品高云案例 | 新疆农村信用社云平台应用与实现
云栖网:本文作者为新疆农信科技部运行中心总经理孙世海,原文刊发于《金融科技时代》2020年第10期。
摘要:2016年,新疆维吾尔自治区农村信用社联社(以下简称“新疆农信”)开展了首期云平台建设,逐步构建了面向内部应用和地州行社服务的IaaS基础设施云平台,并于2018年12月上线。在2020年二期建设中,又进一步优化了基础设施云平台及CMP云管平台,增加了智能纵深安全防御体系。同时,构建了基于容器,面向云原生应用的持续交付平台,从而支撑银行应用面向未来的架构转型。
关键词
一、新疆农信的入云准备
(一)IT现状及优化诉求
新疆农信是地方性质的金融机构,在全疆13个地州(市)设有合作银行,县(市)行社83家,营业网点1221个,主要经营人民币存款、贷款、各种资金结算以及代收代付等业务。近年来,新疆农信各项业务实现跨越式发展,主要指标均创历史新高,在中国银监会对全国农村中小金融机构经营及风险指标排名中跻身前列。
在业务、技术需求持续发展、行业标准不断提高的背景下,与业界标杆对比,新疆农信的IT现状及业务存在以下有待优化的地方:
一是新疆农信与当时银行业的IT发展相匹配,在业务的持续性投入较大,但是在服务器的CPU利用率、资源及应用交付周期上存在较大问题;
二是各地州行社的IT能力参差不齐。地州数据中心的建设流程繁琐,资源零散,地州研发需要IT部门提供测试环境,且地州个性化业务应用需要生产环境支撑;
三是技术架构单一,易受国外厂商技术绑定。如采用国外的虚拟化技术,存储类型都是SAN存储,从建设成本和新的技术趋势角度考虑,需要引进不同服务级别的存储以应对不同的应用场景;
四是现有应用主要架构为主备和集群模式,数据库为主备或RAC模式。从应用类型看,目前主要为常规性应用,但是随着“互联网+”的兴起,未来将会出现更多面向最终用户及上下游合作伙伴的互联网应用的交付需求。
(二)云现状及规划
在2018年完成统一的基础设施云平台建设后,新疆农信已经有效实现了IT资源的池化管理,云平台也承载了很多生产业务。按照云平台整体规划,将在互联业务区部署私有云资源池,通过统一云管平台对内网区域和互联网区域资源池进行集中管理,建设完成后可以为地州特色业务及互联网金融业务提供基础设施服务(IaaS)。
此外,为了支撑更多的业务系统上云、满足业务快速发展需求、保证业务系统稳定运行,新疆农信也对运维能力提出了更高的要求,建设全局运营运维体系势在必行。
众所周知,大部分的银行业务应用需至少满足等保三级要求。在云等保2.0标准发布后,为保证应用系统安全合规运行,在确保原有安全项都满足云等保2.0“通用要求”的基础上,针对新规中横向扩展对云计算的安全要求,需要进行额外的云计算等保三级安全方案设计及实施落地。
最后,在早期进行云计算战略的制定时,新疆农信的目标是云平台能实现资源的池化管理并承载已有的传统应用。而经过几年的发展,新疆农信借鉴国内外银行业和互联网金融公司的经验,逐步开展互联网应用的探索及实践,旨在实现银行应用架构转型。此刻,需要进一步云平台升级,提供互联网应用所需的基础架构。
二、建设思路
回顾首期云平台项目建设成果可见:通过项目初期的顾问、咨询、规划服务与首期云平台的建设,新疆农信已有效实现计算、存储、网络基础设施的“池化”管理,资源利用率从15%提高到80%以上。通过自助服务能力,新疆农信80%的标准运行环境、操作系统环境、数据库环境、中间件环境和大数据运行环境已实现一键式交付和服务监控。建设完成面向内部应用和面向地州的基础设施服务(IaaS)平台建设,已承载的业务包括综合业务类、渠道管理类等八大类应用。开发测试、生产环境全面投产,实现生产资源的集中供给、集中运营和集中灾备,覆盖两地数据中心和生产上线33套运行环境,运行实例近300个,CPU资源使用量近2000核,内存5TB,存储容量超过100TB。
