01、銀行云計算發(fā)展背景

云計算是金融業(yè)數(shù)字化轉(zhuǎn)型的基石。此前，IOE技術(shù)架構(gòu)是銀行業(yè)的標準配置，但隨著數(shù)字化時代到來，創(chuàng)新型金融業(yè)務應用需要敏捷高效、彈性可控的IT資源，這要求銀行IT基礎設施加快向云端遷移。2019年央行發(fā)布《金融科技發(fā)展規(guī)劃（2019-2021）》，要求合理布局云計算，引導金融機構(gòu)探索云計算解決方案，搭建安全可控的金融行業(yè)云服務平臺，構(gòu)建集中式與分布式協(xié)調(diào)發(fā)展的信息基礎設施架構(gòu)，強化云計算安全技術(shù)研究與應用。去年央行發(fā)布的《金融科技發(fā)展規(guī)劃（2022-2025）》又進一步提出，要求加快云計算技術(shù)規(guī)范應用，穩(wěn)妥推進信息系統(tǒng)向多節(jié)點并行運行、數(shù)據(jù)分布存儲、動態(tài)負載均衡的分布式架構(gòu)轉(zhuǎn)型，云計算成為轉(zhuǎn)型過程中的關鍵技術(shù)路徑，為金融業(yè)務提供跨地域數(shù)據(jù)中心資源高效管理、彈性供給、云網(wǎng)聯(lián)動和多地多活部署能力，實現(xiàn)敏態(tài)與穩(wěn)態(tài)雙模并存，分布式與集中式互相融合，以此來支撐更多的創(chuàng)新業(yè)務場景。

02、銀行云平臺建設

在數(shù)字化轉(zhuǎn)型浪潮下，隨著云計算能力建設的不斷深入，銀行業(yè)對云計算應用已從研究探索階段步入具體規(guī)劃和實施階段，大型銀行紛紛啟動云平臺建設項目，并通過推動傳統(tǒng)小機下移、核心應用云化改造等實現(xiàn)應用遷移上云。

云平臺是通過虛擬化技術(shù)對計算、存儲、網(wǎng)絡等資源虛擬化，實現(xiàn)全行計算資源聚合、共享和服務的計算平臺，通過建立涵蓋各數(shù)據(jù)中心的異構(gòu)資源池，實現(xiàn)IT資源集中管理、統(tǒng)一調(diào)度和按需分配，從而提高全行IT資源利用率和自動化運維管理能力。出于安全可控、服務效能等方面考慮，銀行云平臺建設以私有云架構(gòu)為主，銀行私有云基于銀行內(nèi)部網(wǎng)絡，采用云廠商相關技術(shù)和產(chǎn)品搭建部署，同時與配置管理、監(jiān)控管理、容量管理等運維管理相結(jié)合，共同實現(xiàn)云平臺的相關功能，私有云架構(gòu)主要包括云資源池、云管理和云服務等部分。云資源池是由底層基礎設施構(gòu)建的計算、存儲、網(wǎng)絡等彈性資源組成；云管理平臺則將分散在多個數(shù)據(jù)中心的異構(gòu)資源整合為統(tǒng)一的資源池，通過一致的管理界面來管理異構(gòu)基礎設施，實現(xiàn)資源的自動發(fā)現(xiàn)、自動配置和統(tǒng)一調(diào)配，將各類資源整合編排為不同云服務，為應用提供一站式的資源供給，同時云管理平臺可以對多廠商的服務器、存儲及網(wǎng)絡設備的告警、日志、容量等進行統(tǒng)一監(jiān)控和管理，并通過圖形化界面快速定位和解決故障；云服務是由開發(fā)者基于云計算相關技術(shù)進行開發(fā)和創(chuàng)建，并發(fā)布至云管理平臺，用戶可申請相關云服務，按相關流程申請審批后，云管理平臺創(chuàng)建一個云服務實例，并向用戶提供云服務，云服務按照面向不同的用戶可以分為IaaS、PaaS和SaaS類型。

圖2 銀行私有云邏輯架構(gòu)

私有云平臺作為銀行重要的基礎服務平臺之一，通過云服務產(chǎn)品體系建設和IT服務管理融合，能有效保障銀行關鍵業(yè)務應用的連續(xù)性、穩(wěn)定性、高可用性、低網(wǎng)絡延遲性和數(shù)據(jù)安全性。

03銀行私有云建設實踐

分階段建設

Gartner副總裁Tom Bittman說過，“部署私有云并不是簡單地對硬件進行采購，而是一場革新”。銀行私有云建設具有應用系統(tǒng)復雜、標準化程度低、系統(tǒng)體量大、安全要求高等特點，需要遵循統(tǒng)一規(guī)劃、分步實施、持續(xù)改進的原則，業(yè)務上先簡后繁，技術(shù)上先易后難，持續(xù)推進分布式架構(gòu)轉(zhuǎn)型，才能建設一個科學可持續(xù)發(fā)展的私有云。

