大河奔流，金融行业云平台建设

      ---周海鹏@中信银行
             

最近和很多金融同业、厂商讨论云平台建设，普遍感觉2018年是金融行业云计算的爆发之年，“天时、地利、人和”全部具备，春雷滚滚、祥云化雨。

一、云计算的天时、地利、人和

走到2018年，金融科技部门都基本都经历了虚拟化、IAAS、容器云、PAAS云的选型、内部讨论、规模建设、挫折与反思。各厂商也经历的几番的变迁、重新定位。目前从IAAS到PAAS，建设思路都已经逐渐清晰，外部条件、内部条件都已具备。

**1、天时 - 业务需求
**
（1）从卡中心到零售银行、从开发中心到数据中心，都有快速上线、弹性伸缩、支持秒杀等互联网应用的需求。
（2）支持分行上收、支持子公司的需求，从单独的技术运维到涉及到“成本核算”的“运营”，提供自服务和计费计量。这种外部服务，需要对标公有云，需要简化流程、从1个月的上线，实现T+1的服务承诺。由于需要T+1的服务，对自动化的要求大大提高，尤其是网络自动化。
（3）金融机构“互联网+”转型，在学习科技金融公司，规划技术输出，未来对行外用户提供云服务，实现行业云、混合云等盈利模式。

2、地利 - 技术条件
（1）经过几年的大讨论，不断实践，云平台的资源池和云管层分离，出现专门的云管平台厂商。
（2）开始实现“虚拟机+中间件+网络”的一键式供给，实现自动化延时变更、实现丰富的IAAS、IAAS+、PAAS服务目录、实现流程驱动、图形化编排、实现虚拟机和上面应用的弹性伸缩。
（3）资源池：对接Vcenter、对接Openstack更加方便，对接Openstack时，实现了类似于vcenter的丰富、细致的运维特性，比如性能数据的存储和聚合，监控项目的定义，细致的权限设置。
（4）实现云网联动，对接硬件SDN设备、软件SDN。申请虚拟机时，同时分配IP和访问控制。

3、人和 - 凝聚共识
从行领导到科技部领导、从开发中心到数据中心，都认识到金融业务改革、IT改革的必然性、急迫性。对于从“科技支持业务”到“科技引领业务”充满信心、充满期待。

中信主管零售的郭行长有一段话“未来人们可能感受不到银行的物理存在，但银行所提供的多功能金融服务，如同空气和水一样，已经融入人们的生活中。以云计算、大数据、深度学习为代表的金融科技推动下，零售银行发展模式正在深刻改变，从产品、服务和渠道，快速演化到接口、流量和平台，催生出新的金融业态”。

二、应用上云

什么样的应用适合云计算，什么样的应用可以上云。我有一个比喻，“容器的需求是生产出来的”，由于互联网的广泛使用，深刻的改变了社会、企业、科技的方方方面。华为、EMC等的SAN存储设备，设备内置的管理软件已经在用容器开发，提升系统升级的便捷；国外电信厂商大规模应用虚拟机、容器来提升性能。

1、业务的“云需求”：
(1)以秒杀、理财抢购为代表的互联网类应用的发展
(2)信用卡业务的大量推进；
(3)金融业务服务化: 以电商、社交、搜索等开放平台为依托，由点及链、由链及圈的汇聚客户，把低频的金融服务嵌入高频的生活场景。

2、开发的“云趋势”：
微服务理念是大势所趋，拆分应用，形成标准作业单元，智能负载均衡+弹性扩容。IAAS+，和容器平台遵从相同的理念，通过应用程序拆分和改造，以支持快速扩展。

3、运维的“云理念”：
（1）是否能实现T+1的服务承诺。
（2）为了支持秒杀，是否能一晚上扩容1000个几点，并部署好应用，投入使用。
（3）是否能支持白天上线、天天上线。

三、云管平台的边界

1、运维体系
云管平台不是保罗万象的，与传统基于ITIL的运维体系要进行融合，把部分管理功能“外包”出去。
（1）用户管理 ： 云平台使用全行统一的“用户”系统，云平台内部实现“角色、权限”的控制，云平台使用“统一认证、统一登录”
（2）流程审批：云平台进行技术审批，服务平台进行事项审批，各司其职；对于标准服务，实现自动审批的快捷方式
（3）自动化： 传统自动化是黑盒调用，云平台是白盒调用，二者的融合
（4）大CMDB：数据中心传统的基于节点的CMDB，IAAS部署虚拟机时要能自动更新CMDB，容器平台CMDB、应用的配置，以上四项需求组成了大CMDB
（5）监控：系统监控、交易监控，历史性能数据的保存和聚合
（6）日志中心 ： 容器平台中实心3份日志，日志写到容器平台本地、同步到日志中心、定期备份。防止日志平台影响交易系统。
（7）备份：配置的备份、容器平台日志的备份、日志平台的备份

2、资源管理：
是直接调用虚拟机、存储、网络的接口，还是通过Openstack调用？
（1）云平台管理vmare，调用Vcenter接口，不通过Openstaack
（2）云平台管理KVM，通过Openstack调用
（3） 通过openstack管理ceph和硬件SDN

四、云管平台的核心功能

1、IAAS平台
**（1）云服务 ：
要点1： 丰富**

实现“虚拟机+中间件+网络”一键式
申请资源组：多个虚拟机，配置网络，配置之间的调用管理
 扩容（虚拟机的弹性伸缩、扩文件系统）
实现丰富的IAAS、IAAS+、PAAS服务目录

要点2：自动化 ：

实现自动化延时变更、实现流程驱动、图形化编排、实现虚拟机和上面应用的弹性伸缩。

（2）流程审批：
1、如果采用外部审批模式，要支持流程平台的对接，例如配置订阅模式
2、如果采用云平台内部模式，要支持分支+判断+子流程、支持图形化设计
（3）灵活的portal：
是否可以配置服务，是否配置仪表盘，显示资源top10高的VM，显示top10低的VM等

2、容器平台
（1）以应用为中心的运维体系
（2）与DevOps融合
（3）微服务模式的支持
（4）PAAS服务的设计

五、云安全

1、架构保障：关键应用要双活部署
2、用户、角色、权限的集中管理、细粒度管理
3、补丁升级：
（1）云平台本身的补丁升级不影响业务
（2）容器平台，操作系统补丁的安装，需要重新制作所有镜像！
4、审批流程： 管理不外包，审批可以简化，但不能不经过审批直接变更
5、密码集中的风险
（1）容器平台中数据库连接密码的集中管理
（2）ansbile的无代理模式的密钥集中管理

六、灾备

架构：关键应用，双机房部署，双集群部署，双存储部署
智能DNS：应用“域名访问”改造
网络：从二层延伸、到大二层、到SDN、到支持整体切换

**天下互联，
世间万物皆计算
云卷云舒，
金融英雄齐话云**