商业银行私有云建设实践

商业银行私有云建设实践

随着信息技术的高速发展，银行业务与科技高度融合，在信息科技的支撑和引领下，商业银行转变发展方式，提高发展质量和效率，积极探索云计算相关技术，成功实施了基于全行资源池化管理的私有云建设实践项目。

秉承“统一规划，架构先行，技术创新，管理配套”的方针，商业银行攻克多项技术难关，突破传统组织的管理困局，建成了全面覆盖总分行各级机构的私有云平台，提升了科技运营效率，促进了业务快速发展，项目规模效益明显，应用效果显著。

一、商业银行私有云体系架构设计

1.商业银行私有云逻辑架构

商业银行私有云逻辑上分为云门户层、云管理平台层、云运维平台层和IT基础设施层4个部分，具体架构如图1所示。

商业银行私有云通过云门户层实现了用户资源的自助式申请。为体现云自服务、弹性和敏捷的特点，商业银行构建了五大类(资源开通和撤销类、变更类、操作类、查询类以及安全类)自服务功能，实现了绝大部分资源类需求的自助式快速交付，大大提升了用户体验。

通过云管理平台层实现了对x86平台/IBM小型机/HP小型机的异构计算资源、SAN/NAS异构存储资源以及传统网络/SDN网络等IT基础设施资源的一体化交付和精细化管理。

针对云环境下资源池化和流动性的特点，商业银行构建了更有针对性的运维管理平台，通过与云管理平台层的交互，实现了资源配置信息的动态发现、动态更新，以及事件故障根源自动化发现和分析，有效提升了商业银行私有云的可维护性。

商业银行的私有云由部署在两地三中心的总行生产云、由总/分两级资源池构成的分行生产云以及部署在总行开发测试中心的全行开发测试云三部分组成。整体部署架构如图2所示。

总行生产云承载了总行所有生产系统;分行生产云的一级资源池统一部署在总行，承载了所有分行重要应用系统;二级资源池部署在分行本地，承载了分行网络流量较大、重要性较低的办公类应用系统。通过分行生产云的建设，有效缩减了分行本地IT基础设施的规模;全行开发测试云承载了总、分行所有的开发测试系统。

为提升云环境下应用系统的部署效率和自动化水平，商业银行的私有云通过自动化编排系统和存储同步技术实现了开发测试环境向生产环境的动态发布以及分行一、二级资源池之间的按需流动，进一步提升了光大云整体的灵活性以及应用交付效率。

参照CSA(云安全联盟)的云安全参考架构，并结合全行资源池化管理的核心思想，商业银行的私有云安全架构可以概括为“安全多租户隔离，兼顾应用级防护”。

商业银行私有云将总行和各个分行视为一个各自独立的租户，以租户为单位实现有效的安全隔离和防护。在每个租户内部可以为各个业务和科技部门提供VDC(虚拟数据中心)服务，并基于软件定义网络技术构建应用云容器，以动态安全边界的形式实现了总分行、分行间以应用为单位的访问控制和隔离，有效提升了云环境下的安全性。

4.商业银行私有云运营组织架构

商业银行私有云的运营组织架构建设从组织调整和运营转型入手，整合系统和网络专业人员，成立基础设施处，统管私有云的整体建设和运维工作，实现了云基础设施的一体化管理，未来还将进一步细化规划、部署和运维的分工，使人员更加专注于软件驱动能力建设、标准化快速部署能力建设以及故障快速恢复能力建设。

为加强运营管理体系建设，突出以服务为导向的理念，商业银行针对私有云专门设置了云服务运营经理、云服务运维经理和云服务产品经理3个角色，由专人对云的服务质量、可用性、计量计费和用户需求等方面进行管理，实现了从运维到运营的转型。

商业银行私有云还具备完善的云资源定价体系和计费标准。通过标准化的基础设施软硬件采购以及机房和人力成本的准确核算，形成了可执行的云定价体系。目前该体系已应用于总分行的预算编制当中，云管理人员根据预算情况设置各个租户的资源配额。同时，我们根据用户申请资源的合理性和准确性给予相应的评级以及价格的折扣，进一步促进资源的合理使用。

1.实现了全行总分两级资源池的集中管理

相对于传统私有云仅能够管理一到两个数据中心，商业银行创新性地通过一套云管理平台实现了对全行总分两级资源池的集中管理和资源的集中供给，实现总行对全行IT基础设施的全面掌控。2.采用了无边界数据中心架构

商业银行是国内率先同时使用SAN/NAS同城双活存储的银行。通过对上述两项存储技术的使用，并结合同城网络大二层以及虚拟化热迁移技术，实现了同城数据中心灾难的业务零中断、数据零丢失。

此外，商业银行还通过异地网络大二层技术完成了同城数据中心和异地数据中心的逻辑整合，实现了应用系统在两地三中心的弹性部署，通过云服务编排引擎的资源调度能力实现了跨站点的资源负载在线调配以及资源的跨中心、无边界流动。

3.同时采用了融合、超融合架构

在总行资源池中全面应用了融合基础架构，通过融合架构的模块化横向扩容能力以及可编程性提升了资源扩容效率、资源自动化部署和自动化服务发布效率。

在分行本地的二级资源池中全面使用了基于自主研发的超融合架构，促进了安全可控技术目标的落地。通过超融合架构的分布式特点，实现了模块化的无缝横向扩展，单节点故障无业务影响，节省了机房空间和电力，有效降低了分行维护成本。

4.基于软件定义网络(SDN)技术实现了面向应用的网络自动化交付

通过SDN控制器北向接口与云管理平台编排引擎的集成，实现了网络访问权限的自助式申请和自动化开通;实现了应用部署与网络基础设施的解耦;基于网络容器技术实现了以应用为单位的网络安全域内部安全访问控制和隔离;实现了以应用为单位的实时网络层健康状态监控。

5.通过流程编排和资源联动，实现云服务的端到端交付

商业银行自主研发了防火墙自动化管理平台和负载均衡自动化管理平台，通过流程编排引擎的一体化调度实现了计算、存储、网络以及虚拟桌面等多种资源的联动，使得商业银行私有云具备了资源的端到端交付能力。

6.实现了基于应用架构的资源交付模式

商业银行私有云基于资源的端到端交付能力，实现了以应用架构为单位的资源交付模式。用户在云门户中可以选择各类标准化的应用架构，提升了用户资源申请效率。云平台将行内各项技术规范和