实战 | 深圳农商银行：构建强大的下一代DNS智能调度系统，实现银行混合云的高效运营|dns|云平台|云计算|深圳农商银行|混合云|调度系统|运维

文 / 深圳农商银行科技运营部负责人李涛

数字化浪潮席卷全球的当下，科技创新在现代金融体系建设中的地位和作用日渐凸显，已成为支撑金融业高质量发展的重要动能。作为坚持科技创新双轮驱动的本土银行，深圳农商银行长期秉持“科技立行”的理念，厚培发展动能，将数字化转型作为第二个五年发展战略规划的核心内涵，同时更是将金融领域的新技术应用发展提升至新的高度，着力通过推进科技能力建设和系统建设，不断增强自身技术实力。

目前云计算已经是金融行业数字化转型的必备能力，基于云计算、大数据等技术构建出的云生态必将成为银行数字化转型、开启第二发展曲线的重要力量。在此大背景下，受服务实体经济角色定位、传统IT架构升级、业务模式数字化转型、顶层政策标准指引、金融信创需求驱动等因素的影响，深圳农商银行通过布局先进高效的算力体系，加快了云计算技术的规范与应用，构建了高标准的金融信息基础设施。通过云和分布式架构的完美结合，以及一云多“芯”云平台的敏捷能力支撑，为全行系统上云及分布式改造提供能力支撑。DNS服务作为数据中心的基本服务能力之一，其对银行数字化建设的支撑作用不言而喻，深圳农商银行已聚焦全行业务系统进行域名化改造，在多数据中心业务连续、业务安全以及业务多活等方面展开积极探索。

打造云数据中心，业务系统上“云”

关键核心技术自主可控和重要信息基础设施建设是数字化转型的关键保障，深圳农商银行大力布局底层科技力量。深圳农商银行位于深圳市龙华区锦绣科学园区的同城云数据中心于去年投入使用，该数据中心是我行继深圳罗湖、武汉数据中心后的第三个新型云数据中心。

为支撑不断扩大的业务规模，深圳农商银行在原有的数据中心内各建设了一朵云，并与深圳龙华云共同组成“同城双活，异地灾备”的两地三中心云架构，这也标志着深圳农商银行的IT基础架构完成向云原生分布式架构转型，持续支撑业务系统迁移上云。混合云架构在获得灵活性和可扩展性的同时，也面临着复杂的网络管理和应用部署挑战，而传统DNS服务在全局负载调度、架构可靠性、安全防护、自动化运维等方面存在较大缺陷，已无法满足混合云环境对DNS提出的灵活、智能要求，所以建设一个强大而智能的DNS是实现高效运营和卓越用户体验的关键。

业务系统域名化改造：突破挑战，重塑银行业态

健全的DNS服务体系，可更好地支持多中心混合云架构，支撑敏态和稳态业务灵活部署，适应云时代的敏捷开发、快速迭代需求。而建立健全的DNS服务体系，首先需要进行系统域名化改造，让业务系统统一采用域名方式提供服务和访问，域名化改造可以提升系统的可用性、灵活性和安全性。

域名化改造作为一项系统性工程，面临着诸多难点。一是银行业务系统通常由多个模块和子系统组成，彼此之间存在复杂的依赖关系。而域名化改造需要对系统架构进行全面分析和设计，要确保改造过程中不会对系统功能和性能产生负面影响，就需要充分考虑不同系统的兼容性和协同性，确保改造过程中各系统之间的正常通信和数据交互。二是银行业务的连续性和稳定性至关重要。因此在系统域名化改造过程中，需要保证系统能够无缝切换至域名访问，避免因域名改造导致业务中断或系统性能下降。

基于以上几点，深圳农商银行在内部业务系统设计和规划阶段就进行充分的网络调研和规划，完成了系统域名设计和改造工作，包括将IP地址替换为域名、调整系统配置和参数、更新系统代码和配置文件等，在系统上线前进行充分联调和性能测试，确保改造后的系统正常、稳定和高效运行，最后将域名化系统与原有系统并行上线，并逐步将业务流量切换到域名化系统上。

健全DNS服务架构，铸就金融业务新高度

深圳农商银行通过在云下网络和互联网入口侧部署分布式智能DNS系统，分别为内网用户和互联网用户提供智能、精准、高效的服务资源。在云平台侧通过云底座DNS、租户DNS、跨云DNS、Kubernetes集群内的CoreDNS多系统协同，面向云平台的微服务应用提供域名解析服务。多中心、多云集群构建协同机制，支撑我行“敏态”和“稳态”双模IT应用共存互访的复杂业务场景，并结合业务状态的立体、快速、精准感知机制，优化业务系统冗灾调度决策，实现基于地理位置的常态智能调度及系统容灾应急，提升混合云架构下的业务连续性。

解耦管理，集中管控。在运维管理层面上，基于管理与业务解耦思路，通过独立部署域名服务集中管理平台，实现全网域名解析服务节点的集中管控，为运维人员提供实时的DNS解析性能监控和分析功能，了解域名解析性能和业务健康状况，及时发现和处理潜在风险。同时基于API接口，将DNS变更配置集成到自动化平台的相关模块，实现监控信息与日常运维流程有效整合，将DNS服务作为自服务的一环嵌入到业务发布流程中，进一步对下一代DNS服务的智能运营管理进行探索。

卓越安全防护，多层次安全机制。在安全防护上，我行利用多层次的安全防护手段，建立了体系化的DNS安全防护策略，设计针对DNS的安全防护措施和技术保障方案，包括DDoS攻击防御、DNS欺骗检测和防御、恶意域名过滤等，提升了域名服务系统的安全管理水平，进一步降低了银行业务面对网络安全威胁影响。