品高云案例 | 新疆農(nóng)村信用社云平臺應(yīng)用與實現(xiàn)

本文作者為新疆農(nóng)信科技部運行中心總經(jīng)理 孫世海，原文刊發(fā)于《金融科技時代》2020年第10期。

摘要：2016年，新疆維吾爾自治區(qū)農(nóng)村信用社聯(lián)社（以下簡稱“新疆農(nóng)信”）開展了首期云平臺建設(shè)，逐步構(gòu)建了面向內(nèi)部應(yīng)用和地州行社服務(wù)的IaaS基礎(chǔ)設(shè)施云平臺，并于2018年12月上線。在2020年二期建設(shè)中，又進一步優(yōu)化了基礎(chǔ)設(shè)施云平臺及CMP云管平臺，增加了智能縱深安全防御體系。同時，構(gòu)建了基于容器，面向云原生應(yīng)用的持續(xù)交付平臺，從而支撐銀行應(yīng)用面向未來的架構(gòu)轉(zhuǎn)型。

關(guān)鍵詞

金融科技 云平臺 云計算 信息化

一、新疆農(nóng)信的入云準備 

（一）IT現(xiàn)狀及優(yōu)化訴求 

新疆農(nóng)信是地方性質(zhì)的金融機構(gòu)，在全疆13個地州（市）設(shè)有合作銀行，縣（市）行社83家，營業(yè)網(wǎng)點1221個，主要經(jīng)營人民幣存款、貸款、各種資金結(jié)算以及代收代付等業(yè)務(wù)。近年來，新疆農(nóng)信各項業(yè)務(wù)實現(xiàn)跨越式發(fā)展，主要指標均創(chuàng)歷史新高，在中國銀監(jiān)會對全國農(nóng)村中小金融機構(gòu)經(jīng)營及風險指標排名中躋身前列。

在業(yè)務(wù)、技術(shù)需求持續(xù)發(fā)展、行業(yè)標準不斷提高的背景下，與業(yè)界標桿對比，新疆農(nóng)信的IT現(xiàn)狀及業(yè)務(wù)存在以下有待優(yōu)化的地方：

一是新疆農(nóng)信與當時銀行業(yè)的IT發(fā)展相匹配，在業(yè)務(wù)的持續(xù)性投入較大，但是在服務(wù)器的CPU利用率、資源及應(yīng)用交付周期上存在較大問題；

二是各地州行社的IT能力參差不齊。地州數(shù)據(jù)中心的建設(shè)流程繁瑣，資源零散，地州研發(fā)需要IT部門提供測試環(huán)境，且地州個性化業(yè)務(wù)應(yīng)用需要生產(chǎn)環(huán)境支撐；

三是技術(shù)架構(gòu)單一，易受國外廠商技術(shù)綁定。如采用國外的虛擬化技術(shù)，存儲類型都是SAN存儲，從建設(shè)成本和新的技術(shù)趨勢角度考慮，需要引進不同服務(wù)級別的存儲以應(yīng)對不同的應(yīng)用場景；

四是現(xiàn)有應(yīng)用主要架構(gòu)為主備和集群模式，數(shù)據(jù)庫為主備或RAC模式。從應(yīng)用類型看，目前主要為常規(guī)性應(yīng)用，但是隨著“互聯(lián)網(wǎng)+”的興起，未來將會出現(xiàn)更多面向最終用戶及上下游合作伙伴的互聯(lián)網(wǎng)應(yīng)用的交付需求。

（二）云現(xiàn)狀及規(guī)劃 

在2018年完成統(tǒng)一的基礎(chǔ)設(shè)施云平臺建設(shè)后，新疆農(nóng)信已經(jīng)有效實現(xiàn)了IT資源的池化管理，云平臺也承載了很多生產(chǎn)業(yè)務(wù)。按照云平臺整體規(guī)劃，將在互聯(lián)業(yè)務(wù)區(qū)部署私有云資源池，通過統(tǒng)一云管平臺對內(nèi)網(wǎng)區(qū)域和互聯(lián)網(wǎng)區(qū)域資源池進行集中管理，建設(shè)完成后可以為地州特色業(yè)務(wù)及互聯(lián)網(wǎng)金融業(yè)務(wù)提供基礎(chǔ)設(shè)施服務(wù)（IaaS）。

