来源:2024年度全国农村金融机构科技创新优秀案例评选

获奖单位:昆山农商银行

荣获奖项:基础设施创新优秀案例

一、项目背景、目标及相关规划

1.项目背景

在当前数字化时代,中国人民银行对金融机构的信息技术创新(信创)提出了更高要求,强调自主可控、安全可靠的技术体系建设。我行积极响应这一号召,并深刻认识到,目前行内各厂商自成体系搭建的微服务、分布式平台技术栈复杂,运维管理成本高企,已成为制约我行信息技术发展和业务创新的关键因素。

为了推动我行信息技术的标准化、自主可控以及降低运维风险和管理成本,我行决定启动信创云项目。该项目旨在构建一个统一的PaaS云平台,提供包括容器、应用发布、消息中间件、缓存数据库、注册中心等技术中台服务,以满足统一资源部署和运维管理的需求。通过云平台的实施,我们将实现技术栈的简化和统一,有效降低运维成本,并提高系统的稳定性和安全性。

同时,信创云项目还将推动我行基础设施的标准化。云平台方案将在不同程度上约束芯片、服务器的品牌和配置,从而大幅减少基础设施、云平台、应用之间的兼容性问题,有利于基础设施和云平台服务的标准化和统一。这将为应用系统的改造降低适配成本,提高整体运营效率。

2.项目目标

1)支持信创与“一云多芯”的战略实施

我们将积极、稳妥地推进云计算技术的应用,在确保安全优先的基础上,规划云计算技术的演进路径,旨在降低新技术应用风险,并更好地利用云计算技术助力金融科技发展。本项目致力于与产业机构合作,针对关键业务场景,开展“一云多芯”国产云计算平台的适配攻关,持续提升平台性能。我们将从异构兼容、跨池调度、资源扩展等维度出发,结合金融机构的技术栈和技术路线规划,研究并制定国产云计算平台的应用标准。目标是在一朵云内同时支持不同芯片技术路线的计算资源,从而有效分散单一技术路线的潜在风险。

2)构建统一的业务系统资源池

为加强国产云计算平台的统一纳管能力,我们将实现对多云、混合云环境的全面管理,包括产品管理、资源管理、访问控制、资源供给、监控管理和计量等。这将有助于提高交付效率并降低管理成本。同时,我们将推动支持异构设备的分区部署与集中管理,实现国产与非国产资源池间的灵活调度,从而优化资源利用效率。

3)强化基础设施环境的安全建设

针对传统VMware虚拟化环境在安全能力上的不足,本项目将通过云平台的技术创新,加强自动化运维工具的研发与部署。我们将重点强化国产云计算平台在边界层、平台层、应用层的安全能力建设,全面提升平台的安全防护能力,确保数据中心的安全稳定运行。

4)打造IT运营精细化管理以及自服务的云计算运营体系

在运营运维服务层面,我们将建立统一的体系,并制定明确的服务标准和规范。目标是提供满足需求、响应迅速、安全可靠的运维保障服务。这包括为业务应用的顺利部署、开通以及网络、硬件、软件、数据、机房环境等的安全、稳定、高效运行提供全方位的策划、实施、检查与改进服务。

5)加快推进国产云计算平台多地多中心架构布局

不断完善基于国产云计算平台的软硬件生态体系,加快推进国产云计算平台多地多中心架构布局,逐步形成满足金融业高并发、高扩展、强一致性需求业务场景的产品。充分考虑到大规模的云数据中心业务中断事故风险,国家政策层面法律法规的不断健全,以及各行各业对于业务系统业务连续性的重视,金融行业对于云平台灾备建设的要求会持续提升,高可用成为云平台建设的基础特性和标准配置。

3.建设规划

我行云平台建设充分利用现有先进、成熟国产化技术和考虑长远发展需求,根据实际需要,统筹规划业务应用国产化替代稳步推进,保证系统建设的完整性和投资的有效性。

建设规模方面:

我行规划一期建设初等规模的生产云及测试云平台。建设全栈信创云平台(所含软硬件符合信创验收标准要求),具备云计算、存储、负载均衡等基础网络及安全、统一监控管理、灾备管理等IaaS功能,以及容器、缓存数据库、消息队列中间件等PaaS功能。搭建生产、测试两套云平台环境,建设容器平台、统一技术中台及统一移动开发平台,总节点数为156台,单环境提供至少300台虚拟机。

物理网络架构(生产和测试相同的架构部署)
打开网易新闻 查看精彩图片
物理网络架构(生产和测试相同的架构部署)

