當前,金融領域已經成爲應用雲計算技術最迫切的行業之一。隨着大量的金融機構開始依託雲來承載應用和處理高併發業務,雲計算技術正在與金融行業快速結合,在金融行業內快速發展。2020年是“十三五”收官之年,也是“十四五”編制之年,“新基建”推動之下,“十四五”如何通過雲計算新型基礎設施建設持續深化金融供給側結構性改革成爲重點。
江蘇省農村信用社聯合社(以下簡稱“江蘇農信”)作爲江蘇地區規模最大的金融機構,在一行兩會的指導和要求之下,爲持續做好線上線下泛金融服務一體化建設,打造服務“三農”的信息系統支撐平臺,在3年時間內構建了大規模農信雲平臺,同時,建成了覆蓋全省62家二級法人農商行的金融行業雲平臺,爲農信行業樹立了開源雲計算探索的標杆。
銀行建設私有云能給業務帶來哪些好處,江蘇農信是怎樣依靠技術促進業務的發展的呢?江蘇農信雲平臺團隊負責人對網友關注的問題進行了解答。
Q:中小銀行建設行業雲會遇到哪些困難?除了江蘇農信下的農商行,還有其他農商行應用江蘇農信的農信雲平臺嗎?
A:目前中小銀行建設行業雲其實並不是剛需,更多時候,中小銀行是使用行業雲的最大羣體。建設行業雲需要較大的資金和技術投入,且後期面臨很高的運維、運營壓力及金融機構客戶獲客成本壓力。
農信行業天然的二級法人的架構及省聯社對農商行的指導和服務角色,比較適合建設行業雲,並先從省內開始提供服務逐步擴大到省外和行業。
建設行業雲的困難主要就是技術力量在不斷擴大的行業雲規模面前逐漸捉襟見肘,需要持續吸收新的技術和人才,並高效選型後落地到行業雲當中。另外,需要時刻明確總體建設目標和階段性建設重點,做好建設規劃並遵循規劃進行建設,穩中求進,實事求是,因爲各個廠商推薦的解決方案和產品真的太多了,容易步子邁的特別大,但是效果達不到建設預期。
建設行業雲的目標其實是整合集約、持續創新、真正服務省聯社自身的同時更要服務好農商行的信息科技建設,做到行業標杆。
目前江蘇農信行業雲還是立足江蘇省內農商行,暫時沒有進行省外拓展。
Q: 江蘇農信平臺是否經過了網絡安全等保測評,有哪些需要改善的地方;建設過程當中,在網絡(信息)安全等級保護方面,有哪些主要的規劃和實施工作?
A:我們有單獨的安全團隊對各類業務系統和基礎架構進行安全建設的把關,雲平臺的建設也是依照等保2.0的要求進行了安全自檢及加固,且會持續進行加固和優化。如安全管理中心、安全區域邊界、安全通信網絡、安全計算環境、以及安全物理環境等,雲平臺本身在建設過程中就嚴格按照網絡隔離和安全規範在進行設計。
Q: 江蘇農信的雲平臺有提供數據庫服務和大數據服務嗎?
A:目前江蘇農信有金融級分佈式數據庫,傳統的DB2 ORACLE等,還是在原有團隊進行維護。雲平臺主要是支持的分佈式數據庫,緩存數據庫等。
大數據目前不是雲平臺廠商來提供,我們有幾個合作伙伴的產品經過選型後在進行使用,但是hadoop的運維也在雲平臺團隊。
術業有專攻,建設雲平臺其實最重要的就是專業的人做專業地事,找廠商的時候還是要看到他們最專業的地方,沒必要強求一家全部搞定,也不現實。
Q: 江蘇農信在IaaS層做的很多,都是爲法人行社做的。我們甘肅都是集中在省聯社的。請問一下有沒有對我們這種情況有什麼建議。
A:如果是咱們已經集中在一起,其實比較重要的是“私有云”的建設,私有云本身不強制需要雲管平臺 。另外,甘肅這邊現有的IaaS技術架構不知道是什麼技術,如果是vmware的話,可以考慮引入另外一種虛擬化技術,或者雲平臺,形成異構環境,畢竟國產化是較大的趨勢,且建設性價比也有優勢。
Q: 以江蘇農信私有云爲例,咱這邊有互聯網資源池、生產資源池和開發測試資源池。
A:是的,私有云和行業雲都分別建設了3朵不同業務類型的雲平臺以滿足隔離需求,雲平臺的控制平面整體資源佔用比較輕量,所以我們就索性做了完全隔離,但是在雲管上做了統一管理。
Q: 請教互聯網雲的運維是否必要進行二十四小時人爲監控,互聯網雲的網絡安全該如何加強,比如虛擬機逃逸漏洞該如何防範?