此外，為了支撐更多的業(yè)務(wù)系統(tǒng)上云、滿足業(yè)務(wù)快速發(fā)展需求、保證業(yè)務(wù)系統(tǒng)穩(wěn)定運行，新疆農(nóng)信也對運維能力提出了更高的要求，建設(shè)全局運營運維體系勢在必行。

眾所周知，大部分的銀行業(yè)務(wù)應(yīng)用需至少滿足等保三級要求。在云等保2.0標準發(fā)布后，為保證應(yīng)用系統(tǒng)安全合規(guī)運行，在確保原有安全項都滿足云等保2.0“通用要求”的基礎(chǔ)上，針對新規(guī)中橫向擴展對云計算的安全要求，需要進行額外的云計算等保三級安全方案設(shè)計及實施落地。

最后，在早期進行云計算戰(zhàn)略的制定時，新疆農(nóng)信的目標是云平臺能實現(xiàn)資源的池化管理并承載已有的傳統(tǒng)應(yīng)用。而經(jīng)過幾年的發(fā)展，新疆農(nóng)信借鑒國內(nèi)外銀行業(yè)和互聯(lián)網(wǎng)金融公司的經(jīng)驗，逐步開展互聯(lián)網(wǎng)應(yīng)用的探索及實踐，旨在實現(xiàn)銀行應(yīng)用架構(gòu)轉(zhuǎn)型。此刻，需要進一步云平臺升級，提供互聯(lián)網(wǎng)應(yīng)用所需的基礎(chǔ)架構(gòu)。

二、建設(shè)思路

回顧首期云平臺項目建設(shè)成果可見：通過項目初期的顧問、咨詢、規(guī)劃服務(wù)與首期云平臺的建設(shè)，新疆農(nóng)信已有效實現(xiàn)計算、存儲、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的“池化”管理，資源利用率從15%提高到80%以上。通過自助服務(wù)能力，新疆農(nóng)信80%的標準運行環(huán)境、操作系統(tǒng)環(huán)境、數(shù)據(jù)庫環(huán)境、中間件環(huán)境和大數(shù)據(jù)運行環(huán)境已實現(xiàn)一鍵式交付和服務(wù)監(jiān)控。建設(shè)完成面向內(nèi)部應(yīng)用和面向地州的基礎(chǔ)設(shè)施服務(wù)（IaaS）平臺建設(shè)，已承載的業(yè)務(wù)包括綜合業(yè)務(wù)類、渠道管理類等八大類應(yīng)用。開發(fā)測試、生產(chǎn)環(huán)境全面投產(chǎn)，實現(xiàn)生產(chǎn)資源的集中供給、集中運營和集中災備，覆蓋兩地數(shù)據(jù)中心和生產(chǎn)上線33套運行環(huán)境，運行實例近300個，CPU資源使用量近2000核，內(nèi)存5TB，存儲容量超過100TB。

因此，在首期云平臺成果的基礎(chǔ)上，新疆農(nóng)信決定啟動二期建設(shè)：通過新增、擴容提升云資源的使用支撐范圍，支持更多的業(yè)務(wù)上云，服務(wù)更多的業(yè)務(wù)部門；通過安全加固滿足等級保護的合規(guī)要求；通過融合云管理平臺提升和優(yōu)化對云資源的使用；通過容器云平臺滿足敏態(tài)業(yè)務(wù)的快速迭代和發(fā)布需求。

