文 / 中國光大銀行金融科技部 彭曉 李剛 蔡絮
【資料圖】
近年來,隨著大數(shù)據(jù)、云計(jì)算在商業(yè)銀行的引入和快速推廣,對應(yīng)的服務(wù)器規(guī)模增長迅速,現(xiàn)有銀行數(shù)據(jù)中心容量逐漸無法滿足業(yè)務(wù)快速發(fā)展的需求。此外,人民銀行在《金融科技發(fā)展規(guī)劃(2022—2025年)》中指出要“穩(wěn)妥推進(jìn)信息系統(tǒng)向多節(jié)點(diǎn)并行運(yùn)行、數(shù)據(jù)分布存儲、動(dòng)態(tài)負(fù)載均衡的分布式架構(gòu)轉(zhuǎn)型”。為適應(yīng)上述發(fā)展趨勢,中國光大銀行數(shù)據(jù)中心將在未來幾年由“兩地三中心”向“兩地多中心”架構(gòu)轉(zhuǎn)型;數(shù)據(jù)中心網(wǎng)絡(luò)也將從同城大二層對等網(wǎng)絡(luò)向支持多中心互聯(lián)架構(gòu)演進(jìn),提高泛在接入、靈活調(diào)度、安全穩(wěn)定的科技運(yùn)營網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐能力。
中國光大銀行金融科技部副總經(jīng)理 彭曉
多數(shù)據(jù)中心網(wǎng)絡(luò)的需求與挑戰(zhàn)
1.應(yīng)用部署需求
在多中心場景下,商業(yè)銀行的應(yīng)用部署及容災(zāi)能力從兩地三中心向多活數(shù)據(jù)中心逐步升級,其對網(wǎng)絡(luò)的需求主要體現(xiàn)在以下幾方面。
一是業(yè)務(wù)分布式單元化部署需要網(wǎng)絡(luò)架構(gòu)能夠提供泛在的網(wǎng)絡(luò)連接服務(wù);二是多中心間的流量調(diào)度需要網(wǎng)絡(luò)提供穩(wěn)定、可靠、安全的網(wǎng)絡(luò)域名服務(wù);三是云計(jì)算、大數(shù)據(jù)技術(shù)的大規(guī)模部署需要網(wǎng)絡(luò)提供高速率、大帶寬、彈性靈活的網(wǎng)絡(luò)服務(wù)。
2.監(jiān)管規(guī)范指引
隨著新技術(shù)和新業(yè)務(wù)場景出現(xiàn),各類監(jiān)管規(guī)范和指引陸續(xù)發(fā)布或更新,用于指導(dǎo)銀行科技合規(guī)穩(wěn)健發(fā)展。多中心建設(shè)涉及的災(zāi)備中心能力、災(zāi)備中心物理距離、同城和異地網(wǎng)絡(luò)、出口網(wǎng)絡(luò)等方面均有相應(yīng)的標(biāo)準(zhǔn)要求。商業(yè)銀行多中心網(wǎng)絡(luò)建設(shè)需在滿足上述監(jiān)管要求基礎(chǔ)上進(jìn)行,確保整體網(wǎng)絡(luò)規(guī)劃和建設(shè)符合最新的規(guī)范和指引要求。
3.日常網(wǎng)絡(luò)管理面臨的挑戰(zhàn)
目前,光大銀行采用業(yè)內(nèi)通用的“兩地三中心”架構(gòu),北京同城雙活數(shù)據(jù)中心通過網(wǎng)絡(luò)大二層結(jié)構(gòu)同時(shí)對外提供服務(wù)。該網(wǎng)絡(luò)架構(gòu)在同城雙中心場景下,為應(yīng)用提供了高可用性,但延展到多數(shù)據(jù)中心仍存在不少局限性,如流量繞行、環(huán)路風(fēng)險(xiǎn)和性能受限等。基礎(chǔ)網(wǎng)絡(luò)需要在確保現(xiàn)有生產(chǎn)業(yè)務(wù)運(yùn)行穩(wěn)定的前提下,實(shí)現(xiàn)二層網(wǎng)絡(luò)轉(zhuǎn)向三層網(wǎng)絡(luò),逐步完成底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施向多中心架構(gòu)轉(zhuǎn)型,存在一定的過渡期。
