編者按:興業(yè)數金金融云在銀監(jiān)會的監(jiān)管和指導下已開展了十年的金融服務業(yè)務�����。通過四朵云為客戶及生態(tài)鏈提供全方位的解決方案���,包括銀行云���、非銀云、普惠云和數金云�。其中,數金云是面向興業(yè)銀行集團內��、外部客戶��,提供金融級 IaaS平臺��、金融級PaaS平臺���、銀行級IaaS平臺���,以及覆蓋金融全行業(yè)的端到端解決方案����。目前����,興業(yè)數金已累計服務超350家合作銀行,有400項從基礎設施到解決方案的服務品種���,成為國內領先的銀行信息系統(tǒng)云服務平臺����。那么��,興業(yè)數金是如何解決金融云平臺的運維與合規(guī)難題�����,走向金融科技應用前列的呢���?
實際上����,興業(yè)銀行在金融科技的浪潮中主動擁抱新技術,領先完成了網絡和云平臺選型���,邁出了數字化轉型的第一步��。興業(yè)數金很快發(fā)現傳統(tǒng)的運維監(jiān)控方式已經無法匹配云時代的技術架構��。怎么辦��?只能迎頭趕上����,繼續(xù)創(chuàng)新,應對轉型后的新挑戰(zhàn)���。
第一步 | 可視化打開虛擬網絡的“黑盒”
云計算�、軟件定義網絡(SDN)等架構的引入為金融服務水平的進步奠定了基礎,卻也帶來了管理和運維上的挑戰(zhàn)——從前���,服務器集群組成一個業(yè)務系統(tǒng)����,再配置交換機便完成了部署。這樣的架構使得出現問題時非常好定位��。而如今��,隨著多租戶環(huán)境中虛擬網絡流量的日益增長,租戶業(yè)務系統(tǒng)中應用和服務的調用關系越來越復雜�����,租戶內部以及租戶與租戶之間東西向的網絡鏈接和安全狀況卻是“黑盒子”。在實際操作中�����,業(yè)務部門報障后�,云平臺的運維管理人員則需要對問題進行排查和定位�,由于傳統(tǒng)物理網絡的監(jiān)控工具缺少對虛擬網絡流量數據監(jiān)測的能力,Overlay網絡內部一直處于“黑盒”狀態(tài)�����,無法掌握東西向流量與租戶業(yè)務���、虛擬機����、虛擬網元之間的對應關系�,整個業(yè)務鏈路究竟哪段出現了問題�,讓運維人員難理頭緒。
興業(yè)數金的第一步��,進行全網流量精準采集����,使虛擬網絡全景可視化����。首先數金云在同城雙數據中心部署一體化的虛擬網絡流量采集與分析平臺�����,通過對接現有OpenStack云平臺并自動化部署輕量級用戶態(tài)的采集器����,完成大規(guī)模云網絡的全景圖繪制�����,該全景圖是解決網絡問題的總入口���,通過對全景圖上異常流量的監(jiān)控和告警,云平臺的運維人員可第一時間發(fā)現網絡問題���,然后進行端到端診斷��,并進行分析和取證�����;對于業(yè)務層問題的診斷需求�,可以使用分發(fā)功能將相關流量發(fā)給第三方工具進行分析���。
第二步 | 回溯分析破解運維“迷局”
業(yè)務報障之后,運維團隊主動復現問題�,本是很平常的操作,但在金融領域���,復現業(yè)務系統(tǒng)出現的問題�,存在很大用戶體驗風險。而且�,運維人員排查過程中可能無法復現故障,問題難以根除���。這樣的情況下�,回溯分析就顯得十分必要了�����。
興業(yè)數金通過云網環(huán)境中基于流的多維度回溯分析���,自定義流量關鍵字搜索���,全景式重現指定時段相關網絡的流量特征,為取證�、排障等應用場景提供原始數據的支撐。當運維人員排查問題時�����,可以以時間點為標簽輕松抓出與此相關的一切網絡信息����,從而實現迅速發(fā)現問題并排查故障根源����。
第三步 | 策略驗證確保安全合規(guī)的“金字招牌”
隨著互聯網金融的發(fā)展��、業(yè)務上云的推進��,國家的監(jiān)管力度也越來越大�����。不僅僅有《網絡安全法》的出臺���,工信部�、銀監(jiān)會也都推出了相應的部門法規(guī)�����。而這些政策縮緊反映在技術端���,則表現為對基礎設施越來越嚴苛的要求�,尤其是審計的要求�。
