金融私有云網絡架構研究

劉海鵬

摘 要：隨著虛擬化、云計算等新技術的出現，傳統網絡架構面臨著調整與轉型。企業越來越多的把重心放在IT服務所能提供的價值而不是基礎架構本身上。網絡架構對于靈活性、標準化、自動部署的要求越來越高。本文在總結云計算理論的基礎上，討論云計算之下網絡架構的新技術以及未來網絡架構的發展方向，希望能夠為同行業的私有云網絡架構部署提供參考。

關鍵詞：云計算；大二層；私有云；網絡架構

一、概述

傳統的IT架構始終有一個80/20困境，即80%的精力成本在建設和維護，20%的精力成本在使用和優化。長久以來企業把IT建設的精力過多的放在IT基礎設施本身，而不是IT所能提供的根本價值（即企業的應用和服務）。

隨著云計算技術的不斷發展，在銀行業數據中心建設中各銀行均逐步引入云計算架構。金融業云計算數據中心作為支撐銀行云服務的基礎設施，能夠通過自動化、虛擬化、資源整合以及能源管理等技術的應用，解決目前數據中心普遍存在的成本快速增加、管理日益復雜等尖銳的問題，實現對業務服務的敏捷響應和按需供應。

二、金融私有云理論研究

（一）云計算概念

云計算是從互聯網行業發展起來的新技術和新商務模式，它依托網絡，整合IT資源、配置加工成服務，以新的形式（IaaS、PaaS、SaaS）交付給用戶。云計算安全聯盟在“Security Guideance for Critical Areas of Focus In Cloud Computing v3.0”中比較精確的說明了云計算的本質：“云計算的本質是一種服務提供模型，通過這種模型可以隨時、隨地、按需地通過網絡訪問共享資源池的資源，這個資源池的內容包括計算資源、網絡資源、存儲資源等，這些資源能夠被動態地分配和調整，在不同用戶之間靈活的劃分。凡是符合這些特征的IT服務都可以稱為云計算服務?！?/p>

（二）云計算特征及部署模式

一個標準的云計算需要具備五個基本元素，分別包括：通過網絡分發服務、自助服務、可衡量的服務、資源的靈活調度、和資源池化。云計算按照服務類型劃分，可以分為Iaas、Paas、Saas三種服務類型，而按照部署模式則可以分為公有云、私有云、混合云以及社區云四種模式。

（三）金融行業云計算整體概況

從云計算的定義上可以看出，并沒有對個別行業做出云計算的定義，但在云計算的發展上，與各種業務結合以后，漸漸的就衍生成了各行業別的云計算。事實上是云計算的定義沒變，只是加上了行業在IT上原有的合規性。如金融行業一般需要遵守的ISO27001，PCI 3.0等規范，就成了所謂的金融云平臺。

從以上對云計算現狀的調研可以看出，雖然云計算概念由來已久，但一直以來最大的用戶群體仍然是網站、移動終端、游戲類應用，對IT環境復雜、安全性、合規化要求高的銀行核心業務進行云化的進展一直緩慢，這也是金融銀行開始進行云計算建設所面臨的最大問題。業內一直在致力于推動銀行各級業務向更適于云計算的方式轉型，比如采用分布式應用架構，但與互聯網企業不同，銀行系統有更苛刻的合規化要求和較大歷史負擔，注定這種應用架構的轉型會是一個漫長的過程。

三、開行金融私有云網絡架構實踐

云計算的一個重要特征即通過網絡分發服務。所以數據中心網絡直接作為云計算服務的底層支撐系統，具有非常重要的作用，用戶只有通過網絡才能訪問云服務。作為連接用戶和云計算系統的通道，它直接決定了最終用戶體驗的好壞。

國家開發銀行（下簡稱“開行”）為了適應業務的快速發展，實現應用系統的快速、靈活部署，積極嘗試采用云計算、軟件定義網絡等新產品、新技術。為了實現從傳統網絡架構過渡到支持云數據中心的網絡架構，開行進行了對整體網絡內容分發網絡、跨數據中心間大二層網絡、新一代數據中心網絡規劃設計進行了研究與實踐，主要內容如下：

（一）雙多活應用系統架構

開行網銀系統通過全局負載均衡及本地負載均衡的調度，率先實現了應用系統雙活，實現了長安街數據中心、阜外數據中心、懷柔數據中心三地的流量負載均衡，同時對外提供服務，極大地提高了系統可靠性，有力地支撐了開行網銀業務的開展。其中三個數據中心的流量按照8：1：1的流量進行負載，保證了業務的高可用及靈活調度。

同時，開行對整體網絡的內容分發、智能DNS、負載均衡系統進行重新的設計與改造，目前絕大多數系統通過域名的方式進行訪問，能夠實現后臺資源的靈活調度，保證應用系統能夠雙多活的架構部署，有力地支撐了全行業務的發展。

