朵朵金融云

　　恒丰银行将核心系统搬上云、太平洋保险实践私有云、量化派快速成长的互联网金融云、徽商银行构建混合云开发，来，让我们看一看朵朵绽开的金融云，去深入了解金融云的种种。

　　经过近10年的发展，云计算已从概念导入进入广泛普及、应用繁荣的新阶段，已成为提升信息化发展水平、打造数字经济新动能的重要支撑。结合“中国制造2025”和“十三五”系列规划部署，工业和信息化部在今年4月印发了《云计算发展三年行动计划（2017-2019年）》（简称《行动计划》）。

　　国务院发展研究中心信息中心研究处处长李广乾曾在接受采访时表示，云计算正释放巨大红利，其应用逐步从互联网行业向制造、金融等传统行业渗透和融合，促进了传统行业的转型升级，云的建设将来要和各行各业结合。

　　在过去几年时间里，云计算在各行各业都有很多应用场景，特别是在金融行业。近年来，随着市场金融改革的不断深化和云计算技术的不断成熟与完善，云计算在金融行业的发展中正发挥越来越重要的作用。

　　我们看到，互联网金融蓬勃发展，其业务发展非常快，很多企业希望用公有云、混合云的方式，以最小的成本和代价来开展业务，用户从几十万迅速拓展到几百万、上千万，希望通过云平台来支撑业务发展。同时，我们也可以看到，银行、保险等传统金融企业也纷纷探讨、摸索怎么应用云计算。

　　过去说起金融行业，大家的第一反应就是“不差钱”，对IT服务的要求是稳定、安全、可靠、高性能、管理等。但现在，在互联网金融的冲击下，从云计算开始，敏捷、可替代、低成本和高扩展性正成为金融对IT服务的主要诉求。

　　在华云数据集团方案中心总监吴迦德看来，金融产业上云源于4个最有价值的收益点：第一是优化管理，云计算通过流程化、报表、自服务、门户等形式优化公司管理体系，实现优化管理；第二是节省成本，通过虚拟化实现了一个机器做多件事情，或者用云来满足IT的自动化运维，减少运维压力，节省运维成本；第三是优化生产，以前传统的IBM的、Ocacle的、x86的机器，可能都是高成本的HA架构，现在用云化的方式可满足迁移，满足多点复用的分布式架构，优化生产，来提高IT环境的安全性、可靠性；第四是最有价值的业务创新，一些走在前面的云化公司，把他们的金融领域IT能力通过云服务的方式提供给中小型公司，让他们快速享受标准的IT服务。

　　在青云QingCloud解决方案&架构部架构师凌辉看来，云交付服务水平在金融行业分几个阶段：第一阶段是虚拟化，以虚机资源调度管理为主；第二阶段是IaaS平台，包括存储、网络，具备统一管理和交付能力；第三阶段是PaaS平台，或者叫IaaS+，面向应用与业务提供交付和部署，需要有一整套自动化云交付工具；第四阶段是应用。

　　而从另外一个维度，以金融企业的哪些系统、哪些平台要放在云上面来看，互联网金融企业是直接通过互联网平台构建核心服务；而传统银行、金融、保险企业需要在不同领域逐步上云，比如开发测试、非核心系统应用等。

　　但总体来说，金融企业上云总有顾虑，如系统太复杂、哪些上云哪些不上云？如何保护数据安全，如何有效地规避风险又享受到云的收益，让金融云真正落地？

　　让我们通过将核心系统搬上云的恒丰银行云、太平洋保险私有云、量化派快速成长的互联网金融云、徽商银行的构建混合云开发等云实践，来看一看朵朵金融云，来深入了解金融云的种种。

　　恒丰银行：将核心系统搬到云上

　　恒丰银行是全国12家股份制银行之一，除了对公业务之外，对私业务也在不断开展，目前在北京金融街有几个网点。恒丰银行的发展思路是不再走传统的铺网点之路，而是更多借助互联网渠道。恒丰银行科技服务部副总经理郑淼在近日举办的“2017中国行业云计算峰会——金融云”（C9峰会）上介绍了过去的两年多时间里恒丰金融云工作的进展。

　　“恒丰金融云我们是按照行业云的方式而非传统私有云的方式进行的。截止到去年8月，我们成功地把所有系统包括核心银行、网上银行等重要系统都搬到了这套行业云之上，这在国内的银行里是不多见的。”

　　自己做完云计算之后，郑淼发现，在商业银行转型的过程中和传统企业转型过程中怎么上云，不只是一个技术问题，他自己总结两年实践中技术占比最多占50%。

　　从在郑淼看来，什么是云？通过虚拟化、分布式、云平台等先进技术实现架构的高可用代替传统设备的高可用，实现敏捷弹性交付和计量计费就是云。为什么要上云？原因有三：一是IT现代化，二是降低成本，三是敏捷性。

