技术培训 | 探秘金融行业背后的云计算技术架构



  • cash-1342228_1920_meitu_2.jpg

    主题:探秘金融行业背后的云计算技术架构

    时间:6 月 21 日 20:00 —— 21:30

    地点:QingCloud 技术分享群,文末有二维码。

    讲师:

    陈柏文.jpg
    陈柏文,青云QingCloud 资深解决方案专家

    本期内容介绍:

    随着市场竞争的日益激烈、成本攀升、客户需求复杂化,传统金融行业纷纷进行深化改革,谋求发展的压力不断增大,信息技术正被推至科技创新、引领业务发展的地位,本文将会分享传统金融行业在面临竞争的互联网时代,如何通过云计算技术来设计与实施架构转型的经验。

    提问福利:

    衣服.jpg
    帖子下方提出问题并被采纳的同学将有机会获得青云QingCloud T 恤,数量有限,赶快来提问吧~

    往期技术分享:

    报名方式:

    报名请扫描小编二维码,发送暗号: 听课 ,小编将会拉你进群:



  • 大家好,我是青云解决方案部门的陈柏文,很高兴能有机会和大家分享金融行业IT架构实践。今天我的分享分为三个部分:金融云的价值、青云金融云产品架构及解决方案 、青云金融云客户案例。

    一、金融云的价值

    互联网金融业务比拼的是什么?因素有很多,但我认为最重要的还是在于运营和技术。运营决定业务模式,带来业务创新、带来用户流量、带来用户忠诚度。互联网金融还是一种互联网业务,归根结底的技术实现是由一个个互联网应用系统、一个个移动互联网 APP 组成。技术带来安全、带来可靠、带来用户体验和用户粘性。业务的创新业需要技术的快速迭代来保障实现,技术的革命性创新会带来革命性的业务模式改变。
    金融云是建立一个可信、 高效的互联网金融利器。所有的互联网金融都既需要一个可以支撑起快速发展的平台,又需要确保数据安全,满足金融监管的要求。金融云就是结合这两者的优势,从以下角度来有效地帮助传统金融机构发展互联网金融。
    互联网上的热点是瞬息万变的,如何让客户从海量的移动金融服务中选中自己?除了金融单位长久以来的品牌效应之外,移动服务的多样性和质量必然影响用户的安装和使用。这就要求金融机构需要快速迭代应用,快速应付任何可能的“用户风暴”。一个弹性的、可以快速实现和交付的 IT 环境则是整个服务的基础。如果像以前 3~5 天才可以有一个变动,扩展一个系统需要数周,用户是没有耐心等。基于软件定义的云平台,通过集中调度和管理所有的计算资源、存储资源、网络资源和安全控管,让金融单位可以根据业务的发展和变化及时做出调整,快速响应业务需求,而这一切又是以很低的成本来实现,资源的共享使计算资源的可利用率大为提升。

    二、青云金融云产品架构及解决方案\

    青云的金融云产品,依托青云公有云平台(青云的公有云已有 3 年多的运营历史, 现在整个平台上承载了近 60,000企业用户),青云将其得到验证的技术产品化后落地金融企业来帮助企业搭建一个企业云/行业云或者混合云环境,利用领先的软件定义数据中心技术来构建和管理的计算、存储和网络资源,并且基于青云的基础架构云平台来运行其上的数据 PaaS 服务,包括数据库服务和大数据服务,从而提供给金融客户一个完整的云服务平台。
    金融行业需要数据安全,业务安全、金融合规对金融机构的重要性不言而喻,包括网络隔离、安全扫描、路径检测、堡垒级VPN,实时记录、操作日志实时记录和审计、DDOS的防火和多运营商的出口,这是必不可少的。提供一站式服务,不单单是基础,还有上层,不单单是技术,还有运维和流程。金融云的解决方案,整套上云的过程,这是一套完整的逻辑,也是一个可以落地的方法。对于青云来说,我们有如下资源,通过VPN可以接入做运营和运维的相关事务。比如我们做用户管理、监控、审计、备份,从而操纵我们的资源。同时我们可以对负载均衡、安全等进行自定义维护管理。在云上,通过自由化的操作,可以最大程度的便利云运维管理。通过安全的访问控制,使运维是安全可靠的环境。
    如果上云的话,我们要注意投资保护。青云可以跟客户私有云或是原有的物理环境进行完全对接,最大程度对客户原有投资的保护。
    另外,青云是开放的,我们联合行业合作伙伴为小贷,证券,基金,保险,银行等行业客户提供更具行业特色的解决方案。例如网银系统认证、第三方支付中的收单业务、银行混合云架构安全通信、金融数据加密备份等业务场景中针对有数据加密、身份认证及数字签名的需求的客户,青云联合北京三未信安科技发展有限公司推出云密码服务。三未信安云密码机提供了全面的算法支持,包括国密算法SM1/SM2/SM3/SM4及RSA/AES/DES/3DES等。以硬件形式实现,能为用户提供高安全性的密钥保护和密码运算能力,保护用户数据交互安全、存储安全等,满足金融系统的合规性要求。云密码机也具备按需获取、申请即用的特点。

