中电金信 :基于开放架构的私有云建设实践
01开放架构私有云诞生背景
随着国产化创新建设的深化,产业侧行业软件持续进行云原生改造,金融机构拥抱云和容器技术,实现数智化转型已是大势所趋。近年,云原生技术以及架构发展速度更是惊人,私有云开始有了新架构、有了能解决中小金融机构私有云建设中问题和需求的方法。
中小型金融机构私有云建设长期面临以下问题和需求:
● 国产化创新建设加速了应用架构转型,据信通院2023年12月云原生大会报道,到2025年,90%的中国软件厂商应用架构将转型为云原生架构,60%的应用将采用容器方式部署,为支撑新建或重构应用的云原生转型,私有云规划与建设问题日益突出;
● 金融机构多次评估是否建设私有云,要么未能下定决心,要么为了满足部分业务系统上线,购买了小厂云或超融合私有云,之后发现无法满足国产化创新建设和全行业务上云需求,仍面临着是否新建私有云的抉择;
● 金融机构选择某些云厂商进行私有云的建设会出现投入过高的情况,且后期云的扩容和运维均被锁定,需要连年、较高的持续性私有云建设投入;
● 中小型金融机构体量小,在寻求与云厂商的合作时,议价能力受限,在较小的IT投入下,大部分云厂商无法满足其个性化需求;
● 面向云原生转型,既需要虚拟化、又需要容器,要么购买某些云厂商的IaaS+CaaS+PaaS“全家桶”产品,要么选择不同云厂商的多个平台进行独立部署,但缺点是无法统一管控。
02开放架构私有云平台定义
开放架构私有云平台融合了传统虚拟化技术、以及容器为代表的云原生技术,将私有云进行架构解耦、并拆分为多个私有云组件,再通过面向云原生的基础设施管理平台对解耦后的各组件(包括容器组件)进行管控,最终实现云原生架构下更多更强功能的私有云平台建设。
在开放架构私有云平台定义中,有四个关键要素:
● 一是私有云,因为大部分中小型金融机构不需要公有云架构中多租户、计量功能;
● 二是融合虚拟化和容器技术,将私有云平台进行云原生升级;
● 三是将私有云平台拆分为多个私有云组件,将私有云进行架构解耦;
● 四是面向云原生的基础设施管理平台,除云管功能外的更多更强功能升级。
03开放架构私有云平台架构
开放架构私有云平台核心组件是云原生基础设施管理平台(如源启云原生基础设施管理平台),实现私有云管理和基础资源及环境的配置和发放。开放架构私有云平台组件包括计算虚拟化、网络虚拟化、分布式存储、负载均衡、防火墙、容器等。
开放架构私有云平台架构如下:
基于开放架构的私有云平台,其核心是通过集成不同第三方厂商云组件及管理平台,实现IT基础设施资源池化和云服务化。通过组件可拔插可替换,提升金融机构自身的议价能力,在一定程度上实现金融机构私有云自主安全。通过组件解耦,对计算、存储、网络等组件独立运维,更加有效的复用现有金融机构内按专业(如网络、存储、主机等)划分的运维团队,现有不同专业运维团队可分别学习、掌握私有云相关组件的部署、运维知识,实现云知识转型。开放架构私有云由于其开放性,具备更强生命力,同时具备私有云安全性、可靠性、可扩展性、可管理性、以及各组件专业厂商的兜底服务。
04开放架构私有云解决的问题
■ 解决传统私有云向云原生转型问题
传统私有云只提供虚拟化能力,基于开放架构的私有云不仅提供虚拟化,还可以提供容器技术的云原生能力,与应用结合更加紧密,向下可屏蔽异构基础资源,向上可以实现应用的轻量、弹性部署,有效提高基础资源和环境的供给效率。
■ 解决传统私有云平台个性化能力不足问题
