本文来自微信公众号“twt企业IT社区”。
经过多年的IT发展,很多企业的基础IT架构已经转向或者正在转向云架构。原有的云架构可能是基于通用商业产品实现的,这又与目前的信创思路相悖。那么企业是该放弃原有架构,还是保留原有云架构呢?激进的可能认为必须全面转向开源可控的模式,保守的可能认为原有的架构只要运行的够安全即可。如何得到科学的答案,寄予本议题之讨论。
【栏目主编】赵海某金融系统高级主管:本议题由利安人寿资深工程师陈萍春、东软集团股份有限公司系统架构师刘东、某金融公司架构师刘艳春、常熟农商行科技系统部管理岗谭叙声发表议题下关键点的主张,几位专家的主张在江西农信运维技术经理邓毓、某金融科技公司资深集成工程师孙伟光及我本人等多位专家的复议后,形成了一定的共识,希望可以对同行有一定的参考。
陈萍春 利安人寿资深工程师:
信创云平台整体架构特点可以归纳为“全栈信创”和“一云多芯”,以IaaS层基础服务为主,其设计思想是通过国产自主可控的云平台去整合基于不同国产芯片的基础硬件,从而为应用系统的信创落地提供基于国产基础软件的部署环境,最终实现全栈信创架构的云平台。
一、引言
云计算作为底层基础类技术,向下整合算力与网络资源,向上承载技术应用,已成为是企业数字化转型的必要选项。对于信创改造项目来说,信创云也是信创落地的重要方式之一。信创云让基础资源更加灵活集约,通过弹性灵活的资源供给,快速满足信创业务适配和运行的资源需求,降低硬件差异带来的适配风险。
二、信创云的整体架构
信创云平台整体架构特点可以归纳为“全栈信创”和“一云多芯”,以IaaS层基础服务为主,其设计思想是通过国产自主可控的云平台去整合基于不同国产芯片的基础硬件,从而为应用系统的信创落地提供基于国产基础软件的部署环境,最终实现全栈信创架构的云平台,其整体架构如图1所示。
图1:信创云的整体架构
信创云平台需要能纳管、整合基于国产芯片的各种类型的基础硬件。在网络资源层面,不管是管理用、业务用还是数据存储用的,都需要支持国产芯片网络设备;在计算资源层面,需要支持一云多芯,至少需要支持在主流的国产C86、ARM架构CPU的服务器上部署,组成不同的计算可用域;在存储资源层面,具备对接第三方存储的能力,不管是分布式存储还是集中式存储,在软硬件上也都需要采用的是国产自主可控技术。
信创云平台软件需要由国产厂商提供,其技术本身是自主可控的。云平台软件部署在基座操作系统之上,其基座也需要是国产自主可控或可行开源的操作系统。
信创云平台还需要支持多种国产操作系统、国产数据库、国产中间件以及其他可信开源软件,从而为应用系统的信创改造适配提供基础软件环境。
三、云传统架构分析
云平台主要由计算虚拟化、存储虚拟化和网络虚拟化三种类型的基础软件组成,逐一分析如下:
1)计算虚拟化
计算虚拟化实现了CPU和内存等计算资源的虚拟化,主要由虚拟机管理、容器管理及服务器设备三种元素组成,是云平台软件技术的核心。虚拟机管理技术可实现物理机的绝大部分功能,被主流使用的有国外商业闭源技术VMware和开源技术OpenStack+KVM;容器管理技术提供了更轻量级的程序运行环境,主流使用的是开源技术Kubernetes和Docker;服务器设备为虚拟化提供了硬件环境,以Intel芯片为主的通用X86服务器为主。
2)存储虚拟化
存储虚拟化实现了存储资源的虚拟化,为云平台提供稳定高可用存储资源,最重要的元素是底层的存储系统。
存储系统从技术架构上可分为集中式存储和分布式存储,集中式存储采用专有硬件,由主流的几家存储厂商提供;分布式存储以软件定义存储技术为主,主要采用了部署在通用服务器上的开源技术Ceph。
3)网络虚拟化
