中文 | EN

 

开源 ⦁ 赋能未来

专注 开放 标准 敏捷

 

Animbus® FinTech 金融行业扩展包

产品概述

OpenStack在金融领域的实践一直是被广大用户所关注的话题,在国内,根据《银监会十三五信息科技指导意见》,金融行业将加大云计算建设力度,鼓励金融行业云的共同创新与合作,许多银行也将 OpenStack作为未来银行行业云的核心引擎选项之一,在OpenStack基础上打造适合银行的金融行业云。
然而,OpenStack作为一个通用的开源云计算框架,它在设计之初并没有过多地考虑到各个行业的需求,因此在针对行业性客户落地的时候,往往会存在一定的差距。而银行业又是一个比较具备行业特色的领域,需要受到金融监管的制约,保证一个稳定合规的IT框架同时,又需要在具备金融科技FinTech趋势下对市场做出快速反应,兼顾风险规避和机会博取。因此从过去几年OpenStack在金融云领域的实践来看,已经进入了几大“深水区”,比如网络架构转型问题。
于是,中国银联与上海银行联合九州云及其他合作伙伴,组成联合研究团队,就金融云与SDN技术研究等达成合作,以下一代金融云数据中心为蓝图,开展基于SDN的下一代金融云网络架构技术研究。
由于网络技术变革难度高与应用影响性广等因素,当前在全球范围内金融机构云网络架构落地实践整体上还处于初级阶段,无标准化统一的架构实践参考。为此联合研究团队经过近两年多的努力,提出了在当前金融数据中心网络架构下,应用SDN的云网参考模型,并予以落地实践验证,其中主要完成工作包括:
  1. 金融云数据中心需求梳理与新架构网络设计原则规划。结合当前金融行业网络架构现状分析,梳理了未来金融数据中心网络高敏捷、高弹性、高可管理、高可用以及高性能的“五高”要求,归纳总结了未来金融数据中心网络架构“面向服务理念、管理统一编排、资源池标准化、成熟技术集成再造创新”的四大设计原则。
  2. 定义基于SDN的下一代金融机构网络的标准化参考架构。联合研究团队提出了“多数据中心间虚拟专网互联,数据中心内核心交换总线互通,传统分区、云网分区并存”的云网络架构模型,模型给出了网络管理平面与数据平面的标准实现架构,服务能力涵盖二/三层网络连通性能力以及负载均衡/防火墙L4-L7服务能力。
  3. 验证标准化参考架构的核心关键技术。研究团队已基于开源技术通过自主研发的区域互联(Region Interconnect)SDN控制器实现了对核心交换网络(国际首创)与各分区的SDN控制器的协调控制,从而实现数据中心内网络资源池化以及网络资源弹性调度服务。
 

产品亮点

上述云网架构模型的应用可实现新一代符合金融行业云要求的网络架构,其效果主要包括:
  1. 平滑兼容传统架构。可有效支持双模IT,可在保持传统网络架构稳定运行的前提下,支持SDN等新技术的前瞻性应用。
  2. 兼容异构网络技术。通过自主创新的区域互联(RI)SDN控制技术,实现对厂商设备异构解耦,屏蔽不同厂商在SDN技术实现中的技术差异性。
  3. 网络多租户能力扩展性强。网络租户能力不局限于单一网络设备区域,可有效扩展至异构设备区域以及跨数据中心区域。
  4. 安全合规等级不降低。新模型设计之初即基于现有网络安全与合规性的要求考虑,新技术的应用严格遵守现有金融规范。

金融行业网络架构现状

金融行业网络建设历程与金融行业近三十年信息化过程密不可分,目前为止已经历多个阶段发展。
现阶段金融行业网络整体多以“两地三中心”架构为主。利用DWDM及高带宽专线构建高速转发“核心骨干网”用于数据中心间互联,数据中心作为骨干网接入节点。在核心骨干网框架上扩展延伸出“三级网”架构用于各级分支机构的汇聚,数据中心至一级分支机构间构建一级网,一级分支至二级分支机构间构建二级网,二级至三级分支机构间构建三级网。示意图如下:

