>>返回主页
腾讯金融云高级架构师赵明:《混合云在金融行业的应用》

2018-08-15 16:00

赵明.jpg

  感谢信通院组织这么一个活动,非常荣幸参加这次交流,我是来自腾讯金融云的赵明,这么多年一直在从事云计算在金融行业的一些落地工作,包括银行、证券、保险、互金等等这样的一些公司。实际上混合云这个概念在金融行业不同的细分领域,其实各个客户在他的一些使用场景上面还是有很大的不同,包括像银行、保险、互金,他们的业务模式不一样,他们在云的使用方式上面,包括在混合云的使用方式上面其实有很大的区别。

  这次分享主要有四个方面。

  第一,对于混合云的定义。现在混合云整个定义有一些泛化的趋势,传统讲混合云是公有云和私有云,但是公有云上面还有金融云的模式,他提供类似于像公有云,但只定位给金融行业来用,也有提供物理服务器的公有云服务模式。在整个混合云的概念上面,不是完全说有私有云和公有云叫混合云,实际上有很多组合,可以再来看一看混合云上的一些新的定义。

  第二,混合云在金融行业的一些应用场景。IT本身有一定的通用性质,各行业使用IT本身的属性是雷同的。金融行业使用混合云跟一般企业的使用模式是类似的,但还是有它的金融属性在里头,就是它在使用混合云的时候还会受到一定的一些行业的制约,或者监管的一些制约,这块上面有一些特异性,我们也可以看一下。

  第三,腾讯云,或者腾讯金融云,因为我来自腾讯金融云这个部门,腾讯金融云在提供这些整体的混合云的方案上面都有哪些解决方案,跟大家做一个分享。

  第一部分,混合云的定义。首先,目前的发展现状,我跟马博士用的是同样的一份材料,是RightScale在今年年初发的一个报告,因为RightScale本身是做多云管理的,并且占了较大的市场份额,所以他做的这份报告在海外市场来说还是有一定的权威性质。它说本身在混合云的使用上面,在云的使用里面大概71%多的使用者在使用。81%的用户使用多云,多云来说,其实会牵扯到更多的概念,比如用两个公用云,或者多个私有云,或者使用公有云和私有云,其实这里面都属于多云的概念。所以他说81%的用户使用多云这种模式。

  实际上到这个数字其实在不同的行业,金融这个行业里面再细分,比如细分到某一个行业比如银行或者保险,这个数字是完全不一样的。尤其是在国内金融行业受到监管会更加严格一些。目前在腾讯金融云上面,行业云里头有大概接近10家左右,目前来说这一两年新上的新批筹的保险公司基本上在腾讯金融云上面,这几家基本上都是混合云的使用者。他们基本上都会在本地建自己一个小的数据中心。不管里面有一部分业务系统也好,还是只做数据灾备也好,基本上都使用混合云。而对于银行客户,这个比例就低很多。所以不同行业细分,不同形式的云,混合云的使用情况区别是比较大的。但是,我们看到在金融行业里使用混合云目前都是一个趋势,这是一个大的趋势,这是毋庸置疑的。

  包括用所谓新批筹,都可以用到公有云的优势。传统的一些金融机构也慢慢在,因为他要做一些互联网金融的业务,也需要有一个比较好的有弹性的成本可控的资源,所以他也会使用公有云的资源。所以,金融这一块使用混合云本身就是一个大的趋势。

  原来说混合云就是公有云和私有云的混合,称之为混合云。目前有多个公有云的环境,需要把这两个公有云打通做一个统一的管理,也是为了解决比如数据灾备的问题,负载分担的问题,甚至做一些业务冗余等。这些问题实际上跟传统企业使用混合云解决的问题是类似的,他遇到的一些困难,遇到的一些管理问题其实也是类似的,其实这种方式来说,有时候也可以认为是混合云的一种场景。以及虚拟云和物理资源的混合使用,包括物理场景下面,有用户说要做大数据分析,大数据分析不太喜欢放到虚拟化的平台上,因为虚拟化的平台会带来更多的损耗,所以希望用物理机搭建大数据平台。业务系统还是放在容器或者虚拟的资源池上,他们本身是有交互的,不管是数据的交互,还是上面应用的交互。这种资源的使用,本身是两个不同的云的环境,也是会遇到混合云管理上的一些问题。所以,他的一些诉求,或者遇到的一些问题跟传统混合云的管理有一些雷同。

