方案背景

中国银行业协会发布《城市商业银行发展报告（2019）》，报告指出各省多数城商行正在加快金融科技的应用，积极推动数字化转型。

    中国人民银行印发《金融科技（FinTech）发展规划（2019-2021年）》，金融科技迎来制度性支持。其中重点任务中的“强化金融科技合理应用”，五大典型技术之一是合理布局云计算：规划金融信息安全匹配的云方案，搭建安全可控云平台，发挥云计算优势，更好适应互联网渠道交易瞬时高并发、多频次、大流量的新型金融业务特征，提升金融服务质量。

金融科技的云计算、大数据、AI智能、区块链等主要的投入，主要服务于各类APP应用，因此开发测试环境，需要适应APP的极度灵活的服务能力。

云计算技术路线的选择对于银行基础架构云平台的建设至关重要，一方面只有选用先进、成熟的云计算架构和技术才能保证整个云平台稳定可靠的运行，另一方面云计算架构和技术要足够开放、且易于扩展、才能确保云平台向后兼容并可持续发展。

当前银行测试业务繁多，测试资源难以满足，测试资源分配的灵活性不够，管理繁杂，运维复杂和成本较高，搭建测试环境慢。且开发一般以项目为单位，项目组之间的资源无法共享，资源动态扩展和按需调度的弹性不足，各系统负载能力差，测试业务上线周期长。而平台负载能力差，动态扩展和按需调度的能力不足，系统上线部署周期长。并且运维缺乏集中的监控和管理工具，运维响应速度慢。

解决方案

开发测试区私有云的建设目标

l 稳定完善的基础设施云化能力

l 开放兼容现有Iaas和Paas Saas各类资源

l 降低开发测试区域资源调配的运维压力

l 适应开发测试业务应用的快速迭代所需变化

l 通过软件和硬件的解耦，通过软件定义硬件，实现软件可进化、硬件可换代，真正长期释放云平台的价值。

l SDN网络简单交付、轻运维、网络平滑升级实现“交钥匙工程”。

l 基于开源生态， IaaS的计算、存储通过的分布式微服务底座融合部署，充分利用硬件资源，并具备软硬件一体化能力。

核心能力

1、计算、存储融合架构

• 计算、存储通过的分布式微服务底座融合部署，充分利用硬件资源。

• 本地化的分布式存储为计算层面提供更为高效的资源访问能力。

• 一体化设计，大幅度降低运维和故障后排错难度。

2 、SDN软件定义网络

2.1 灵活按需构建网络

• 按需创建生产、办公、核心业务等VPC网络

• L4/L7负载均衡服务于多场景的复杂网络

2.2 网络安全性保障

• 多租户网络严格隔离，不同VPC间二层隔离

• 提供安全组、虚拟防火墙等多重保护机制

2.3 高可用性保障

• L3网络服务高可用：虚拟路由器、虚拟防火墙

• 虚拟负载均衡服务高可用机制

2.4 细粒度QoS管理

可对虚拟网卡、IP配置QoS策略，实现精细化带宽设置，保障关键业务的服务质量

3、持续进化能力

• 研发测试环境对于创新敏感，需云平台持续适配新型应用。

• 研发测试环境对于灵活性的要求远胜于生产，需云平台架构可持续适应应用架构的变化。

• 研发测试云建设的前提之一为降本增效，要求云平台能在同一硬件环境进化，充分保障资产。

管理特点

1、感知式可视化编排

• 所见即所得方式规划资源组合，业务极简上云

• 智能感知式图形拖拽，快速构建资源拓扑

• 丰富的编排模版构建方式

• 模版共享，实现应用系统标准化快速分发

• 与ECS应用中心无缝打通，一键发布至应用中心

2、丰富的应用中心

2.1 构建云计算时代的应用生态系统

• 面向开发人员，将业务应用与复杂基础设施解耦

• 丰富的应用生态：数据库、大数据、安全、监控等

2.2 极简构建与发布应用

• 可视化编排发布应用，应用支持二次编排

• 标准化、模版化应用交付，一键部署应用

• 应用的全生命周期管理、版本管理

SDN 网络规划设计

统一部署OpenStack云资源管理平台，通过对下纳管SDN网络资源，计算资源池、Ceph分布式存储，来实现开发测试区域相对独立的IaaS、IaaS+服务管理和自动化供给服务。

1、1:1模拟各功能区域拓扑

通过SDN+EVPN+VXLAN技术，将Underlay物理网络抽象，构建全自动化的overlay逻辑网络：

l 1:1模拟各功能区域逻辑拓扑，比如生产、办公、核心业务等区域拓扑。

l 避免各区间业务干扰，支持新业务在测试区调试顺利上线，新业务由逻辑网络承载。

特点：

l 物理网络固定不变

l 业务由逻辑网络承载

l 业务部署与物理位置无关

l 业务拓扑随需而动

2、业务快速上线

基于SDN转发和控制分离思想，重新定义业务编排，Overlay→业务部署，全流程图形化全自动交付，将网络部署上线的时间从“周”单位缩短到“小时”单 位，支撑业务部门将业务开通时间缩短到分钟级别。支撑业务快速上线。

3、安全策略随行

东西向流量控制器管控，南北向流量防火墙管控；自动感知业务承载的虚拟计算资源在线状态，实现五元组级的策略管控，安全策略随需而动。访问策略适应计算资源迁移，无论迁往何处，保证策略权限的一致性。实现策略随行。

方案价值

1、自主可靠

l 安全隔离：私有云基础服务微服务化，以容器为运行单元，确保服务的快速启动和细粒度隔离。

l 服务自愈：系统实时监控服务健康状况，服务异常时会触发自愈规则实现微服务自身的故障自愈。

l 可进化：微服务在线平滑升级, 消除孤岛问题，实现类公有云体验。

l 高可用架构：基础服务以多副本方式运行于多个节点之上，规避单一节点组件损坏、线路链接中断以及节点断电、宕机造成的服务不可用。

2、开放兼容、多资源管理

l 虚拟机、裸机、容器统一平台

l 一致性用户体验，业务自适应

l 多体系结构Hypervisor支持

l IRONIC、KVM、DOCKER

l 资源热插拔

l CPU/内存/网络/磁盘按需扩展

l VM HA／HOST HA

l 自动故障恢复，多级保证平台应用可用性

l 性能最优化

l Huge Pages NUMA& CPU Pinning

3、自动化运维

l 基于角色自动化节点安装部署

l 极少用户输入，快速安装，全自动配置

l 非常容易适应或调整部署模型

4、实践丰富

l 产品在邮储银行、海通证券、国泰君安、江苏农信、台州银行、乌鲁木齐银行等客户大规模使用；

l 实现物理机/VMWARE/私有云/公有云/超融合等平台的交互虚机跨云迁移。