中信建投私有云进阶之旅

发布于 2020年07月24日

编者注:本文转载自微信公众号“中信建投金融科技+”。

数字化转型是证券行业适应新业务变革和创新需求,实现高质量发展的必由之路。数字化转型不仅仅是IT技术层面的转型,更是思想理念、业务模式、企业组织架构和文化等全方位的转型,最终实现降本增效。

 中信建投证券股份有限公司作为全国性大型综合证券公司(以下简称“中信建投”),正努力践行数字化转型,并以金融科技为助力,全面运用先进的数字化手段,构建合规与风控核心能力,不断推动业务的创新发展,并取得了显著的成果。尤其是在IT基础架构演进方面,中信建投探索了基于超融合和云管平台的新一代私有云的建设与探索,为推进符合证券行业自身特点的私有云转型积累有益经验。

打造数字化转型基石

云计算、大数据、人工智能、互联网、区块链等新兴信息技术正在重塑金融行业生态,“无科技,不金融”已成为行业共识。中国人民银行印发的《金融科技(FinTech)发展规划(2019-2021年)》(银发〔2019〕209号),对于金融科技的发展起到了极大的推动作用,同时也在传统证券公司业务模式、组织架构、盈利方式等的转变上发挥了指导和牵引作用。现阶段,科技与证券业务的融合方式也从简单“拼接”转向了深度“融合”。 

近几年,中信建在技术方面大力投入,深入应用大数据、人工智能等技术构建企业级智能化开放平台,并成功实施在具有证券属性的企业级中台系统方面进行了尝试。在全面推进数字化转型的过程中,中信建投意识到,构建先进而稳固的底座——新一代 IT 基础设施,是支撑其业务和技术创新的重要前提,为此,中信建投结合证券行业需求特点和技术趋势,系统分析评估业内主流方案并找到一条兼容并蓄、持续演进的新型私有云进阶之路。

找到痛点,对症下药

与大多数传统证券公司一样,中信建投原来也是采用国外虚拟化软件构建数据中心的服务器虚拟化平台,打造了“x86服务器配合虚拟化 + SAN网络光纤交换机+ 集中存储阵列”的三层架构,在此基础上初步实现计算资源池化,以及系统和服务器的解耦,提升了资源利用率,并有效提高了日常的IT运维效率。但该架构在承载业务云化时开始捉襟见肘,主要问题表现在以下五个方面: 

1.  存储资源无法池化:由于传统磁盘阵列各自为政,存储空间各自分离,数据不能交流与共享,导致存储设备利用率低,不利于资源的统筹规划; 

2.  集中式架构死板僵化,不能灵活扩展:集中式存储架构存在固有的性能瓶颈,不能充分发挥新一代高性能存储部件的效能,而且弹性差,难以满足资源敏捷交付的需求; 

3.  采用专用硬件,而非软件定义存储:专用的存储阵列和存储交换机,不仅架构复杂,而且硬件升级缓慢,维护复杂且整体拥有成本居高不下; 

4.  多数情况下需手工处理业务请求,包括资源请求、部署和交付等:效率低下,运维人员疲于奔命;

5.  投入产出无法量化,不能有效支撑IT决策:IT的成本投入与资源使用趋势无法形成可视化视图,IT架构的可视、可控、可分析更是无从谈起,导致闲置资源缺乏有效的回收与管理手段。 

IT基础设施的云化,就是要从业务需求出发,解决实际问题,冲破架构、设备、运维和管理等层面的束缚和桎梏,为业务发展提供安全、可靠、灵活、简单、成本优化的支撑。 

经过深思熟虑,中信建投抛弃了传统按项目构建的刻板方式,对IT基础设施进行整体规划、统一建设、分布实施,变底层平台弹性资源的被动响应式交付,为自动自助式、高度流程化的交付,同时结合资源监控、自动化、可视化等组件,赋能业务快速迭代和创新。 

对于技术路线和厂商的评估策略,中信建投形成了 “五化”的原则,并基于此对IT基础设施进行了大刀阔斧的改造: 

1.  架构开放化:   

在计算、存储、资源管理和交付等各个层面,尽可能开放,以获得业内最专业的方案组件,并逐步实施改造;

 2.  软件定义化:   

遵循软件定义、分布式等理念和技术框架,构建高可靠、高性能、维护简单、弹性扩展的资源池; 

3.  敏捷自助化:   

实现资源线上自助交互申请,底层基础架构平台自动化快速构建、发布并交付到业务部门,为开发、测试和生产提供所需的资源环境; 

