中信银行:构建安全可控的AI智能云网络
- 来源:中国信息化周报 smarty:if $article.tag?>
- 关键字:Bank4.0 时代,智能数据,自主服务 smarty:/if?>
- 发布时间:2020-09-19 12:07
Bank4.0 时代,“无科技不金融”已经成为业内共识。
Bank4.0 时代,“无科技不金融”已经成为业内共识。从2017 年中信银行数据中心积极尝试和探索网络新技术,不断研究云计算、云网络、智能运维等相关技术与应用实践,在2019 年率先成功上线新一代云平台与安全可控智能云网络,大幅度提升资源利用率和运营效率,并在 2019 年底,开启以SDN 网络架构为基础、基于大数据和 AI技术的智能数据中心网络的探索和实践。
智能数据中心网络建设背景
中信银行全面启动了云平台建设工作,并在如下四个方面进行了大量工作。
云架构转型 :将传统烟囱式基础架构转向分布式云架构,打造安全、敏捷、弹性、分布式兼顾的基础平台,支持业务系统快速扩容及业务创新,实现资源自主服务,简化运维流程,将生产系统环境准备时间从周级缩短到小时级。
分行、子公司资源集约化管理 :可以为分行、子公司提供云服务,资源集中管控,降低风险和管理成本,提高资源利用率。
信用卡中心的云核心 :支撑卡中心的核心及外围系统整体迁移到云平台,支持信用卡业务快速扩容及创新,实现“千人千面”的智能营销、智能风控和智能运营等。混合云的盈利模式 :支持混合云的模式对外提供云服务,为 IT 从成本中心向利润中心转变提供基础平台。
根据中信银行云平台的整体规划,基础网络应具备如下能力。
网络架构的可用性:云网络架构具有感知网络流量路径的时延、带宽、丢包和网络故障分钟级可自愈的能力,支持网络级、控制器级、设备级等多维度高可靠設计,满足业务 7×24 运行的要求。
网络架构的开放性 :控制器网络北向开放丰富的 API 接口,实现网络资源灵活调度和编排能力,云平台和云管平台的赋能能够结合业务需求实现网络资源开通的自动化调度,能够用业务语言开通网络资源。
网络架构的可信性 :软件和硬件具备安全开放创新逐步实现网络芯片开放创新能力。
安全可控的整体网络架构
中信银行新一代安全可控智能云网络架构,首次实现了控制层、转发层和流量分析层从交换机到芯片、从服务器到数据库、操作系统全部采用了安全可控的软硬件进行搭建,交换机内置 AI 芯片实现了网络流量智能采集与分析,SDN 管控平台部署在国芯服务器、国产操作系统和国产数据库,在确保整体架构自主可控的同时,实现自运维、自管理、自调优,高性能计算能力足以支撑数据中心智能网络中的 AI 和机器学习等技术 ;管控析平台包括管理、控制功能和大数据智能分析组件,实现全生命周期自动化部署和智能运维, 同时支持 OpenStack、VMware 和Kubernetes 等异构资源池。
中信银行新一代网络架构核心思想之一是 SDN,通过将网络控制与转发解耦合,构建开放可编程的网络体系结构。该架构包括控制层和转发层 :控制层是网络的控制中心,负责网络的配置与策略自动部署,控制层通过服务 API 接口跟中信云平台对接,以满足多应用直接编排网络 ;转发层完成数据报文的实际转发,基于网络上构建 overlay 转发层。
网络即服务:中信银行新一代网络架构,首先引入 SDN Overlay 技术,在网络架构上采用大二层设计理念,通过 VxLAN 组网方式,将物理承载网络与逻辑业务网络分离,通过 SDN 控制器对网络进行集中管理和自动化部署。