测试云用于验证和测试平台业务的可行性和功能。一旦测试云稳定运行并满足要求,可以逐步扩展到生产云环境,以承载实际的业务工作负载。

灾备方面,充分考虑云平台建设两地三中心的长期演进能力,二期项目实现高可用性和容灾能力,确保业务的连续性和数据的安全性。从行内实际出发,灾备建设需要投入更多的资源和时间,可能面临更高的风险,分步建设可以根据业务需求和资源情况,逐步扩展和完善平台的规模和功能。

二、创新点

该项目主要创新如下:

第一:构建全栈自主可控的信创云环境。我行深入梳理了CPU、计算存储、操作系统、中间件以及云平台等核心基础设施的技术栈,并结合技术生态的细致调研,完成了技术栈的精心选型和全面测试。在此项目中,我们选择了鲲鹏和海光架构作为服务器芯片,网络设备、存储硬件以及云平台软件则统一采用华为品牌,操作系统选定了麒麟,中间件由东方通提供,数据库则选用了TDSQL。值得一提的是,经过我们银行的持续测试与专业团队的深入研发,适配后的业务系统在该信创云上运行稳定,成功实现了业务层的国产化替代。

第二:审慎选择技术路线,信创平台支持一云多芯。在选择云架构时,我们秉持长远视野,审慎而周全地进行了考虑。我们既要确保核心技术的自主可控与安全可靠,也要追求性能的卓越与先进。信创的推进绝不能以牺牲系统性能为代价,我们坚决避免用落后的技术系统替换现有的先进系统,从而确保业务建设的持续进步。经过深入测试和广泛调研,我们选定了国产鲲鹏芯片和海光芯片作为国产化替换的优选方案,以保障银行业务的稳定运行。同时,我们规划了一朵云内管理多种信创芯片的能力,以预防未来单一技术路线可能带来的风险。此次建设的信创云平台具有出色的兼容性,能同时支持海光、鲲鹏、飞腾以及Intel等多种芯片,这不仅确保了系统的稳定性和高性能,还极大地提升了资源的利用率和调度的灵活性。这种一云多芯的设计,使得平台能够完美满足银行不同业务的需求,实现资源的统一管理与高效调度。

第三:稳中求进,重要业务使用双栈架构,在尝试信创改造的同时也保障业务连续性。针对统一支付和电子银行等重要业务,我们勇于尝试信创上云,但绝非盲目冒进。为保障业务连续性,创新性地采用了双栈架构双活技术,这一举措不仅展现了我们对技术前沿的敏锐洞察,更体现了我们对业务稳定运行的深思熟虑。具体来说,我们在花桥主数据中心的华为云和总行数据中心的传统环境中分别部署应用,并通过负载均衡器,我们实现了对流量的智能按比例分配,既充分利用了云平台的灵活性和扩展性,又保留了传统环境的稳定性和可靠性。这种架构不仅提高了系统的整体性能和可用性,还为我们提供了更为灵活的业务部署和灾备选择。

电子银行双中心双栈架构图
打开网易新闻 查看精彩图片
电子银行双中心双栈架构图

第四:应用安全组实现东西向流量精细隔离,筑牢云安全防线。在传统的云计算环境中,东西向流量的安全性往往是一个挑战。为了应对这一挑战,我们在信创云平台中启用了安全组机制。通过细致的安全策略配置,我们实现了对东西向流量的精细控制,有效隔离了不同业务系统之间的网络通信。这一举措不仅显著提升了云平台的安全性,还进一步确保了银行业务数据的保密性和完整性。安全组的实施,使得我们可以根据需要灵活地定义网络访问规则,防止了潜在的安全威胁和数据泄露风险。

安全组服务流程图
打开网易新闻 查看精彩图片
安全组服务流程图

第五:结合网络流量分析工具探索云内流量深度分析。为了解决日常运维对云内流量分析的迫切需求,我们决定尝试将科来的先进技术与华为云进行融合。在经过多种方案的反复试验与比对后,我们最终确定了采用在云内虚拟机上部署agent的方式。这种部署策略不仅灵活高效,而且能够确保数据的实时性与准确性。通过agent,我们能够轻松地将云内流量导出至科来的云魔方平台,从而实现对流量的全面、细致的分析。云魔方作为科来的核心分析工具,为我们提供了强大的流量解析能力与丰富的可视化展示。借助云魔方,我们可以快速识别网络中的异常流量、定位性能瓶颈,并对网络安全状况进行实时监控。这不仅大大提升了我们的运维效率,更为保障云平台的稳定运行提供了有力支持。此次与科来的合作探索,不仅解决了我们对云内流量分析的难题,更为我们未来在云计算领域的深入发展奠定了坚实基础。我们相信,随着技术的不断进步与合作的深入,我们将能够解锁更多云计算的潜能,为客户提供更加优质、高效的服务。