三、上云部署

（一）戰(zhàn)略制定及落實

2016年，新疆農(nóng)信明確了IT發(fā)展方向，即充分利用云計算技術(shù)打造未來全新的IT體系，但受限于自身定位，難以對后續(xù)的云計算戰(zhàn)略進行規(guī)劃。于是，新疆農(nóng)信結(jié)合自身實際，對業(yè)務(wù)發(fā)展和IT現(xiàn)狀進行梳理，并借鑒國內(nèi)外銀行業(yè)信息化先進實踐，謀劃了云計算的規(guī)劃與部署，確定以業(yè)務(wù)交付為主線，資源和服務(wù)為重點，安全審計為保障，漸進地向云計算平臺演進的戰(zhàn)略思路。

圖1 成熟度分析結(jié)果

根據(jù)前述戰(zhàn)略思路，新疆農(nóng)信開始構(gòu)建面向內(nèi)部應(yīng)用和面向縣（市）行社的云平臺，不僅將內(nèi)部生產(chǎn)的綜合業(yè)務(wù)類、渠道管理類等八大類業(yè)務(wù)應(yīng)用遷移到云平臺中，并且針對地州對IT資源的訴求，構(gòu)建面向內(nèi)部及地州的統(tǒng)一數(shù)據(jù)中心，采用公有云租戶的模式為下屬地州以服務(wù)的形式提供相應(yīng)的資源服務(wù)，從而實現(xiàn)云能力的對外輸出。

由于此前業(yè)務(wù)應(yīng)用大多由各個部門獨自進行建設(shè)，一些基礎(chǔ)組件的版本存在差異。而隨著業(yè)務(wù)的不斷發(fā)展，面對更多業(yè)務(wù)系統(tǒng)和應(yīng)用的入云需求，為實現(xiàn)運維管理標準化、降低運維成本，新疆農(nóng)信梳理并構(gòu)建了統(tǒng)一的服務(wù)目錄，在服務(wù)目錄中將各操作系統(tǒng)的版本、中間件和數(shù)據(jù)庫版本進行統(tǒng)一，并依據(jù)業(yè)務(wù)場景，在同一服務(wù)中預置了不同的初始化配置。

2020年，新疆農(nóng)信還將優(yōu)化基礎(chǔ)云平臺及CMP平臺, 增加智能縱深安全防御體系,以滿足云等保2.0標準的三級保護要求。同時，進一步構(gòu)建基于容器面向云原生應(yīng)用的持續(xù)交付平臺，為銀行提供微服務(wù)應(yīng)用的基礎(chǔ)架構(gòu)，支撐銀行應(yīng)用進行架構(gòu)轉(zhuǎn)型。

圖2 新疆農(nóng)信企業(yè)云平臺

（二）技術(shù)實現(xiàn) 

1. 資源集中化管理，標準云服務(wù)能力輸出

項目不僅實現(xiàn)對虛擬化資源和云資源的統(tǒng)一管理，面向內(nèi)部應(yīng)用和地州統(tǒng)一提供標準化云服務(wù)，實現(xiàn)資源按需申請、彈性分配、動態(tài)伸縮，最大限度發(fā)揮資源效用。

新疆農(nóng)信還將標準的運行環(huán)境、操作系統(tǒng)環(huán)境、數(shù)據(jù)庫環(huán)境、中間件環(huán)境都固化到服務(wù)目錄中。依據(jù)業(yè)務(wù)場景，在同一服務(wù)中預置不同的初始化配置，實現(xiàn)不同環(huán)境下資源的標準化一鍵式交付，使得運維管理標準化，降低運維成本，如圖3所示。

未來，還可以依據(jù)服務(wù)定價原則為每個云服務(wù)設(shè)置計量公式和價格，對云服務(wù)的使用進行計費，從而改變傳統(tǒng)的云服務(wù)建設(shè)和使用模式，升級為“總部統(tǒng)一建設(shè)，各地州按需申請”的云計算模式，實現(xiàn)建設(shè)資金從資本性支出向運營成本轉(zhuǎn)變。

圖3 資源集中化管理

2. 異構(gòu)支持，滿足多樣應(yīng)用入云需求

針對原本只有SAN存儲和X86架構(gòu)應(yīng)用的情況，新疆農(nóng)信以異構(gòu)支持技術(shù)滿足后續(xù)多樣應(yīng)用入云需求，無論是集中式存儲和分布式存儲，還是針對不同異構(gòu)CPU架構(gòu)的支持，都能借此擺脫單一技術(shù)綁定問題。