传统私有云平台因为其架构局限性或技术封闭性,难以快速有效响应客户的个性化功能定制需求。相反,开放架构私有云平台因其架构开放性、技术开放性,能够根据客户的个性化需求,量身打造专属的功能模块,所建设的私有云平台完美贴合自身需求,实现更高效的业务运营和同业竞争优势。
■ 解决云技术被云厂商绑定问题
部分云厂商的全栈云基于公有云架构,云底座需要硬件资源多、组件多、服务多、耦合度高、架构复杂、技术封闭,当选择这些云厂商的全栈云后,技术及运维完全依赖原厂商,维护成本居高不下。通过开放架构私有云平台统一规划和建设,实现私有云的分层解耦、架构简化,并通过多厂商云组件的选择和议价,增强自主可控能力,减少对单一厂商依赖,另外通过云原生基础设施管理平台的自研和共研,有效提升私有云的可扩展性和个性化需求,有效规避云技术被私有云厂商绑定。
■ 解决无法实现私有云自主运维问题
传统私有云平台组件耦合度高,架构和相关技术完全由云厂商掌控,自有技术团队很难深入到私有云技术组件的管理和自主运维。开放架构私有云平台通过架构解耦,对云组件进行拆分,现有运维团队各小组更容易理解和负责自身技术领域的云组件操作和管理,在组件的基线配置、故障排查、性能优化等关键环节,拥有主动权和控制权,可根据运维需求实现自主运维。
大型金融机构多年来一直在云建设、云原生转型等方面投入了大量的精力和财力,结合自身较强的自研能力,可以选择进行定制化研发,实现云技术自主安全,最终完成定制化的私有云建设。对于中小型金融机构,自身云技术和自研能力较弱,想要提升私有云建设的议价能力,并逐步达到云技术自主安全,须借助开放架构私有云的规划与建设。
● 对于已建设私有云的中小型金融机构,私有云所使用的技术都是专有技术,云平台各组件紧耦合,技术封闭,部署云底座需要的资源多,大部分客户对私有云无法自主运维,专有技术私有云所提供的往往只有虚拟化能力,在当前云原生必须转型情况下,可以建设开放架构私有云,同时提供虚拟化和容器资源能力,负责开放架构私有云管控的云原生基础设施管理平台,可通过与供应商共研方式提升自主可控能力,以及平台的个性化定制及功能扩展能力。
● 对于未建设私有云的中小型金融机构,可以直接建设开放架构私有云,完成云化和云原生技术转型,提升私有云建设议价能力,降低私有云建设成本,逐步实现自主运维、云技术自主安全。
06开放架构私有云平台建设
■ 关键步骤一:平台规划
IOE时代已形成稳定的基础架构,大部分用户只关心基础软硬件容量、配置、采购,特别对于中小型金融机构,基本上不涉及IT基础架构规划工作。随着国产化创新工作在金融行业三批试点后,面向国产化创新的基础设施底座建设已进入深水区,金融客户逐渐意识到,国产化创新改造仅复制过去的软硬件选型、采购,已无法保障当前基础设施底座建设需求。当前,金融行业各客户国产化创新建设进度不同、投入差异也较大、应用上云需求也不同,同业间直接复制基础架构可行度非常低。
当然,对金融而言,可以有两种方式进行选择。一种是选择基础架构自由发展,发展到一定程度后再进行基础架构治理。另外一种是先行基础架构统一规划,再根据统一规划进行基础设施底座建设。
多年的IT建设经验告诉我们,应该架构先行,统一架构规划可以有效保障基础设施底座建设进度和质量,统一架构规划可以有效避免基础架构治理时的应用二次改造,统一架构规划可以有效满足全行IT建设的降本增效目标。
平台规划遵循分层解耦思路,通过技术栈解耦、组件解耦、部署关系解耦,实现自主创新和成本优化能力。开放架构私有云下,应用、PaaS、CaaS实现不同IaaS技术栈独立部署或混合部署,不再依赖单一IaaS技术栈或厂商。
■ 关键步骤二:平台组件选型
