实战Practice丨光大银行加强云计算技术应用推动IT架构转型本文基于当前银行IT架构转型面临的挑战

欢迎金融科技工作者积极投稿！

各抒己见！

投稿邮箱： newmedia@fcmag.com.cn

——金融电子化

征稿启事

本文节选自《金融电子化》2018年5月刊

作者：中国光大银行信息科技部

李辉?查陶

编者按

本文基于当前银行IT架构转型面临的挑战和机遇重点介绍、分析了光大银行借助云计算技术开展的云计算架构转型的实践和发展规划。

行业背景：

2000年以来，银行业秉承“支撑业务”的服务理念和系统建设模式，建设了大量集中式架构的系统和应用，集中式系统架构以其成熟稳定、可靠性强的优势，支撑银行业务及信息化建设取得了长足的发展和进步。

当前问题：

随着互联时代的到来，随时随地的网络交易以及特殊时点秒杀、抢购等互联网营销带来了海量的高频小额业务量，对银行信息系统架构提出了高并发、易扩展、抗冲击的高要求。同时，银行业面临着利率市场化和金融脱媒所带来的转型压力，集中式架构逐渐呈现出故障容错能力及弹性扩展能力不足、对基础软硬件产品依赖度高、核心技术受制于人等局限性，亟需转型升级。

应对措施：

云计算技术经过多年发展，逐步趋于成熟，其超大规模计算能力、虚拟化、高可靠性、通用性、高可扩展性、按需服务、成本低廉等显著的优势也给银行业传统IT架构建设提出了新的解决方案。此外，云计算技术也给银行带来了显著的收益。一是安全可靠，云计算增强了银行IT的数据保护能力、错误容忍度和灾备恢复能力。二是弹性扩展，快速支持开发。三是能够以统一的性能和容量监控，降低成本，支持业务的发展。四是本身具有的弹性扩展特点，能减缓性能带来的压力。

应用云计算技术推动IT架构转型的思路

云计算体系架构的落地不可能一蹴而就，由传统IT架构向云计算架构转型需要统筹规划、分步推进。应该从以下五个方面推进云计算架构的落地。

1.通过科技战略和顶层设计推进架构落地。

云计算体系架构的实施是个系统性工程，IT部门应从战略和战术层面积极应对。统筹考虑IT战略，加大对云计算实施的支持力度。从建云、用云进行顶层设计，通过整合各项IT资源，实现IT和业务的融合，成为业务发展的战略伙伴。

2.完善IT治理体系，支撑云计算运营管理。

建立一体化的运维管理模式。在组织架构上，强化横向部门“一体化运维”的管理职能，构建包含技术、服务、管理和安全的云建设体系，确保整个运维体系的完备性。

3.稳步提高云计算技术的自主可控能力。

推进技术的自主可控，在技术策略的选择上，坚持开源与商用相结合，自研与产品相结合；在开源方面进行更多探索，将开源的操作系统尽快地在生产上进行实施和应用。同时银行也要加大自主研发能力，尽快形成银行自身的在云平台以及应用解决方案。

4.统筹考虑云计算建设和IT架构转型的目标。

在建设思路上，要体现高效、敏捷、安全和可靠的建设目标。

在高效方面，使用融合的计算资源，提高资源的利用率，基于策略的存储服务，使应用系统可以选择不同的存储资源池。应用软件定义网络技术，实现业务跨数据中心的灵活部署，同时实现统一服务平台的接入，使得资源服务标准化。在敏捷方面，将各种计算存储和网络资源进行整合，形成虚拟化的数据中心，对用户提供虚拟化的资源。针对不同层级的业务需求，可根据硬件的规格、属性进行分类，形成不同的资源池，为客户提供服务。在安全和可靠方面，构建高层次、多纬度的实时监控和离线分析，提供用户安全、服务安全、运营安全三个层面的安全服务。通过自动化的手段进行资源分配，以应对高峰期和低峰期的时间要求；进行混合云管理，使业务实现无缝拓展。通过同城双活、异地灾备等方式，有效保护应用安全。

5.科学有序推进云计算建设和场景落地。

在云计算建设过程中，应遵循业界IaaS、PaaS、SaaS的三层模式，从服务器虚拟化、资源池化，到软硬件资源的一体云化，逐步实施，分层推进。同时，针对适合云的非核心业务场景，先行切入，快速推进，以点带面，推广云计算技术应用。