  很多时候其实可以把一些多云管理,甚至额外的场景,其实也可以考虑到混合云的场景中来,因为本身来说,混合云并没有一个准确的定义说就是公有云和私有云的混合。

  这是一个混合云的优势展示,这里有一个雷达图,里面把私有云、公有云、混合云在可扩展性、安全性、成本优势、可靠性、效率做了一个评估。大部分使用混合云的场景下面,用户都会把核心业务,把自己所谓的核心数据放在私有云这部分,或者自己机房这部分,数据安全性可靠部分会有更好的保障。包括从网络层面,用公有云资源,很大依赖于网络,这个网络里面的链路包括用户自己的网络链路,就是使用云的客户自己的网络链路,也包括公有云本身提供的网络服务,它中间涉及的链路更长一些,这个就没有私有云在这个环境里头链路短,链路短带来的是更可靠,更具有可控制性。安全性和可控制角度来讲,混合云会带来比较好结果。所以在兼顾数据安全和业务可扩展性方面它可以带来更好的性价比,公有云就是可以非常弹性的使用这些资源,一方面减少了建设云平台的时间成本,另外也降低了整体的使用成本,因为公有云上的资源可以随时释放。

  混合云带金融行业的特定场景,很多时候跟传统的有些雷同。这是通用的使用场景,用户经常使用的两个场景。一方面,要去支撑一些所谓的具有动态弹性,或者需要有一个比较好的IT弹性的这种场景,包括业务增长的时候需要用混合云。大家知道私有云的建设都是有时间性和规划性的,包括你需要去采购硬件,需要搭建云平台,需要把云平台做扩容,本身有计划性,不可能像公有云一样,随时获取一些额外的资源,至少要有IT整体的基础设施的投入,才可以建云的环境。所以,这也是很多时候用户的疑问,我们不是已经建云了吗?为什么达不到像公有云一样?需要多少资源用多少资源?就是本身还是需要有规划性,本身业务增长量是多少,我需要提前做扩容,本身要有一个计划性。

  针对这种业务爆发式增长,到某一个时间节点上面,私有云的建设就跟不上整体业务的发展了,这个时候我们很多用户就会借助公有云这部分的资源,因为公有云理论上是随时可以获取的,不过偶尔公有云某一个可用区也会遇到某一个资源到了一定的瓶颈,扩容没跟上的情况。这在公有云的模式下面,至少公有云的池子会比私有云的池子要大。大家可以认为,某个公有云的可用区,或者某个公有云的数据中心内部资源都在几千台甚至几万台的规模,但是偶尔也会遇到所谓的资源的瓶颈。

  另外的一个通用场景就是通过混合云实现数据和业务的灾备或者冗余。这也是非常常见的一种场景。尤其金融用户,监管上要求他建同城的数据中心,异地的灾备数据中心,这是监管需要做的,包括像受银保监监管的,受证券行业监管的都会有这样的要求。在做这种灾备的时候,很多时候用户需要建灾备机房,自己去拉光纤,或者自己走专线模式,把两个机房打通,这种对他的成本来说都是蛮高的,包括平台的建设,时间成本也是蛮高的。混合云其实带来一种比较新的方式,比如很多用户把自己的主要的生产机房放在自己的私有云机房,可以把灾备机房放在云上的机房,云上的机房可以公有云的模式,也可以选金融云的模式。金融云甚至还会提供托管模式,就是金融合规机房,甚至还可以提供物理机托管的方式,机器还是用户自己的,上面可以用纯物理机的方式运行,也可以在托管机上搭建一个云的环境,各种组合的模式都可以做。上面说的是混合云的通用使用场景。

  金融行业基本上跟通用场景的需求、出发点是一样的。包括金融行业整个互金业务的爆发式的增长。现在金融机构不仅包括传统的说互金的这种行业客户,互金行业客户本身就是做互联网金融业务,本身的业务特点就是我是一个动态弹性的,包括需要去获客,需要让大量的用户使用我这个服务,这样做才能实现整体的业务的增长。传统的金融机构,包括像银行,包括像保险,都在往互联网场景上去靠。传统的金融的服务其实是遇到一些瓶颈,包括银行也好,传统的吃利差的这种服务,它收益在银行整体收益上来说都是一个下降的趋势。大家都在做创新,就是跟互联网场景结合,就是需要做互联网金融的业务,互联网金融业务明显带着互联网的特点。

  它的特点是什么?第一,大流量,大量的用户使用我这个金融产品,才能带来我的一些更大的收益。第二,高并发;第三,波动性比较强,互联网业务都是波动性比较强,要做促销、秒杀,现在金融产品可能都是这种模式,包括线上发一个什么理财,可能都是什么时间点才能抢得到。这种模式对于IT资源来说确实需要有一个弹性比较大的资源去支持,这就是对于公有云的场景会更加适合一些。第四,成本敏感。因为大家都在说,减负增效,要降低成本提高效率。

  金融IT在金融行业里头,本身像去年年末开始到今年一直在持续的就是监管对整个金融市场的整顿,包括在金融业务上的整顿,包括对互金行业,互金产品的一些整顿。实际上监管对于整个金融行业,不管是在业务层面,其实对整体的IT监管其实也是在趋严,包括像银保监的整合,以前保险对IT的一些规范可能以后慢慢都会往银行的规范去靠,这是我们看到的对整个银行IT的监管趋势。