4.  管理统一化:    

通过统一视图,实现IT基础架构的可视、可控、可分析,进而实现精细化运营; 

5.  场景多样化:   

升级后的基础架构能够兼顾稳态业务和敏态业务。

云化探索 找到平衡点

俗话说,条条大路通罗马。从企业的现实到达云的彼岸,中信建投面前有几条路可以选择:有所谓的“主流”大路,选择的人比较多;还有的只是刚刚留下几行浅浅的足迹,属于另辟蹊径……中信建投根据以上“五化”的原则都进行了务实系统的探索和实践。

· 探索一:在成熟的商业虚拟化软件的基础上继续演进,“VMwarevRA+vSphere+vSAN全套方案”成候选之一。

中信建投早期曾在数据中心环境中使用过VMware vSphere服务器虚拟化产品。因此,延续这一思路,率先对VMware的云管平台vRealize Automation进行了实践,结果显示,所需的基本功能都可以满足。利用 vRA平台的蓝图和自定义脚本功能,实现了对裸系统构建不同应用软件的自动化能力,并根据前端用户按需请求,自助式完成虚拟机申请-构建-交付的整个流程。整套方案和服务的统一性好。 

但是,基于中信建投技术路线选型的原则,该方案在以下方面存在缺陷:

1. 品强绑定,云平台过度依赖单一技术和厂商;

2. 方案在信息安全方面存在不可控因素,也不符合国产化大趋势;

3. 整体成本过高。

· 探索二:采用开源解决方案,OpenStack进入考察视野。

到2020年,OpenStack项目诞生整整十年,OpenStack社区是全球最活跃的三大开源社区。而OpenStack曾经是私有云主流方案这一点也曾很打动中信建投。OpenStack方案的优点是开源,快速发展来源于云生态丰富及软件功能迭代快,并从架构上支持超大型云平台。

但该方案管理节点重,功能模块多架构复杂,对团队的运维要求比较高,并且需要对存量系统架构有较大幅度的改进,工作量和风险不可控因素较多;证券行业又是基于不同业务划分不同的网络相互隔离的区域,这就需要部署多套管理节点,增加了运维管理难度,同时也难以解决对异地数据中心、公有云的统一纳管。

另一方面,OpenStack分为厂商版和社区版,厂商版在各厂商推出的版本之间存在兼容性问题,使用厂商版容易造成与单一厂商强绑定的风险;社区版则存在稳定性、高可用及技术支持方面的风险。

由于中信建投云团队人数有限,同时规划为循序渐进的方式逐步改造,并最终达到“五化”目标,该方案也不能很好的匹配中信建投云建设的需求特点。

Gartner也在报告“ChinaSummary Translation: 'Rethink Your Internal Private Cloud' ”中指出,“以 OpenStack为核心的私有云方案目前仅在电信网络功能虚拟化(NFV)领域维持了较高热度,在大陆地区,以金融领域为例,很多基于OpenStack技术的私有云项目仅限于开发、测试环境,鲜少在生产环境下进行大规模部署;而且全球基于 OpenStack技术的私有云项目正在降温,很多企业经过一段时间的试错,发现复杂的技术并不能直接转换为有效的业务价值,且很多技术尚未完全成熟。”

· 探索三:“超融合+国产云管平台(CMP)”构建超融合云,既能满足当前需求,又具有更多的可能性。

从2015年开始,中信建投开始对超融合有了初步认知。这种新的架构以分布式块存储为核心,不仅借鉴了现代互联网数据中心资源整合、分布式架构和软件定义等经典特征,更引入存储和计算融合部署的模式,进一步降低架构的复杂度和总拥有成本。经过多年技术发展,这种新型架构已经以其灵活、易扩展、简单、性价比高等与生俱来的优势,在国内市场迎来了发展高潮,已经有多个证券公司采纳超融合架构甚至将其用于生产环境以进行全面的IT基础架构升级。

 另一方面,中信建投还对国产云管平台(CMP)进行了实践,并结合该云管平台对VMware虚拟化架构、其他超融合产品进行统一纳管和云管功能使用,结果表明:CMP在异构基础架构管理、自动化虚拟机发布、自助化流程、资源计量等多方面功能的测试上符合预期;CMP可以和超融合产品、异构的公有云完成对接;方案完全符合技术路线指导原则,与虚拟化技术、存储技术等解耦,并适配中信建投现有环境,整体风险可控;云管平台亦为国产品牌且是自主开发,符合券商行业对安全可控的要求。