    应用的高可用解决方案

    青云通过负载均衡器集群为应用提供高可用保障。大家对于负载均衡器都不陌生,硬件的负载均衡器如F5、Citrix、Radware、A10;软件的负载均衡器如LVS、Nginx、HAProxy。无论是硬件负载均衡器还是软件负载均衡器,都有一个共同的特点,就是除了流量分发之外,更重要的是能检测应用的健康情况。青云的负载均衡器通过L3~L7的检测,不仅可以检测主机IP是否可达、应用的端口是否开启、更能检测出应用是否可用。正如大家所知,有些特殊情况下,应用虽然已经不可以,但是服务器的IP仍然可达,端口仍然被占用。如果仅通过L3~L4的健康检查是不足以判断应用是否真实可用的,这时L7的健康检查就是必不可少的了。除了L3~L7的健康检查之外,青云的负载均衡器还支持集群功能。负载均衡器的主要目的就是解决流量分发和单点故障问题,而通过负载均衡器集群,不仅可以保障后端服务器集群的高可用,更能保证负载均衡器自身的高可用。
    同时相对于传统的负载均衡器仅仅是做流量的处理,青云的负载均衡器可以做的更多。青云的负载均衡器可以和整个服务器集群联动。可以通过设置并发数、连接数、响应延迟、后端服务器可用个数等为触发条件,动态的增加/减少/保持后端服务器数量。可以灵活的应对金融行业业务压力的变化。

    多数据中心网络安全方案

    跨机房多活架构

    青云各机房依靠高速、高频宽、低延时的多路光纤连接,从网络基础设施层面为用户应用程序提供了良好的多活支撑能力。另外,青云自身提供的 IaaS/PaaS/Orchestration 等层次也将适应此格局以提供更好的工具来支持多活架构。

    跨区灾备能力

    机房之间、区域之间的全部光纤连接使得资源相互间内网化,频繁的数据跨机房/跨区成为可能,用户可以通过使用自己喜欢的备份方式在不同地理位置之间进行数据容灾备份。同时,青云 IaaS/PaaS/Orchestration 等层次也提供开箱即用的异地容灾备份的可选功能。

    物理链路冗余

    通过与多家优质链路提供商合作及优秀的架构设计,在同城内实现星型多环物理网络拓扑结构,在实现任意节点内网间400G承载的同时,任何一条物理链路的中断都可在 50 毫秒 内切换至健康链路,为用户的关键业务保驾护航。

    混合云及数据备份方案

    无论是使用公有云,还是用户自建的私有云,无论机房在相距不远的同城,还是相互距离遥远的异地,都可以通过青云提供的GRE/IPsec(通过路由器免费实现)或长传直连的服务来将这些分散的资源连接在一起,并透过统一的调度平台一致调管。不论服务的形态呈现为公有云、私有云、混合云、托管云,最终都将呈现为一套完整的、非割裂的整合 IT 系统。

    双活数据中心解决方案

    借助青云提供的环形骨干网,可以更加便利的实现。如图中所示,可以把同一个业务同时部署在两个数据中心。数据中心间双线400G光纤互联,任何一条物理链路的中断都可在 50 毫秒内切换至健康链路,保证了两个数据中心间的数据同步的可靠性。同时,通过多重实时数据副本技术,可以把数据副本分布在多个数据中心中。当一个数据中心因不可抗力无法继续提供服务时,可以通过其他机房的副本继续提供服务,并且公网IP可以在多个数据中心间任意漂移。

