行業(yè)背景：2000年以來，銀行業(yè)秉承“支撐業(yè)務(wù)”的服務(wù)理念和系統(tǒng)建設(shè)模式，建設(shè)了大量集中式架構(gòu)的系統(tǒng)和應(yīng)用，集中式系統(tǒng)架構(gòu)以其成熟穩(wěn)定、可靠性強(qiáng)的優(yōu)勢，支撐銀行業(yè)務(wù)及信息化建設(shè)取得了長足的發(fā)展和進(jìn)步。

　　當(dāng)前問題：隨著互聯(lián)時(shí)代的到來，隨時(shí)隨地的網(wǎng)絡(luò)交易以及特殊時(shí)點(diǎn)秒殺、搶購等互聯(lián)網(wǎng)營銷帶來了海量的高頻小額業(yè)務(wù)量，對銀行信息系統(tǒng)架構(gòu)提出了高并發(fā)、易擴(kuò)展、抗沖擊的高要求。同時(shí)，銀行業(yè)面臨著利率市場化和金融脫媒所帶來的轉(zhuǎn)型壓力，集中式架構(gòu)逐漸呈現(xiàn)出故障容錯(cuò)能力及彈性擴(kuò)展能力不足、對基礎(chǔ)軟硬件產(chǎn)品依賴度高、核心技術(shù)受制于人等局限性，亟需轉(zhuǎn)型升級(jí)。

　　應(yīng)對措施：云計(jì)算技術(shù)經(jīng)過多年發(fā)展，逐步趨于成熟，其超大規(guī)模計(jì)算能力、虛擬化、高可靠性、通用性、高可擴(kuò)展性、按需服務(wù)、成本低廉等顯著的優(yōu)勢也給銀行業(yè)傳統(tǒng)IT架構(gòu)建設(shè)提出了新的解決方案。此外，云計(jì)算技術(shù)也給銀行帶來了顯著的收益。一是安全可靠，云計(jì)算增強(qiáng)了銀行IT的數(shù)據(jù)保護(hù)能力、錯(cuò)誤容忍度和災(zāi)備恢復(fù)能力。二是彈性擴(kuò)展，快速支持開發(fā)。三是能夠以統(tǒng)一的性能和容量監(jiān)控，降低成本，支持業(yè)務(wù)的發(fā)展。四是本身具有的彈性擴(kuò)展特點(diǎn)，能減緩性能帶來的壓力。

應(yīng)用云計(jì)算技術(shù)推動(dòng)IT架構(gòu)轉(zhuǎn)型的思路

　　云計(jì)算體系架構(gòu)的落地不可能一蹴而就，由傳統(tǒng)IT架構(gòu)向云計(jì)算架構(gòu)轉(zhuǎn)型需要統(tǒng)籌規(guī)劃、分步推進(jìn)。應(yīng)該從以下五個(gè)方面推進(jìn)云計(jì)算架構(gòu)的落地。

　　1.通過科技戰(zhàn)略和頂層設(shè)計(jì)推進(jìn)架構(gòu)落地。云計(jì)算體系架構(gòu)的實(shí)施是個(gè)系統(tǒng)性工程，IT部門應(yīng)從戰(zhàn)略和戰(zhàn)術(shù)層面積極應(yīng)對。統(tǒng)籌考慮IT戰(zhàn)略，加大對云計(jì)算實(shí)施的支持力度。從建云、用云進(jìn)行頂層設(shè)計(jì)，通過整合各項(xiàng)IT資源，實(shí)現(xiàn)IT和業(yè)務(wù)的融合，成為業(yè)務(wù)發(fā)展的戰(zhàn)略伙伴。

　　2.完善IT治理體系，支撐云計(jì)算運(yùn)營管理。建立一體化的運(yùn)維管理模式。在組織架構(gòu)上，強(qiáng)化橫向部門“一體化運(yùn)維”的管理職能，構(gòu)建包含技術(shù)、服務(wù)、管理和安全的云建設(shè)體系，確保整個(gè)運(yùn)維體系的完備性。

