摘要:中央金融工作会议提出,要做好科技金融、绿色金融、普惠金融、养老金融、数字金融“五篇大文章”,强调金融业需加快数字化、智能化转型。云原生技术作为一种全新的产品研发与运营模式,凭借其先进理念和成熟实践,已成为金融业数字化转型的重要引擎。本文将围绕云原生的定义、光大
文/中国光大银行金融科技部 周晓晓 段鑫冬
中央金融工作会议提出,要做好科技金融、绿色金融、普惠金融、养老金融、数字金融“五篇大文章”,强调金融业需加快数字化、智能化转型。云原生技术作为一种全新的产品研发与运营模式,凭借其先进理念和成熟实践,已成为金融业数字化转型的重要引擎。本文将围绕云原生的定义、光大银行在云原生领域的实践、实际场景下遇到的挑战及应对措施,以及未来的发展前景进行详细论述。
我国“十四五”规划及《金融科技发展规划》中都明确强调要推动信息技术与实体经济深度融合,重点支持云计算、大数据、人工智能等新一代信息技术的应用。这些政策要求金融机构加速数字化转型、提升系统弹性与创新能力,同时监管部门要求金融机构在追求高效业务迭代的同时,必须确保数据安全和系统稳定。云原生架构正是实现上述目标的重要技术路径。
云原生是一种基于微服务架构思想、依托容器技术为载体,通过持续交付和开发运维一体化实现产品研发、部署和运营的全新模式。它强调将应用设计为分布式、弹性、可扩展、可动态调度的组件集合,使得应用能够在多云或混合云环境中高效运行。相比传统单体应用模式,云原生技术凭借容器化、微服务化和持续交付的特点,具备弹性扩展和动态调度、持续集成与自动化部署、故障隔离与自愈能力、开发与运维协同提升等明显优势。
光大银行在实践中,以全栈云平台、容器服务、制品管理为基础,推进云原生技术架构落地;同时,着力开展云安全、可观测、云原生韧性及云运营等云原生运维体系建设,赋能金融业务高质量发展。
1. 云原生技术架构
(1)全栈云平台构建云原生基础设施。云原生的成功落地,首先需要依赖于坚实的基础设施,光大银行在数字化转型过程中积极拥抱云原生理念,分析现有云平台的痛点与不足,综合考虑当前技术趋势与监管要求,以终为始:重构IaaS底层技术,使用全栈云计算技术架构,引入基于原生Kubernetes集群架构,扩大平台纳管能力,实现计算、存储、网络三大基础能力全面云化,提供基于云原生的一站式资源交付能力。
光大银行全栈云平台(如图1所示)相较传统IT架构,围绕数据中心“两地多中心”的架构,采用纯三层路由组网方式,建设底层基础网络,提供高带宽、低时延的网络服务,首次在数据中心落地交换机25GE接入+100GE骨干互联的高速组网模式。同时,全栈云平台扩充IaaS基础设施技术栈,补充裸金属、分布式存储、对象存储、软件定义网络等核心技术栈,深化云原生技术,为金融业务动态灵活地提供各类弹性云资源。
图1 全栈云平台
(2)容器技术激活云原生核心算力。光大银行基于云原生技术架构,构建了以Kubernetes为核心的全栈云容器云(如图2所示)。全栈云容器云延续了全栈云“双栈并举、一栈多芯”的建设理念,为业务提供了A栈+B栈两套技术栈,以及可适配多种芯片的各类容器集群。多套集群统一由容器PaaS平台基于Kubernetes API接口进行统一纳管,为应用提供统一的管理平面和多样的部署资源池。
图2 全栈云容器云平台
为了提升资源利用率,优化资源管理,兼容特殊业务需求,全栈云容器云根据业务属性,将容器集群分类为了托管集群、专属集群、自管集群等。托管集群又称业务集群,为普通应用系统提供namespace级别的容器服务资源,多个业务系统共享集群资源。专属集群又称租户集群,根据有特殊业务需求的应用系统进行定制化改造,提供cluster级别的容器服务资源,是AI、大数据等特定应用系统。自管集群指由云平台部署交付,业务方运维的集群类型,主要适用于分行、信用卡等业务场景。
同时,为了满足不同业务场景的需求,兼顾性能和灵活性,全栈云容器云对外提供虚拟机容器服务和裸金属容器服务两种容器资源交付形式。虚拟机容器服务依托于全栈云IaaS层,可基于标准服务模板快速交付Kubernetes,跟IaaS层紧密耦合,单集群体量小,交付灵活,适用于专属集群和自管集群。裸金属容器服务与IaaS层完全解耦,基于Kubernetes、云原生流量网关为业务系统提供自研架构的应用容器化解决方案,无虚拟化层资源开销,稳定性及性能较好,适用于集群规模较大的托管集群。
(3)统一制品管理平台赋能研发运营一体化(DevOps)体系。在云原生体系构建中,应用交付涉及大量制品(二进制包、容器镜像、配置文件等),为了提升制品交付效率、确保制品安全合规、支持多环境部署与管理,光大银行打造了全行统一制品管理平台,将全语言制品纳入制品库统一管理,满足应用系统在不同阶段对不同类型制品进行统一管理的需求。制品库支持灵活创建多语言软件制品仓库,并按照行内组织架构进行用户认证和权限管理,具备丰富的API接口支持能力,具备高可用性和容灾机制,具备高并发上传、下载能力,满足大规模CI/CD及弹性扩容需求。