對于大型銀行，先是持續(xù)建設總行云和分行云，并搭建同城災備云和異地災備云，推進基礎設施池化、云化，再推動應用上云，提升應用敏捷性。具體來說，第一步要全面提高云服務質(zhì)量，分場景做好基礎設施支撐能力；第二步要加強架構(gòu)規(guī)劃和執(zhí)行，制定云技術(shù)平臺演進路線，構(gòu)建統(tǒng)一云技術(shù)服務目錄，試點多云管理架構(gòu)；第三步要持續(xù)優(yōu)化流程、制度、安全等配套體系，推動云技術(shù)架構(gòu)實施，保障云服務高效、穩(wěn)定運行。

一體化能力建設

傳統(tǒng)的私有云建設一般采用單點新建和割接的模式，其定制化程度高，產(chǎn)品非標準化和版本碎片化使私有云的運維管理變得更加復雜，因此各銀行機構(gòu)尤為關注私有云的平滑升級和一體化運維能力。

近年來，銀行開始推進建設“一云多芯”或“多云異構(gòu)”的全棧云，通過定制私有云服務標準和廠商接入標準，可以基于一體化平臺底座提供多樣性云資源，同時將云管理與配置管理、監(jiān)控管理、流程管理、容量管理等IT服務管理相結(jié)合，設計端到端的IT運維管理流程，完成統(tǒng)一的編排調(diào)度、統(tǒng)一的管理授權(quán)、統(tǒng)一的監(jiān)控及運維，實現(xiàn)真正意義上的一體化運維管理，全面支撐數(shù)據(jù)中心安全運營。

安全和災備能力建設

銀行業(yè)務高度依賴安全可靠、穩(wěn)定運行的IT基礎設施環(huán)境，云安全能力和容災備份能力既是監(jiān)管要求也是業(yè)務需要。

安全方面，網(wǎng)絡等級保護、網(wǎng)絡安全審查辦法，以及行業(yè)相關政策都對私有云建設的安全體系和標準提出要求，包括物理設備層、云平臺層、云服務層、云應用層及數(shù)據(jù)層在內(nèi)的全棧關鍵安全能力，因此建設高可靠、高可用和高安全的私有云平臺是各銀行機構(gòu)努力的目標。云平臺因其多租戶、泛在網(wǎng)絡訪問、快速彈性伸縮等特點，所以對邊界安全、應用安全、數(shù)據(jù)安全等金融安全層次有著更高的要求，需要建立網(wǎng)絡信息安全保護體系，不斷完善云安全解決方案，同時優(yōu)化訪問控制機制，加強用戶權(quán)限管理和安全審計能力，從平臺、主機、資源、應用、代碼、容器、中間件以及租戶數(shù)據(jù)等多個層面進行安全管理。

云平臺災備建設是一項復雜的系統(tǒng)工程，依托于數(shù)據(jù)復制技術(shù)和網(wǎng)絡切換恢復策略，把銀行的重要信息系統(tǒng)在災備數(shù)據(jù)中心重新規(guī)劃部署，銀行業(yè)務連續(xù)性要求高，因此對災備能力要求高，根據(jù)容災等級需要，可分為數(shù)據(jù)級、應用級容災，在業(yè)務中斷時快速恢復。相比傳統(tǒng)災備切換，云上應用災備切換可以基于云上三層網(wǎng)絡技術(shù)實現(xiàn)的流量隔離，通過DNS域名主備動態(tài)解析完成引流切換，快速恢復業(yè)務。

自主可控能力建設

銀行私有云平臺是數(shù)字化轉(zhuǎn)型的基礎底座，作為對銀行業(yè)務經(jīng)營發(fā)展有重大影響的關鍵平臺及關鍵信息基礎設施，建設過程中應降低外部依賴，避免單一來源，堅持關鍵技術(shù)自主可控的原則，并逐步加大自研力量，借鑒業(yè)界成熟的云底座能力，打造符合自身需求的私有云平臺。同時，將信創(chuàng)工作與云的建設有機結(jié)合起來，大力發(fā)展和建設信創(chuàng)云，以安全可靠國產(chǎn)軟硬件為基礎，構(gòu)建關鍵信息基礎設施，提升關鍵信息基礎設施自主可控能力，形成具有自身特色的云計算技術(shù)路線，并逐步提升分布式架構(gòu)的自主開發(fā)設計和獨立升級能力。

04、結(jié)束語

建設私有云并推動應用全面上云是銀行科技發(fā)展的必然選擇，同時也是銀行業(yè)務轉(zhuǎn)型的內(nèi)在驅(qū)動，應用上云的核心價值在于充分利用云的敏捷、彈性和韌性，最大程度地滿足業(yè)務的快速交付、容量變化和穩(wěn)定運行需求。未來隨著云原生、人工智能和區(qū)塊鏈等技術(shù)的進一步融合，在基礎框架建設、運營模式和服務場景等方面，銀行可以有效的借助這些先行條件，創(chuàng)造出更多樣、便捷的金融產(chǎn)品及服務，進一步促進銀行數(shù)字化轉(zhuǎn)型發(fā)展。