　　应该如何做？恒丰银行在过去两年的实践中总结出一些原则。

　　第一，要以业务价值为导向。郑淼认为，金融企业做云不能人云亦云，还是要以业务价值导向，做之前要想清楚，云对科技部门支撑的业务部门来说有什么好处，这点非常重要，因为上云的过程中会牵扯到很多应用的改造，这些改造都需要业务部门来配合。

　　第二，要以客户体验为中心。科技部门所做的客户体验一定要做好，否则就不是在做服务，而是在行使科技管理职能。

　　恒丰银行旧的数据中心底子薄，做云时就全部推翻，完全按照新的数据中心去做规划，云平台对应用的改造全部按照新的来，损失并不大，“我们没有做任何妥协，所有应用的160个DNS、域名和基础都做了改造，做了大量的基础工作。”

　　其中，在技术架构方面，恒丰银行总结出技术架构要做好就必须转变。基础设施虚拟化，如果是用VMware等厂商的产品和服务，应用不用怎么改造即可享受高可用和灾难恢复等，很便利，但比较贵，还有厂商锁定等问题；如果是采用开源，就没那么轻松容易了，需要选好开源版本、定好补丁策略，做好流程，做好运维管理，也做做一些应用的适配改造。但这些都不是最困难的，郑淼介绍：“我们当年碰到的最大困难是管理理念的转变困难。从我们做云到现在，内部做了三次组织架构的调整，不停通过组织架构调整，使其不是桎梏云的建设，而是促进云的建设，还有技术团队的转型、服务体系的转型、财务成本的转型等。”另外，郑淼看到，当银行变的时候，供应商也能跟着变，往服务而非设备产品采购方面转型。

　　恒丰金融云到底做成了什么样子？“我们做金融云不只是为了恒丰自己，而是希望为金融同业和其他单位提供相关的金融服务。总结一下，我们主要做了两方面的事情：一是技术架构的梳理改造，二是咨询和解决方案的输出。”

　　据了解，恒丰银行的目标是建成三地六中心，现在已经建了三地四中心，烟台自有机房做同城双活，北京和上海租的机房可做轻量级的SaaS服务。恒丰金融云有几个亮点：一是国内银行首家全面使用SDN软件定义网络；二是创造性地融合了传统技术和虚拟化技术，把前后端拆开，前端是基于开源开放的KVM+Openstack，后端在数据库增强可靠性，后端在核心数据库用的是Oracle+EMC存储。“截止到2016年8月，上云的应用系统达140个。2016年共部署管理虚拟机8000个，存储节点500个，人均维护的设备量从50个提升到700个。”

　　■恒丰银行科技服务部副总经理 郑淼

　　我们做金融云不只是为了恒丰自己，而是希望为金融同业和其他单位提供相关的金融服务。

　　太平洋保险：探索实践私有云

　　中国太平洋保险（集团）股份有限公司（以下简称“太平洋保险”）是国内大型综合性保险集团，为约8600万客户提供全方位风险保障解决方案、投资理财和资产管理服务。

　　近日，在“2017中国行业云计算峰会——金融云”（C9峰会）上，太平洋保险首席架构师张文若分享了太平洋保险这几年在云计算平台建设上面的一些探索。

　　太平洋保险自成立以来就高度重视信息化建设，更是行业内ICT架构创新的领军者。自2002年开始，太平洋保险通过选用小型机作为数据应用的平台，实现了全集团的数据集中。到2009年，太平洋保险逐步实现全面性细化，业务系统从20多个增加至100多个。由于应用服务数量的快速增长，传统小型机已不能满足集团信息化需求，太平洋保险开始虚拟化运营之路，“至今已有八到九年的虚拟化运营经验了。”张文若说道。

　　2012年，太平洋保险成立了一个架构团队，开始进行基础设施的标准化建设，涵盖了硬件的标准化、运维的标准化、安装部署的标准化和使用年限的标准化等几个方面，使整个IT运维、安装和部署都有统一标准，为太平洋保险的云化打下坚实基础。

　　自2015年开始，太平洋保险开始饮用自动化平台，在不同领域分别引用自动化的运维工具。与此同时，云计算平台的开发提上日程。张文若介绍说：“我们要做一个云化运维管理，把我们的运维服务器从被动服务变成主动服务，把我们的IT操作从一个流程化的工作，变成一个服务的提供。”今年，太平洋保险的云计算平台已经上线，在生产和开发测试环境里进行了大规模的应用，“今年我们会把它推向生产环节。”