网络灵活编排 :SDN 方案实现了面向应用的网络编排,基于不同业务组定义,实现不同业务组间的策略编排,当计算资源发生变更时,网络策略自动迁移,无需人工参与。Fabric 网络采用 Spine-Leaf 架构,通过 VxLAN 技术构建大二层网络,分布式 VxLAN 组网架构,可以支持业务灵活扩展,流量转发路径最优,消除了未知单播和广播流量,极大增强了网络可靠性和扩展性。VxLAN 业务网段的路由通过 BGP EVPN 打通,BGP EVPN 作为VxLAN 控制面,触发 VTEP 间自动建立VxLAN 隧道,实现 VxLAN 和非 VxLAN网络的互通 , 实现应用业务间高性能互访、虚拟机灵活迁移、网络资源自动适配。
网络自动部署 :SDN 方案将网络分为物理网络 Underlay 和逻辑网络 Overlay,均可以实现自动化部署。网络自动化部署,可以减少网络人员变更改端口相关配置的重复劳动,网络人员更可聚焦网络优化等工作。通过自主研发的 Zero Touch Provisioning功能实现 Underlay网络即插即用,当设备规划完成后,无需到安装现场对设备进行软件调试,设备上电后即可被 SDN 控制器自动纳管,自动加入到网络 Fabric,完成 Underlay 网络搭建 ;通过 SDN 控制器的拖拽式界面化操作实现 Overlay 网络所见即所得的自动化部署, 通 过 VPC实现逻辑划分,提供安全的网络边界防护,以及基于 VPC提供的一系列增值业务。
网络智能部署和运维
数据中心网络运维包括网络规划建设、安装部署、业务发布与变更、日常运维监控和网络调优等环节,SDN 架构解决了网络安装部署和业务发放自动化,还缺乏网络规划仿真、业务发放仿真校验和网络智能分析,在日常业务变更和运维过程中还会遇到各类网络问题。如何才能让SDN 网络的管理运维变得更加简捷与智能,实现网络故障快速定位与恢复,中信银行在 SDN 架构基础上,基于意图驱动网络技术进行了尝试和探索。
意图驱动网络不仅要求网络具备高性能、大带宽能力,网络组件还要能实时提供相关的数据采集信息,借助 AI 和机器学习等技术进行有效分析,更好地掌握网络的运行状态,在故障发生前就能提前预知并提供相应的解决方案,网络具有自我调整与优化的能力。数据中心网络演进划分为手工配置、脚本执行、SDN 自动化和智能运维四个阶段,中信银行数据中心智能网络建设的最终目标是构建一套基于业务意图和借助 AI 技术构建可自愈的网络运维架构。
中信银行通过意图驱动网络以及SDN 控制器相结合,在配置变更校验、决策分析等场景起着重要的作用,实现了业务变更下发事前的仿真分析,验证其可行性以及影响性,对 ACL、路由表项等资源占用分析,自动计算当前业务的资源消耗以及当前网络的总体资源情况,并对业务意图配置和当前配置进行冲突检查,辅助操作人员进行影响分析以及决策。同时,事后仿真验证可以对网络新增配置参数进行检查,自动验证网络的连通性和发现路由环路、路由黑洞等问题。同时,中信银行通过 SDN 网络的智能网络分析组件,实现数据中心内部应用和网络的关联分析,故障快速感知与修复。该组件采用大数据和机器学习算法训练网络行为模型,呈现设备、队列、端口的动态基线并主动监测异常,实现光模块等故障预测,转被动运维为主动运维,网络先于业务发现隐患。
通过新一代数据中心交换机的 AI 芯片能覆盖控制报文和数据报文的全流检测,基于 Telemetry 实时采集全量信息,快速感知网络健康度,包括流量可视化、流量统计及流的时延和丢包等指标。在中信银行的数据中心智能网络中通过多维度实时评估网络状态,包括设备维度如物理器件运行状态,网络维度如互联端口和队列状态,路由协议分析维度,业务网络管理面和转发面维度等。依托设备高性能 AI 芯片和分析器本地强大的 AI分析引擎,全面评估整网健康状况,实时或定期发送网络体检报告,极大地提高巡检效率,降低人力成本。
最后,通过故障根因分析引擎和基于AI 算法构建网络知识图谱,能够实现故障的快速定位,特别是能够识别业务偶发少量丢包等疑难类问题,可以快速故障回放定位,典型故障可做到 1 分钟识别,3分钟定位根因,通过与 SDN 控制器联动自闭环处理,达到 5 分钟快速恢复。
王一凡 郭旭龙