此外����,金融上云給技術帶來的新挑戰(zhàn)是�,傳統(tǒng)環(huán)境下的策略在云端是否都需要一一跟隨��。為求保險���,運維人員不敢輕易刪除安全策略����,只能在安全問題發(fā)生之后再去增補��,導致安全策略愈積愈多�。隨著上云業(yè)務的逐漸增多,安全策略的配置也愈發(fā)復雜�。大量的新增安全策略和變動也增加了網絡設備的負擔,影響了網絡效率���,最終降低業(yè)務的訪問質量���。
興業(yè)數金從網絡流量的視角出發(fā),通過自動學習云環(huán)境中的網絡策略����、采集并分析云環(huán)境中的網絡流量��,協(xié)助運維人員設置安全白名單策略驗證����,通過對比真實發(fā)生的流量是否違背技術人員編寫的網絡策略�,從而觸發(fā)告警,以確保生產系統(tǒng)的安全可靠�。并且可將舊平臺的策略直接導入在新的平臺上,同樣通過流量分析和白名單驗證����,觀察是否存在安全風險。這樣��,不斷驗證策略是否生效���、是否足以表達用戶的安全意圖��,從而保證網絡安全的萬無一失�����。
第四步 | 流量及性能量化做精細化運營的“小能手”
金融機構的互聯共享����,帶來了金融科技新的想象空間。興業(yè)數金累計簽約客戶已經超過360多家����,而且數量仍在持續(xù)增加中���,其中170多家的業(yè)務都托管在興業(yè)數金的云平臺上���。在云平臺運營的初期,計費策略主要是按照租戶帶寬進行按月結算計費�����,但隨著租戶規(guī)模不斷擴大和金融業(yè)務的增長�����,對計費模式提出了新的需求����。興業(yè)數金迫切需要解決的則是如何以云服務運營者的身份,通過精細化管理更好地為這些客戶提供靈活���、個性化的服務����。
數金云依托全網流量的細粒度采集能力,運營人員可以根據租戶需求自定義選擇任意日期范圍�、不同時間粒度內指定資源所生成的流量生成報表。租戶通過個性化��、詳實的數據可以更直觀的了解流量的使用情況�����。對平臺運營方來說可以及時回收虛擬機�����、帶寬等閑置資源����,不但提高IT投資回報率也提高金融云整體服務水平。
興業(yè)數金點亮云網黑盒 實現云網絡精細化運營
經過這四步的穩(wěn)扎穩(wěn)打����,興業(yè)數金大幅提升了云網絡的運營效率,排障時間成功縮短到分鐘級����;成本上�,一套虛擬網絡流量采集分析系統(tǒng)可以將流量分發(fā)給不同平臺�����、不同分析工具復用�,大大節(jié)省成本��;管理上��,精細化運營讓整個流程更清晰可控�����、井然有序����。
對于為興業(yè)數金提供上述虛擬網絡流量采集與云網分析解決方案的云杉網絡來說,深耕數據中心網絡解決方案多年�����,認識到要解決上述問題必須深刻理解業(yè)務和網絡的關系���,即將網絡的拓撲�����、網絡的流量與其承載的業(yè)務進行有機的關聯�����。云杉網絡DeepFlow從虛擬流量的采集��、分發(fā)����、分析三個層面出發(fā),用機器學習的方式分析虛擬網元及其配置信息��、抽象網絡流量數據中的類型�、從業(yè)務的視角層層梳理網元與流量的特性,從而為客戶提供“采集分發(fā)”和“分析診斷”兩大解決方案���。
- DeepFlow采集與分發(fā)方案面向云端業(yè)務���,支持用戶根據應用和服務自定義精細的過濾策略,支持OpenStack���、vSphere虛擬化環(huán)境���。通過幫助用戶構建大規(guī)模��、高性能��、一體化的監(jiān)控分析平臺�,從而提高云資源的利用率和云服務的安全性����。
- DeepFlow分析與診斷方案以特定監(jiān)控對象(業(yè)務畫像)為起點����,通過在業(yè)務關鍵路徑實施監(jiān)控,對其中的相關流量進行逐步鉆取分析���,從而快速定位問題��。對于歷史問題則采用網絡分析和回溯分析進一步定位����,特殊場景下則需將相關網包發(fā)給第三方分析工具處理��。
興業(yè)數金在與云杉網絡的合作下,穩(wěn)扎穩(wěn)打擊破金融上云的各種網絡難題����,成就金融行業(yè)最佳應用案例。
