署,確定以業(yè)務交付為主線,資源和服務為重點,安全審計為保障,漸進地向云計算平臺演進的戰(zhàn)略思路。
圖1 成熟度分析結果
根據前述戰(zhàn)略思路,新疆農信開始構建面向內部應用和面向縣(市)行社的云平臺,不僅將內部生產的綜合業(yè)務類、渠道管理類等八大類業(yè)務應用遷移到云平臺中,并且針對地州對IT資源的訴求,構建面向內部及地州的統(tǒng)一數據中心,采用公有云租戶的模式為下屬地州以服務的形式提供相應的資源服務,從而實現云能力的對外輸出。
由于此前業(yè)務應用大多由各個部門獨自進行建設,一些基礎組件的版本存在差異。而隨著業(yè)務的不斷發(fā)展,面對更多業(yè)務系統(tǒng)和應用的入云需求,為實現運維管理標準化、降低運維成本,新疆農信梳理并構建了統(tǒng)一的服務目錄,在服務目錄中將各操作系統(tǒng)的版本、中間件和數據庫版本進行統(tǒng)一,并依據業(yè)務場景,在同一服務中預置了不同的初始化配置。
2020年,新疆農信還將優(yōu)化基礎云平臺及CMP平臺, 增加智能縱深安全防御體系,以滿足云等保2.0標準的三級保護要求。同時,進一步構建基于容器面向云原生應用的持續(xù)交付平臺,為銀行提供微服務應用的基礎架構,支撐銀行應用進行架構轉型。
圖2 新疆農信企業(yè)云平臺
(二)技術實現
1. 資源集中化管理,標準云服務能力輸出
項目不僅實現對虛擬化資源和云資源的統(tǒng)一管理,面向內部應用和地州統(tǒng)一提供標準化云服務,實現資源按需申請、彈性分配、動態(tài)伸縮,最大限度發(fā)揮資源效用。
新疆農信還將標準的運行環(huán)境、操作系統(tǒng)環(huán)境、數據庫環(huán)境、中間件環(huán)境都固化到服務目錄中。依據業(yè)務場景,在同一服務中預置不同的初始化配置,實現不同環(huán)境下資源的標準化一鍵式交付,使得運維管理標準化,降低運維成本,如圖3所示。
未來,還可以依據服務定價原則為每個云服務設置計量公式和價格,對云服務的使用進行計費,從而改變傳統(tǒng)的云服務建設和使用模式,升級為“總部統(tǒng)一建設,各地州按需申請”的云計算模式,實現建設資金從資本性支出向運營成本轉變。
圖3 資源集中化管理
2. 異構支持,滿足多樣應用入云需求
針對原本只有SAN存儲和X86架構應用的情況,新疆農信以異構支持技術滿足后續(xù)多樣應用入云需求,無論是集中式存儲和分布式存儲,還是針對不同異構CPU架構的支持,都能借此擺脫單一技術綁定問題。
在云平臺支撐下,新疆農信將已有的基于X86架構研發(fā)的業(yè)務遷移到云中,實現應用云化部署。在信創(chuàng)大背景下,該云平臺單一集群支持多種異構資源技術,也為新疆農信進行國產化平滑演進奠定了基礎。
一直以來,新疆農信業(yè)務應用對Oracle RAC存在一定依賴性,后者在實踐應用和官方推薦中都傾向基于物理機進行部署。而通過裸金屬服務和自動化部署服務,可以將Oracle RAC自動化部署在裸金屬云主機,既滿足核心數據庫高性能的要求,又減少了應用配置的工作量,更重要的是,為此類依賴物理設備的應用提供了入云的另一途徑,如圖4所示。
圖4 異構支持
3. 面向云原生應用的持續(xù)交付平臺,支撐銀行應用進行架構轉型
新疆農信即將建設的持續(xù)交付平臺,是橫向擴展、秒級伸縮、智能運維、適應快速開發(fā)、持續(xù)交付的云平臺,為銀行應用向互聯網應用轉型提供最適配的基礎架構。
在交付平臺搭建完成后,原有基于微服務框架開發(fā)的應用將進行試點遷移。此外,新疆農信梳理并輸出一整套基于容器云PaaS平臺的分布式應用開發(fā)部署運維規(guī)范和指南,利用互聯網技術架構支持銀行應用架構轉型,降低IT資源運行和集成成本,提高服務發(fā)布效率。
