摘要
2016年,新疆維吾爾自治區農村信用社聯社(以下簡稱“新疆農信”)開展首期云平臺建設,逐步構建了面向內部應用和地州行社服務的IaaS基礎設施云平臺。2019年,在二期建設中,又進一步優化了基礎設施云平臺及CMP云管平臺,增加了智能縱深安全防御體系。同時,構建了基于容器,面向云原生應用的持續交付平臺,從而支撐銀行應用面向未來的架構轉型。
關鍵詞 金融 銀行 云計算 信息化
一、新疆農信的入云準備
1、IT現狀及優化訴求
新疆農信是地方性質金融機構,在全疆14個地州(市)設有合作銀行,縣 (市)行社83家,營業網點近千個,主要經營人民幣存款,貸款以及各種資金結算,代收代付等業務。近年來,新疆農信各項業務實現跨越式發展,主要指標均創歷史新高,在中國銀監會對全國農村中小金融機構經營及風險指標排名中,新疆農信躋身前列。
隨著業務、技術需求的發展與行業標準提高,根據新疆農信IT現狀及業務的調研結果分析,與業界標桿對比后,發現以下幾點有待優化:
(一)與當時銀行業的IT發展相匹配,在業務的持續性投入較大,但是在服務器的CPU利用率、資源及應用交付周期上存在較大問題;
(二)各地州行社的IT能力參差不齊,地州數據中心的建設流程繁瑣,資源零散,地州研發需要IT部門提供測試環境,且地州個性化業務應用需要生產環境支撐;
(三)技術架構單一,易受國外廠商技術綁定。如采用國外的虛擬化技術,存儲類型都是SAN存儲,從建設成本和新的技術趨勢角度考慮,需要新引進不同服務級別的存儲以應對不同的應用場景;
(四)既有應用主要架構為主備和集群模式,數據庫為主備或RAC模式。從應用類型看,目前主要為常規性應用,但是隨著2016年互聯網+的興起,未來將會出現更多面向最終用戶及上下游合作伙伴的互聯網應用的交付需求。
2、云現狀及二期規劃
在2018年完成統一的基礎設施云平臺建設后,新疆農信已經有效實現了IT資源的池化管理,云平臺也承載了更多的生產業務。按照規劃,云平臺的二期建設將在互聯業務區部署私有云資源池,建設完成后可以為地州特色業務及互聯網金融業務提供基礎設施服務(IaaS)。
此外,為了支撐更多的業務系統上云、滿足業務快速發展需求、保證業務系統穩定運行,新疆農信也對運維能力提出了更高的要求,建設全局運營運維體系勢在必行。
眾所周知,大部分的銀行業務應用需至少滿足等保3級要求。在云等保2.0標準發布后,為保證應用系統能安全合規運行,在確保原有安全項都滿足云等保2.0“通用要求”的基礎需求下,針對新規中橫向擴展對云計算的安全要求,需要進行額外的云計算等保三級安全方案設計及實施落地。
最后,在早期進行云計算戰略的制定時,新疆農信的目標是云平臺能實現資源的池化管理并承載已有的傳統應用。而經過幾年的發展,新疆農信借鑒國內外銀行業和互聯網金融公司的經驗,逐步開展互聯網應用的探索及實踐,旨在實現銀行應用架構轉型。此刻,需要云平臺進一步升級,提供互聯網應用所需的基礎架構。
二、建設思路
回顧首期云平臺項目建設成果可見:通過項目初期的顧問、咨詢、規劃服務與首期云平臺的建設,新疆農信已有效實現計算、存儲、網絡基礎設施的“池化”管理,資源利用率從15%提高到80%以上。通過自助服務能力,新疆農信80%的標準運行環境、操作系統環境、數據庫環境、中間件環境和大數據運行環境已實現一鍵式交付和服務監控。建設完成面向內部應用和面向地州的基礎設施服務(IaaS)平臺建設,已承載的業務包括綜合業務類、渠道管理類等8大類應用。開發測試、生產環境全面投產,實現生產資源的集中供給、集中運營和集中災備,覆蓋兩地數據中心和生產上線33套運行環境,運行實例近300個,CPU資源使用量近2000核,內存5TB,存儲容量超過100TB。
