浅谈数字化转型背景下银行私有云建设
01、银行云计算发展背景
云计算是金融业数字化转型的基石。此前,IOE技术架构是银行业的标准配置,但随着数字化时代到来,创新型金融业务应用需要敏捷高效、弹性可控的IT资源,这要求银行IT基础设施加快向云端迁移。2019年央行发布《金融科技发展规划(2019-2021)》,要求合理布局云计算,引导金融机构探索云计算解决方案,搭建安全可控的金融行业云服务平台,构建集中式与分布式协调发展的信息基础设施架构,强化云计算安全技术研究与应用。去年央行发布的《金融科技发展规划(2022-2025)》又进一步提出,要求加快云计算技术规范应用,稳妥推进信息系统向多节点并行运行、数据分布存储、动态负载均衡的分布式架构转型,云计算成为转型过程中的关键技术路径,为金融业务提供跨地域数据中心资源高效管理、弹性供给、云网联动和多地多活部署能力,实现敏态与稳态双模并存,分布式与集中式互相融合,以此来支撑更多的创新业务场景。
02、银行云平台建设
在数字化转型浪潮下,随着云计算能力建设的不断深入,银行业对云计算应用已从研究探索阶段步入具体规划和实施阶段,大型银行纷纷启动云平台建设项目,并通过推动传统小机下移、核心应用云化改造等实现应用迁移上云。
云平台是通过虚拟化技术对计算、存储、网络等资源虚拟化,实现全行计算资源聚合、共享和服务的计算平台,通过建立涵盖各数据中心的异构资源池,实现IT资源集中管理、统一调度和按需分配,从而提高全行IT资源利用率和自动化运维管理能力。出于安全可控、服务效能等方面考虑,银行云平台建设以私有云架构为主,银行私有云基于银行内部网络,采用云厂商相关技术和产品搭建部署,同时与配置管理、监控管理、容量管理等运维管理相结合,共同实现云平台的相关功能,私有云架构主要包括云资源池、云管理和云服务等部分。云资源池是由底层基础设施构建的计算、存储、网络等弹性资源组成;云管理平台则将分散在多个数据中心的异构资源整合为统一的资源池,通过一致的管理界面来管理异构基础设施,实现资源的自动发现、自动配置和统一调配,将各类资源整合编排为不同云服务,为应用提供一站式的资源供给,同时云管理平台可以对多厂商的服务器、存储及网络设备的告警、日志、容量等进行统一监控和管理,并通过图形化界面快速定位和解决故障;云服务是由开发者基于云计算相关技术进行开发和创建,并发布至云管理平台,用户可申请相关云服务,按相关流程申请审批后,云管理平台创建一个云服务实例,并向用户提供云服务,云服务按照面向不同的用户可以分为IaaS、PaaS和SaaS类型。
图2 银行私有云逻辑架构
私有云平台作为银行重要的基础服务平台之一,通过云服务产品体系建设和IT服务管理融合,能有效保障银行关键业务应用的连续性、稳定性、高可用性、低网络延迟性和数据安全性。
03银行私有云建设实践
分阶段建设
Gartner副总裁Tom Bittman说过,“部署私有云并不是简单地对硬件进行采购,而是一场革新”。银行私有云建设具有应用系统复杂、标准化程度低、系统体量大、安全要求高等特点,需要遵循统一规划、分步实施、持续改进的原则,业务上先简后繁,技术上先易后难,持续推进分布式架构转型,才能建设一个科学可持续发展的私有云。
对于大型银行,先是持续建设总行云和分行云,并搭建同城灾备云和异地灾备云,推进基础设施池化、云化,再推动应用上云,提升应用敏捷性。具体来说,第一步要全面提高云服务质量,分场景做好基础设施支撑能力;第二步要加强架构规划和执行,制定云技术平台演进路线,构建统一云技术服务目录,试点多云管理架构;第三步要持续优化流程、制度、安全等配套体系,推动云技术架构实施,保障云服务高效、稳定运行。
一体化能力建设
传统的私有云建设一般采用单点新建和割接的模式,其定制化程度高,产品非标准化和版本碎片化使私有云的运维管理变得更加复杂,因此各银行机构尤为关注私有云的平滑升级和一体化运维能力。
近年来,银行开始推进建设“一云多芯”或“多云异构”的全栈云,通过定制私有云服务标准和厂商接入标准,可以基于一体化平台底座提供多样性云资源,同时将云管理与配置管理、监控管理、流程管理、容量管理等IT服务管理相结合,设计端到端的IT运维管理流程,完成统一的编排调度、统一的管理授权、统一的监控及运维,实现真正意义上的一体化运维管理,全面支撑数据中心安全运营。
安全和灾备能力建设
银行业务高度依赖安全可靠、稳定运行的IT基础设施环境,云安全能力和容灾备份能力既是监管要求也是业务需要。
安全方面,网络等级保护、网络安全审查办法,以及行业相关政策都对私有云建设的安全体系和标准提出要求,包括物理设备层、云平台层、云服务层、云应用层及数据层在内的全栈关键安全能力,因此建设高可靠、高可用和高安全的私有云平台是各银行机构努力的目标。云平台因其多租户、泛在网络访问、快速弹性伸缩等特点,所以对边界安全、应用安全、数据安全等金融安全层次有着更高的要求,需要建立网络信息安全保护体系,不断完善云安全解决方案,同时优化访问控制机制,加强用户权限管理和安全审计能力,从平台、主机、资源、应用、代码、容器、中间件以及租户数据等多个层面进行安全管理。
云平台灾备建设是一项复杂的系统工程,依托于数据复制技术和网络切换恢复策略,把银行的重要信息系统在灾备数据中心重新规划部署,银行业务连续性要求高,因此对灾备能力要求高,根据容灾等级需要,可分为数据级、应用级容灾,在业务中断时快速恢复。相比传统灾备切换,云上应用灾备切换可以基于云上三层网络技术实现的流量隔离,通过DNS域名主备动态解析完成引流切换,快速恢复业务。
自主可控能力建设
银行私有云平台是数字化转型的基础底座,作为对银行业务经营发展有重大影响的关键平台及关键信息基础设施,建设过程中应降低外部依赖,避免单一来源,坚持关键技术自主可控的原则,并逐步加大自研力量,借鉴业界成熟的云底座能力,打造符合自身需求的私有云平台。同时,将信创工作与云的建设有机结合起来,大力发展和建设信创云,以安全可靠国产软硬件为基础,构建关键信息基础设施,提升关键信息基础设施自主可控能力,形成具有自身特色的云计算技术路线,并逐步提升分布式架构的自主开发设计和独立升级能力。
04、结束语
建设私有云并推动应用全面上云是银行科技发展的必然选择,同时也是银行业务转型的内在驱动,应用上云的核心价值在于充分利用云的敏捷、弹性和韧性,最大程度地满足业务的快速交付、容量变化和稳定运行需求。未来随着云原生、人工智能和区块链等技术的进一步融合,在基础框架建设、运营模式和服务场景等方面,银行可以有效的借助这些先行条件,创造出更多样、便捷的金融产品及服务,进一步促进银行数字化转型发展。