摘要
2016年,新疆維吾爾自治區(qū)農(nóng)村信用社聯(lián)社(以下簡稱“新疆農(nóng)信”)開展首期云平臺建設(shè),逐步構(gòu)建了面向內(nèi)部應(yīng)用和地州行社服務(wù)的IaaS基礎(chǔ)設(shè)施云平臺。2019年,在二期建設(shè)中,又進一步優(yōu)化了基礎(chǔ)設(shè)施云平臺及CMP云管平臺,增加了智能縱深安全防御體系。同時,構(gòu)建了基于容器,面向云原生應(yīng)用的持續(xù)交付平臺,從而支撐銀行應(yīng)用面向未來的架構(gòu)轉(zhuǎn)型。
關(guān)鍵詞 金融 銀行 云計算 信息化
一、新疆農(nóng)信的入云準備
1、IT現(xiàn)狀及優(yōu)化訴求
新疆農(nóng)信是地方性質(zhì)金融機構(gòu),在全疆14個地州(市)設(shè)有合作銀行,縣 (市)行社83家,營業(yè)網(wǎng)點近千個,主要經(jīng)營人民幣存款,貸款以及各種資金結(jié)算,代收代付等業(yè)務(wù)。近年來,新疆農(nóng)信各項業(yè)務(wù)實現(xiàn)跨越式發(fā)展,主要指標均創(chuàng)歷史新高,在中國銀監(jiān)會對全國農(nóng)村中小金融機構(gòu)經(jīng)營及風險指標排名中,新疆農(nóng)信躋身前列。
隨著業(yè)務(wù)、技術(shù)需求的發(fā)展與行業(yè)標準提高,根據(jù)新疆農(nóng)信IT現(xiàn)狀及業(yè)務(wù)的調(diào)研結(jié)果分析,與業(yè)界標桿對比后,發(fā)現(xiàn)以下幾點有待優(yōu)化:
(一)與當時銀行業(yè)的IT發(fā)展相匹配,在業(yè)務(wù)的持續(xù)性投入較大,但是在服務(wù)器的CPU利用率、資源及應(yīng)用交付周期上存在較大問題;
(二)各地州行社的IT能力參差不齊,地州數(shù)據(jù)中心的建設(shè)流程繁瑣,資源零散,地州研發(fā)需要IT部門提供測試環(huán)境,且地州個性化業(yè)務(wù)應(yīng)用需要生產(chǎn)環(huán)境支撐;
(三)技術(shù)架構(gòu)單一,易受國外廠商技術(shù)綁定。如采用國外的虛擬化技術(shù),存儲類型都是SAN存儲,從建設(shè)成本和新的技術(shù)趨勢角度考慮,需要新引進不同服務(wù)級別的存儲以應(yīng)對不同的應(yīng)用場景;
(四)既有應(yīng)用主要架構(gòu)為主備和集群模式,數(shù)據(jù)庫為主備或RAC模式。從應(yīng)用類型看,目前主要為常規(guī)性應(yīng)用,但是隨著2016年互聯(lián)網(wǎng)+的興起,未來將會出現(xiàn)更多面向最終用戶及上下游合作伙伴的互聯(lián)網(wǎng)應(yīng)用的交付需求。
2、云現(xiàn)狀及二期規(guī)劃
在2018年完成統(tǒng)一的基礎(chǔ)設(shè)施云平臺建設(shè)后,新疆農(nóng)信已經(jīng)有效實現(xiàn)了IT資源的池化管理,云平臺也承載了更多的生產(chǎn)業(yè)務(wù)。按照規(guī)劃,云平臺的二期建設(shè)將在互聯(lián)業(yè)務(wù)區(qū)部署私有云資源池,建設(shè)完成后可以為地州特色業(yè)務(wù)及互聯(lián)網(wǎng)金融業(yè)務(wù)提供基礎(chǔ)設(shè)施服務(wù)(IaaS)。
此外,為了支撐更多的業(yè)務(wù)系統(tǒng)上云、滿足業(yè)務(wù)快速發(fā)展需求、保證業(yè)務(wù)系統(tǒng)穩(wěn)定運行,新疆農(nóng)信也對運維能力提出了更高的要求,建設(shè)全局運營運維體系勢在必行。
眾所周知,大部分的銀行業(yè)務(wù)應(yīng)用需至少滿足等保3級要求。在云等保2.0標準發(fā)布后,為保證應(yīng)用系統(tǒng)能安全合規(guī)運行,在確保原有安全項都滿足云等保2.0“通用要求”的基礎(chǔ)需求下,針對新規(guī)中橫向擴展對云計算的安全要求,需要進行額外的云計算等保三級安全方案設(shè)計及實施落地。