因此,在首期云平臺成果的基礎上,新疆農信決定啟動二期建設:通過新增、擴容提升云資源的使用支撐范圍,支持更多的業務上云,服務更多的業務部門;通過安全加固滿足等級保護的合規要求;通過融合云管理平臺提升和優化對云資源的使用;通過容器云平臺滿足敏態業務的快速迭代和發布需求。
三、上云部署
(一)戰略制定及落實
2016年,新疆農信明確了IT發展方向,即充分利用云計算技術打造未來全新的IT體系,但受限于自身定位,難以對后續的云計算戰略進行規劃。于是,新疆農信結合自身實際,對業務發展和IT現狀進行梳理,并借鑒國內外銀行業信息化先進實踐,謀劃了云計算的規劃與部署,確定以業務交付為主線,資源和服務為重點,安全審計為保障,漸進地向云計算平臺演進的戰略思路。
根據前述戰略思路,新疆農信開始構建面向內部應用和面向縣(市)行社的云平臺,不僅將內部生產的綜合業務類、渠道管理類等8大類業務應用遷移到云平臺中,并且針對地州對IT資源的訴求,構建面向內部及地州的統一數據中心,采用公有云租戶的模式為下屬地州以服務的形式提供相應的資源服務,從而實現云能力的對外輸出。
由于此前業務應用大多由各個部門獨自進行建設,一些基礎組件的版本存在差異。而隨著業務的不斷發展,面對更多業務系統和應用的入云需求,為實現運維管理標準化、降低運維成本,新疆農信梳理并構建了統一的服務目錄,在服務目錄中將各操作系統的版本、中間件和數據庫版本進行統一,并依據業務場景,在同一服務中預置了不同的初始化配置。
2020年,新疆農信還將優化基礎云平臺及CMP平臺, 增加智能縱深安全防御體系,以滿足云等保2.0標準的三級保護要求。同時,進一步構建基于容器面向云原生應用的持續交付平臺,為銀行提供微服務應用的基礎架構,支撐銀行應用進行架構轉型。
新疆農信企業云平臺示意圖
(二)技術實現
1. 資源集中化管理,標準云服務能力輸出
項目不僅實現對虛擬化資源和云資源的統一管理,面向內部應用和地州統一提供標準化云服務,實現資源按需申請、彈性分配、動態伸縮,最大限度發揮資源效用。
新疆農信還將標準的運行環境、操作系統環境、數據庫環境、中間件環境都固化到服務目錄中。依據業務場景,在同一服務中預置不同的初始化配置,實現不同環境下資源的標準化一鍵式交付,使得運維管理標準化,降低運維成本。
未來,還可以依據服務定價原則為每個云服務設置計量公式和價格,對云服務的使用進行計費,從而改變傳統的云服務建設和使用模式,升級為“總部統一建設,各地州按需申請”的云計算模式,實現建設資金從資本性支出向運營成本轉變。
2. 異構支持,滿足多樣應用入云需求
在云平臺支撐下,新疆農信將已有的基于X86架構研發的業務遷移到云中,實現應用云化部署,在信創大背景下,該云平臺單一集群支持多種異構資源技術,也為新疆農信進行國產化平滑演進奠定了基礎。
一直以來,新疆農信業務應用對Oracle RAC存在一定依賴性,后者在實踐應用和官方推薦中都傾向基于物理機進行部署。而通過裸金屬服務和自動化部署服務,可以將Oracle RAC自動化部署在裸金屬云主機,既滿足核心數據庫高性能的要求,又減少了應用配置的工作量,更重要的是,為此類依賴物理設備的應用提供了入云的另一途徑。
3. 面向云原生應用的持續交付平臺,支撐銀行應用進行架構轉型
新疆農信即將建設的持續交付平臺,是橫向擴展、秒級伸縮、智能運維、適應快速開發、持續交付的云平臺,為銀行應用向互聯網應用轉型提供最適配的基礎架構。
