有一位朋友告訴我這麼一件事,曾經他一個親戚來北京旅遊,到他家看了一下,說:“北京這麼大,坐車要那麼久,恐怕交個電話費都要坐一個小時車。”他笑了笑說不用,他直接用筆記本上的招行專業版就可以交電話費、煤氣費、手機費、還可以隨便買東西、匯款、轉帳等等。看得他親戚直說:“啊,沒想到網絡還這麼好,我還以爲全是木子美,芙蓉姐姐什麼的人在網上跳呢。”
的確,越來越深入的網上銀行應用正在逐漸改變人們對互聯網的娛樂看法,互聯網不僅可以傳遞視聽和做簡單的互動,還能傳遞各種應用來改變人們的生活。但這些應用絕非像一般的網站在服務器上一放這麼簡單,人們能夠安全、快速和高可用地在網上使用真金白銀,因爲這背後有一個應用交付的技術。
什麼是應用交付?它有什麼特殊之處?它是如何運作的?爲尋求這些問題的答案,中國信息主管網記者專訪了F5公司的中國區技術總監吳靜濤。F5是應用交付網絡領域的全球領先企業,其總部位於美國西雅圖市。
.jpg)
F5中國區技術總監吳靜濤:需要引入獨立的應用交付技術,構成應用交付網絡(ADN:Application Delivery Networking),把IT應用高效地交付到最終用戶手上。
中國信息主管網:什麼是應用交付?銀行IT建設會用到哪些應用交付技術?
吳靜濤:現在的業務與IT高度融合,特別是銀行業,幾乎所有的業務都會開發成相應的IT應用,但光靠傳統的網絡技術已無法有效傳送這些複雜的IT應用,會有各種擁塞、癱瘓以及不安全等因素,這需要引入獨立的應用交付技術,構成應用交付網絡(ADN:Application Delivery Networking),把IT應用高效地交付到最終用戶手上。
作爲一種綜合性設備,應用交付可以通過綜合本地負載均衡、鏈路負載均衡、WAN優化加速等等技術手段,並以應用交付控制器(ADC)等網絡平臺來實現網絡高性能且穩定可靠的網絡。其最早的引導是F5等廠商。雖然這是一項新興的網絡技術,但由於它是將關鍵應用與基礎網絡設備相關聯的系統解決方案,因此,隨着市場認知度的逐漸增強,ADC也引起了傳統的網絡技術廠商的極大關注。
F5針對銀行的應用交付技術涵蓋了高可用、快速和安全的所有方面的設備和解決方案。
在高可用類型產品中,包括多數據中心(IDC)協同工作,數據中心(IDC)業務容災,ISP鏈路均衡,Web/APP均衡。
所謂多數據中心協同工作,就是主數據中心、同城災備和異地災備三個或更多的數據中心一起協同工作,這就是F5提出的“備而不廢”的概念,這樣銀行的災備就不只是當災難發生才起作用,平時也能產生功效。
業務容災是相對數據容災更高層次的災難備份,當災難發生的時候,銀行能通過災備中心直接把業務切換過來,而不只是做數據切換,用戶不會感受到銀行業務的變化。像工行就是做的業務容災,它的網上業務非常頻繁,特別需要用到這個技術。
優化加速類產品包括SSL加速,廣域網傳輸加速,動靜態頁面加速,連接優化,協議優化。
出於衆所周知的原因,銀行的網上數據都是SSL加密的,所傳送的數據不容易被網絡***截獲和解密。但這個過程需要耗費系統大量的開銷,嚴重降低機器的性能,相關測試數據表明使用SSL加密的服務器工作效率只有普通情況下的十分之一。F5的優化技術可以把SSL卸載到負載均衡設備上,這樣服務器效率就能增加十倍以上。如果只用負載均衡,可能要用10臺服務器,加上優化之後,則只需要4臺服務器。
F5的其他優化加速特別是對動態頁面的加速促成了銀行紛紛採用B/S結構,目前中國只有兩家銀行還固守C/S結構。所謂B/S結構,就是Browser/Server,瀏覽器/服務器模式,而C/S結構是Client/Server,客戶端/服務器模式,這兩種模式的差別在於前者把軟件裝在服務器上,用戶直接通過瀏覽器就能在任何地方進行操作而不用安裝任何專門的軟件,做到客戶端零維護,這樣系統的擴展升級非常容易。
安全類產品包括網絡安全防護,DOS/DDOS***防護,應用安全防護等等。
總之,目前F5爲銀行提供的產品和功能很多,主要爲銀行解決網上業務的交付問題,包括網上銀行,內部管理,OA,中間業務等的服務器壓力卸載和服務能力擴展,用戶體驗提升,IDC容災……
中國信息主管網:銀行爲什麼需要應用交付技術,而不是靠擴充服務器、加大帶寬等傳統手段來解決問題?