网络虚拟化实现了网络资源的虚拟化,是在物理网络拓扑基础上建立的虚拟网络。除了计算虚拟化的网络资源管理功能外,还主要包括SDN控制器和底层网络设备两种元素。SDN控制器有闭源商用控制器,也有开源控制器;底层网络设备则主要是各种商用物理交换机、路由器、负载均衡等。
四、架构取舍与双栈运行
1)架构取舍
相比于传统云架构,信创云的架构目标是“全栈信创”和“一云多芯”,信创云的架构要与传统云架构做隔离。
从芯片、服务器、存储、网络等底层硬件,到云平台、操作系统等上层软件,都应完全弃用传统云架构中的国外商用软硬件,能替尽替。对于开源技术的应用部分,也要充分认识到开源技术的应用风险,不能应用完全开源技术,必须是可信开源技术。
2)双栈运行
传统云架构与信创云采用了完全不同的技术栈,并在技术上实现了隔离。目前云平台处于一种双栈运行的状态,而信创云的规模也较小,以IaaS层基础服务为主。
信创技术应用尚呈现百花齐放的状态,长期来看,产业的发展会越来越成熟,集中度会进一步提高,而信创云技术也需要继续发展和完善。但可以预见的是,伴随着信创试点的推进,信创云也会具备大规模应用的条件,其规模将不断扩大,以适配更多信创业务应用。
刘东 东软集团股份有限公司系统架构师:
金融行业信创建设要求比较高,对信创产品的性能、稳定性、适配性和安全性等要求更高。在金融行业建设信创云架构时应充分考虑其能力和特点,做好试点和过渡工作,不断夯实云基础架构底座,实现由易到难的有序突破。
一、引言
信创作为国家安全的重要组成部分,一直在高速发展。在党政部门的引领下,国家重点推进金融、电信、电力、交通等八大重点行业,特别是金融行业的信创发展起步较早,推进最快,紧跟党政部门的步伐,目前信创的渗透率在金融行业信息化系统中占比较高。
2022年1月,国务院发布了《“十四五”数字经济发展规划》,明确将“加快金融领域数字化转型”列为七大重点行业数字化转型提升工程之一。信创作为数字化转型的重要组成部分,需要坚持安全可控和创新发展并重,利用技术创新等手段,加快金融IT基础设施关键核心技术产品应用,推动打造金融业信息化核心技术安全底座。
当前,金融机构IT基础设施建设正面临“传统云架构”和“信创云架构”的双向选择问题,“传统云架构”在金融行业经历了多年的发展,已经形成了多种技术架构,而“信创云架构”又对金融行业云平台有了更多的要求,“传统云架构”是弃还是存,如何解决不同的云架构带来的技术问题,是目前金融行业面临的主要问题。
二、金融行业云架构现状
云架构作为金融行业IT基础设施底座,可以整合计算、存储、网络和安全资源,建立相应的资源池,对整体资源进行管理并弹性供给,大大提升了金融机构对IT资源的利用效率。
金融行业传统云架构资源多以“IOE”为主,计算资源主要以X86服务器和大型机为主,存储资源以集中式存储和分布式存储为主,采用虚拟化和软件定义等技术手段实现云平台架构,并将云平台的应用范围由非核心系统逐渐向核心系统进行过渡。
在云部署模式方面,私有云是金融行业的主要云部署模式。在私有云架构下,云平台主要提供计算、存储、网络等基础IaaS服务和容器化服务。
金融行业私有云在多年的发展中经历了不同阶段的信息化建设,基本上处于“多云”架构,每个不同的时期的虚拟化技术和产品无法兼容,甚至出现多套云管理平台和云基础设施的情况,在应用部署和运维管理过程中,每套云架构产品互相独立,无法对资源进行统一的管理和利用。
三、金融行业信创云架构面临的问题
刚才提到金融行业由于自身发展原因,已经建设并形成了“多云”架构,导致多套云产品并存,云架构各异。那么新建设的“信创云”势必又会带来新的碎片化问题,导致金融行业的云架构平台运维管理难度进一步增加,影响金融信创的推进。
那么,在设计“信创云架构”时,是否能完全抛弃到原有“传统云架构”呢?答案是否定的。