在交付平臺搭建完成后,原有基于微服務框架開發的應用將進行試點遷移。此外,新疆農信梳理并輸出一整套基于容器云PaaS平臺的分布式應用開發部署運維規范和指南,利用互聯網技術架構支持銀行應用架構轉型,降低IT資源運行和集成成本,提高服務發布效率。
在繼續支撐傳統應用的基礎上,加強對云應用的部署支持,確保IT基礎設施既能夠保證傳統應用的可靠性,又能夠滿足云應用對敏捷性的高要求。
4. 構建智能縱深安全防御體系,滿足等保2.0要求
新疆農信在安全設施滿足云等保2.0標準的“通用要求”的基礎上,針對橫向擴展對云計算的安全要求項目,構建智能縱深安全防御體系,滿足等保2.0標準的要求。
“智能”是指通過云平臺與整個安全體系結合,在業務上線時,自動根據業務的等保定級要求完成資源與安全能力的編排交付,從而實現安全的服務化交付,自動滿足等保要求;而“縱深”則是指通過已有的物理安全設備、安全資源池及云平臺的安全能力來對整個網絡架構的東西南北向進行安全加固。
5. 全局運營運維體系建設,實現IT資產統一管控
在新一期的建設中,新疆農信將通過CMP管理平臺與原有的智能運維平臺、統一認證中心、安全資源池等外圍IT應用進行整合對接,以實現在保留用戶原有IT資源使用習慣的同時,滿足對多用戶使用和多用戶運維運營管理的需求。
通過與外圍生態的連接,CMP平臺從原先的賦能型平臺開始向使能型平臺進行轉變,助力新疆農信進行全局運營運維體系建設,實現IT資產統一管控。
四、成果及影響
(一)雙態IT,快速穩定
通過建立智能縱深安全防御體系,打造符合監管部門和行業安全合規要求的以業務為中心的云平臺,在保證安全的前提下,打造快速穩定的“穩態+敏態”雙態IT,滿足日漸強烈的業務應用快速迭代和發布需求,使敏捷開發成為支撐業務創新的核心能力,在滿足傳統應用需求的同時,又能為新型架構應用提供基礎架構,實現快速、穩定的雙重優勢,以高性能、低損耗降低運營成本。
(二)統一構建,降低成本
完成從地州自建到集中建設的轉變,構建統一服務目錄,實現運維管理標準化,降低運維成本,并通過資源的“池化”管理,大幅提升資源服務交付效率,提升資源利用率,降低IT成本;
(三)國產可控,異構兼容
基于自主研發、安全可控的國產云產品BingoCloud進行信息技術應用創新建設,并在符合監管部門、行業合規要求的前提下實現異構支持,可滿足多類應用入云及國產化演進需求,為國產替代平滑演進奠定基礎。
(四)全棧構造,靈活搭建
依托BingoCloud全棧云產品體系,可根據業務需求從IaaS基礎設施層、PaaS平臺層、DaaS數據層、SaaS軟件層至CMP云管理平臺層靈活進行云平臺建設,為后續搭建圍繞業務交付的全生命周期云平臺做好準備,推動新疆農信實現具備快速需求響應和業務創新能力的數字化、網絡化及智能化轉型。
五、總結
本文介紹了新疆農信如何結合業務發展戰略和現有IT現狀,以銀保監會相關政策為指導,借鑒國內外銀行業信息化先進實踐,最終明晰云平臺建設的方向、整體架構及實施路徑,完成首期云平臺建設和二期項目建設的全過程。希望為行業內云計算技術的推廣落地與行業信息化轉型提供一定參考。
參考文獻
陳甚澍. 論云計算及其在銀行業的運用前景[D]. 財政部財政科學研究所.
葛兆強. 我國商業銀行信息化建設:現狀、問題與戰略選擇[J]. 中國金融電腦, 2006, 000(006):1-8.
吳為濱, 孫寶貴, 李逢林,等. 云計算技術在銀行信息化建設中的應用探討[J]. 科技資訊, 2017, 015(002):31-31.
京公網安備 11010502049343號