    1、外网的流量分发

    可以通过全局负载均衡器,根据各个数据中心业务的健康情况、负载压力等信息智能的分发用户请求到达两个数据中心。

    2、负载均衡器集群

    负载均衡器集群也采用分数据中心部署模式。当负载均衡器集群不可用时,负载均衡器集群联动DNS健康检测,将域名解析切换到另一个数据中心。

    3、应用服务器

    应用服务器采用双数据中心同时部署模式,可以借助多路环形 BGP 骨干网实现跨数据中心的数据实时同步。当应用服务器不可用时,负载均衡根据优先级将请求指向另外一端。

    4、缓存

    缓存采用多主多从、异地主从架构,可以借助多路环形 BGP 骨干网实现跨数据中心的数据实时同步。当某个主节点异常,它的从节点会自动切换成主节点。

    5、数据库

    数据库采用一主多从,异地主从架构,可以借助多路环形 BGP 骨干网实现跨数据中心的数据实时同步。当主数据库发生故障时,数据可以库启用HA切换,应用实现跨数据中心访问DB。

    三、青云金融云案例

    某保险公司客户案例

    情况介绍

    某保险公司业务以寿险、财险、渠道合作平台为主。开始采用的是传统架构以小型机、集中存储为主。RTO=4小时、RPO=2小时,非常不利于业务开展。因为其渠道合作平台会对该保险公司的业务稳定性会做KPI考核,一旦违规业务直接中断半个月,半个月内不导入流量。目前这种处罚出现过2到3次,严重影响了该保险公司的业务。但是RTO=4小时、RPO=2小时从传统架构来说,已经是最优化的了,如果要做到分钟级,必须从传统架构向云架构迁移。
    另外该保险公司大数据分析业务之前是基于传统的商业数据库实现的,对财险、寿险、第三方合作渠道平台来做关联和分析,每周做一次数据处理,然后把处理结果交付给业务部门来做业务发展调整和险种的定制。而业务系统希望做T+1,不能以周来提供,只能以天为单位来提供结果。这样对原来的平台业务压力非常大,因为原来仅仅做业务处理就要近16个小时,T+1是没有办法满足的。只能基于Spark平台对原有大数据分析业务做改造,从传统商业数据库迁移到Spark上来。
    针对非结构化数据,该保险公司通过青云对象存储替换了原来的IP SAN,目前该保险公司已经把对青云对象存储的使用从网盘扩展到电子保单和视频文件,借助青云的对象存储服务器,可以通过低成本的方式存放海量的非结构化数据。
    对于青云的平台,该保险公司不仅仅使用IaaS,更多的是使用PaasS。因为PaaS可以大幅度降低运维人员的运维压力,提升业务交付速度,平台稳定性和易维护性更高。并且利用青云应用编排功能形成模块化的应用交付系统,进一步提升了交付和响应速度。

    业务架构图

    • 前端互联网金融业务和后端支付系统互联
    • 互联网金融业务系统同时部署在青云公有云和企业私有云环境(双活)
    • 支付系统部署在企业私有云环境,并且在青云托管专区配置备份系统
    • 在异地建设灾备系统

    后续规划及经验

    • 新业务系统必将以云计算平台作为基础架构进行设计部署。
    • 已有业务系统逐步完成从传统架构向云计算平台的平滑过渡与迁移。
    • 大数据与对象存储的是面向未来业务的利器(从运维角度来说,会有极大减轻运维压力,尤其是环境搭建和扩容,可从原来2-3周缩短到数分钟)
    • 通过应用代码的优化,完全可以用开源数据库替换现有Oracle数据库的。(财险,和渠道合作平台都已通过MySQL实现,MySQL和Oracle间通过消息队列来做消息同步)

    Q&A

    1、现在很多传统金融保险企业还在用着非常老旧的技术,用云会有很大的阻碍,包括老系统的迁移,有些使用专有网络等方面,想问专家你们一般是怎么推进的,谢谢!by Yefeng.Shen

    A:这个话题可以谈的比较多,我简单的说一下吧。一般上云会有一个循序渐进的步骤。可以先放一些开发、测试的业务;然后把运维和监控平台放上来;然后是一些互联网金融的新项目、大数据分析、非结构化数据存储;最后是核心业务。

    2、与金融行业上级监管机构通信时(如交易所、银联存管、证通),有些情况会写死我方服务器 IP 与 Mac 地址 。变更报备很麻烦。使用云主机如何保证这两项不变?by 博