图 34现阶段金融行业网络整体示意图
数据中心内部采用“总线型、模块化”架构,遵循“垂直分层、水平分区”的原则,根据应用系统种类不同、重要性区别、安全防护需求差异将网络划分为多个区域,通过高性能交换机构建交换总线,网络各分区通过总线进行互联互通,如下图:

图 35数据中心内网络分区示意图
网络分区可划分为三大类:业务区、隔离区、特定功能区。
业务区:用于承载各类系统应用服务器及数据库服务器,应用系统根据特定原则划分至不同业务区。
隔离区:也称DMZ区,承载各类前置机,面向互联网或第三方机构提供服务。
特定功能区:如管理区承载监控系统、流程系统、操作终端等,用于数据中心维护;广域网区用户数据中心至骨干网的连通。
传统架构优点:安全、稳定、可靠、可扩展。
架构缺点:灵活性不足、竖井壁垒存在、自动化不高、建设成本高昂。

金融数据中心网络面临的挑战

(一)面临的挑战
当前,“业务应用变革式创新发展”、“以云计算为代表的新技术应用”以及“金融IT成本与效率优化新要求”是金融数据中心网络发展面临的三大挑战。
首先业务应用发展对网络服务提出新的挑战,面向互联网方式的金融创新应用快速发展对网络服务提出更敏捷的服务要求,网络资源的开通与变更希望是从原本的周为单位提升到分钟级别,从而支撑应用快速投产。
其次,云计算等新技术在数据中心内越发应用广泛,其对网络连接也提出新的要求。为适应虚拟化技术,资源的漂移迁移能力,网络服务需要从物理机识别提升到虚拟主机识别,云的多租户特性要求在共享的物理网络设备下提供可独立解耦的网络地址路由空间,云弹性伸缩则要求网络有更高地弹性扩展能力,巨大的云平台规模,也要求云网络服务也必须具备足够的网络容量与健壮性。
再则,新常态下金融机构的运营压力要求IT架构可实现更高效与低成本,从纯商业“产品”解决方案向“自主”网络方案演进,金融数据中心网络技术应用更趋于开放,要求网络运维人员从单纯的人工维护解放出来,进入高效的自动化方式。
(二)未来金融数据中心网络应用需求
因此,结合上述发展的挑战与趋势,我们认为未来金融数据中心网络应用需求可总结为高敏捷、高弹性、高可管理、高可用以及高性能的“五高”要求:
高敏捷,实现业务快速上线,面对应用的变化达到资源的按需变更,通过新技术应用打破因重安全而舍效率的困局,在云计算新环境下安全与高效并重;
高弹性,一是内部弹性强化,打破竖井式架构中网络区域成为限制资源共享的壁垒,实现网络资源池整合与灵活共享与隔离,二是外部弹性兼容,支持新老架构并存,从而使原有网络可以平滑过渡到新架构;
高可管理,一是实现管理的体系的简化,支持多品牌的融合管理,二是实现管理自动化与智能化,使日常运维从大量人工维护的高工作量解放出来;
高可用,网络架构持续稳定影响金融数据中心全局服务能力,网络架构需要基于稳定可靠的技术构建,使网络服务具备7*24小时业务连续性服务的能力;
高性能,面对秒杀等新业务场景等的极限服务能力,实现时延和带宽等关键指标的跨越式提升,同时注重资源的高效利用,用尽可能少的资源实现最大的性能服务。