A:互聯網雲這邊我們是自己建設了監控體系,並進行了運維開發,當然了,如zabbix、ELK等開源工具大家也都在使用,然後我們的運維開發團隊也做了一個針對雲平臺的CMDB,用於按照自己的監控側重點和各類基線進行狀態監控。雲平臺本身的監控基本可以滿足日常需求。
告警是對接了行內的Tivoli平臺,ECC這邊我們會安排人員值班制,有告警也可以統一通知,值班人員也不需要特別瞭解各系統的技術原理。
虛擬機逃逸漏洞在私有云這邊沒遇到,vmawre這邊反而有,關於內核的漏洞,我們肯定要求廠商第一時間進行修復,這也是他們的職責所在。
Q: 請問這三個資源池中互聯網資源池和生產資源池 對比開發測試資源是否物理隔離,相當於三朵雲
A:全部物理隔離的,物理上三朵雲,雲管上一朵雲不同資源池而已。
Q: 大容量如6T左右生產應用在雲平臺上如何實現?
A:雲硬盤支持單個硬盤 64TB,可以直接創建雲硬盤並掛載使用。另外,6TB的生產應用,不太清楚是不是數據分佈機制有調優和優化的可能性。
Q: 三朵雲,計算資源池、存儲資源池都是專屬使用?
A:是專屬使用的。
Q: 江蘇農信雲團隊7個人,具體職責是什麼?自主可控的水平怎麼樣?
A:計算、存儲、雲管等方向分別有專人主要負責牽頭,工作內容包括建設以及與廠商駐場人員和PM對接,還有專門的人員牽頭進行應用商店、PaaS平臺、運維開發等工作的推進。由於雲平臺整個產品化程度比較高,平臺本身的運維工作並不複雜,自主可控水平相對較高。大家對於opesntack、ceph、linux、kubernetes的瞭解也在逐漸深入,每個廠商我們都有對應1-2人的原廠駐場。技術人員我們也進行了小範圍的的社招補充,這也比較有必要。
Q: 請教兩個問題: 1、對於雲平臺上,IaaS和PaaS在運維上有界限區分麼?是分不同的團隊運維還是一個團隊運維? 2、雲平臺上的應用開發框架,比如微服務框架,這塊我們有技術路線選擇麼?是選定一種還是會多種技術框架並存?
A:目前我們的paas這塊的運維由於規模不大,所以暫時都是和iaas團隊共同運維。後續paas規模大起來後,會依據實際情況再做考慮。
開發框架目前主要是sprincloud比較多,不建議超過2種,最好一種,否則整體技術的自主可控會很複雜。
另外,互聯網公司的相關框架私有性比較高,容易造成2年後別人無法接手的局面,所以要相對慎重選擇,不過長久合作的話,類似TSF,SOFA,EDAS也可以選擇。
Q: 請問江蘇省聯社現在是7個人專職負責雲平臺運維嗎?和傳統運維有分離嗎?