多數(shù)據(jù)中心網(wǎng)絡(luò)實(shí)踐
1.多數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)原則
多數(shù)據(jù)中心網(wǎng)絡(luò)依據(jù)以下原則進(jìn)行規(guī)劃建設(shè),打造支持多中心和多業(yè)務(wù)場景的網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)能力。
一體化:以業(yè)務(wù)為核心,統(tǒng)籌考慮應(yīng)用系統(tǒng)與網(wǎng)絡(luò)協(xié)同,實(shí)現(xiàn)多中心網(wǎng)絡(luò)架構(gòu)統(tǒng)一規(guī)劃。
高可靠:部署滿足多中心災(zāi)備需求的網(wǎng)絡(luò)能力。
易擴(kuò)展:根據(jù)業(yè)務(wù)需求實(shí)現(xiàn)網(wǎng)絡(luò)融合承載、邏輯隔離、模塊化部署,提高靈活擴(kuò)展能力。
高安全:依據(jù)監(jiān)管要求和規(guī)范進(jìn)行網(wǎng)絡(luò)規(guī)劃,提升網(wǎng)絡(luò)安全合規(guī)管控能力。
前瞻性:結(jié)合網(wǎng)絡(luò)、存儲、分布式數(shù)據(jù)庫、全棧云等技術(shù)發(fā)展趨勢,使光大銀行未來網(wǎng)絡(luò)架構(gòu)規(guī)劃滿足技術(shù)發(fā)展需求。
可行性:綜合考慮網(wǎng)絡(luò)和系統(tǒng)部署、搬遷的可落地性、技術(shù)復(fù)雜度和成本因素,確保現(xiàn)有架構(gòu)平穩(wěn)過渡。
2.多數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)策略
向多數(shù)據(jù)中心網(wǎng)絡(luò)轉(zhuǎn)型的過程并非一蹴而就,需在充分考慮二層網(wǎng)絡(luò)存在的架構(gòu)局限性和技術(shù)風(fēng)險(xiǎn)基礎(chǔ)上,根據(jù)應(yīng)用需求,結(jié)合多中心網(wǎng)絡(luò)架構(gòu)演進(jìn)方向,對基礎(chǔ)網(wǎng)絡(luò)架構(gòu)進(jìn)行重構(gòu),滿足多數(shù)據(jù)中心的接入需求。整體網(wǎng)絡(luò)轉(zhuǎn)型思路是以承載網(wǎng)為核心,以分布式域名解析系統(tǒng)和三層網(wǎng)絡(luò)區(qū)域國產(chǎn)改造為抓手,以同城DCI和光傳輸波分系統(tǒng)為支撐,為業(yè)務(wù)網(wǎng)絡(luò)分布式部署及大數(shù)據(jù)存算網(wǎng)絡(luò)等數(shù)據(jù)中心間的大流量提供高速網(wǎng)絡(luò)服務(wù),以數(shù)據(jù)中心服務(wù)器資源池化部署為依托,通過標(biāo)準(zhǔn)模塊化架構(gòu),實(shí)現(xiàn)快速靈活的交付服務(wù)。
3.多數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)實(shí)踐
(1)核心承載網(wǎng)。核心承載網(wǎng)是光大銀行多數(shù)據(jù)中心、多業(yè)務(wù)融合承載的網(wǎng)絡(luò)核心。按照層次化、模塊化設(shè)計(jì),核心承載網(wǎng)采用“核心+POP”雙層架構(gòu),基礎(chǔ)架構(gòu)彈性靈活,實(shí)現(xiàn)分布式數(shù)據(jù)中心、一級分行、分支機(jī)構(gòu)、外聯(lián)合作伙伴等網(wǎng)絡(luò)接入能力。核心層作為頂層穿越區(qū)域,以北京同城主要數(shù)據(jù)中心和異地?cái)?shù)據(jù)中心部署核心節(jié)點(diǎn)。