最后,在早期進行云計算戰(zhàn)略的制定時,新疆農(nóng)信的目標是云平臺能實現(xiàn)資源的池化管理并承載已有的傳統(tǒng)應(yīng)用。而經(jīng)過幾年的發(fā)展,新疆農(nóng)信借鑒國內(nèi)外銀行業(yè)和互聯(lián)網(wǎng)金融公司的經(jīng)驗,逐步開展互聯(lián)網(wǎng)應(yīng)用的探索及實踐,旨在實現(xiàn)銀行應(yīng)用架構(gòu)轉(zhuǎn)型。此刻,需要云平臺進一步升級,提供互聯(lián)網(wǎng)應(yīng)用所需的基礎(chǔ)架構(gòu)。
二、建設(shè)思路
回顧首期云平臺項目建設(shè)成果可見:通過項目初期的顧問、咨詢、規(guī)劃服務(wù)與首期云平臺的建設(shè),新疆農(nóng)信已有效實現(xiàn)計算、存儲、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的“池化”管理,資源利用率從15%提高到80%以上。通過自助服務(wù)能力,新疆農(nóng)信80%的標準運行環(huán)境、操作系統(tǒng)環(huán)境、數(shù)據(jù)庫環(huán)境、中間件環(huán)境和大數(shù)據(jù)運行環(huán)境已實現(xiàn)一鍵式交付和服務(wù)監(jiān)控。建設(shè)完成面向內(nèi)部應(yīng)用和面向地州的基礎(chǔ)設(shè)施服務(wù)(IaaS)平臺建設(shè),已承載的業(yè)務(wù)包括綜合業(yè)務(wù)類、渠道管理類等8大類應(yīng)用。開發(fā)測試、生產(chǎn)環(huán)境全面投產(chǎn),實現(xiàn)生產(chǎn)資源的集中供給、集中運營和集中災(zāi)備,覆蓋兩地數(shù)據(jù)中心和生產(chǎn)上線33套運行環(huán)境,運行實例近300個,CPU資源使用量近2000核,內(nèi)存5TB,存儲容量超過100TB。
因此,在首期云平臺成果的基礎(chǔ)上,新疆農(nóng)信決定啟動二期建設(shè):通過新增、擴容提升云資源的使用支撐范圍,支持更多的業(yè)務(wù)上云,服務(wù)更多的業(yè)務(wù)部門;通過安全加固滿足等級保護的合規(guī)要求;通過融合云管理平臺提升和優(yōu)化對云資源的使用;通過容器云平臺滿足敏態(tài)業(yè)務(wù)的快速迭代和發(fā)布需求。
三、上云部署
(一)戰(zhàn)略制定及落實
2016年,新疆農(nóng)信明確了IT發(fā)展方向,即充分利用云計算技術(shù)打造未來全新的IT體系,但受限于自身定位,難以對后續(xù)的云計算戰(zhàn)略進行規(guī)劃。于是,新疆農(nóng)信結(jié)合自身實際,對業(yè)務(wù)發(fā)展和IT現(xiàn)狀進行梳理,并借鑒國內(nèi)外銀行業(yè)信息化先進實踐,謀劃了云計算的規(guī)劃與部署,確定以業(yè)務(wù)交付為主線,資源和服務(wù)為重點,安全審計為保障,漸進地向云計算平臺演進的戰(zhàn)略思路。
根據(jù)前述戰(zhàn)略思路,新疆農(nóng)信開始構(gòu)建面向內(nèi)部應(yīng)用和面向縣(市)行社的云平臺,不僅將內(nèi)部生產(chǎn)的綜合業(yè)務(wù)類、渠道管理類等8大類業(yè)務(wù)應(yīng)用遷移到云平臺中,并且針對地州對IT資源的訴求,構(gòu)建面向內(nèi)部及地州的統(tǒng)一數(shù)據(jù)中心,采用公有云租戶的模式為下屬地州以服務(wù)的形式提供相應(yīng)的資源服務(wù),從而實現(xiàn)云能力的對外輸出。
由于此前業(yè)務(wù)應(yīng)用大多由各個部門獨自進行建設(shè),一些基礎(chǔ)組件的版本存在差異。而隨著業(yè)務(wù)的不斷發(fā)展,面對更多業(yè)務(wù)系統(tǒng)和應(yīng)用的入云需求,為實現(xiàn)運維管理標準化、降低運維成本,新疆農(nóng)信梳理并構(gòu)建了統(tǒng)一的服務(wù)目錄,在服務(wù)目錄中將各操作系統(tǒng)的版本、中間件和數(shù)據(jù)庫版本進行統(tǒng)一,并依據(jù)業(yè)務(wù)場景,在同一服務(wù)中預(yù)置了不同的初始化配置。