当前金融行业的云平台多条技术路线并存,包括X86云、小型机云、甚至还有大型机的云等等,存储和网络设备也各不相同,支持着不同的金融应用,部分业务对数据一致性、安全性和可靠性要求极高,经历了几十年的发展并且已经完全适配了现有的金融信息化业务,而“信创云架构”才刚刚起步,短时间之内很难完全替换掉“传统云架构”,需要有一个打磨的过程,等待信创产品成熟之后,才可能完全进行替代,这需要一个比较漫长的时间。
所以,在建设金融行业“信创云”架构时,首先要考虑金融云架构平台一体化问题,做到“信创云架构”和“传统架构”统一管理,统一运维,建设安全可靠、易用稳定的云平台。
另外,由于金融信创产品技术成熟度还不是很高,正处于快速发展之中,在建设“信创云架构”时,要多进行POC验证测试和以实践为标准进行参考选型,切记“拍脑袋”进行决策。
根据目前“信创云架构”的技术方案,和“传统云架构”一样,也存在多种不同的技术路线,包括飞腾、龙芯、鲲鹏和海光等等,在技术路线选型上非常重要,要结合金融机构现有自身技术能力和架构选择合适的产品,建设跨多云的管理平台,融合新技术、新产品、避免形成新的云平台孤岛。
四、金融行业多云架构的建设
为了实现“信创云架构”和“传统云架构”的统一管理,建议采用OpenStack+KVM作为虚拟化平台,Docker+Kubernetes采用作为容器平台,这两种技术路线传统云架构和信创云架构都可以支持,而且实现的效果差别也不大。
在信创服务器方面,服务器厂商虽然技术路线不同,但是都支持虚拟化和容器的云平台建设能力,如表1所示。但是信创服务器和X86服务器在CPU性能上毕竟还有有一定差距,在综合指标对比下,信创服务器的性能约是同档次X86服务器的60%~80%。需要金融机构根据自身的业务类型选择合适的技术路线服务器产品,按照以往经验来看兆芯和海光在处理器在兼容性上占优,鲲鹏和飞腾在性能上占优,龙芯安全性相对较高,申威多用于超算领域。
表1:信创服务器和X86服务器的技术路线
在操作系统方面,国产操作系统和传统云架构使用的操作系统在处理器的支撑能力上几乎一致,而且同时也支持虚拟化和容器技术,如表2所示。
表2:信创操作系统和X86操作系统的技术路线
在云平台建设方面,需要统一纳管在信创云和传统云,云平台的建设至关重要,而且定制化工作量大,如图2所示。在此背景下,云平台需要实现全面兼容的目标,既能管理传统云资源又能管理信创云资源,形成混合多云管理模式,并要求能够完成实际的项目落地。
按照“分层解耦、异构兼容”的设计原则,构建物理分散、逻辑一体的基础设施云平台。通过兼容多种不同的芯片架构,建设基础设施云平台,实现动态扩展和弹性伸缩,为金融相关业务系统提供运行环境以及相应的信息处理能力。
图2:混合多云管理平台
五、结语
对于金融行业,“传统云架构”和“信创云架构”并存虽然是暂时的,但是要并行过渡相当长一段时间。目前金融“信创云架构”建设的关键在于和“传统云架构”使用同一套软件定义技术和云管平台,资源可以无缝迁移,资源可以统一管理。
整个金融信创云架构体系非常庞大,底层有不同的CPU芯片、网络、存储、操作系统,平台层又有多种信创中间件和数据库。打造金融行业IT基础设施数字化底座并不是完全抛弃传统架构直接使用信创这个新技术去完成的,需要和原来的传统架构相结合,不断打磨出一个创新的解决方案。
刘艳春某金融公司架构师:
为落实国家战略,响应国家在重点领域开展关键信息基础设施网络安全检查工作时明确的信息技术国产化对于实现自主可控的指导思想,满足信息技术产品国产化率。结合国家发展自主安全的网信产业的趋势和企业高质量发展的要求,应用先进成熟的云计算架构理念,推进云化、服务化、开放式的IT架构升级,建设灵活强大、高效弹性的自主安全的信创云平台。在实施信创云“替代”的同时实现“打通”应用传统云架构、大数据等先进技术对信息系统改造升级,构建起安全可靠的“铜墙铁壁”。