POP層根據(jù)業(yè)務(wù)和地域?qū)傩远x各類匯聚節(jié)點(diǎn),后續(xù)按需擴(kuò)展,實(shí)現(xiàn)網(wǎng)絡(luò)快速部署、業(yè)務(wù)靈活接入。另外,根據(jù)業(yè)務(wù)屬性和接入范圍,規(guī)劃雙平面路由和業(yè)務(wù)邏輯通道,實(shí)現(xiàn)了業(yè)務(wù)流量負(fù)載分擔(dān)和業(yè)務(wù)邏輯隔離功能,為整網(wǎng)提供了高效、安全的數(shù)據(jù)傳輸網(wǎng)絡(luò)通道(見圖1)。
圖1 核心承載網(wǎng)
2019年,光大銀行在總分行一級骨干網(wǎng)率先建設(shè)基于SR-MPLS的SDN-WAN網(wǎng)絡(luò),實(shí)現(xiàn)了業(yè)務(wù)細(xì)粒度檢測與流量自動(dòng)調(diào)度,能夠敏捷感知運(yùn)營商線路質(zhì)量變化與業(yè)務(wù)服務(wù)質(zhì)量狀況。根據(jù)網(wǎng)絡(luò)隧道級能力,實(shí)現(xiàn)基于業(yè)務(wù)服務(wù)質(zhì)量感知的自動(dòng)切換,有效提升網(wǎng)絡(luò)運(yùn)維效率。基于SR的廣域網(wǎng)SDN技術(shù)通過線路資源精細(xì)化管理,挖掘線路資源潛力,在保障業(yè)務(wù)可靠開展的前提下,提高了廣域網(wǎng)線路帶寬資源利用率。
針對目前網(wǎng)絡(luò)調(diào)度管理方面缺少隨流即時(shí)檢測和實(shí)時(shí)業(yè)務(wù)質(zhì)量可視等問題,光大銀行結(jié)合金融廣域網(wǎng)技術(shù)發(fā)展趨勢,開展核心承載網(wǎng)SRv6的試點(diǎn)和部署,研究核心承載網(wǎng)SRv6的演進(jìn)路線和IPv6+的隨流檢測、應(yīng)用感知等技術(shù)。
(2)分布式域名解析系統(tǒng)。基于域名實(shí)現(xiàn)商業(yè)銀行多數(shù)據(jù)中心業(yè)務(wù)流量的調(diào)度,已成為行業(yè)主流解決方案,域名化改造也成為多中心建設(shè)中必不可缺的一環(huán)。域名化改造對整個(gè)域名系統(tǒng)提出了新的挑戰(zhàn),承載全行業(yè)務(wù)系統(tǒng)解析流量意味著域名系統(tǒng)需要極高的性能容量。作為流量調(diào)度的核心環(huán)節(jié),域名系統(tǒng)應(yīng)具備高可用架構(gòu)的支撐,同時(shí),其本身的安全性也將影響全行的業(yè)務(wù)系統(tǒng)穩(wěn)定性。
為滿足多中心場景下全行業(yè)務(wù)流量調(diào)度的需求,光大銀行在架構(gòu)方面將域名服務(wù)器按照根服務(wù)器、權(quán)威服務(wù)器和遞歸服務(wù)器進(jìn)行角色解耦,每一層角色服務(wù)器均在多中心進(jìn)行分布式的部署,各層級域名服務(wù)器之間實(shí)現(xiàn)完整的域名授權(quán)體系,單中心域名服務(wù)器通過負(fù)載均衡實(shí)現(xiàn)集群部署,增加域名系統(tǒng)整體可靠性和擴(kuò)展性,提升整體服務(wù)能力(見圖2)。在產(chǎn)品方面,引入國產(chǎn)產(chǎn)品進(jìn)行異構(gòu)部署,持續(xù)推進(jìn)應(yīng)用創(chuàng)新能力建設(shè);在安全和規(guī)范服務(wù)治理方面,設(shè)計(jì)針對DNS的相關(guān)安全防護(hù)措施和技術(shù)保障方案,提升域名服務(wù)系統(tǒng)安全管理水平。
圖2 分布式域名解析系統(tǒng)
