私有云助力华夏银行数字化转型

易永丰

文  |  华夏银行信息科技部副总经理 易永丰

       华夏银行信息科技部 王健

近年来，银行业面临宏观经济结构调整、利率市场化、金融脱媒、强监管、互联网金融冲击等多重压力与挑战，转型迫在眉睫，变革任务较以往更加复杂、艰巨。在此背景下，华夏银行紧紧抓住金融科技对银行业转型发展的重要机遇，充分发挥自身优势，从战略、机制到技术应用、创新研发等方面，对金融科技进行整体布局和具体实践，努力实现金融科技的核心价值，为客户提供更好的金融服务。

华夏银行结合自身特点，找准切入点和着力点，提出了打造以“实时互联、自然交互、数据驱动、深度智能”为特征的“智慧金融，数字华夏”愿景，确立了“整体数字化转型与互联网银行平台创新”的双轮驱动策略，聚焦重点成熟技术应用，积极尝试利用科技创新实现“换道超车”。业务的发展离不开底层技术的支持，华夏银行在新一代云数据中心建设中顺势而为，构建了基于软件定义的下一代金融云平台，实现了真正意义上的云网协同，资源弹性供给，提升了业务敏捷性、灵活性，为数字化转型奠定了坚实的基础。

一、华夏银行私有云建设之路

数据中心是银行IT架构的核心，而传统数据中心普遍存在如下痛点：第一，业务部署低效，计算、存储、网络缺乏协同管理，导致新业务上线效率低下，难以响应市场需求；第二，资源利用率低，各组织之间、各业务的底层资源之间相互隔离，无法共享，成本高；第三，运维管理复杂，缺乏统一管理平台，难以实现业务和资源统一管理，运维困难，无法实现标准化与自动化。

华夏银行从2013年起，总分行均启动了虚拟化改造工作。虚拟化平台可以提高硬件的使用效率、降低机房空间、节约用电成本。但是由于总分行IT基础设施分散，总行以及各分行运维工程师需要同时管理不同种类的IT设备，如小型机、x86服务器、存储设备、网络设备、安全设备等，运维能力不同导致服务水平不一致。同时，新业务上线仍需要历经规划、采购、开发、测试、上线、试运行等不同阶段，时间跨度长达数月，而且需要业务、应用、系统、网络、安全等多个部门同时沟通，牵扯较多精力。

为了解决上述痛点，在认识到云计算的优势后，华夏银行紧跟业界发展步伐，从2016年起启动了私有云平台的建设。云计算并不只是计算、存储与网络资源的虚拟化，它更是一种IT服务、运维、管理的方式，其目标是让IT资源像水和电一样可以随时随地、简单方便地使用，并按使用量计量业务运行成本。华夏银行在进行私有云建设实施过程中，充分考虑了如下因素：可计量、随需应变的自助服务、快速的伸缩、灵活的网络访问、资源池化、分布式技术、弹性扩展、自服务、运维自动化等。

华夏银行私有云建设初期，主要采用业界成熟的虚拟化技术、集中存储以及SDN软件定义网络。从2017年起，为了推进云计算平台国产化，研究探索开源技术，华夏银行开始使用基于开源Openstack的虚拟化计算平台、存储平台以及SDN解决方案建立了分行互联网业务以及分行测试业务云计算集群。基于性能与成本的考虑，在不同群集中选择使用集中式存储、网络存储或分布式存储，并尝试在分行测试业务集群中采用超融合架构。在虚拟化基础设施层以上，构建了一体化的混合云管理平台，统一适配云和非云资源，屏蔽底层环境差异。云管理平台融合了数据中心运行所需要的技术工具、人员组织、流程制度，把管理对象上升到了数据、流程、模型、业务层面，实现了软件定义数据中心，将传统的“设备交付”变为全自动的“服务交付”，通过服务目录和自服务的方式持续优化IT服务能力。

目前，华夏银行私有云实现了如下的目标：

(1)计算资源池、存储资源池、网络资源池的统一管理

各类资源统一池化，实现计算、存储、网络的服务交付联动和自动化。平台可同时兼容纳管裸机设备，实现物理机的自动安装。

(2)灵活定义云服务，一键式自服务资源交付

实现了异构资源、跨域的全生命周期管理，资源的自助申请、快速审批与实时发放，基础软件的自动化安装，以及应用的跨云迁移。通过定义各类云服务，实现底层资源和操作系统、中间件、数据库服务的标准化打包供给，通过服务目录实现资源的整体快速交付。

(3)资源一体化管理

在内置CMDB中统一管理资源，对“两地三中心”、开发测试与生产环境实现一体化管理。

(4)资源部署蓝图与容量管理

资源部署蓝图可视化。对资源池进行容量管理，包括对已分配资源进行计量统计。

随着应用系统大量迁移上云，沿用多年的备份架构也随之进行了升级改造。此前主要应用磁带库进行数据备份，尽管成本较低，但速度慢，可靠性差，无法满足云计算多租户、多样化、快速恢复的需求。在华夏银行新建设的用户自主备份平台上，将备份介质升级为由PC服务器组成的更为高效的对象存储，可以提供云环境下的数据备份恢复服务。改造后的介质保存方式极大提升数据备份效率和恢复成功率，不受磁带介质保存生命周期的影响，为云上的系统提供更高的数据安全性。