1.信创云设计思路
由于现阶段我国各个领域非信创信息化的比重极高,在由非信创向信创替代转化的过程中,很难以一刀切的方式实现快速的替换。因此,需要从基础架构设施、应用系统、人员管理和规范制度几个层面齐头并进,逐步完成信息化信创云的替代。
从长期战略的角度来看,需要在信创替代的初期就制定出长期的演进规划,构建现有应用架构向信创云架构规模化迁移的方法体系,以及围绕信创云持续运营的有效运作机制。
2.信创云架构设计
从信创云的信创替代层级特点看,可以分为基础设施层、云管理层和云服务层三层级来展开设计。总体逻辑架构图(图3)如下:
图3:信创逻辑架构图
信创云除了具有通用云计算虚拟化、高可靠性、高通用性、高可扩展性及快速、弹性、按需自助服务等特征外,还具有以下四个方面的特征:
替代性:信创云的产品体系完整可用,信创云平台与可替代国际主流厂商的信创生态处理器、基础支撑软件等云计算基础组件兼容良好,可实现全面完整的替代。
自主性:针对完全自主研发的云计算核心技术拥有所有的技术资料、知识产权、源代码。云平台中不存在恶意后门并可以不断改进升级或修补漏洞,不受制于其他技术壁垒。
安全性:信创云基于自主可控的信创生态软硬件基础环境建设,代码完全自主掌握,技术后门风险较低。
异构协同性:信创云平台支持不同信创厂家的同构和异构CPU架构统一管理调用形成统一资源池,池内所有资源互为热备、数据共享、云主机支持热漂移、网络地址空间统一,从而共同协作支撑同一应用或服务,保证业务系统的高可用性,伴随着上层应用快速迭代和扩容,底层云平台可以使用异构厂商的CPU架构实现平滑弹性扩容。
3.信创云过渡方法
信创云过渡法基本上是采用了国际标准商业产品与开源技术并存的模式。而国内信创产业百花齐放,生态林立的格局已经形成,在面对原有经典技术向信创技术架构迁移的过程中会面临技术生态易变性Volatility、技术发展不确定性Uncertainty、多技术融合复杂性Complexity和技术风险的模糊性Ambiguity等为代表的VUCA格局,因此需要制定一套符合自身技术发展模式的系统化信创云替代工作方法。
基于信创产业的发展与云计算产业发展的相似性,都覆盖相同的产业链和技术领域,且都面临大规模、系统化迁移和替代的场景诉求,因此本工作方法借鉴参考云计算领域的相关成熟方法论作为基础,结合信创产业的VUCA特征,从工具化、服务化和运营化三个维度展开设计。
工具化,主要通过一系列易用的工具设计,快速解决信创云替代过程中通用的、简单的工作,从而加速替代进程和建立工作信心。
服务化,通过对信创云技术访问和使用的一系列模式设计,实现屏蔽信创技术与国外经典技术间的差异,通过API化和自动化的手段隐藏实现细节,构建平滑的替代演进模式。
运营化,借鉴可持续运营思路,通过对信创云替代过程中的评估分析、实施策略、总结归纳等工作方法的设计,支撑信创技术推广从局部到整体、从单点到规模化发展。
图4:“三化”思路的系统化信创替代工作方法
信创替代迁移工具的设计通过围绕传统X86架构应用向信创云技术架构迁移中面临的现存应用的配置发现评估,并支撑在计算代码迁移、离线数据迁移、数据库迁移、终端应用迁移等工作的简化和自动化展开,目的是通过对这类工具的定义和能力规划,解决信创云替代过程中的通用与标准化问题,从而加速替代迁移和增强信创云替代工作信心。
信创替代推广要解决的第一个问题是:“针对现有大量的应用系统评估哪些适合迁移?”这一般需要同时考虑新技术对原有技术替代的可行性和对生产运行的影响,其中技术替代选择越少且对生产运行影响越大,则工作开展越会倾向保守验证并要求对生产业务的全面满足,因此决策周期越长;反之如果技术替代可选范围广泛且对生产业务影响低,则决策周期相对更短。