吳靜濤:這是歷史原因造成的,我們傳統的網絡協議(TCP/IP協議,誕生於1983年)都是爲局域網設計的,但是現在基於XML和麪向結構的開發技術,都是爲了應用更靈活、更高效的開發而產生的,越來越多新的應用和針對新的應用的結構,已經把摩爾定律所能帶來的提升給淹沒了。所以光靠擴充服務器、加大帶寬等措施就會遇到一個不可逾越的瓶頸,投入很大,效率卻不見提高。
具體來講,TCP在最初設計時沒考慮到高帶寬情況下遠程傳輸的延遲問題,也沒考慮到網絡上那麼多應用產生的那麼多TCP連接,而對於多個連接間存在的相互關聯關係的處理,都是TCP協議沒有涵蓋的,需要高層協議或其他設備的支持。在安全方面,很多網絡***都以TCP作爲依據。
要解決以上這些問題,就必需引入應用交付技術。用戶開發一個網上應用的目的,當然是給更多的人用的更好,而如果在規劃應用的前期沒有考慮到包括TCP優化的一系列應用交付問題,即使應用構建好了,可是交付不到用戶,或交付品質不高,包括停機,頁面慢,出現安全問題等,那這些投資和工作就等於是白做了,是很可惜的。
.jpg)
F5中國區技術總監吳靜濤:F5是從業務持續性入手,解決高可用問題、解決優化問題、解決應用安全的問題,是一步一步地邁向客戶的最終需求……
中國信息主管網:應用交付既然這麼獨特,但似乎也是近幾年才悄然興起,F5是如何配合銀行的IT建設把應用交付切入進去的?
吳靜濤:5年到10年前,銀行的IT規劃還處於局域網的階段,當年主機部門只考慮運算能力,網絡部門更着重於聯通性,不注重延遲丟包,安全部門只考慮網絡安全,沒有考慮應用安全。而一旦接入互聯網,這些情況的出現不是自己可以解決的,只能罵電信局。網上業務的開展就是這5年10年的突然一個變化,結果網絡部門、主機部門、運維部門、安全部門都沒有準備好,但是網上銀行又必須做,不做不行啊,銀行確實存在着這方面的侷限,就需要一些安全的廠商、交付的廠商,就需要F5這種完全考慮到交付的性質:高可用、優化和安全的全部整體方案一起來做,讓別人幫他交付,銀行才能更專心地做自己的業務。
從業務規劃的角度來看,可以是階梯狀的順序:首先保證業務持續性,然後是用戶體驗,再就是安全問題。但是從IT規劃的角度來看,這些必須在第一天就要全部考慮到,在前期就要有一個總體規劃,否則一旦擴容出現變動,不可能修改業務來適應,只能是修改甚至換掉IT系統,那麼以前的很多就白做了。有銀行專門點名讓我參加他們的三年IT規劃,以便銀行專注於自己的業務邏輯,讓F5幫助把這些業務交付出去。F5也就不只是一個產品和解決方案提供商,還進而成了一個諮詢服務商。在這方面,經驗特別重要,F5的工程師都有5、6年的銀行服務經驗,積累了各種問題的解決方式,而且F5的工程師極少流動,這一點是很寶貴的。
F5是從業務持續性入手,解決高可用問題、解決優化問題、解決應用安全的問題,是一步一步地邁向客戶的最終需求,而客戶也在一步一步地邁向他真正的需求所在,這些都是需要一個過渡的過程,F5就是在這個過渡過程中配合客戶的需求在走,而且越來越深入。
中國信息主管網:現在很多銀行都應走到信息安全這一步了,一方面銀行要保證安全運行,另一方面要投入更多的應用參與市場競爭,加大了風險的發生機率,針對這一對矛盾,F5可以提供什麼樣的建議?