因此,在首期云平台成果的基础上,新疆农信决定启动二期建设:通过新增、扩容提升云资源的使用支撑范围,支持更多的业务上云,服务更多的业务部门;通过安全加固满足等级保护的合规要求;通过融合云管理平台提升和优化对云资源的使用;通过容器云平台满足敏态业务的快速迭代和发布需求。
三、上云部署
(一)战略制定及落实
2016年,新疆农信明确了IT发展方向,即充分利用云计算技术打造未来全新的IT体系,但受限于自身定位,难以对后续的云计算战略进行规划。于是,新疆农信结合自身实际,对业务发展和IT现状进行梳理,并借鉴国内外银行业信息化先进实践,谋划了云计算的规划与部署,确定以业务交付为主线,资源和服务为重点,安全审计为保障,渐进地向云计算平台演进的战略思路。
图1 成熟度分析结果
根据前述战略思路,新疆农信开始构建面向内部应用和面向县(市)行社的云平台,不仅将内部生产的综合业务类、渠道管理类等八大类业务应用迁移到云平台中,并且针对地州对IT资源的诉求,构建面向内部及地州的统一数据中心,采用公有云租户的模式为下属地州以服务的形式提供相应的资源服务,从而实现云能力的对外输出。
由于此前业务应用大多由各个部门独自进行建设,一些基础组件的版本存在差异。而随着业务的不断发展,面对更多业务系统和应用的入云需求,为实现运维管理标准化、降低运维成本,新疆农信梳理并构建了统一的服务目录,在服务目录中将各操作系统的版本、中间件和数据库版本进行统一,并依据业务场景,在同一服务中预置了不同的初始化配置。
2020年,新疆农信还将优化基础云平台及CMP平台,增加智能纵深安全防御体系,以满足云等保2.0标准的三级保护要求。同时,进一步构建基于容器面向云原生应用的持续交付平台,为银行提供微服务应用的基础架构,支撑银行应用进行架构转型。
图2 新疆农信企业云平台
(二)技术实现
1.资源集中化管理,标准云服务能力输出
项目不仅实现对虚拟化资源和云资源的统一管理,面向内部应用和地州统一提供标准化云服务,实现资源按需申请、弹性分配、动态伸缩,最大限度发挥资源效用。
新疆农信还将标准的运行环境、操作系统环境、数据库环境、中间件环境都固化到服务目录中。依据业务场景,在同一服务中预置不同的初始化配置,实现不同环境下资源的标准化一键式交付,使得运维管理标准化,降低运维成本,如图3所示。
未来,还可以依据服务定价原则为每个云服务设置计量公式和价格,对云服务的使用进行计费,从而改变传统的云服务建设和使用模式,升级为“总部统一建设,各地州按需申请”的云计算模式,实现建设资金从资本性支出向运营成本转变。
图3 资源集中化管理
2.异构支持,满足多样应用入云需求
针对原本只有SAN存储和X86架构应用的情况,新疆农信以异构支持技术满足后续多样应用入云需求,无论是集中式存储和分布式存储,还是针对不同异构CPU架构的支持,都能借此摆脱单一技术绑定问题。
在云平台支撑下,新疆农信将已有的基于X86架构研发的业务迁移到云中,实现应用云化部署。在信创大背景下,该云平台单一集群支持多种异构资源技术,也为新疆农信进行国产化平滑演进奠定了基础。
一直以来,新疆农信业务应用对OracleRAC存在一定依赖性,后者在实践应用和官方推荐中都倾向基于物理机进行部署。而通过裸金属服务和自动化部署服务,可以将OracleRAC自动化部署在裸金属云主机,既满足核心数据库高性能的要求,又减少了应用配置的工作量,更重要的是,为此类依赖物理设备的应用提供了入云的另一途径,如图4所示。
图4 异构支持
3.面向云原生应用的持续交付平台,支撑银行应用进行架构转型