在繼續(xù)支撐傳統(tǒng)應用的基礎上,加強對云應用的部署支持,確保IT基礎設施既能夠保證傳統(tǒng)應用的可靠性,又能夠滿足云應用對敏捷性的高要求。持續(xù)交付平臺如圖5所示。
圖5 面向云原生應用的持續(xù)交付平臺
4. 構建智能縱深安全防御體系,滿足等保2.0要求
新疆農信在安全設施滿足云等保2.0標準的“通用要求”的基礎上,針對橫向擴展對云計算的安全要求項目,構建智能縱深安全防御體系,滿足等保2.0標準的要求。
“智能”是指通過云平臺與整個安全體系結合,在業(yè)務上線時,自動根據業(yè)務的等保定級要求完成資源與安全能力的編排交付,從而實現安全的服務化交付,自動滿足等保要求;而“縱深”則是指通過已有的物理安全設備、安全資源池及云平臺的安全能力來對整個網絡架構的東西南北向進行安全加固。
5. 全局運營運維體系建設,實現IT資產統(tǒng)一管控
在新一期的建設中,新疆農信將通過CMP管理平臺與原有的智能運維平臺、統(tǒng)一認證中心、安全資源池等外圍IT應用進行整合對接,以實現在保留用戶原有IT資源使用習慣的同時,滿足對多用戶使用和多用戶運維運營管理的需求,如圖6所示。
圖6 全局運營運維體系建設
通過與外圍生態(tài)的連接,CMP平臺從原先的賦能型平臺開始向使能型平臺進行轉變,助力新疆農信進行全局運營運維體系建設,實現IT資產統(tǒng)一管控。
四、成果及影響
(一)雙態(tài)IT,快速穩(wěn)定
通過建立智能縱深安全防御體系,打造符合監(jiān)管部門和行業(yè)安全合規(guī)要求的以業(yè)務為中心的云平臺,在保證安全的前提下,打造快速穩(wěn)定的“穩(wěn)態(tài)+敏態(tài)”雙態(tài)IT,滿足日漸強烈的業(yè)務應用快速迭代和發(fā)布需求,使敏捷開發(fā)成為支撐業(yè)務創(chuàng)新的核心能力,在滿足傳統(tǒng)應用需求的同時,又能為新型架構應用提供基礎架構,實現快速、穩(wěn)定的雙重優(yōu)勢,以高性能、低損耗降低運營成本。
(二)統(tǒng)一構建,降低成本
完成從地州自建到集中建設的轉變,構建統(tǒng)一服務目錄,實現運維管理標準化,降低運維成本,并通過資源的“池化”管理,大幅提升資源服務交付效率,提升資源利用率,降低IT成本。
(三)國產可控,異構兼容
基于自主研發(fā)、安全可控的國產云產品BingoCloud進行信息技術應用創(chuàng)新建設,并在符合監(jiān)管部門、行業(yè)合規(guī)要求的前提下實現異構支持,可滿足多類應用入云及國產化演進需求,為國產替代平滑演進奠定基礎。
(四)全棧構造,靈活搭建
依托BingoCloud全棧云產品體系,可根據業(yè)務需求從IaaS基礎設施層、PaaS平臺層、DaaS數據層、SaaS軟件層至CMP云管理平臺層靈活進行云平臺建設,為后續(xù)搭建圍繞業(yè)務交付的全生命周期云平臺做好準備,推動新疆農信實現具備快速需求響應和業(yè)務創(chuàng)新能力的數字化、網絡化及智能化轉型。
五、總結
本文介紹了新疆農信如何結合業(yè)務發(fā)展戰(zhàn)略和現有IT現狀,以銀保監(jiān)會相關政策為指導,借鑒國內外銀行業(yè)信息化先進實踐,最終明晰云平臺建設的方向、整體架構及實施路徑,完成首期云平臺建設和二期項目建設的全過程。希望為行業(yè)內云計算技術的推廣落地與行業(yè)信息化轉型提供一定參考。
參考文獻
陳甚澍. 論云計算及其在銀行業(yè)的運用前景[D]. 財政部財政科學研究所.
葛兆強. 我國商業(yè)銀行信息化建設:現狀、問題與戰(zhàn)略選擇[J]. 中國金融電腦, 2006, 000(006):1-8.
吳為濱, 孫寶貴, 李逢林,等. 云計算技術在銀行信息化建設中的應用探討[J]. 科技資訊, 2017, 015(002):31-31.