    A:通过SDN解决方案,青云平台的云主机无论是在线迁移还是离线迁移,都是可以保证IP与MAC地址不变的。同时云主机可以位于基础网络或者私有网络。

    3、《证券网上证券信息系统指引》要求证券公司等机构只能有选择地将不涉及交易等敏感数据的子系统放在非自辖的网络环境。这样,只能有门户、行情放在云上了?青云QingCloud 目前有何成功案例可参考?by 博

    A:青云为企业用户提供公有云、私有云、托管云、混合云等全面专业的云计算服务与整体解决方案。所以可以根据不同需求选择不同的解决方案。
    招行、中行、泰康、借贷宝等都使用了青云的解决方案。

    4、监管要求所有记录留痕,有保存年限要求。使用云主机能否保证起码十年的日志数据不丢失不损坏?by 博

    A:首先青云系统使用多重副本来保障您的数据安全,这些副本都是实时副本,而且至少包含一份异地副本,这样即使源数据所在的主机出现问题,通过异地副本也能快速恢复。除了被动副本之外,我们建议用户使用数据备份功能以避免误操作等类似问题带来的数据丢失。另外,对于日志数据,可以选择存储在青云的对象存储QingStor中,QingStor提供更高的数据安全及数据可靠性。

    5、金融行业系统有独立隔离主机与高可用区域的监管要求。能否实现独立物理专线直达某些云主机并相对独立、隔离?青云QingCloud 北京一区与北京二区是否在同一机房,若是,可能不满足机房高可用区域隔离的要求。by 博

    A:青云为企业用户提供公有云、私有云、托管云、混合云等全面专业的云计算服务与整体解决方案。所以可以根据不同需求选择不同的解决方案。
    青云北京一区与北京二区是不在同一机房。同时,不仅北京一区和二区,青云的北京三区的三个数据中心也不再同一机房,两两之间相距都是30公里以上。

    6、金融系统具体上云改造方式及示例?by 人月神话

    A: 这个话题可以谈的比较多,我简单的说一下吧。一般上云会有一个循序渐进的步骤。可以先放一些开发、测试的业务;然后把运维和监控平台放上来;然后是一些互联网金融的新项目、大数据分析、非结构化数据存储;最后是核心业务。

    7、金融机构一般会建设私有云。那么在金融行业私有云中,安全体系该如何设计,即能达到监管部门的要求,又能充分享受到云带来的好处? by 云卷云舒

    A:安全体系可以分为两部分,一部分是物理架构安全,另外一部分是云平台安全。我以云平台安全为例说明下:

    1. 云主机安全
      云主机管理器能实现同一物理机上不同云主机之间的资源隔离,避免云主机之间的数据窃取或恶意攻击,保证云主机的资源使用不受周边云主机的影响。 终端用户使用云主机时,仅能访问属于自己的云主机的资源(如硬件、软件 和数据),不能访问其他云主机的资源,保证云主机隔离安全。

    2. 数据安全
      A)多重实时副本
      青云系统使用多重副本来保障您的数据安全,这些副本都是实时副本,而且至少包含一份异地副本,这样即使源数据所在的主机出现问题,通过异地副本也能快速恢复。
      目前青云系统缺省采用1+3 的模式,即一份原始数据有 3 份实时副本。这也是系统热迁移的技术基础。
      B)备份与灾难恢复
      除了被动副本之外,我们建议用户使用数据备份功能以避免误操作等类似问题带来的数据丢失。QingCloud提供块设备级(block device level)的硬盘备份与恢复, 可以同时对多张硬盘做备份(包括系统盘和数据盘),也可以对正在运行的主机做在线备份。 一张硬盘可以有多个备份链,每条备份链包括一个全量备份点以及多个增量备份点,这样用户可以随时从任意一个备份点恢复数据。QingCloud会将每次变化的数据取出来,离线存放,不影响原有数据,这样做更安全。

    3. 边界安全
      作为云计算数据中心的网络边界,位置至关重要,安全问题也显得尤为突出:

    • 分布式防火墙可以同时对基础网络、私有网络主机进行有效的安全防护。
    • 初始状态下,缺省防火墙放开了 TCP 下行22号端口和 ICMP for ping,其他防火墙都不包含任何规则,即全部端口都是封闭的。用户可以任意调整规则以满足安全需求。
    1. 接入安全
      基于SDN提供虚拟化的路由器和二层网络,以及负载均衡器,可以搭建VPC,实现保证100%二层网络隔离。
      通过GRE/IPSec(网络协议安全性)提供安全连接,支持多种VPN,将客户数据中心网络和青云中私有网路形成公私兼顾的混合云。目前青云支持OpenVPN / PPTP协议.提供用户接入安全服务;