A:有分離的。
Q:貴公司雲平臺建設是用的哪家技術?貴公司是基於什麼樣需求建設的雲平臺?遇到那些不好解決的問題。
A:雲平臺是使用的易捷行雲的產品。
一是提升資源利用率,降低計算設備成本。省聯社目前使用大量中低端服務器,雖已大部分實現計算虛擬化,但缺乏統一資源調度平臺,無法靈活實施調度策略,因此大量計算資源處於較低利用率狀態(低於20%),不僅導致計算設備投入的浪費,也造成機房空間和電力浪費。通過雲計算技術可提升資源調度效率,提高計算資源利用率,降低成本投入。
二是改變存儲方式,降低存儲設備成本。省聯社目前數據存儲以集中存儲爲主,存在設備價格高昂和擴容困難等問題。目前省聯社即將開展集中數據作業中心和大數據平臺等項目,可以預見在近期省聯社數據將出現爆發增長態勢(預計增長超過50%)。通過運用雲計算技術,將改變傳統存儲方式,存儲擴容將更爲方便,存儲價格將大幅度降低。
三是提高管理效率,降低運維人員成本。隨着全省農商行業務種類和業務規模的快速發展,省聯社信息系統硬件數量出現急速增長(計算設備增長150%,存儲設備增長50%),運維工作量直線上升,運維人員數量缺口也在不斷加大。通過雲計算平臺可實現計算、存儲和網絡資源的集中管理,將大大提升運維工作效率,降低人力成本。
在全省雲平臺規劃的調研製定過程中,已有農商行向信息科技部提出將他們的基礎IT環境遷移至省聯社的共享雲平臺中的意願。農商行普遍科技人員較少,但需要管理整個行的IT資源,包括機房基礎環境和設備、各類外設硬件、自建的應用系統等,工作對象複雜,工作壓力較大。農商行期望通過將IT基礎環境遷移至省聯社的共享雲平臺,降低自身工作的複雜度和壓力,而且使用省聯社的共享雲平臺可以規避使用其他公有云或行業雲的數據安全問題。
Q: 請問江蘇農信雲平臺有沒有提供小型機?
A:沒有提供,雲平臺建設本身就是一個逐步去IOE的過程,現在原則上已經不再購買小型機等專用計算設備了。
Q: 請問江蘇農信雲計算團隊的人員構成?雲計算團隊成立之初需要哪些專業技術、特長的人員參與建設?
A:我們在建設和選型的時候,只有3個人,現在也就只有7個人。我們7個人運維了近萬臺openstack雲主機,還有上千臺 vmware雲主機,還有云管平臺,還有部分hadoop平臺,所以產品化要求就很高。
專業技術和特長的話,其實主要還是看建設規劃,在IaaS和雲管的建設過程中,一般系統組一名,存儲組一名,網絡組一名在初期是夠的,關鍵是這些同事需要有做好橫向技能拓展的心理準備,因爲在雲平臺的架構下,運維的內容可能要橫跨計算存儲網絡基礎軟件容器甚至監控等,要具備較強的學習能力和個人提升的期望。
Q: 江蘇農信在構建“x86+non-x86”混合資源池方面近期有什麼計劃?
A:近期我們在考慮國產x86和ARM的混合資源池等搭建,主要還是希望能夠跟上國產化的趨勢和相關要求,雲平臺這邊,採用的還是易捷行雲的產品,兼容性會好一些,畢竟現在ARM和國產x86後續發展如何,還需要一些時間才能形成標準,所以小規模的通用性好的兼容性好的產品是比較重要的,涉及的業務改造評估還沒進行。
Q: 各業務系統遷移到私有云平臺,是否需要進行全面的業務迴歸測試?如果測試,發現的問題由誰來修改解決?
A:目前遷移的過程中,並沒有太多的遷移本身的問題出現,因爲雲平臺提供的iaas,操作系統,基礎軟件和原有的vmware或者x86物理機沒什麼大的區別。發現的問題這一塊就需要具體問題具體分析,如果是基礎架構的問題,需要雲平臺廠商針對應用運行環境進行適配提供對應操作系統和各類資源,適配不了的話其實應當在遷移評估的時候就做好預警。
Q: 雲上應用數據備份方面的能介紹下嗎?
A:目前我們除了雲平臺自帶的雲主機維度的備份外,更多的是使用了TSM在雲主機裝agent來備份文件系統,並且把備份服務在雲管上做了自服務的二次開發。
Q: 請問容器化部署的過程中都採取了哪些安全控制措施?
A:安全措施目前我們都是沿用的商業版openshift解決方案所推薦的安全feature。
Q: 江蘇農信選擇什麼樣的災備架構,是兩地三中心還是多中心,這個是一開始就考慮了嗎?還是擴容的?