 最终,中信建投基于以下原因选择了方案三作为云化改造的核心技术路线:

 1.  该方案在云管理层、虚拟化层、分布式存储到硬件层都具有良好的开放性; 

2.  架构遵循软件定义、分布式理念和技术框架,可构建高可靠、高性能、维护简单、弹性扩展的资源池; 

3.  可基于专业CMP软件轻松实现资源使用敏捷自助化; 

4.  可实现管理统一化,不仅可以管理新型架构,也可以将已有的VMware架构纳入统一视图,实现全局的精细化运营; 

5.  升级后的基础架构能够既可支持敏态业务,适应互联网渠道交易瞬时高并发、多频次、大流量的新型金融业务特征,亦可支持对性能、可靠性要求更加苛刻的稳态业务。

小步快跑 改变看得见

中信建投基于超融合架构搭建了企业IaaS资源池,并结合云管平台解决方案,打造出新一代企业私有云的IT基础架构,为企业IT全面云化和数字化转型夯实了基础。

以对业务影响最小为原则,中信建投分阶段部署和实施了超融合云解决方案。

· 第一阶段,资源池架构的“云化”升级:

主要工作是将专有存储硬件升级为软件定义存储模式和分布式架构,引入基于超融合的KVM用于部分生产与开发测试,完成与现有VMware互备的虚拟化技术储备,为下一步技术转型打下基础。

· 第二阶段,IT资源使用方式的“云化”升级:

利用云管平台实现基于异构的、多云的、多产品的快速对接和统一纳管,同时实现用户自助申请流程化、虚拟机构建自动化,提升运维效率,资源使用可计量等。

中信建投IT基础设施全面云化后,整体架构实现了开放化和弹性化,既满足了对并发性能的要求,又增强了灵活性和可用性;虚拟化层面实现了多技术储备,消除关键技术“卡脖子”的隐患;资源交付实现了标准化、自动化和自助化,方便业务和研发部门按需快速调用云资源,有效支持业务快速上线及应用创新;核心组件实现了自主可控化,支持国产硬件设备,保障核心支持能力。

新型私有云方案全球趋势渐显

2018年中信建投选择该技术方案主要基于行业需求特点以及对技术发展趋势的判断,而时至今日,根据全球权威市场机构报告和IT媒体报道,新型方案不仅为中信建投带来切实收益,更逐步成为全球知名企业构建私有云的方案。

知名市场调研机构Forrester的调查数据显示:28%的受访企业正将超融合用于私有云基础架构。超融合让IaaS层真正具备了分布式架构和软件定义的属性,充分体现了存储和计算资源的整合、按需扩展和按需投资的“云”特性,而其部署方式又进一步简化了IT基础架构,降低了系统的整体拥有成本。

Forrester 面向 1932名全球知名IT企业主管进行的调查数据

Forrester的调查显示:2020年,基于商用超融合产品,以及云管理平台进行私有云IaaS层的云化改造正在成为主流方案。而知名IT网站TechTarget执行主编JamesAlan Miller也在最近发文认为,超融合与云互为前提,相辅相成,必然推动超融合云这一新型IT基础设施的出现与应用。

企业云化没有最好只有更好

基于“超融合+CMP”的新型私有云方案,既满足了中信建投当前的业务需求,又为今后云基础设施的持续演进奠定了良好的基础。中信建投十分清楚,企业云化是一段漫长的旅程,将随着企业业务升级与时俱进。在当前在完善IaaS的基础上,中信建投已经在进行下一阶段以下方向的评估和准备,为生产、运维和管理升级提供全面助力:

1.  探索下一代数据中心在混合云架构下的多云异构管理,结合自身业务特点,充分发挥私有云和公有云优势;

2.  IaaS底层计算平台国产化,将超融合架构迁移至国产服务器(国产芯片),打造真正从硬件到软件的全栈式自主可控的IT基础架构;

3.  完成PaaS平台构建,利用容器化技术实现更加敏捷的应用平台交付,实现云管平台对容器、虚拟化等云资源的统一纳管;

4.  建设DevOps体系,打通开发运维壁垒,实现开发运维一体化;

5.  基于NVMe、傲腾等最新的存储技术,进一步提升云性能,将对性能要求更加苛刻的稳态业务整合进私有云。

千里之行始于足下,企业的数字化转型,IT基础设施转型是第一步,也是最关键的一步。就像云计算是“新基建”的基建,IT基础架构的全面云化也将为中信建投的转型升级打下更加坚实的基础。