  当然金融业务并不是在监管业务里头,包括P2P原来都不在监管范围,现在都纳入到监管范围。在监管的情况下面,可以看到监管对于整个IT的环境,数据灾备要怎么做,数据安全要怎么做,有一个非常非常明确的规定,而且有一个非常明确的底线的规定。在这方面,受到这种行业监管的要求这样的一些金融企业,底线是不能突破的。所以,很多时候比如说他的核心系统,包括他的账户系统、财务系统,包括用户信息,只能放在私有云里头。这就是金融行业就是在使用混合云的一个原因,一方面受金融监管要求,很多业务只能放在私有云,另外互联网业务的发展,只能使用一些公有云的业务,这是整个在使用混合云上的一些具体的原因。

  用混合云的一些具体场景。最简单就是做数据灾备。刚才说了,灾备的时候会有比较好的优势。在具体使用场景上面,数据往哪儿灾备?数据往公有云上面,还是公有云往私有云上灾备,这些都有。包括刚才说的保险公司在使用金融云的时候大部分会在自己的机房建一个小的私有云,那个小的私有云大部分的功能做本地的数据集灾备。

  用户把一部分的数据灾备到金融云上去,或者灾备到行业云上去,也是有的。包括现在腾讯在数据灾备这一块提供很多产品,包括像存储网关、对象存储的服务。

  另外,多云双活&容灾,用到比如像数据库的灾备,数据库的冗余,有些时候可以把数据库从本地迁到云上,或者从云上迁到本地。另外,对于整个应用侧,可能要做业务多地的应用冗余的架构。

  承载不同的业务类型。比如现在有银行就会在公有云上,或者金融云里头放他的开发测试环境,这在监管是允许的。为什么?你没有把用户数据,或者生产系统放到金融云上去,这是没有问题的。然后会把自己所有的核心业务放在自己的私有化机房,这是一种模式。另外一种模式,不同的应用场景下面会选用不同的服务,包括需要使用大数据平台,他不想用虚拟化,想用物理方案运行。这时候他在自己的机房也好,还是用黑石服务器都是可以的,由于有不同的业务类型,所以有不同的云的环境去承载。

  还有所谓的负载承担。很多用户会这么来用,就是私有云机房还要有,私有云机房比如承载30%的流量,70%流量切入到公有云机房。但是,私有云机房是一个全量的业务系统,或者即使公有云全部挂掉了,至少30%的业务流量在私有云还能承担起来,或者整个私有云挂掉了,70%的流量公有云还可以承担起来,这是所谓负载承担的模式。

  金融云是目前在金融行业里的新的选择。大家以前听到过政务云、金融云,其实就是针对某一个行业做的解决方案也好,或者针对某个行业做的一套云的环境也好,都可以这么理解。金融云这个概念是一个通用概念,给大家介绍一下腾讯金融云是什么样的。

  金融云本身从物理资源的隔离角度来说,跟公有云是完全独立的资源,包括机房也是独立的环境。有两种模式:第一,金融专区,金融专区是监管,或者央行对它的称谓,主要采用公有云的运维模式,大家还是用同样一套云的环境,但是跟公有云是完全隔离的。这里面的用户,包括里面有银行用户、保险用户、互金类的用户,这些用户都是金融行业用户。但是,他们大家都在共用这么一套金融专区的云的环境,这是最明显的特征。

  当然,在整个金融专区里头,是不是还会有一定的隔离性。大家知道在云的产品上面vpc做网络隔离,可能会由虚拟化这部分做物理资源的隔离。实际上金融专区里头可以再细分,做一些所谓的物理的围笼,物理围笼的资源是某个金融用户独占的,它的资源不是共享的。所以说,这边会变成说,你的所有资源都在金融云里头,但是您的资源又出不了这个围笼的区域。金融云提供的是一个本身更高的安全等级的证。包括资源的复用比例都会比公有云少一些,包括提供的各种安全措施,像抗DDoS,WAF等等。从通用性上来讲,大家都还在用统一的云的管理平台,或者大家都在用统一的云的门户,这是金融专区的资源。

  金融专有云,是给单个用户提供的服务,一种模式就是私有云。还会有延伸的不同场景,包括在第三方托管机房也好,腾讯的金融托管机房也哈,托管机房可能划出一块区域提供云的服务,这个也是搭建用户自己的一套云的管理平台,云的环境。还会有通过腾讯的物理机托管服务,或者是叫黑石的物理机的硬件服务提供云的资源,包括在上面搭建云的环境,可以搭建腾讯的云环境,也可以在托管的云上面搭建其他的虚拟化环境或者云的环境都可以,所以有很多不同的模式做一个混合云的方案。