A:目前針對雲平臺是同城的多中心(3中心),是一開始就進行考慮的,建設的話,是去年下半年開始的。
Q: 我們江蘇農信雲平臺的IaaS和PaaS是分開採用兩家公司還是一體化採用一家公司的?
A:兩家公司的產品。IaaS採用的易捷行雲,初期19家交流廠商和測試過程中,易捷行雲分數是最高的,另外,給我留下深刻印象的是他們後臺技術人員整體解決問題的速度、服務態度和工作熱情比較好,前端團隊也很專業和團結,這是一個很好partner的形象。
Q: 請問,江蘇農信在行業雲的基礎上,是否考慮生態雲建設,對外開放?
A:會考慮的,且從一開始我們就在做相關的規劃,現在已經初見成效。
我們大致是四步走,目前在第二步:
第一步選型和搭建基礎平臺:江蘇農信是通過某個供應商saas解決方案來解決應用中心的問題,先搭建平臺熟悉平臺的使用,時間約半年,目前已經完成;
第二步,分別挑選試點服務進行上線測試,分別是api類服務,以及app類服務;
第三步:將之前的DNS服務、堡壘機服務等,也考慮進行在應用商店的發佈;
第四步:開放生態(農商行可以上傳應用併發布、認證後的應用廠商可以上傳併發布、省聯社可以上傳),增加業務數量,併成立運營team,統一審覈、運維和運營目前都是省聯社在主導,人數並不多,處於前期階段還沒全面鋪開。
Q: ARM服務器現在做虛擬化,可以支持哪些操作系統和數據庫?
A:這一塊我們纔剛開始,目前知道的是,易捷行雲產品支持:中標麒麟V4/V10、銀河麒麟V7等、深度、UOS、CentOS for ARM、Ubuntu for ARM等,基本是能夠滿足業務運行需要的,windows還是建議走國產化x86,但是也聽說了windows for arm 還沒時間詳細研究。
Q: 容器化能支持數據庫RAC嗎?
A:RAC作爲支撐核心應用高可用的手段,行方應該是花了很高的建設費用,所以對其期望一定是高可用,高性能,高穩定,能充分發揮RAC功能設計的全部能力。
所以RAC一般都是在物理服務器+共享存儲的場景下進行使用,且心跳和存儲性能及共享性要求都比較高。
則一般不建議進行虛擬化部署,更無法進行容器化部署了,但是從功能上來說,易捷行雲的雲平臺是支持數據庫的RAC以虛擬機方式部署的。
Q:有沒有對國密算法改造的案例介紹?
A:易捷行雲軟件產品主要是和基礎架構相關的解決方案,業務系統的改造是和合作夥伴一同進行,比如和CEC的中軟一起做的某國有銀行的OA國有化改造案例。
Q: 因爲我們現在看到的微服務廠商的技術架構並不相同,新的產品幾乎都採用微服務架構進行開發,所以這類的微服務產品如何能在容器雲級別進行統一管理是我們比較關心的。因爲如果微服務化後沒法管理是比較頭疼的。
A:目前微服務廠商的架構有開源的SprinCloud,dubbo系,gRPC,如文思海輝、科藍等;還有互聯網廠商的SOFA、TSF等,確實很多。
這一點上,首先確定行內的開發架構是非常重要的,也直接決定了合作伙伴的選擇,建議控制在2種以內,且至少包含一種開源框架如SprinCloud,然後和合作夥伴一起,逐步指定開發規範和改造規範,一般是開發部門、業務部門牽頭,基礎架構部門配合並做基礎平臺的建設牽頭。
然後,IT部門還是要統一進行基礎平臺的建設,並反向約束後續的業務系統開發,如統一建設基於k8s+docker的容器平臺,建設sprincloud爲主的微服務治理框架,這樣業務廠商就需要按照咱們的既有規範進行鏡像提供和業務改造即可,所以定規矩比較重要,工作要做在前,平臺也要建在前。
Q: 貴司有沒有其他的合作資源。例如三方資源、能力、流量等引入?
A:資源有的,需要按照客戶實際需求選擇合作伙伴共同降低客戶的獲客成本,促進創新。