在云平臺支撐下，新疆農(nóng)信將已有的基于X86架構(gòu)研發(fā)的業(yè)務(wù)遷移到云中，實現(xiàn)應(yīng)用云化部署。在信創(chuàng)大背景下，該云平臺單一集群支持多種異構(gòu)資源技術(shù)，也為新疆農(nóng)信進行國產(chǎn)化平滑演進奠定了基礎(chǔ)。

一直以來，新疆農(nóng)信業(yè)務(wù)應(yīng)用對Oracle RAC存在一定依賴性，后者在實踐應(yīng)用和官方推薦中都傾向基于物理機進行部署。而通過裸金屬服務(wù)和自動化部署服務(wù)，可以將Oracle RAC自動化部署在裸金屬云主機，既滿足核心數(shù)據(jù)庫高性能的要求，又減少了應(yīng)用配置的工作量，更重要的是，為此類依賴物理設(shè)備的應(yīng)用提供了入云的另一途徑，如圖4所示。

圖4 異構(gòu)支持

3. 面向云原生應(yīng)用的持續(xù)交付平臺，支撐銀行應(yīng)用進行架構(gòu)轉(zhuǎn)型

新疆農(nóng)信即將建設(shè)的持續(xù)交付平臺，是橫向擴展、秒級伸縮、智能運維、適應(yīng)快速開發(fā)、持續(xù)交付的云平臺，為銀行應(yīng)用向互聯(lián)網(wǎng)應(yīng)用轉(zhuǎn)型提供最適配的基礎(chǔ)架構(gòu)。

在交付平臺搭建完成后，原有基于微服務(wù)框架開發(fā)的應(yīng)用將進行試點遷移。此外，新疆農(nóng)信梳理并輸出一整套基于容器云PaaS平臺的分布式應(yīng)用開發(fā)部署運維規(guī)范和指南，利用互聯(lián)網(wǎng)技術(shù)架構(gòu)支持銀行應(yīng)用架構(gòu)轉(zhuǎn)型，降低IT資源運行和集成成本，提高服務(wù)發(fā)布效率。

在繼續(xù)支撐傳統(tǒng)應(yīng)用的基礎(chǔ)上，加強對云應(yīng)用的部署支持，確保IT基礎(chǔ)設(shè)施既能夠保證傳統(tǒng)應(yīng)用的可靠性，又能夠滿足云應(yīng)用對敏捷性的高要求。持續(xù)交付平臺如圖5所示。

圖5 面向云原生應(yīng)用的持續(xù)交付平臺

4. 構(gòu)建智能縱深安全防御體系，滿足等保2.0要求

新疆農(nóng)信在安全設(shè)施滿足云等保2.0標準的“通用要求”的基礎(chǔ)上，針對橫向擴展對云計算的安全要求項目，構(gòu)建智能縱深安全防御體系，滿足等保2.0標準的要求。

“智能”是指通過云平臺與整個安全體系結(jié)合，在業(yè)務(wù)上線時，自動根據(jù)業(yè)務(wù)的等保定級要求完成資源與安全能力的編排交付，從而實現(xiàn)安全的服務(wù)化交付，自動滿足等保要求；而“縱深”則是指通過已有的物理安全設(shè)備、安全資源池及云平臺的安全能力來對整個網(wǎng)絡(luò)架構(gòu)的東西南北向進行安全加固。

5. 全局運營運維體系建設(shè)，實現(xiàn)IT資產(chǎn)統(tǒng)一管控

在新一期的建設(shè)中，新疆農(nóng)信將通過CMP管理平臺與原有的智能運維平臺、統(tǒng)一認證中心、安全資源池等外圍IT應(yīng)用進行整合對接，以實現(xiàn)在保留用戶原有IT資源使用習慣的同時，滿足對多用戶使用和多用戶運維運營管理的需求，如圖6所示。