新疆农信即将建设的持续交付平台,是横向扩展、秒级伸缩、智能运维、适应快速开发、持续交付的云平台,为银行应用向互联网应用转型提供最适配的基础架构。
在交付平台搭建完成后,原有基于微服务框架开发的应用将进行试点迁移。此外,新疆农信梳理并输出一整套基于容器云PaaS平台的分布式应用开发部署运维规范和指南,利用互联网技术架构支持银行应用架构转型,降低IT资源运行和集成成本,提高服务发布效率。
在继续支撑传统应用的基础上,加强对云应用的部署支持,确保IT基础设施既能够保证传统应用的可靠性,又能够满足云应用对敏捷性的高要求。持续交付平台如图5所示。
图5 面向云原生应用的持续交付平台
4.构建智能纵深安全防御体系,满足等保2.0要求
新疆农信在安全设施满足云等保2.0标准的“通用要求”的基础上,针对横向扩展对云计算的安全要求项目,构建智能纵深安全防御体系,满足等保2.0标准的要求。
“智能”是指通过云平台与整个安全体系结合,在业务上线时,自动根据业务的等保定级要求完成资源与安全能力的编排交付,从而实现安全的服务化交付,自动满足等保要求;而“纵深”则是指通过已有的物理安全设备、安全资源池及云平台的安全能力来对整个网络架构的东西南北向进行安全加固。
5.全局运营运维体系建设,实现IT资产统一管控
在新一期的建设中,新疆农信将通过CMP管理平台与原有的智能运维平台、统一认证中心、安全资源池等外围IT应用进行整合对接,以实现在保留用户原有IT资源使用习惯的同时,满足对多用户使用和多用户运维运营管理的需求,如图6所示。
图6 全局运营运维体系建设
通过与外围生态的连接,CMP平台从原先的赋能型平台开始向使能型平台进行转变,助力新疆农信进行全局运营运维体系建设,实现IT资产统一管控。
四、成果及影响
(一)双态IT,快速稳定
通过建立智能纵深安全防御体系,打造符合监管部门和行业安全合规要求的以业务为中心的云平台,在保证安全的前提下,打造快速稳定的“稳态+敏态”双态IT,满足日渐强烈的业务应用快速迭代和发布需求,使敏捷开发成为支撑业务创新的核心能力,在满足传统应用需求的同时,又能为新型架构应用提供基础架构,实现快速、稳定的双重优势,以高性能、低损耗降低运营成本。
(二)统一构建,降低成本
完成从地州自建到集中建设的转变,构建统一服务目录,实现运维管理标准化,降低运维成本,并通过资源的“池化”管理,大幅提升资源服务交付效率,提升资源利用率,降低IT成本。
(三)国产可控,异构兼容
基于自主研发、安全可控的国产云产品BingoCloud进行信息技术应用创新建设,并在符合监管部门、行业合规要求的前提下实现异构支持,可满足多类应用入云及国产化演进需求,为国产替代平滑演进奠定基础。
(四)全栈构造,灵活搭建
依托BingoCloud全栈云产品体系,可根据业务需求从IaaS基础设施层、PaaS平台层、DaaS数据层、SaaS软件层至CMP云管理平台层灵活进行云平台建设,为后续搭建围绕业务交付的全生命周期云平台做好准备,推动新疆农信实现具备快速需求响应和业务创新能力的数字化、网络化及智能化转型。
五、总结
本文介绍了新疆农信如何结合业务发展战略和现有IT现状,以银保监会相关政策为指导,借鉴国内外银行业信息化先进实践,最终明晰云平台建设的方向、整体架构及实施路径,完成首期云平台建设和二期项目建设的全过程。希望为行业内云计算技术的推广落地与行业信息化转型提供一定参考。
参考文献
陈甚澍.论云计算及其在银行业的运用前景[D].财政部财政科学研究所.
葛兆强.我国商业银行信息化建设:现状、问题与战略选择[J].中国金融电脑,2006,000(006):1-8.
吴为滨,孙宝贵,李逢林,等.云计算技术在银行信息化建设中的应用探讨[J].科技资讯,2017,015(002):31-31.