（二）“大二層”網絡架構實施

為適應IT新技術發展，不斷提高IT系統的可靠性，開行自2014年起開展了數據中心多活高可用架構項目群建設，部分重要應用系統將逐步推進跨機房高可用部署。為實現多活應用，數據中心間的網絡架構需要進行升級建設，需要在長安街和北豐數據中心節點之間實現業務VLAN的二層打通。

傳統數據中心網絡架構為數據中心間通過三層路由互聯，數據中心內網絡接入層通過二層交換互聯。隨著虛擬化、云化技術發展，目前數據中心廣泛引入虛擬機動態遷移技術，其核心點是各數據中心虛擬機網絡處于同一個二層域內，虛擬機遷移前后的IP和MAC地址不變。為提供虛擬機遷移的二層域網絡環境，需要在長安街和北豐數據中心間的互聯架構中新增二層互聯方式，滿足虛擬化遷移技術跨數據中心部署要求。

網絡大二層互聯項目主要建設內容為搭建跨數據中心的二層網絡環境，并在此基礎上建設高可用文件系統，為ESB（企業服務總線）、ECM（企業內容管理）等應用系統提供跨數據中心、跨機房冗余文件存儲服務的基礎平臺，實現集群服務器間通訊和虛擬機遷移。

后續，開行將進行整網跨數據中心的大二層（DCI數據中心互聯）的網絡設計，力爭實現重要應用系統跨中心雙活、自動切換的需求。同時，大二層網絡還能夠為數據中心間應用系統搬遷、計算資源的動態調度提供支持。

（三）私有云平臺的規劃及設計

開行的金融云計算系統遵循當今云計算建設的一般規律，先建設IaaS，再逐步構建上層的PaaS/SaaS；先建設比較貼近現有數據中心結構和運維要求的私有云，再向公有云參與的混合云/社區云過度。根據開行現狀，數據中心將采用企業私有云的部署方式。未來非核心、可外包應用也可能會部分采用外部云服務的方式。開行私有云的建立力爭實現以下三大目標：

>業務目標：通過云計算靈活、敏捷等新技術特性，實現IT服務對業務系統的有利支撐。

>管理目標：以綠色云計算數據中心概念為指引，進一步提升IT管理能力和管理水平

>建設目標：從云的能力發展角度，開行的最終目標全面達到ITIL與IAAS結合的水平

（四）下一代數據中心網絡架構設計

按照開行IT的總體規劃以及IT基礎設施的總體規劃，2016年開行將進行稻香湖數據中心的建設工作。建設完成后的稻香湖中心將成為主數據中心，與懷柔同城數據中心，北豐機房以及未來西安異地數據中心形成兩地三中心的部署，支撐未來5-10年的業務發展。

考慮到技術的快速發展，為了能實現支撐5-10年業務發展的目標。稻香湖數據中心建設的目標是構建一個可持續發展的、新一代的面向云計算的數據中心架構。將數據中心的IT資源池化，通過智能的業務調度機制、以可計量的方式按需、保質的取用資源，滿足業務需求的同時屏蔽底層的復雜性，使用戶可以把更多精力投入到IT資源的優化應用上去。

開行稻香湖數據中心將對傳統的基礎設施架構進行優化及調整，同時大力發展運維自動化，部署開發測試云、生產災備云。以上的技術發展目標均需要構建強大、健壯、支持云技術的網絡架構的支持。

四、總結

金融業云計算數據中心作為支撐銀行云服務的基礎設施，能夠通過自動化、虛擬化、資源整合以及能源管理等技術的應用，解決目前數據中心普遍存在的成本快速增加、管理日益復雜等尖銳的問題，實現對業務服務的敏捷響應和按需供應。

云計算的出現，改變了傳統IT基礎設施的使用方式和軟件部署模式，通過IT即服務的交付模式，大幅提高應用部署速度，促進了創新和成本降低，增強了IT運營的敏捷性，引發了信息技術產業的巨大變革。伴隨著云概念的不斷升溫以及云技術的快速普及，業界正在迎來云計算數據中心的建設高峰。對于高度依賴信息技術的國內外銀行也開始逐步積極探索適用于金融業的云計算數據中心的模式、方式、途徑。

綜合以上論述，要達到新一代數據中心所要求的高可靠性、高服務質量和性能、自動化管理、統一架構、高擴展性、技術先進性和綠色環保，則必須摒棄傳統的數據中心設計架構和技術，采用成熟且面向云計算的架構進行技術選型和部署，將架構即服務（IaaS）作為本次私有云計算的基礎服務，為將來平臺即服務（PaaS）和軟件即服務（SaaS）等上層云服務奠定基礎。

（作者單位：國家開發銀行）

參考文獻：

[1] 周洪波.云計算：技術、應用、標準和商業模式.電子工業出版社

[2] 劉鵬.云計算（第二版）.電子工業出版社.

[3] John Rhoton.云計算企業實施手冊.機械工業出版社.