基于SDN的下一代金融机构网络设计与构想

(一)网络设计原则
SDN技术的应用对金融数据中心的架构是革命性的变化,因此下一代金融数据中心网络需进行针对性设计,我们总结未来金融数据中心网络需遵循以下四大设计原则:
面向服务理念,网络功能以服务、标准API接口的形式对外提供,网络系统内部以服务的形式进行自组织,从而提升对外服务能力,简化外部调用网络能力的复杂性;
管理统一编排,数据中心内网络二/三层连通、四/七层功能的管理界面统一视图,不同网络资源池的管理采用二级管理编排方式,即底层适配不同网络资源池管理操作、上层异构协调编排;
资源池标准化,打破传统网络竖井式架构,利用新一代的大二层技术构建资源池,在不扩大广播域、不增加二层环路风险的前提下提升计算、存储资源调动灵活性。
成熟技术集成再造创新,基于网络技术平滑兼容的要求,对基础可扩展网络技术与协议进行继承,组合现有技术进行集成创新,创新而不失稳定,保证网络架构的全局稳定。
(二)金融云网架构模型设计与构想
(1)管理控制平面模型
传统网络中各功能组件,如交换机、防火墙、负载均衡,通常采用不同的设备供应商解决方案,各产品管理接口存在差异(CLI、UI接口各不相同)、普遍不支持API接口。设备参数设置、配置调整大量依赖人工,且对于维护人员的专业技能要求较高。在此背景下,网络的服务化、自动化实现难度巨大,难以实现单一的工具或平台对全网设备进行统一管理和服务发布。
随着产业技术的发展,网络产品制造商也逐渐改变产品发展方向,由原先的封闭式设备向接口开放的方向发展。现阶段,业内越来越多的产品开始支持Restful API接口,管理模式不再局限于传统的CLI及UI接口。
数据中心新架构中,为了实现网络服务化、自动化、统一编排调度等目标,除了要求网络各组件支持API接口、可编程等功能特性外,我们认为在管理控制平面,还需对各品牌网络的API接口做进一步抽象,通过云网控制平台建立标准网络服务模型,并与各网络组件对接。一方面 ,实现网络服务接口的标准化,统一网络对外接口,屏蔽不同品牌设备接口的差异性,简化上层云管理平台的开发难度。另一方面,将复杂的网络参数隐藏,网络各组件的技术实现、参数设置仍由专业网络工程师完成,上层构建云管理平台专注于服务流程、业务编排、工作流调度、网络标准服务调用等。

图 36云计算管理平台下的网络平台控制架构
云网控制平台又可分为两个层次,分别为服务抽象层和驱动控制层。
服务抽象层负责将网络资源抽象成标准的网络服务和模型,例如提供创建网络、创建路由器服务,同时对上层平台提供标准的网络服务API接口。
控制驱动层负责将标准的网络服务在具体的产品上实现,并将上层的API接口翻译成网络组件可识别的接口,实现对网络组件的参数调整。
(2)交换网模型
传统交换网络稳定有余但灵活、高效不足。各网络分区之间计算、存储、网络、机房物理环境等资源均为独享模式,不同分区之间计算宿主机无法共享资源,虚拟机不允许在不同分区宿主机间漂移,计算资源利用率下降。中小型金融机构交换网及各功能组件以普遍采用万兆级设备,设备性能强劲,但出于安全性、可靠性及合规性的考量,金融机构数据中心网络分区数量无法减少,在客户群规模、交易量不大的情况下,网络资源利用率普遍较低。在机房空间利用率上,各类设备的摆放需综合考虑布线、TOR交换机部署、电力、制冷等诸多因素,难以实现灵活部署。若采用传统技术,例如大二层,试图解决上述问题,又会造成广播域的放大、二层环路风险增加,对于后续运维造成巨大压力,得不偿失。
因此,我们认为新的交换网架构需在不增加运维风险的前提下提升计算、存储、机房空间资源的利用率。同时引入租户的概念,对一个交换网络进行隔离划分,对于单个金融机构可用于实现部分传统网络分区的合并部署,也可用于多金融租户的合并部署。
金融数据中心新交换网架构仍采用总线型架构,保留传统分区、传统应用接入,新增多个云网分区用于新应用上线或存量应用迁移。在风险可控的前提下,对部分功能相同的网络区域进行合并部署,例如多个业务区合并为一个云网分区,多个隔离区合并为另一个云网分区。