为支撑策略选择,基于对现有应用信息的技术堆栈分析和部分应用适配测试报告为基础,可对应用进行分类划分:依据技术替代可行性高或低,应用对生产业务影响风险高或一般的两维度,划分为四个象限分类:
A类为技术替代可行性低,对生产业务影响高;
B类为技术替代可行性高,对生产业务影响高;
C类为技术替代可行性低,对生产业务影响一般;
D类为技术替代可行性高,对生产业务影响一般。
站在循序渐进的角度来看,优先进行决策周期更短的应用信创替代工作,一方面可以快速积累相关经验和建立信心,另一方面伴随信创技术的不断完善以及原有系统的升级换代原有难度大的替代工作也可能迎刃而解。因此针对信创替代的评估策略建议原则:应用对生产业务影响不大的优先,技术替代可行性高的优先、非金融特色/专属应用的优先、对办公终端影响广泛的优先。
如今伴随技术和云服务的发展,技术与技术之间、应用与应用之间的相互访问和管理呈现“API抽象化、服务化”的趋势,通过屏蔽具体的实现,两种技术之间通过标准的服务接口进行交互,可以最大限度的提供平滑的技术升级换代能力。这为信创云替代的平滑演进奠定了基础。
4.总结
当下,信创云转型方法可以把已有的开放技术生态和安全可控方向结合起来,打破原有的生态体系,重塑一个IT技术的完整逻辑,这一逻辑并非单纯的做某个点的信创替代,而是从一个面的维度去实现新一代IT架构从而替换老一代IT架构。设计信创云架构时新建信创云资源池,与原有云资源池实现统一云管理平台对接管理。对生产业务影响小,技术替代可行性高、非金融特色/专属应用、对办公终端影响广泛的先优先迁移至信创云资源池。其他系统可参考云服务获取的便捷性以及底层技术实现的无关性,进一步解耦异构CPU服务器等基础硬件,以及操作系统、中间件和数据库等基础软件和应用之间的耦合性,用API化和自动化服务实现平滑替代,支持按需组合获取多种技术协同服务应用,从而支撑经典技术向信创替代技术的平滑升级演进。
谭叙声常熟农商行科技系统部管理岗:
在信创云架构演进的过程中,短期来看部分传统架构仍然有保留的必要,但是从长期来看的话,传统云架构是必然会被放弃的。
因为本年度我行也开始了信创项目的建设工作,信创云平台作为承载信创项目应用的载体,是最先一批完成建设的项目之一,目前我行信创云平台已落地运行。我先抛出我的论点,第一,在信创云架构演进的过程中,短期来看部分传统架构仍然有保留的必要,但是从长期来看的话,传统云架构是必然会被放弃的。第二,从信创环境的总体架构及监管要求来看,传统架构下IOE产品在信创环境里没有存在的必要。下面我分成平台的演进设计和平台的建设展望两块内容给大家分享一下我行在本年度信创云平台架构设计及实施的时候遇到的困难及解决的思路。
一、我行云平台现有架构、信创云平台选型方案
我行本年在建设信创云平台之前,具有云化服务能力的平台主要有两个,一个是传统的VMware虚拟化,配合云管平台来做的基础的虚拟机生命流程管理的服务化发布,另一块是使用的我行在2018年引进的华为早期私有云平台产品,主备机房双AZ,FusionSphere OpenStack的2.0.6版本,平台具备基础的IaaS能力,对外可以服务化的形式提供基于KVM技术的虚拟机,提供基于分布式块存储FusionStorage Block产品的块存储服务。两平台稳定运行至今年,我行开始信创相关项目的建设。信创云平台作为承载信创项目群应用的载体,在架构方面我们主要考虑了两点,第一个就是平台需要完全满足国产化要求,即平台中所有设备均是信创设备。第二就是平台如何去适配基于分布式、微服务架构的新一代应用系统架构,即在无状态、单元化部署的应用架构下,平台需要满足同一中心内高可用及跨中心高可用的建设目标。综合考虑以上条件并结合到国产化芯片及配套软硬件的成熟度、生态等因素,我们选择了华为HCS 8.1解决方案,来提供云上和本地体验一致的云服务,兼顾公有云的快速创新能力和私有云的可管可控。同时匹配企业组织架构和业务流程,实现用户视角一朵云的愿景。