　　3.穩(wěn)步提高云計(jì)算技術(shù)的自主可控能力。推進(jìn)技術(shù)的自主可控，在技術(shù)策略的選擇上，堅(jiān)持開源與商用相結(jié)合，自研與產(chǎn)品相結(jié)合；在開源方面進(jìn)行更多探索，將開源的操作系統(tǒng)盡快地在生產(chǎn)上進(jìn)行實(shí)施和應(yīng)用。同時(shí)銀行也要加大自主研發(fā)能力，盡快形成銀行自身的在云平臺(tái)以及應(yīng)用解決方案。

　　4.統(tǒng)籌考慮云計(jì)算建設(shè)和IT架構(gòu)轉(zhuǎn)型的目標(biāo)。在建設(shè)思路上，要體現(xiàn)高效、敏捷、安全和可靠的建設(shè)目標(biāo)。

　　在高效方面，使用融合的計(jì)算資源，提高資源的利用率，基于策略的存儲(chǔ)服務(wù)，使應(yīng)用系統(tǒng)可以選擇不同的存儲(chǔ)資源池。應(yīng)用軟件定義網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)業(yè)務(wù)跨數(shù)據(jù)中心的靈活部署，同時(shí)實(shí)現(xiàn)統(tǒng)一服務(wù)平臺(tái)的接入，使得資源服務(wù)標(biāo)準(zhǔn)化。在敏捷方面，將各種計(jì)算存儲(chǔ)和網(wǎng)絡(luò)資源進(jìn)行整合，形成虛擬化的數(shù)據(jù)中心，對用戶提供虛擬化的資源。針對不同層級(jí)的業(yè)務(wù)需求，可根據(jù)硬件的規(guī)格、屬性進(jìn)行分類，形成不同的資源池，為客戶提供服務(wù)。在安全和可靠方面，構(gòu)建高層次、多緯度的實(shí)時(shí)監(jiān)控和離線分析，提供用戶安全、服務(wù)安全、運(yùn)營安全三個(gè)層面的安全服務(wù)。通過自動(dòng)化的手段進(jìn)行資源分配，以應(yīng)對高峰期和低峰期的時(shí)間要求；進(jìn)行混合云管理，使業(yè)務(wù)實(shí)現(xiàn)無縫拓展。通過同城雙活、異地災(zāi)備等方式，有效保護(hù)應(yīng)用安全。

　　5.科學(xué)有序推進(jìn)云計(jì)算建設(shè)和場景落地。在云計(jì)算建設(shè)過程中，應(yīng)遵循業(yè)界IaaS、PaaS、SaaS的三層模式，從服務(wù)器虛擬化、資源池化，到軟硬件資源的一體云化，逐步實(shí)施，分層推進(jìn)。同時(shí)，針對適合云的非核心業(yè)務(wù)場景，先行切入，快速推進(jìn)，以點(diǎn)帶面，推廣云計(jì)算技術(shù)應(yīng)用。