云计算架构转型的实践和发展规划

光大银行借助云计算技术，从总分行一体化视角出发，开展了云计算架构转型的实践，效果很好。

1.光大银行云计算实践的历程。

光大银行从2013年1月开始开展云计算课题研究和整体规划目标，获得了银监会信息科技风险管理课题评选二类成果奖。2014年4月建设完成开发测试运行，实现全行开发测试资源的集中供给、灵活调配。2014年8月开始启动资产云建设，实现全行生产资源集中攻击、集中运营、集中灾备。2016年完成分行应用系统在一级资源池和二级资源池上的迁移工作，总行70%以上基于X86环境的应用系统迁移至总行生产云。2017年继续夯实全行私有云建设，完成生产查询和投产桌面云建设，启动容器云PaaS平台的技术预研和测试选项工作。

2.光大银行云计算架构的整体介绍。

为适应光大银行创新发展的战略要求，在光大云建设过程中重点关注以下几点：基础设施云建设中的高可用和一体化；云管理平台中资源交付、服务编排、自动化运维等关键功能的实现效果；基础设施大集中环境下的多租户安全管理；借助应用平台云发挥对业务的支持能力。

（1）基础设施云建设实践。光大银行基础设施云由部署在测试中心的全行开发测试云、覆盖两地三中心的总行生产云、总/分两级分布式资源池构成的分行生产云组成。一方面利用云管理平台提升基础设施的部署效率和自动化水平；另一方面通过面向应用系统的服务目录提升用户体验及资源使用的规范性。整体部署架构如图所示。

光大银行私有云整体部署架构

（2）云管理平台建设实践。光大银行云管理平台实现了云服务门户、云服务管理、云服务运维三项主要功能，并与现有ITSM运维平台集成，协同完成基础设施云服务全生命周期的运维和管理。

（3）云安全建设实践。光大银行参照CSA的云安全架构，结合全行资源池化的实践，确立了以“继承原有安全防护策略，确保安全多租户隔离，兼顾应用级防护”为指导思想的私有云安全架构。相较于传统非云环境，光大银行采用了多租户安全隔离、软件定义网络技术、分布式虚拟防火墙技术等专用技术加强私有云环境下的安全防护。

（4）应用云平台建设。光大银行在完成基础设施云建设的同时，还在应用平台云方面进行了有益尝试。先后建构了中间业务云平台、分前云部署、分行数据服务开放平台等应用云平台。到2017年为止，中间业务云平台实现了近1500余个缴费项目，约200家合作机构，服务终端客户超两亿人次，是普惠金融的重要案例。分行云部署实现了全辖所有分行前置的集中部署，全行资源池化，降低了运营成本，提升了运营维护的标准化程度与安全运营水平。

3.光大银行云计算架构的发展规划。

为进一步发挥云计算对业务的支持作用，并继续探索云计算的新技术架构，光大银行在云计算应用方面，主要发展规划如下。

基于目前私有云的技术架构和公有云的运营模式搭建集团云，为银行子公司和集团兄弟单位提供基础设施服务，以发挥集团内科技资源共享的优势。

构建云网络安全防御体系。通过下一代应用级防火墙、云网络安全检测系统、基于网络报文的APT持续性威胁安全检测系统构建多维度、主动型智能网络安全防御体系。结合网络虚拟化和软件定义网络技术，进一步实现云环境下应用的微隔离和每实例零信任，持续提升安全防控能力。

扩大桌面云服务的场景化应用，持续提升信息安全。为有效防范光大银行关键业务数据及用户敏感信息经办公环境泄露的风险，继续完善桌面云服务平台，通过供给开发测试虚拟桌面来隔离办公及总行开发测试环境，保障数据安全，全面提升外包终端风险管理能力。

建设基于容器技术的PaaS平台。结合容器技术的迅速崛起和移动互联网金融服务的蓬勃发展，光大银行计划分步骤探索研究容器技术，借助容器化技术提升架构弹性扩展能力、应用开发交付效率和运维自动化水平。

私有云的两地三中心多活建设。金融行业的信息安全至关重要，尤其是数据安全。通过云计算两地三中心架构，实现并满足金融行业的信息安全和业务连续性需求。通过计算虚拟化、存储、网络和分布式应用架构探索将现有私有云向异地延展，在基础设施层面建设两地三中心多活技术架构，上层应用利用分布式技术探索异地多活应用架构。

《金融电子化》新媒体部

主任 / 邝源编辑 / 潘婧

实战Practice丨光大银行加强云计算技术应用 推动IT架构转型

实战Practice丨光大银行加强云计算技术应用推动IT架构转型