图 37云网模型架构
一个云网分区内由同一品牌的SDN设备组成,内部采用Vxlan分离Underlay、Overlay网络,实现网络物理架构与逻辑架构的解耦。采用Spine+Leaf的物理结构,其中计算Leaf接入提供虚拟机的计算服务器资源,网络功能Leaf接入负载均衡、防火墙等网元服务设备资源,Border Leaf负责与数据中心核心交换设备互联, 云网分区内由Spine设备负责各Leaf之间的流量互通,每个云网分区由其自有的控制器进行管理控制。
(3)分区之间互联模型
数据中心核心交换网络则是由独立交换设备组网,不同云网分区可能使用不同的SDN解决方案、协议与技术,云网分区内部的Vxlan标签在数据包出区域后被剥离,因此云网分区之间在Overlay层面无法实现互通。
上述数据中心内的组网模型与功能设计的挑战主要在于如何将存在于不同云网分区的租户流量进行识别,从而保证通过核心交换网络后,云网分区可以正确将IP地址重用的多租户流量转发至正确的租户资源。经过评估,我们认为传统技术中的VRF(虚拟路由转发表)或MPLS-VPN(基于多协议标签交换的虚拟网络)技术能很好的解决多个云网分区之间租户信息传递的问题,可将一个VRF或VPN网络抽象成一个区域互联路由器,用于连接同一租户不同逻辑区域。
同时,我们提出了一种区域互联SDN控制技术,实现对核心交换网络与各云网分区的SDN控制器的协调控制,实现多租户信息标识的传递的隧道能力。
图38介绍了在数据转发平面的设计思想,每个租户在出各自云网分区时,送入不同的虚拟路由表VRF(或VPN)进行转发,VRF是交换机内部隔离不同路由转发的虚拟化技术,实现了虚拟机的一虚多能力。

图 38RI数据平面转发设计图
在相应控制平面,我们设计了一个RI控制器实现对核心交换网络的自动化配置能力,其包括2大功能,一是根据租户变动情况动态创建配置VRF及其相关配置,二是实现在不同SDN 云网分区资源动态变化情况下,路由地址动态发布,以便保持动态变换的网络资源的连通性。
图39给出了RI控制器的架构设计,其通过netconf协议管理核心交换网络的设备,同时也通过适配不同SDN控制器的API接口定时或触发读取相应云网分区的动态资源信息。在跨异构SDN新租户创建过程中,则会自动根据前述数据转发平面的设计创建相应VRF通道,在有新网段资源创建时,触发RI控制器通过SDN控制API查询新增网段信息,并通过OSPF动态路由注入的方式更新核心交换网络中的VRF路由表信息,同时我们设计的RI控制器定时任务,定时查询SDN的网络资源信息,对比出已删除的网络资源信息,进行路由表清理工作。

图 39RI控制器控制平面设计图
在具体研发过程中,我们考虑到了核心网络设备支持的不同操作管理协议,以及未来不同合作伙伴今后提出新的隧道协议应用方式,因此在代码架构上我们支持了不同设备控制方式和隧道协议的扩展能力,以便未来完善优化。
(4)防火墙与负载均衡模型
防火墙及负载均衡用于提供四到七层网络服务,实现逻辑区域之间的安全隔离、服务器流量分摊。
金融云网架构模型中,可将防火墙及负载均衡等硬件资源进行池化部署,并按需进行调度。通过云控制平台实现防火墙、负载均衡资源池的统一管理。随着VNF技术的日益成熟,在未来,负载均衡和防火墙将作为VNF接入到不同业务逻辑区域当中,实现流量的合理编排和调度。
(三)两地三中心模型构想
在金融行业普遍采用“两地三中心”的高可用场景下,金融行业云平台的网络服务也必须支持跨数据中心的网络多租户能力。

图 40两地三中心模型
在设计中可沿用现有骨干网的设计思路,并引入MPLS VPN技术,将同一租户的流量引入一个VPN网络中,实现单一租户可调用的资源范围覆盖所有数据中心,并支持分支机构的接入。同时利用MP-BGP丰富的选路能力以及QoS技术,实现租户信息跨数据中心传递,租户之间、应用流量之间相互隔离。

© 2012-2018 九州云信息科技有限公司 99Cloud 版权所有 咨询热线:400 006 0472 售后服务热线:400 670 7810 培训咨询热线:400 826 0070   ICP证:浙ICP备12032350号-1

网站建设:信达互联

北京网站建设公司