2020年,新疆農(nóng)信還將優(yōu)化基礎(chǔ)云平臺及CMP平臺, 增加智能縱深安全防御體系,以滿足云等保2.0標準的三級保護要求。同時,進一步構(gòu)建基于容器面向云原生應(yīng)用的持續(xù)交付平臺,為銀行提供微服務(wù)應(yīng)用的基礎(chǔ)架構(gòu),支撐銀行應(yīng)用進行架構(gòu)轉(zhuǎn)型。
新疆農(nóng)信企業(yè)云平臺示意圖
(二)技術(shù)實現(xiàn)
1. 資源集中化管理,標準云服務(wù)能力輸出
項目不僅實現(xiàn)對虛擬化資源和云資源的統(tǒng)一管理,面向內(nèi)部應(yīng)用和地州統(tǒng)一提供標準化云服務(wù),實現(xiàn)資源按需申請、彈性分配、動態(tài)伸縮,最大限度發(fā)揮資源效用。
新疆農(nóng)信還將標準的運行環(huán)境、操作系統(tǒng)環(huán)境、數(shù)據(jù)庫環(huán)境、中間件環(huán)境都固化到服務(wù)目錄中。依據(jù)業(yè)務(wù)場景,在同一服務(wù)中預(yù)置不同的初始化配置,實現(xiàn)不同環(huán)境下資源的標準化一鍵式交付,使得運維管理標準化,降低運維成本。
未來,還可以依據(jù)服務(wù)定價原則為每個云服務(wù)設(shè)置計量公式和價格,對云服務(wù)的使用進行計費,從而改變傳統(tǒng)的云服務(wù)建設(shè)和使用模式,升級為“總部統(tǒng)一建設(shè),各地州按需申請”的云計算模式,實現(xiàn)建設(shè)資金從資本性支出向運營成本轉(zhuǎn)變。
2. 異構(gòu)支持,滿足多樣應(yīng)用入云需求
在云平臺支撐下,新疆農(nóng)信將已有的基于X86架構(gòu)研發(fā)的業(yè)務(wù)遷移到云中,實現(xiàn)應(yīng)用云化部署,在信創(chuàng)大背景下,該云平臺單一集群支持多種異構(gòu)資源技術(shù),也為新疆農(nóng)信進行國產(chǎn)化平滑演進奠定了基礎(chǔ)。
一直以來,新疆農(nóng)信業(yè)務(wù)應(yīng)用對Oracle RAC存在一定依賴性,后者在實踐應(yīng)用和官方推薦中都傾向基于物理機進行部署。而通過裸金屬服務(wù)和自動化部署服務(wù),可以將Oracle RAC自動化部署在裸金屬云主機,既滿足核心數(shù)據(jù)庫高性能的要求,又減少了應(yīng)用配置的工作量,更重要的是,為此類依賴物理設(shè)備的應(yīng)用提供了入云的另一途徑。
3. 面向云原生應(yīng)用的持續(xù)交付平臺,支撐銀行應(yīng)用進行架構(gòu)轉(zhuǎn)型
新疆農(nóng)信即將建設(shè)的持續(xù)交付平臺,是橫向擴展、秒級伸縮、智能運維、適應(yīng)快速開發(fā)、持續(xù)交付的云平臺,為銀行應(yīng)用向互聯(lián)網(wǎng)應(yīng)用轉(zhuǎn)型提供最適配的基礎(chǔ)架構(gòu)。
在交付平臺搭建完成后,原有基于微服務(wù)框架開發(fā)的應(yīng)用將進行試點遷移。此外,新疆農(nóng)信梳理并輸出一整套基于容器云PaaS平臺的分布式應(yīng)用開發(fā)部署運維規(guī)范和指南,利用互聯(lián)網(wǎng)技術(shù)架構(gòu)支持銀行應(yīng)用架構(gòu)轉(zhuǎn)型,降低IT資源運行和集成成本,提高服務(wù)發(fā)布效率。
在繼續(xù)支撐傳統(tǒng)應(yīng)用的基礎(chǔ)上,加強對云應(yīng)用的部署支持,確保IT基礎(chǔ)設(shè)施既能夠保證傳統(tǒng)應(yīng)用的可靠性,又能夠滿足云應(yīng)用對敏捷性的高要求。
4. 構(gòu)建智能縱深安全防御體系,滿足等保2.0要求
新疆農(nóng)信在安全設(shè)施滿足云等保2.0標準的“通用要求”的基礎(chǔ)上,針對橫向擴展對云計算的安全要求項目,構(gòu)建智能縱深安全防御體系,滿足等保2.0標準的要求。