云計(jì)算架構(gòu)轉(zhuǎn)型的實(shí)踐和發(fā)展規(guī)劃

　　光大銀行借助云計(jì)算技術(shù)，從總分行一體化視角出發(fā)，開展了云計(jì)算架構(gòu)轉(zhuǎn)型的實(shí)踐，效果很好。

　　1.光大銀行云計(jì)算實(shí)踐的歷程。光大銀行從2013年1月開始開展云計(jì)算課題研究和整體規(guī)劃目標(biāo)，獲得了銀監(jiān)會(huì)信息科技風(fēng)險(xiǎn)管理課題評(píng)選二類成果獎(jiǎng)。2014年4月建設(shè)完成開發(fā)測試運(yùn)行，實(shí)現(xiàn)全行開發(fā)測試資源的集中供給、靈活調(diào)配。2014年8月開始啟動(dòng)資產(chǎn)云建設(shè)，實(shí)現(xiàn)全行生產(chǎn)資源集中攻擊、集中運(yùn)營、集中災(zāi)備。2016年完成分行應(yīng)用系統(tǒng)在一級(jí)資源池和二級(jí)資源池上的遷移工作，總行70%以上基于X86環(huán)境的應(yīng)用系統(tǒng)遷移至總行生產(chǎn)云。2017年繼續(xù)夯實(shí)全行私有云建設(shè)，完成生產(chǎn)查詢和投產(chǎn)桌面云建設(shè)，啟動(dòng)容器云PaaS平臺(tái)的技術(shù)預(yù)研和測試選項(xiàng)工作。

　　2.光大銀行云計(jì)算架構(gòu)的整體介紹。為適應(yīng)光大銀行創(chuàng)新發(fā)展的戰(zhàn)略要求，在光大云建設(shè)過程中重點(diǎn)關(guān)注以下幾點(diǎn)：基礎(chǔ)設(shè)施云建設(shè)中的高可用和一體化；云管理平臺(tái)中資源交付、服務(wù)編排、自動(dòng)化運(yùn)維等關(guān)鍵功能的實(shí)現(xiàn)效果；基礎(chǔ)設(shè)施大集中環(huán)境下的多租戶安全管理；借助應(yīng)用平臺(tái)云發(fā)揮對業(yè)務(wù)的支持能力。

　　（1）基礎(chǔ)設(shè)施云建設(shè)實(shí)踐。光大銀行基礎(chǔ)設(shè)施云由部署在測試中心的全行開發(fā)測試云、覆蓋兩地三中心的總行生產(chǎn)云、總/分兩級(jí)分布式資源池構(gòu)成的分行生產(chǎn)云組成。一方面利用云管理平臺(tái)提升基礎(chǔ)設(shè)施的部署效率和自動(dòng)化水平；另一方面通過面向應(yīng)用系統(tǒng)的服務(wù)目錄提升用戶體驗(yàn)及資源使用的規(guī)范性。整體部署架構(gòu)如圖所示。

光大銀行私有云整體部署架構(gòu)

　　（2）云管理平臺(tái)建設(shè)實(shí)踐。光大銀行云管理平臺(tái)實(shí)現(xiàn)了云服務(wù)門戶、云服務(wù)管理、云服務(wù)運(yùn)維三項(xiàng)主要功能，并與現(xiàn)有ITSM運(yùn)維平臺(tái)集成，協(xié)同完成基礎(chǔ)設(shè)施云服務(wù)全生命周期的運(yùn)維和管理。

　　（3）云安全建設(shè)實(shí)踐。光大銀行參照CSA的云安全架構(gòu)，結(jié)合全行資源池化的實(shí)踐，確立了以“繼承原有安全防護(hù)策略，確保安全多租戶隔離，兼顧應(yīng)用級(jí)防護(hù)”為指導(dǎo)思想的私有云安全架構(gòu)。相較于傳統(tǒng)非云環(huán)境，光大銀行采用了多租戶安全隔離、軟件定義網(wǎng)絡(luò)技術(shù)、分布式虛擬防火墻技術(shù)等專用技術(shù)加強(qiáng)私有云環(huán)境下的安全防護(hù)。

　　（4）應(yīng)用云平臺(tái)建設(shè)。光大銀行在完成基礎(chǔ)設(shè)施云建設(shè)的同時(shí)，還在應(yīng)用平臺(tái)云方面進(jìn)行了有益嘗試。先后建構(gòu)了中間業(yè)務(wù)云平臺(tái)、分前云部署、分行數(shù)據(jù)服務(wù)開放平臺(tái)等應(yīng)用云平臺(tái)。到2017年為止，中間業(yè)務(wù)云平臺(tái)實(shí)現(xiàn)了近1500余個(gè)繳費(fèi)項(xiàng)目，約200家合作機(jī)構(gòu)，服務(wù)終端客戶超兩億人次，是普惠金融的重要案例。分行云部署實(shí)現(xiàn)了全轄所有分行前置的集中部署，全行資源池化，降低了運(yùn)營成本，提升了運(yùn)營維護(hù)的標(biāo)準(zhǔn)化程度與安全運(yùn)營水平。