    8、金融行业的业务系统一般还都是传统架构,比如有状态的节点,集中式数据库,特殊外设的设备,同城或异地灾备等,在云中,怎么才能满足这些业务系统的要求?或者,业务系统需要做怎样的改造才能入云?by 云卷云舒

    A:这个问题中谈到的点比较多,我以其中一个解决方案为例。对于同城和异地灾备,青云通过多重实时数据副本技术,可以把数据副本分布在多个数据中心中。当一个数据中心因不可抗力无法继续提供服务时,可以通过其他机房的副本继续提供服务,并且公网IP可以在多个数据中心间任意漂移。而金融行业的业务系统上云需要一个循序渐进的过程。

    9、青云在金融行业解决方案?和阿里云差异性?by 人月神话

    A:细节差异比较多,我这边举一个例子吧。青云通过多重实时数据副本技术,可以把数据副本分布在多个数据中心中。当一个数据中心因不可抗力无法继续提供服务时,可以通过其他机房的副本继续提供服务,并且公网IP可以在多个数据中心间任意漂移。而其他厂商的多个数据中心间主要解决的是网络的高速连通和公网IP的漂移,没有数据副本的跨机房高可用。

    10、青云在金融混合云方面的举措?by 人月神话

    A:无论是使用公有云,还是用户自建的私有云,无论机房在相距不远的同城,还是相互距离遥远的异地,都可以通过青云提供的GRE/IPsec(通过路由器免费实现)或长传直连的服务来将这些分散的资源连接在一起,并透过统一的调度平台一致调管。不论服务的形态呈现为公有云、私有云、混合云、托管云,最终都将呈现为一套完整的、非割裂的整合 IT 系统

    11、金融级的应用上云使用 MariaDB 或 MySQL 的可靠程度?by August

    A: 如我案例中介绍,客户通过应用代码的优化,完全可以用开源数据库替换现有Oracle数据库的。

    12、金融级 PaaS 平台有哪些基础的服务?by August

    A:青云PaaS平台提供了:关系型数据库、非关系型数据库、缓存、消息队列、集群管理、Hadoop、Spark、数据仓库等服务。

    13、应用上云后对各方干系人有哪些变化?by August

    A:这个话题比较大,举个简单的例子吧。原来的运维人员的更多的是关心物理设备的可用性,以及各种开发测试及生产环境的搭建。上了云之后,运维人员可以把更多的精力放在业务上。



  • 目前金融里面采用混合云的比较多,青云是否有保证金融云与金融企业传统IDC间的通信安全的方案?



  • 部署是否使用了目前比较火热的容器技术?



  • 你好,我是一家网络厂商的售前工程师,目前在跟客户正在进行云数据中心项目的测试、落地工作。根据国家的相关容灾标准,大中型银行普遍会建设同城双活中心、异地灾备中心,以满足两地三中心的要求,不过就我个人了解而言,包括国内几大银行一般较难实现真正可用的数据级、应用级双活,不过客户有较强的意愿去建设真正意义上的双活/多活数据中心。
    我想咨询一些这方面的问题,在云计算架构下(如计算、存储的虚拟化,SDN技术、VXLAN等overlay技术),如何去更好的满足客户需求,实现真正意义上的双/多活数据中心?如何解决如云平台脑裂问题、多网关路由发布问题、次优路径等问题?



  • @白连涛

    基于SDN提供虚拟化的路由器和二层网络,以及负载均衡器,可以搭建VPC,实现保证100%二层网络隔离。

    通过GRE/IPSec(网络协议安全性)提供安全连接,支持多种VPN,将客户数据中心网络和青云中私有网路形成公私兼顾的混合云。目前青云支持OpenVPN / PPTP协议.提供用户接入安全服务;



  • @白河寒秋 这个问题比较大,上面的内容基本上已经都覆盖到了,你可以再看看文章里的内容。



  • @青云小虾
    目前还没有使用容器,不过一些用户自己确实部署了相关的服务。


登录后回复
 

与 青云QingCloud 社区 的连接断开,我们正在尝试重连,请耐心等待