二、我行信创云平台落地方案、未来展望
我行在本地共有三个数据中心(两个正常运行,一个建设中),HCS设计架构采用了双Region,三AZ的模式,主从中心一个Region,两个AZ,业务采用前端GSLB来进行流量分发,同城容灾一个Region,一个AZ,作为热备冗余,当放生平台级灾难时通过GSLB引流至容灾环境。目前我行已完成主中心AZ的所有节点搭建,从AZ完成管理节点搭建,为后续主从双活打好基础。容灾AZ环境后续会根据监管要求,逐步的在我行同城灾备机房完成建设。
网络平面的落地。信创环境下云平台核心如何去对接、融入现网核心是一个最实际且复杂的问题,因为目前包括我行在内的大多银行还是老一套的网络核心,就是我们现在说的走VLAN的Underlay形式的网络核心,主备两个数据中心应该也是大二层跑静态路由的,我们新建的云平台大多使用Overlay网络,走VXLAN,平台肯定要去对接我现有网络,这里面涉及到两块不同方向的网络架构,其实也就是两个流量出口,一个是云内新建业务的流量,另一个是云外现有平台迁移至云内,如何保障应用与原有的网络关系保持一致。所以我们的思路就是把流量入口拆分为两块,一块是原生云内的应用,走基于Overlay形式的网络,还有一块就是我现有的应用要往信创云里面去迁,或者说应用原有的访问关系较为复杂的话,那我可以考虑使用二层网关的形式来跟我现有传统网络核心的各个网络区域打通,来实现应用上云,IP地址保持不变的一个需求。所以我行在原生云内的虚拟机网络采用了华为的软件SDN方案,通过网络节点上不同的虚拟网元来提供诸如EIP、云专线、ELB、端口组、ACL等多类型的网络服务。对后续如果要上云且需要IP地址不变的应用单独建立VDC,使用LTBR二层桥接的方式,打通与现网的路由关系,使这些虚拟机在上云的时候仍然可以保持与之前非云环境相同的IP地址。
计算及存储平面的落地。相对于网络平面来说转变较小,计算平面由于仍采用OpenStack来构建,所以计算虚拟化技术还是KVM,与之前最大的却别是CPU采用了基于ARM架构的华为鲲鹏芯片,与之匹配的OS操作系统是KylinV10 SP2。存储平面,单AZ内仍采用分布式存储产品OceanStor Pacific来构建,与之前FusionStorageBlock产品的区别是使用了EC纠删码的校验码算法,相对于多副本提升了存储容量。
目前我行信创云平台建设已能正常对外服务,如我文章一开始所说的,短期来看作为云平台来说其实平台能力单一,更像是升级版的虚拟化平台,且有LTBR这种兜底的网络形式存在,但是随着行业内信创工程的推进,我相信云平台的使用场景也会持续的拓宽,我行后续针对信创云平台的未来展望及规划主要总结为以下两点:
1)主从双活能力完善,在海虞新数据中心完成建设后,将从中心AZ集群管理节点拉远至新数据中心,并补全从AZ集群内的计算、网络、存储节点,实现主从中心AZ双活的目标。
2)平台服务能力提升,当前信创云平台仅能对外提供如ARM架构虚拟机,网络负载及分布式块存储的能力,能力相对来说较为单一,后续在云平台能力强化方面除了可以考虑建设X86的异构集群、云内的对象存储等IaaS层能力之外,还可以逐步去尝试云内的容器甚至是云内的数据库、大数据等PaaS层能力的服务。
结束语
通过众多IT业从业者观点分析,绝对放弃或者不放弃都不是信创思路的正确方向,信创战略的目的在于自主可控,信创的重点在于支撑业务的全栈IT,因此站在这个全局高度去考虑局部元素的取舍和设计才是正确的思路。