　　3.光大銀行云計(jì)算架構(gòu)的發(fā)展規(guī)劃。為進(jìn)一步發(fā)揮云計(jì)算對業(yè)務(wù)的支持作用，并繼續(xù)探索云計(jì)算的新技術(shù)架構(gòu)，光大銀行在云計(jì)算應(yīng)用方面，主要發(fā)展規(guī)劃如下。

　　基于目前私有云的技術(shù)架構(gòu)和公有云的運(yùn)營模式搭建集團(tuán)云，為銀行子公司和集團(tuán)兄弟單位提供基礎(chǔ)設(shè)施服務(wù)，以發(fā)揮集團(tuán)內(nèi)科技資源共享的優(yōu)勢。

　　構(gòu)建云網(wǎng)絡(luò)安全防御體系。通過下一代應(yīng)用級(jí)防火墻、云網(wǎng)絡(luò)安全檢測系統(tǒng)、基于網(wǎng)絡(luò)報(bào)文的APT持續(xù)性威脅安全檢測系統(tǒng)構(gòu)建多維度、主動(dòng)型智能網(wǎng)絡(luò)安全防御體系。結(jié)合網(wǎng)絡(luò)虛擬化和軟件定義網(wǎng)絡(luò)技術(shù)，進(jìn)一步實(shí)現(xiàn)云環(huán)境下應(yīng)用的微隔離和每實(shí)例零信任，持續(xù)提升安全防控能力。

　　擴(kuò)大桌面云服務(wù)的場景化應(yīng)用，持續(xù)提升信息安全。為有效防范光大銀行關(guān)鍵業(yè)務(wù)數(shù)據(jù)及用戶敏感信息經(jīng)辦公環(huán)境泄露的風(fēng)險(xiǎn)，繼續(xù)完善桌面云服務(wù)平臺(tái)，通過供給開發(fā)測試虛擬桌面來隔離辦公及總行開發(fā)測試環(huán)境，保障數(shù)據(jù)安全，全面提升外包終端風(fēng)險(xiǎn)管理能力。

　　建設(shè)基于容器技術(shù)的PaaS平臺(tái)。結(jié)合容器技術(shù)的迅速崛起和移動(dòng)互聯(lián)網(wǎng)金融服務(wù)的蓬勃發(fā)展，光大銀行計(jì)劃分步驟探索研究容器技術(shù)，借助容器化技術(shù)提升架構(gòu)彈性擴(kuò)展能力、應(yīng)用開發(fā)交付效率和運(yùn)維自動(dòng)化水平。

　　私有云的兩地三中心多活建設(shè)。金融行業(yè)的信息安全至關(guān)重要，尤其是數(shù)據(jù)安全。通過云計(jì)算兩地三中心架構(gòu)，實(shí)現(xiàn)并滿足金融行業(yè)的信息安全和業(yè)務(wù)連續(xù)性需求。通過計(jì)算虛擬化、存儲(chǔ)、網(wǎng)絡(luò)和分布式應(yīng)用架構(gòu)探索將現(xiàn)有私有云向異地延展，在基礎(chǔ)設(shè)施層面建設(shè)兩地三中心多活技術(shù)架構(gòu)，上層應(yīng)用利用分布式技術(shù)探索異地多活應(yīng)用架構(gòu)。

（文章來源：金融電子化雜志）

掃碼即可手機(jī)
閱讀轉(zhuǎn)發(fā)此文