吳靜濤:安全是一個太大的題目,今天我們可能更多從應用安全的角度來提供建議:更多的應用的確給安全運行帶來很大風險,我建議銀行要特別注意應用***的防範。因爲安全部門以前的網絡安全概念和網絡***防護根本無法解決網上的應用***,最明顯的就是目前常見的防火牆,***檢測和IPS等設備的特徵碼技術在銀行的SSL加密流量下毫無用處。
這意味着什麼呢?我們知道銀行都需要SSL加密通訊,網上所有設備看到的都是加密的。看不見就意味着防不了, 防火牆無法迅速截獲SSL數據流並對其解密,因此無法阻止應用程序的***,有如紫禁城城牆很厚,但大門洞開。加上近幾年的***行爲有很大變化,不像以前是以停止服務***的求名爲主,而是“悄悄地進村,開槍的不要”,以***系統後的求利爲主,更多的***希望的是通過應用***得到利益,所以應用安全是目前銀行需要特別關注的方面。
安全方面也是應用交付的一個重要方面,被***導致系統癱瘓或被******導致的關鍵信息泄漏都是可以歸類爲交付故障。F5做應用安全有得天獨厚的優勢,因爲SSL只能在服務器上解密,而F5的設備是離服務器最近的。F5把SSL卸載,就是明碼了,再做應用安全就可行了。這是由F5的位置決定的,而不是功能決定的。
.jpg)
F5中國區技術總監吳靜濤:F5的設備離服務器最近,做應用安全有得天獨厚的優勢,這是由F5的位置決定的,而不是功能決定的。
中國信息主管網:金融危機下,包括銀行在內的各家企業都在縮減成本,IT投資首當其衝,F5有沒有受到這樣的衝擊?將如何拓展市場?
吳靜濤:目前看影響不是特別大,因爲網上業務的開展使得用戶看到了真正的節約成本,提高效率的方法,以網上銀行開展的比較好的銀行看,網銀佔業務的比例都已經超過了20%,高的甚至接近50%,對比傳統營業廳的投入產出是絕對的優勢;特別是在金融危機的情況下,客戶開展網上業務,或優化現有網上業務的需求更加迫切,f5反而應該在這種情況下更多的幫助客戶在新的網上業務構建的初期考慮的交付問題,避免網上業務的失敗,並更好的幫助客戶優化和交付現有網上業務,和客戶一起度過這個艱苦的階段。
F5下一步是拓展中小銀行的市場,這取決於這些銀行的戰略發展。目前很多特別是江浙一帶的中小銀行在突破地域限制向全國發展,它不可能像工行那樣在全國佈網點——工行能有這麼多網點也是花了二十幾年的時間,這對中小銀行不現實。如今網上銀行應用越來越多,線下銀行服務基本都能在線上實現。那麼中小銀行要開拓全國市場最有效的辦法就是網上銀行,這就是F5的機會。
F5也不只針對銀行的網上業務,銀行的內部業務,前置機、中間件接口(煤氣、電費、水費……)和OA管理,核心業務轉化爲B/S結構,都需要應用交付。
中國信息主管網:看來銀行的系統是越來越多,針對這點業界在鼓吹“虛擬化”的概念,但之前我們採訪到一家銀行,認爲虛擬化技術不太穩定和安全,所以不考慮使用,F5如何看待這個問題?
吳靜濤:虛擬化技術不穩定和不安全,的確是一個普遍看法,這是因爲一般認爲虛擬化是將1臺設備虛擬爲多臺設備來提高利用率,提高ROI,實際上虛擬化可以分爲不同的含義,包括操作系統,應用服務器,應用,管理,網絡,硬件,存儲,服務等很多方面(如下圖),我們一般層面上了解的操作系統虛擬化容易讓人聯想到不穩定(實際上各虛擬化廠商也都可以通過自己的技術避免),但是將多個應用服務器虛擬爲一個虛擬服務器的負載均衡技術反而是提高穩定性和安全性的方法,也是各銀行客戶普遍採用的技術,而多IDC,多isp鏈路的協同工作所構建的虛擬化網上應用,可以確保用戶在任何服務器,鏈路故障,甚至是IDC故障的情況下都可以得到滿意的服務,這就更是銀行客戶所樂於採用的技術了。
中國信息主管網:說到對複雜系統的整合簡化,現在流行的雲計算、綠色IT、SOA也包括虛擬化似乎都有這麼一個方向,應用交付與它們是什麼關係呢?
吳靜濤:從雲計算概念來講,它要構建一個強大的服務能力,比如GOOGLE,它後臺可不是一臺、兩臺服務器,而是成千上萬的服務器組,這就是一個雲計算。當多服務器、多數據中心協同工作的時候,F5的技術就是一個必備技術,這其實與雲計算是一個相輔相成的概念。大家只不過是從不同的切入點進來逐漸走到了一起。(羅提)