开放架构私有云平台在组件选型方面,计算、网络、存储、负载均衡、防火墙、容器等依靠第三方成熟产品兜底,通过对私有云各组件接口的封装,当某个组件出现问题,可进行平滑替换,规避私有云被单一厂商的技术绑定。
开放架构私有云平台各组件推荐选择业内市场占有率较高的云厂商的核心产品,具备稳定可靠的供应链安全能力,入选Gartner象限,IDC排名前列,金融行业核心业务场景案例丰富,符合当前与未来一定阶段的需求功能,尽量符合日常运维习惯的产品。
云原生基础设施管理平台不仅需要具备纳管所有云组件、实现云管理平台的全部功能,还需要纳管容器产品,实现裸金属、虚拟机、容器等全栈基础资源供给能力。基础资源需满足在线申请、审批、在线发放,并且在基础资源供给的同时,可以选择和配置基础环境相应的系统软件,实现基础环境在线自动化部署,满足监管和安全要求的基础环境基线配置,实现私有云由基础资源供给型向应用供给型转型。
■ 关键步骤三:平台建设中的关键技术验证
每个客户的实际情况不同,所选择的私有云组件也不尽相同,为保障平台的成功建设,建议开展一系列的关键技术验证,验证不同技术路线,满足全行级IT未来发展需求;通过部署架构验证,满足应用部署需求,获得最优性能;通过关键技术验证,规避建设风险,保证建设质量;让更多的技术人员参与进来,可以通过关键技术验证,打造新一代云原生技术人才队伍。
验证内容包括多个方面,比如通过多地多活验证,确保重要业务和关键应用连续性;通过高可用验证,确保应用发生故障时迅速恢复服务;通过多技术栈验证,为多技术栈部署、架构选择提供参考依据;通过多芯技术验证,为构建一云多芯云底座提供技术支撑;通过私有云技术与管理组件分离部署,验证组件在运行过程中的高可靠性和服务连续性。
■ 关键步骤四:通过总集方式开展平台建设
开放架构私有云建设是一项综合性、复杂性工程,对中小型金融机构而言,依靠自身能力难以完成,所以最佳的建设方式是选择一个“大型规模、全栈能力(有金融应用建设经验)、能兜底”的总集成厂商。
总集方式的开放架构私有云建设,需要厂商有能力完成如下工作:
● 多厂商协调管理,协助金融机构进行整体架构规划,帮助金融机构及时解决可能出现的问题和矛盾,及时分享项目进展、解决技术问题;
● 项目集管理,协调各个子项目之间的资源分配、进度管理等,以确保各个子项目能够顺利进行,对整个项目进行风险管理,包括识别潜在风险、制定风险应对措施等;
● 统一架构管控,制定统一架构标准,定期对系统架构进行审计,对于不符合标准或者出现问题的部分,进行培训和指导;
● 云原生技术输出,能够派遣经验丰富的技术人员到现场进行支持,将知识和经验传递给参与建设的金融机构方技术团队,帮助团队提高技能水平,在建设后能够基本上独立完成运维工作。
■ 关键步骤五:制定平台建设计划
为实现建设目标,保障建设进度和建设质量,建议分三个阶段完成开放架构私有云建设和云迁移相关工作,具体如下图所示:
● 第一阶段,开展开放架构私有云平台规划及关键技术验证工作,涉及技术架构、运维架构、安全架构、工程架构等内容,为了确保工程建设顺利,需要架构规划先行,同时开展各类产品的选型及关键技术验证工作。
● 第二阶段,实施开放架构私有云平台建设工作,包括物理资源上架及部署、容器及各云组件部署、云原生基础设施管理平台及部分定制化功能开发等,为后续的应用上云规划和试点应用上云奠定基础。
● 第三阶段,组织开展应用上云规划及试点应用上云实施工作,开展全行应用的分析评估工作,制定全行应用上云技术路线和阶段工作计划,按照计划开展试点应用上云工作,进一步完善开放架构私有云的可用性及连续性。
