金融行業的IaaS參考架構如下圖所示。和公有云不同,金融行業私有云首先要滿足內部業務部門的服務需求,在長時間內會存在分佈式和集中式技術混合使用的場景。
在做架構設計的時候,需要儘量兼顧現有的運營體系和主流產品。比如計算資源池內只考慮X86虛擬機和物理機,不再考慮小型機,原因是X86物理機已經逐漸開始大規模替代小型機。存儲方面,現有的分佈式存儲技術在功能、性能、容災方面距離傳統SAN存儲還有差距,因此還不能放棄。網絡方面,虛擬軟件網元也會和硬件網元長期並存。
金融機構現有的運營支撐系統已經長期穩定運行了很長時間,在做雲計算架構設計的時候需要儘量考慮融合。對於不適用於雲計算的部分,可以採取優化升級的方式,達到雲計算的適配要求。比如傳統的審計系統都是管理員手工配置,在雲計算環境裏就需要通過軟件定義的方式可以實現,也即審計配置的功能應該通過API暴露出來,並嵌入到資源申請的流程裏。
此外,雲計算是面向多租戶提供服務的,經典雲計算裏,租戶對於自己的資源有所有管理權限,比如對雲主機的啓動、停止、刪除等。這對於一些金融機構的基礎資源管理體系形成了挑戰。比如很多金融機構的服務器(包含操作系統)是由專門的服務器管理員負責,這個管理員面向所有的業務系統,各業務系統的應用管理人員只有普通應用賬戶的權限。這樣做能夠有效提升效率和安全性,但是對於雲計算的多租戶服務體系來說就需要做一定的改變。這種情況下,服務器管理員應該轉變爲計算資源池管理人員,雲主機的使用對象爲應用管理人員,也即多租戶的對象。和經典雲主機的使用方式不同,爲了避免應用管理人員誤操作影響主機的可用性,應該對租戶的權限做更嚴格的限制,不允許租戶刪除、停止主機,也不允許租戶使用root權限。