云流量采集示意图
打开网易新闻 查看精彩图片
云流量采集示意图

三、项目过程管理

1)项目调研及选型阶段

2022年06月至2023年8月,主要完成了项目调研、项目可行性分析,形成了项目可行性分析报告、项目风险分析报告、项目建设纲要以及POC选型。

2)需求分析和概要设计阶段

2023年09月至2023年10月,主要完成了需求梳理、方案设计、进度规划等工作,形成了需求说明书、进度计划、项目建设方案、实施计划等文档。

3)云平台详细交付阶段

2023年10月至2023年11月,主要完成了生产环境和测试环境的硬件安装、网络调测、资源池部署等工作形成了需求记录手册、问题登记册、实施报告、系统设计报告、测试报告等文档。

4)云平台集成测试阶段

2023年11月至2023年12月,主要完成了云平台各项功能的集成测试工作,形成了测试报告、上线方案、应急手册等文档。

5)应用上云阶段

2023年12月起,云平台正式投产使用,配合协同办公,门户网站,资产系统,邮箱系统等多套系统信创改造和云上部署。

四、运营情况

目前协同办公,门户网站,资产系统,邮箱系统等多套系统已经完成了信创改造,并在云平台上完成部署。2024年5月,我们完成云平台版本的在线升级,升级过程未对业务造成影响。统一的资源管理也为我们带来了诸多便利。我们能够实现资源的集中监控、统一调度和灵活分配,从而更加高效地响应业务需求的变化。这种管理方式不仅简化了运维流程,还降低了管理成本,提高了整体运营效率。

五、项目成效

经过一系列的技术选型和测试,我们成功地构建了端到端的全栈自主可控的信创云,并实现了一云多芯的支持,这不仅解决了应用与资源紧耦合的问题,还带来了显著的成效。

首先,在弹性方面,新的云平台通过虚拟化技术实现了资源池化,使得IT资源能够根据实际业务需求进行动态分配。当业务量或用户数量增加时,我们可以迅速调配更多资源来支持,确保了业务的连续性和高效性。这种弹性架构使得我行能够更加灵活地响应市场变化,快速推出新的产品和服务。

其次,在运维管理方面,云平台提供了统一的监控和管理工具,使得IT部门能够轻松地对各种设备和系统进行集中管理。无论设备种类多么繁杂、品牌多么不同,都可以通过云平台进行统一的监控和维护。这不仅简化了运维流程,还大大提高了管理效率和响应速度。当出现故障或问题时,IT部门可以迅速定位并解决,减少了业务中断的风险。

此外,通过信创云平台的改造,我行还实现了业务系统的国产化替代,提高了信息安全性和自主可控能力。同时,一云多芯的支持也为我们带来了更多的选择和灵活性,避免了单一技术路线带来的使用风险。

总的来说,信创云平台的改造为我行带来了显著的成效,不仅解决了传统IT环境下存在的问题,还提高了业务的灵活性、运维管理的效率和信息安全性。未来,我们将继续发挥云平台的优势,推动我行业务的创新和发展。

六、经验总结

在本期信创云平台的建设过程中,我们积极采纳并实施了SDN软件定义网络、弹性负载均衡、云硬盘、云防火墙、容灾、备份以及分布式存储等先进技术,这些技术都是面向新一代数据中心建设的重要组成部分。通过这次实践,我们不仅深化了对新技术的理解和应用能力,更为我行在未来金融信息化建设中拥抱新技术、提速发展奠定了坚实基础。

同时,我们系统地梳理了芯片、存储、操作系统、中间件及云平台等核心基础设施的技术栈,这一过程极大提升了我们对基础架构建设的认知。我们更深刻地理解了业务系统与科技建设如何更高效地融合发展,并探索出了一条既符合我行实际需求,又代表国产化云计算最佳实践的发展路径。这无疑为金融行业在国产化替代方面提供了有力的案例支持和宝贵的借鉴经验。

然而,我们也清楚地认识到,在业务系统的适配工作中仍存在诸多挑战。目前,业务系统上云时面临的基础软件生态尚不够完善,技术支持与保障也需进一步加强。此外,应用国产化的适配与改造进程相对缓慢,这需要我们与政府部门、产业界、学术界以及用户共同努力,携手推动生态建设的完善。我们期待通过各界的通力合作,共同攻克这些难题,推动信创云项目向更高层次、更广领域发展。

更多金融科技案例和金融数据智能优秀解决方案,请在数字金融创新知识服务平台-金科创新社案例库、选型库查看。