在生活中相信大家对于招生银行并不陌生,对于这家以零售和服务见长的金融业的翘楚来说,2015年已经位居国内银行业第六。
那么了解它的IT系统建设及云化或许对我们了解金融行业所处的IT发展阶段有一定的参考意义,小编有幸参与招行和新华三集团(以下简称“新华三”)共同举办的SDN实践分享会并做了相关的专访,此处正好做一些说明。
面对互联网金融冲击 IT云化势在必行
国家在十三五规划中提出了实现创新驱动发展的战略,强化我们科技对创新的一个作用。而金融行业要想走出创新之路,信息技术将起到关键作用之一。
首先,招商银行是一家主要侧重在零售金融业务方面的一家银行,零售业务利润贡献度在2015年已经超过了45.3%,零售电子渠道的综合柜面替代能力也达到了97%以上。手机交易年累计交易数量2015年同比增长了182%。因此如果没有一套做非常弹性化的IT基础架构,想要支撑零售业务的快速发展是非常困难的。
其次,是来自互联网企业的冲击,他们拥有着极强互联网思维,并且掌握着支撑这些思维方法的技术,另外从业务层面来看,一开始互联网企业只是在做一些银行不太重视的长尾客户,但是随着技术的发展,互联网企业开始瞄准原本属于银行的高端客户。
最后,根据调查显示,全球的金融机构中,有82%的已经在准备,或者已经在使用或者计划在使用的一些云服务。
鉴于以上几点,从2013年至今,招商银行陆续完成了数据中心服务能力成熟标准的制定,主机系统的异地容灾建设,能够实现业务在两分钟内“一键切换”,实现了所有应用系统的异地双活,以及部分数据库的异地双活,完成了IT基础架构的高可用性设计,实现重要业务系统的“双区接入”,全行所有业务系统、所有信息平台实现了统一管理,开展了招行金融云的建设,IaaS、PaaS平台都正在逐步完善中,并且专门成立专有云。
金融云建设过程中网络遇到的困难与挑战
由于招行的数据中心拥有庞大规模的IT基础设施,同时需要支撑种类繁多的开发测试项目,而在Iaas和Saas平台的建设过程中,网络的建设遇到了前所未有的挑战,具体来讲可以分为以下几点:
(1)随着计算和存储的虚拟化进程不断加快,网络与业务尚处于紧耦合状态,这成为制约业务快速部署和上线的主要因素;
(2)面对数据中心不同厂商、不同类型的网元,传统网络对于进行统一的自动化管理显得非常困难,例如招行的数据中心有着不同厂商的不同设备,想要统一管理谈何容易;
(3)银行对于数据流量和质量要求越来越高,而传统网络无法保障,例如当某个业务变得缓慢,排查过程显得异常的复杂,需要做大量的配置且容易出错。
因此金融云急需一套灵活、弹性、可扩展的网络架构来解决上述的困难,提高业务部署的速度,对数据流量做一个精细化的控制,并且能够对接到云平台实现网络资源的统一管理。
SDN网络化解云网之殇
SDN的三大特性如集中化的管理、控制转发分离、开放的API正好可以弥补传统网络在云化过程中暴露出来的如上缺陷。
在抓住这些痛点需求之后,招行开始着手构建SDN网络,选择实践部署的是招行位于深圳的科兴园区,该园区是一个拥有一千多人办公的场地,既有开发人员,又有测试人员,还有一部分是业务的数据中心。由于科兴园区主要承载的招行手机银行、网上银行产品的开发测试环境,它的特点是对于资源的分配和回收频率很快,网络的变化比生产环境更加频繁,这也是选择在此实践SDN的主要原因之一。下面是科兴园区SDN网络的整体架构和物理拓扑:
从上图可以看出,该网络的SDN化采取的是基于Overlay的方式实现,由于科兴园区的现有网络中存在虚拟化和非虚拟化的服务器,若采取彻底转发控制相分离的狭义SDN方案显然不现实。为了保证兼容已有的网络和其他IT设备,招行最终采取的是新华三提供的云平台、Overlay、SDN的整体解决方案,该方案的特点如下:
(1)采用业界通用的Spine-Leaf模型进行组网,其中Spine节点为L3网关,蓝色的Leaf节点用于做Vxlan的VTEP的起点,而红色的Leaf只是用于接入非虚拟化的服务器。
(2)通过SDN控制器,对Overlay进行集中部署管理,实现了IT资源的自动化分配和弹性扩展,提高了网络快速部署和灵活扩展能力,并且通过控制器集群来保证控制层面的高可靠性。
(3)在物理网络之上构建了一层虚拟Overlay网络,各类IT资源统一接入Overlay网络。Overlay网络的部署,实现了服务器的接入位置、IP地址与物理网络的解耦合,实现了网络资源与物理网络设备的解耦合。
如上是科兴园区的物理拓扑图,使用静态路由跟传统网络对接,避免了传统网络和SDN网络之间的相互影响。其中Spine节点使用的是H3C 125X,两台之间做IRF2,接入层用的H3C的SDN 68-1,这样可以保证物理网络这块没有环路,Spine和Leaf之间通过OSPF连接。
以上是整个网络的物理和逻辑架构图,但是对于SDN网络来说,如何保证其安全性对于金融行业来说是至关重要。
在虚拟化的网络中如何实现安全防护,由于虚拟机漂移等原因,传统网络的那套安全策略实施起来会非常困难且低效,那么通过灵活自定义服务链的方式可以解决这一问题,具体来说就是将原来的从源到目的之间通过防火墙的形式,转变为通过定义服务链时将流指定到某个虚拟的防火墙,这里虚拟防火墙是通过NFV来提供的安全的服务节点。总结起来如下:
1.NFV提供虚拟安全服务节点
2.VSwitch支持嵌入式安全
3.SDN控制器提供服务链的自定义和安全资源统一编排和控制
虽然整个科兴园区用SDN的仅仅是开发测试网络,但是这仍旧给网络的运维管理成本带来了极大的降低,目前管理整个园区网络的只有三个人,这要是在以前是不可想象的。
在通过与招商银行信息技术部副总经理高旭磊以及招商银行平湖数据中心经理钟祝君的采访过程中了解到,虽然目前招行通过科兴园区对SDN做了一些探索和积累,下一步他们将研究解决如何与生产环境中的不同的云平台进行对接以及如何通过SDN解决广域网的流量调度,提升DCI之间的资源利用率。
在第一次与金融行业的SDN实践亲密接触之后,小编深有两点体会:
1.SDN在解决云化过程中传统网络遇到困难和挑战的同时,也使得IT部门的职能随之产生了变化,简要来说就是IT从传统的成本中心向着价值中心或生产中心进行了转变。例如招行成立的招银云创(其称为专有云),为金融同业提供云服务。
2.对于金融行业来说,IT的信息化建设的过程中,特别是在中国这个现有的监管体制下面,最重要的一点就是要安全可靠,其次才是性能,功能。对于想进入金融行业云市场的企业来说,需要把握行业的特点,才能了解到客户的痛点刚需。