目前,光大银行统一制品管理平台已达到DevOps成熟度能力评估4+级标准,可对接行内所有持续集成平台,兼容行内主流的构建方式,支持行内DevOps工具体系建设。在持续集成交付的过程中,统一制品管理平台完成了对制品的分级管理,建立了体系化的制品库管理策略,与版本控制系统共同作为单一可信数据源,覆盖了应用系统从开发测试到生产部署的全流程。
2. 云原生运维体系
(1)云原生安全实现应用系统的零信任防护。在云原生架构下,网络边界已逐渐模糊。光大银行基于“零信任”安全理念构建了应用系统粒度的安全防护体系。光大银行云原生安全防护平台通过对工作负载标签化管理、业务连接可视化分析、流量精细化访问控制、全局自适应策略计算等功能,实现了面向基于全栈云平台应用系统安全访问隔离,能够对全栈云内部流量进行全面精细化的业务连接可视化分析和细粒度的安全策略管理,方便快捷地实现“以应用系统为粒度”的网络访问控制。
光大银行云原生安全防护平台对每个微服务、接口和数据流均进行严格的身份验证和访问控制,即使在容器集群内部网络中,也能做到多层次、多维度的安全防护,防止横向攻击和内部泄露。同时,结合大数据分析技术,构建实时安全监控系统,能够在第一时间识别并阻断异常行为,确保系统始终处于安全可控状态。
(2)云原生可观测构建零侵扰、全栈、全链路监控体系。面对海量微服务和频繁的动态变化,传统监控手段已经无法满足需求。光大银行基于eBPF构建了全栈可观测性体系,实现了可观测性数据全栈(Process、System、Network)采集,基于指标度量问题发现问题,通过追踪技术定位问题,通过日志分析问题,实现从整体到局部到细节的可观测。
全栈云可观测平台已实现了全栈云应用观测数据全栈采集、分析,可全面支撑云原生业务统一观测、SRE监测、应用排障等需求,依托标准开发接口作为观测数据底座平台,面向多数据消费方提供全栈观测数据开放服务。同时,全栈云可观测平台通过统一的观测数据打标,即所有的观测数据均标记上统一的云原生资源标签、云原生业务标签。当应用服务报障时,可以一键调阅该服务的所有相关应用指标情况、应用调用日志详情、网络流情况、系统资源情况、系统事件,从而做到分钟级的故障诊断。
(3)云原生韧性实现业务连续性闭环管理。在复杂多变的云原生环境中,系统稳定性和韧性至关重要。光大银行从2022年开始推进云原生韧性体系建设,目前已完成了全栈云韧性测试平台搭建,探索韧性平台实现应用系统灾备切换的标准化管理方案,引入混沌工程平台,赋能全栈云应用系统,实现云上系统韧性能力构建。
流程上,光大银行根据业务发展的总体目标、经营规模,以及风险控制策略和风险偏好,建立了与战略目标相适应、符合风险偏好的业务连续性管理策略(包含备份、应急恢复、数据保护等)。技术上,光大银行全栈云采用单元化的设计思想,业务采用多AZ+单元化的部署模型,单可用区全局性故障可快速切换至其他可用区,保障业务的高可用和连续性。同时,基于混沌工程全栈云实现了故障预防、发现、定位及恢复流程,建立了完善的故障演练场景,实现业务连续性的技术迭代。人员上,光大银行设计适合云上服务模式的组织模型,构建了端到端云服务管理及交付团队,建立了全栈云虚拟运营小组,覆盖了从云服务能力拓展、业务云化评估、云服务规划、运营运维等云服务管理与交付工作。
(4)统一云管平台实现云化算力一体化管控和交付(如图3所示)。面对多栈、多芯、多数据中心的复杂云环境,为了屏蔽底层资源及技术差异,光大银行建设了统一云管平台,实现了总分行不同资源池的统一管理和全局调度,对接全栈云各种算力资源和服务,提供统一的网络、存储、计算等资源,支持统一监控采集、数据报表和计量计费等功能。
图3 统一多云管理平台
统一云管平台建立了云上标准化和一体化的资源交付流程,对云上资源进行统一管理、快速交付和精细运营。同时,云管平台集成运维监控平台和自动化运维平台,提供统一的运维工具平台入口,优化工具功能和领域划分,形成运维工具的统一管理和可视化编排调度;统一运维日志格式,避免运维工具和运营能力的重复建设,形成一体化的基础设施运维能力。
云原生技术不仅仅是一种新的技术架构,更是一种全新的运营思维和组织管理模式。通过构建统一、灵活、自动化的云原生平台,企业能够大幅提升系统弹性、降低运维成本,同时实现业务功能的快速迭代和高效交付。光大银行从2012年开始,持续探索推动云计算技术发展、云平台建设,结合内外部要求及业务应用现状,制定“应上尽上全栈云,优先采用容器化上云方式”的上云策略,推动业务云原生改造,实现业务全面上云的目标。
目前,光大银行已成功构建了以全栈云平台为关键服务能力的云平台3.0架构,完成应用系统从传统架构向云上架构迁移,实现信用卡新一代综合业务管理系统、新一代零售信贷平台和新一代第三方存管系统等重要系统全面上云。
未来,光大银行将持续深化科技赋能,借助云原生架构优势,实现通用算力、AI算力、大数据算力的云化整合,在多云协同、边缘计算和智能运维等领域迭代升级,打造自主可控、安全高效的科技基础设施,用金融科技力量支撑金融业务数字化转型发展。
来源:金融电子化