华夏银行从数据中心资源池组织形式以及整体架构出发，由云平台作为统一资源入口，配置网络以及安全策略，实现了底层网络模型VDC、VPC的自动创建识别。在人员组织架构上，及时调整运维人员的能力模型，将网络和系统统一视角，从前期规划到后续实施、从安全策略、资源互访到模型建立，多部门的协调配合，保障了项目的成功实施。

二、私有云建设取得的成效

华夏银行私有云的建设，为提高IT基础设施的使用效率、高可用性、灵活弹性以及标准化起到了很大的作用。通过使用通用的x86服务器，形成了对计算设备的标准化。通过SDN软件定义网络，实现了对网络资源的动态灵活分配，提高了带宽与高可用性。通过使用虚拟防火墙技术，实现云租户网络安全配置的自服务。使用云管平台统一调度计算、存储与网络资源，资源交付时间从过去的数天缩短到一个小时以内，大大提高了对业务的响应速度和交付效率。

目前，华夏银行总行已有70%以上的业务系统运行在云平台上，虚拟主机数量达到7450台，并计划未来两年内实现90%以上的业务迁移上云。

为了充分调动分行参与业务创新与研发的积极性，减轻分支行的日常运维工作负担，华夏银行在云计算平台建设初期，就已将分行系统上收作为重要目标。同时，华夏银行近些年设立了村镇银行、金融租赁公司，并在筹备组建消费金融公司、资产管理公司等子公司。为此，华夏银行同时建设了集团云，通过使用总行私有云，分行与子公司可以轻装上阵，减少了大量的IT基础设施建设维护工作。在过去一年中，分行已有20%的系统部署至私有云平台。经统计，分行现有主机共约900台，我们的目标是在两年内实现90%以上的分行系统迁移上云。分行将可以因此摆脱传统模式下的长周期设备采购与安装调试工作，将更多精力投放在特色业务拓展开发上。过去一年中，多家分行向客户提供了大量互联网渠道业务，如ETC预约系统、网贷系统、E实贷系统、华夏E管家、工资宝、购房意向金系统等。此前分行自行选择公有云平台建设，存在云平台服务商服务质量不一致、访问内部数据困难的问题。总行私有云提供互联网出口，实现了内外网资源共享，安全策略统一发放，并节省大量建设经费。以某家一级分行为例，将现有系统的90%迁移到总行云后，平均每年可节省设备采购、机房租赁、电力以及维保费用约100万元。

三、系统上云之后的挑战

尽管系统迁移上云后相比传统架构具有巨大的优势，但由于大量主机、网络设备集中在数据中心内，物理环境灾害、电力中断、主机及网络设备故障，以及外部网络攻击、数据泄露等多种风险也将是新的挑战，发生故障后易产生大面积服务中断。

为应对上述风险，华夏银行采用了多种防范手段。单一计算集群最少使用8台物理服务器，每个集群至少30%资源用于应急切换。在网络架构上，使用VPC租户隔离技术与虚拟防火墙技术，严格管控对主机的访问。在互联网出口，部署了ADS与安全态势感知系统，及时发现、识别外部攻击，通过流量清洗消除DDOS攻击风险。在业务上线前，要对系统进行整体安全评测，并在上线后定期进行全平台渗透性测试，及时发现应用程序与系统级缺陷并整改。在应用系统设计时，就优先考虑采用分布式多活的架构。运行过程中，云平台主机、网络、存储硬件以及操作系统、中间件、应用程序的软件故障信息将统一发送到一体化监控平台，通过开发、运维多级联动响应机制，及时调动资源处理故障。

针对可能出现的故障，华夏银行建立了包括系统、网络、开发人员的私有云维护团队，并制定了相应的应急流程，旨在提高云平台维护人员应对突发网络与信息安全事件的能力，确保私有云平台的安全稳定运行。按照发生故障的的紧急程度、可能造成的危害和发展态势，华夏银行私有云将应急事件预警级别分为一般、警告、严重、紧急四级。根据不同级别预警，华夏银行私有云平台维护小组及时调动行内与厂商、外包资源进行应急响应和紧急处置。华夏银行每年至少组织1～2次预案演练，模拟处置重大或较大故障场景，提高人员实战能力，检验和完善预案，确保应急机制有效。

四、未来展望

随着华夏银行总行、分行、子公司系统迁移上云，华夏银行的信息系统将完成资源集中化与运维自动化，实现基础设施资源的弹性管理，完成多活云数据中心建设。在成熟构建基础设施服务云平台的基础上，我们还积极探索向平台服务云、软件服务云演进，配合应用系统进行微服务化改造，推动开发运维一体化，为华夏银行实现数字化转型做出更大贡献。

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。