　　据介绍，太平洋保险已有两个数据中心，实现了一部分应用之间相互切换，未来还会建设一个新的数据中心，形成一个两地三中心的整体布局，用整个云化的管理系统统一管理。

　　张文若介绍道，在底层硬件资源的选用上，太平洋保险现在一部分采用超融合设备，一部分采用普通设备，通过引入超融合设备，就实现了软件定义存储的技术、计算资源和存储资源分装技术和云平台的无缝对接。从而，运维层面、云资源分配层面，以及在云资源管理层面都得到了一个很大的提升。

　　另外，太平洋保险通过软件定义的存储，直接在原有服务器上增加大容量硬盘。原有的传统的网络架构，它能够提供的一些隔离和网络服务已经远远不能满足云计算环境弹性灵活的要求，引用软件定义网络的技术，可以实现不同租户之间很方便的隔离。而在租户内部，可根据自我需求来定义网络隔离策略。同时她表示，软件定义网络安全策略，不仅可以做南北向的隔离，而且还可以使整个云计算网络部署效率大大提升。

　　张文若表示，在云实施的过程中，并不仅仅是单纯的云资源的提供，更是云计算的应用，是从云下到云上的技术革命。

　　通过从云下迁到云上，完成整个技术标准的升级，太平洋保险实现了全部分公司统一升级到集团统一标准，最终分公司的整体性能基本提升30%到50%。

　　太平洋保险还将进行应用的微服务改造，建立一些真正云的延伸应用。做微服务的改造，最重要的是前面要做一个运用的梳理，改变了整个软件开发的模式，要把一些公共的服务，技术的公共组建，用一个开发框架把它做出来。每开发一个应用，就要把精力放在开发个性化的应用上面去，可以实现短、平、快的迭代，或者是定制，快速地响应业务的需求，真正地实现产品工厂。

　　■太平洋保险首席架构师 张文若

　　在云实施的过程中，并不仅仅是单纯的云资源的提供，更是云计算的应用，是从云下到云上的技术革命。

　　量化派：互联网金融借云实现快速成长

　　量化派是一家互联网金融公司，有三条业务线：第一是现金贷，撮合用户跟机构交易，目前拥有千万级的用户量，对系统访问量很大；第二是消费分期，可以分线上和线下，就像美容医疗场景下，量化派给用户提供虚拟额度，用户拿额度到场景里面消费，会被扣用户额度，让用户产生分期；第三是自建场景消费，量化派自建了商城。三种业务场景都由数据驱动，审核和风控都不需要人工。

　　从企业初创到C轮融资，量化派业务发展很快，其IT架构也经历了由简到繁的过程。仅以现金贷业务为例，用户信息需要经过主逻辑业务进入风控平台，再经过数据筛选决定用户等级。单这个系统就经过了单点服务、集群化服务、负载均衡、ELK集群、微服务等多个架构的演进。当服务呈现爆炸式增长时，很多问题都暴露出来了。

　　一方面，随着业务量不断增长，量化派对于IT的需求越来越高，实际情况却是原有硬件不能快速扩容，无法支撑起如此高速的发展。以前，量化派在机房都是租机架，主机容量有上限，部署新的机器相当繁琐。由于使用IDC基础架构，一旦原有合作伙伴不再合作，部署新的IDC带来的专线难以打通的问题也困扰着量化派。另一方面，量化派原有的自建高可用方案不能支撑业务持续发展，一旦硬件出现问题，可能会导致数据永久丢失。而对于一家互联网金融企业，数据是核心竞争力，重要性不言而喻。当然，由于业务本身复杂度高，现有IT监控系统也早已不能有效发现系统中存在的问题了。量化派的业务发展对企业的IT提出了全新的要求。

　　正是由于上面的这些挑战，量化派技术总监周乾经过考察对比，决定将服务从原有的IDC搬到青云QingCloud，打造一个公有云和私有云结合的混合架构。这个工作做起来并没有想象中那么简单，由于涉及到上百台虚拟机，以及十几个数据库规模的微服务，其中需要考虑到的突发情况也不少。

　　众所周知，迁移MySQL，如果中间走公网，容易出现闪断，因闪断造成数据丢失是量化派不愿意看到的。为了避免这种情况，量化派使用了Canal中间件，把数据扔到MySQL里，MySQL自带的存储特性，直接将数据复制给了异地机房数据库，这个时候便不用担心某个用户借款丢失的情况发生。

　　对于缓存数据，量化派缓存用的是Redis，用Redis-port工具向Redis Master发送sync，接受RDB文件，再回放RDB文件，复制便能完成。

　　而对于迁移过程中遇到DNS缓存问题，量化派和青云QingCloud一起找到了两个解决办法。第一个是通过变更域名，这个时候原有DNS缓存会失效，便自然会去访问新的。另一个是不变更域名，这时候就会有大量流量通过互联网访问到老的IDC上，这与他们的初衷是相违背的。这种情况下，量化派将原有IDC的负载均衡器上的服务指向青云QingCloud上的Server，缓存问题迎刃而解。