“智能”是指通過云平臺與整個安全體系結(jié)合,在業(yè)務(wù)上線時,自動根據(jù)業(yè)務(wù)的等保定級要求完成資源與安全能力的編排交付,從而實現(xiàn)安全的服務(wù)化交付,自動滿足等保要求;而“縱深”則是指通過已有的物理安全設(shè)備、安全資源池及云平臺的安全能力來對整個網(wǎng)絡(luò)架構(gòu)的東西南北向進行安全加固。
5. 全局運營運維體系建設(shè),實現(xiàn)IT資產(chǎn)統(tǒng)一管控
在新一期的建設(shè)中,新疆農(nóng)信將通過CMP管理平臺與原有的智能運維平臺、統(tǒng)一認證中心、安全資源池等外圍IT應(yīng)用進行整合對接,以實現(xiàn)在保留用戶原有IT資源使用習慣的同時,滿足對多用戶使用和多用戶運維運營管理的需求。
通過與外圍生態(tài)的連接,CMP平臺從原先的賦能型平臺開始向使能型平臺進行轉(zhuǎn)變,助力新疆農(nóng)信進行全局運營運維體系建設(shè),實現(xiàn)IT資產(chǎn)統(tǒng)一管控。
四、成果及影響
(一)雙態(tài)IT,快速穩(wěn)定
通過建立智能縱深安全防御體系,打造符合監(jiān)管部門和行業(yè)安全合規(guī)要求的以業(yè)務(wù)為中心的云平臺,在保證安全的前提下,打造快速穩(wěn)定的“穩(wěn)態(tài)+敏態(tài)”雙態(tài)IT,滿足日漸強烈的業(yè)務(wù)應(yīng)用快速迭代和發(fā)布需求,使敏捷開發(fā)成為支撐業(yè)務(wù)創(chuàng)新的核心能力,在滿足傳統(tǒng)應(yīng)用需求的同時,又能為新型架構(gòu)應(yīng)用提供基礎(chǔ)架構(gòu),實現(xiàn)快速、穩(wěn)定的雙重優(yōu)勢,以高性能、低損耗降低運營成本。
(二)統(tǒng)一構(gòu)建,降低成本
完成從地州自建到集中建設(shè)的轉(zhuǎn)變,構(gòu)建統(tǒng)一服務(wù)目錄,實現(xiàn)運維管理標準化,降低運維成本,并通過資源的“池化”管理,大幅提升資源服務(wù)交付效率,提升資源利用率,降低IT成本;
(三)國產(chǎn)可控,異構(gòu)兼容
基于自主研發(fā)、安全可控的國產(chǎn)云產(chǎn)品BingoCloud進行信息技術(shù)應(yīng)用創(chuàng)新建設(shè),并在符合監(jiān)管部門、行業(yè)合規(guī)要求的前提下實現(xiàn)異構(gòu)支持,可滿足多類應(yīng)用入云及國產(chǎn)化演進需求,為國產(chǎn)替代平滑演進奠定基礎(chǔ)。
(四)全棧構(gòu)造,靈活搭建
依托BingoCloud全棧云產(chǎn)品體系,可根據(jù)業(yè)務(wù)需求從IaaS基礎(chǔ)設(shè)施層、PaaS平臺層、DaaS數(shù)據(jù)層、SaaS軟件層至CMP云管理平臺層靈活進行云平臺建設(shè),為后續(xù)搭建圍繞業(yè)務(wù)交付的全生命周期云平臺做好準備,推動新疆農(nóng)信實現(xiàn)具備快速需求響應(yīng)和業(yè)務(wù)創(chuàng)新能力的數(shù)字化、網(wǎng)絡(luò)化及智能化轉(zhuǎn)型。
五、總結(jié)
本文介紹了新疆農(nóng)信如何結(jié)合業(yè)務(wù)發(fā)展戰(zhàn)略和現(xiàn)有IT現(xiàn)狀,以銀保監(jiān)會相關(guān)政策為指導(dǎo),借鑒國內(nèi)外銀行業(yè)信息化先進實踐,最終明晰云平臺建設(shè)的方向、整體架構(gòu)及實施路徑,完成首期云平臺建設(shè)和二期項目建設(shè)的全過程。希望為行業(yè)內(nèi)云計算技術(shù)的推廣落地與行業(yè)信息化轉(zhuǎn)型提供一定參考。
參考文獻
陳甚澍. 論云計算及其在銀行業(yè)的運用前景[D]. 財政部財政科學研究所.
葛兆強. 我國商業(yè)銀行信息化建設(shè):現(xiàn)狀、問題與戰(zhàn)略選擇[J]. 中國金融電腦, 2006, 000(006):1-8.
吳為濱, 孫寶貴, 李逢林,等. 云計算技術(shù)在銀行信息化建設(shè)中的應(yīng)用探討[J]. 科技資訊, 2017, 015(002):31-31.