  这是金融用户典型的使用场景,里面包括金融专区。当然,这里面跟不同用户的类型有关系,大部分像互金、保险,就可以用这种模式,就可以把他的核心业务系统放到金融专区里边来。他把官网、互联网、外部的一些业务放到公有云上去,他在本地做一些数据灾备。这是对于不是特别强监管的用户,类似保险公司这样就可以放到这样的平台上,这也是我们保险客户一个典型的案例。

  看看整个腾讯云的混合云的一些方案和特色。腾讯云在整个混合云这块提供了很多产品。这里面有腾讯的公有云、金融专去、金融专有云,金融专有云可以在腾讯自己的机房,也可以在托管机房,也可以在黑石服务器上。还有黑石公有云,是在公有云上提供物理机服务的,包括我们提供托管服务,用户可以把自己的服务器放到托管的平台上面去。托管服务包括黑石托管,金融云的托管等等,有很多选择可以去做。

  腾讯在国内的公有云分四个大区,基本上覆盖华东、华北、华南、西部地区。从具体的细节来说,有6个地域25个可用区,1300多个CDN的节点,这里有公有云的区域、金融云的区域,黑石的区域等等。刚才马博士也讲到使用混合云的时候很重要的一点就是所谓的网络的服务的优劣,这一块从互联网公司,或者提供云服务的角度来说,腾讯其实优势是比较明显的。现在提供的BGP线路,腾讯要做社交、游戏,跟很多二级运营商打通,现在有28家BGP线路。包括在整体的外网提供BGP和静态的BGP的线路,总体有7T多的这样的互联网的出口。包括提供了基本上覆盖整个全国的环状的骨干网,基本上两个重点的骨干节点之间的互联都是TB级别的。包括提供20多个国内的接入点,20多个城市有接入到腾讯骨干网的接入点,就近接入骨干网。海外的就不讲了。

  混合云里有一部分是私有云。本身来说,金融行业,我们在输出整个专有云模式的时候基本上考虑帮助金融机构实现分布式转型,包括银行也好,帮助用户做分布式的银行核心,包括银行保险,帮助用户做分布式的保险核心系统等等。这块腾讯是通过整体的金融专有云TCE这个平台来输出的,有一些具体细节不介绍了。

  包括提供所谓的黑石混合云的架构,还提供物理服务器。其实跟在公有云上使用公有云服务是类似的,可以说一个什么样配置的物理机,硬盘是什么,要装什么操作系统,甚至上面是不是要装一个虚拟化平台。还有就是托管服务,有一点重点要提的是托管物理机是可以和云上虚拟资源的通过vpc打通的,物理机是可以跟云里面的业务系统打通的。

  存储网关,可以放到用户私有云机房里头,帮助用户把私有云的数据存储到腾讯的公有云上去,这里面会提供不同的接口服务,包括NAS接口,iscsi接口等等,包括提供混合云的管理平台,混合云有私有云,有公有云,最好的方式是有一套平台,把公有云和私有云都管理起来。如果有这么一套环境,可以把多云环境都可以很好的管理起来,实现统一监控和管理,这对用户来讲是更好的选择。

  包括还会提供做混合云安全的架构,类似于像一些流量清洗,包括提供很多的私有云部署的安全类的产品,来帮助用户实现混合的一个安全的架构。

  下面给大家分享两个案例。有一个银行的客户比较特殊,没有自己任何的机房。上面两个是腾讯的金融托管机房,下面两个是公有云机房。用户是没有任何自己的机房的,没有私有化机房,核心业务是放在腾讯的托管机房,包括分布式的银行核心,分布式数据库,同城高可用部署,都是部署在腾讯的两个托管机房。当然,这里通过所谓VPC的概念,可以内部打通,通过腾讯的骨干网实现他的私有云机房的内部打通,托管机房的内部打通。

  另外,这两个是公有云机房,用户会把很多开发测试的内容直接放在公有云机房做,因为公有云比自建私有云或者托管更便宜一些,可以随时创建资源,也可以随时释放。对于这个银行用户来说,基础设施只有他的办公环境,所有的银行核心,包括开发测试环境都在云上面。

  这个是保险企业的一个案例,这是一家新筹保险公司,他本地只做了数据库的灾备,所有的业务系统都放在腾讯的金融专区里,主要来实现它的混合云的架构。他们这里是通过专线连到腾讯金融云机房,专线都会做互备包括一条联通的一条电信的,接入到腾讯不同的接入点上。这里面还会有一个公网的VPN,也是做互备,万一这两条专线都挂掉了,还可以通过VPN的方式接入做运维。包括连接监管机构也有两种方式,一方面可以通过腾讯接入点接入进来,也有一种方式直接拉到客户自己的机房。

0