　　迁移上百台虚拟机如果纯靠手动完成，工作量太大。为此，量化派自建了自动化发布环境。为了轻量化运维，量化派自己开发了xypb-deploy项目，构建在paramiko库上，直接连到ssh。这个自建项目采用Python Nginx-parser，可以灵活切换流量。

　　周乾指出青云QingCloud所提供的负载均衡器功能，代理了四层流量。为了增加查询效率，通过负载均衡器代理到存库上，给用户提供连到数据库的机会。再通过很多数据库负载用户查询的流量，以达到效率提高的目的。

　　对于安全的话题，周乾详解了量化派在青云QingCloud上实现安全的路径。量化派服务采用前后端分离，没有后端渲染，基本上所有开发都是Java，最后部署起来也是单独架包，不存在JSP或PHP等解释执行的脚本；第二采用orm，利用pojo访问数据库，杜绝SQL注入；第三采用https进行通信。而具体到防止内部人员泄密问题，量化派自己开发了一套配置中心，把关键配置放到配置中心，服务每次上线的时候从配置中心去调取关键参数，这些参数在传输过程中都是通过非对称加密进行的。

　　■量化派技术总监 周乾

　　量化派是一家互联网金融公司，有现金贷、消费分期和自建场景消费三种业务场景，皆由数据驱动，审核和风控都不需要人工。从企业初创到C轮融资，量化派业务发展很快，其IT架构也经历了由简到繁的过程。

　　徽商银行：构建混合云开发

　　徽商银行是全国首家由城市商业银行与城市信用社联合重组设立的区域性股份制银行。与互联网金融用户不同，徽商银行属于传统金融行业，他们对于云计算的需求自然也不同于互联网金融。

　　早在2014，徽商银行便开始全面调研云计算、云管理。徽商银行系统开发部傅伟表示，银行业所关注的重点跟其他很多行业不太相同。银行业更关注数据层的安全，服务层的响应以及成本的控制，因此他们更多考虑如何从这三个方面解决开发环境和运营环境的问题。

　　正因为这种不同于一般行业的关注点，徽商银行整个开发团队为建设云平台制定出了“三层”建设的计划：第一层先做基础环境的改造；第二层就是将一些基础环境改造完成后的统计管理、检查、审计功能进行云化处理，包括对一些相关应用进行云化；最后一层便是把应用进行模块化，向SaaS层转移。

　　在做测试和开发过程当中，徽商银行开发团队发现业务的发展速度已经远远高于资源部署的速度，挑战之巨大不言而喻。2014年整个开发测试环境有200多个资源，到2016年年底便发展成为2000多个。

　　换言之，业务需求从2014年的每年大概70个左右，到目前为止已经过了400个。

　　这样一个量级上的变化，对于部署资源、响应资源都是一个挑战。经过几年建设，徽商银行在开发环境中率先实现“四朵云”技术。

　　在选择云供应商的时候，徽商银行比较看重网络安全隔离技术，青云的网络隔离功能可以很方便地实现在大的群体里面实现两个逻辑化的测试区，这样做可以保证测试的数据相对独立完整，并且互相隔离，没有版权影响。

　　另外，青云QingCloud的自动伸缩功能也很有特色。据傅伟介绍，青云QingCloud有这样一个技术，允许一台机器在一段时间内根据访问量大小自动复制出一台机器，一并响应所有应用，可以增加对应用的承载能力，系统也可以自动回收机器。这样的一个过程实现了对应用负载能力的自动化响应和边界值的测定。

　　在虚拟化部分，徽商银行把采购审批和应用部署、应用开发放到更有计划性的过程当中去，提高整个基于IaaS层的开发效率，实现秒级应用安装。在从开发向生产交付的过程中，从开发测试云角度来看，傅伟认为青云QingCloud安全度比较高，有自保护功能；另外自定义镜像功能可以实现在一台机器上的开发测试镜像到10台机器上；第三自动化部署、自动化配置功能也是其他云计算服务商无法提供的。

　　在云上，徽商银行第一步考虑的是基于公有云和私有云上的混合使用，目前已经实现了（私有云）数据快照、异地备份。接下来要做的是如何利用公有云的低成本磁盘空间去实现；第二步就是混合云的应用，如何利用公有云快速响应的特点，将应用接入服务的公有云部署与数据的私有接入，这是未来徽商银行在混合云方面最关注的问题。

　　■徽商银行系统开发部 傅伟

　　徽商银行属于传统金融行业，他们对于云计算的需求自然也不同于互联网金融。银行业更关注数据层的安全，服务层的响应以及成本的控制。因此，他们更多考虑如何从这三个方面解决开发环境和运营环境的问题。

　　本报记者 霍娜 陈曲

关注读览天下微信， 100万篇深度好文， 等你来看……