圖6 全局運營運維體系建設(shè)

通過與外圍生態(tài)的連接，CMP平臺從原先的賦能型平臺開始向使能型平臺進行轉(zhuǎn)變，助力新疆農(nóng)信進行全局運營運維體系建設(shè)，實現(xiàn)IT資產(chǎn)統(tǒng)一管控。

四、成果及影響

（一）雙態(tài)IT，快速穩(wěn)定 

通過建立智能縱深安全防御體系，打造符合監(jiān)管部門和行業(yè)安全合規(guī)要求的以業(yè)務(wù)為中心的云平臺，在保證安全的前提下，打造快速穩(wěn)定的“穩(wěn)態(tài)+敏態(tài)”雙態(tài)IT，滿足日漸強烈的業(yè)務(wù)應(yīng)用快速迭代和發(fā)布需求，使敏捷開發(fā)成為支撐業(yè)務(wù)創(chuàng)新的核心能力，在滿足傳統(tǒng)應(yīng)用需求的同時，又能為新型架構(gòu)應(yīng)用提供基礎(chǔ)架構(gòu)，實現(xiàn)快速、穩(wěn)定的雙重優(yōu)勢，以高性能、低損耗降低運營成本。

（二）統(tǒng)一構(gòu)建，降低成本 

完成從地州自建到集中建設(shè)的轉(zhuǎn)變，構(gòu)建統(tǒng)一服務(wù)目錄，實現(xiàn)運維管理標準化，降低運維成本，并通過資源的“池化”管理，大幅提升資源服務(wù)交付效率，提升資源利用率，降低IT成本。

（三）國產(chǎn)可控，異構(gòu)兼容 

基于自主研發(fā)、安全可控的國產(chǎn)云產(chǎn)品BingoCloud進行信息技術(shù)應(yīng)用創(chuàng)新建設(shè)，并在符合監(jiān)管部門、行業(yè)合規(guī)要求的前提下實現(xiàn)異構(gòu)支持，可滿足多類應(yīng)用入云及國產(chǎn)化演進需求，為國產(chǎn)替代平滑演進奠定基礎(chǔ)。

（四）全棧構(gòu)造，靈活搭建 

依托BingoCloud全棧云產(chǎn)品體系，可根據(jù)業(yè)務(wù)需求從IaaS基礎(chǔ)設(shè)施層、PaaS平臺層、DaaS數(shù)據(jù)層、SaaS軟件層至CMP云管理平臺層靈活進行云平臺建設(shè)，為后續(xù)搭建圍繞業(yè)務(wù)交付的全生命周期云平臺做好準備，推動新疆農(nóng)信實現(xiàn)具備快速需求響應(yīng)和業(yè)務(wù)創(chuàng)新能力的數(shù)字化、網(wǎng)絡(luò)化及智能化轉(zhuǎn)型。

五、總結(jié)

本文介紹了新疆農(nóng)信如何結(jié)合業(yè)務(wù)發(fā)展戰(zhàn)略和現(xiàn)有IT現(xiàn)狀，以銀保監(jiān)會相關(guān)政策為指導，借鑒國內(nèi)外銀行業(yè)信息化先進實踐，最終明晰云平臺建設(shè)的方向、整體架構(gòu)及實施路徑，完成首期云平臺建設(shè)和二期項目建設(shè)的全過程。希望為行業(yè)內(nèi)云計算技術(shù)的推廣落地與行業(yè)信息化轉(zhuǎn)型提供一定參考。

參考文獻

陳甚澍. 論云計算及其在銀行業(yè)的運用前景[D]. 財政部財政科學研究所.

葛兆強. 我國商業(yè)銀行信息化建設(shè):現(xiàn)狀、問題與戰(zhàn)略選擇[J]. 中國金融電腦, 2006, 000(006):1-8.

吳為濱, 孫寶貴, 李逢林,等. 云計算技術(shù)在銀行信息化建設(shè)中的應(yīng)用探討[J]. 科技資訊, 2017, 015(002):31-31.