(3)同城DCI和波分網(wǎng)絡(luò)。DCI和波分網(wǎng)絡(luò)是多數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)的重要組成部分,實(shí)現(xiàn)同城數(shù)據(jù)中心大流量高速傳輸通道,分擔(dān)承載網(wǎng)在同城數(shù)據(jù)中心間的傳輸壓力。
目前光大銀行已建成多套國產(chǎn)異構(gòu)品牌的同城高速DCIVxlan網(wǎng)絡(luò),為業(yè)務(wù)提供跨中心二層網(wǎng)絡(luò)互訪。DCI網(wǎng)絡(luò)采用點(diǎn)到點(diǎn)結(jié)構(gòu),根據(jù)業(yè)務(wù)類型和流量現(xiàn)狀,把各網(wǎng)絡(luò)分區(qū)分散接入各套DCIVxlan網(wǎng)絡(luò),通過合理規(guī)劃接入?yún)^(qū)域數(shù)量及超載比,實(shí)現(xiàn)整體規(guī)劃單套DCI超載比不超過4:1。后續(xù)隨著多中心接入,結(jié)合云、大數(shù)據(jù)、分布式技術(shù)發(fā)展趨勢,DCI網(wǎng)絡(luò)將基于三層網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)中心高速互聯(lián),滿足同城數(shù)據(jù)中心相同安全域不過防火墻的高速互訪需求(見圖3)。
圖3 同城DCI網(wǎng)絡(luò)
同時(shí),光大銀行采用光傳輸DWDM技術(shù)和運(yùn)營商裸光纖,建設(shè)同城高速波分光網(wǎng)絡(luò)。考慮到存量傳統(tǒng)二層應(yīng)用的網(wǎng)絡(luò)架構(gòu)對跨中心鏈路的時(shí)延、可靠性要求高,采用點(diǎn)對點(diǎn)按需組網(wǎng)方式構(gòu)建同城光傳輸波分網(wǎng)絡(luò)。
(4)數(shù)據(jù)中心資源池化部署。為了滿足數(shù)據(jù)中心資源池化統(tǒng)一部署需求,實(shí)現(xiàn)多業(yè)務(wù)融合承載和彈性擴(kuò)展,支持業(yè)務(wù)快速敏捷交付,光大銀行以網(wǎng)絡(luò)安全域規(guī)范作為數(shù)據(jù)中心資源池標(biāo)準(zhǔn)化的基礎(chǔ),將邏輯層面的網(wǎng)絡(luò)安全域與物理層面的資源池形成映射。
在網(wǎng)絡(luò)安全域?qū)用妫凑铡鞍踩蛞?guī)劃合規(guī)、安全域結(jié)構(gòu)精簡、同質(zhì)區(qū)互訪高效、邏輯區(qū)靈活擴(kuò)展、云內(nèi)外安全一致”的規(guī)劃原則對原有網(wǎng)絡(luò)安全域進(jìn)行重建,根據(jù)業(yè)務(wù)屬性及安全防護(hù)等級,規(guī)劃了互聯(lián)網(wǎng)DMZ、三方DMZ、生產(chǎn)業(yè)務(wù)、IT管理、開發(fā)測試等安全域。在資源池層面,數(shù)據(jù)中心資源池參照網(wǎng)絡(luò)安全域規(guī)劃,根據(jù)業(yè)務(wù)的不同傳輸需求,形成相應(yīng)的多中心資源池組網(wǎng)標(biāo)準(zhǔn)架構(gòu),減小廣播域和沖突域范圍,增強(qiáng)擴(kuò)展性,降低全局性風(fēng)險(xiǎn)。
展 望
本文探討了商業(yè)銀行數(shù)據(jù)中心從“兩地三中心”向多數(shù)據(jù)中心轉(zhuǎn)型場景下基礎(chǔ)網(wǎng)絡(luò)總體部署策略,包括核心承載網(wǎng)、分布式域名系統(tǒng)、同城數(shù)據(jù)中心互聯(lián)網(wǎng)絡(luò)、同城波分網(wǎng)絡(luò)、數(shù)據(jù)中心資源池化的建設(shè)實(shí)踐和思考。
多數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)及配套應(yīng)用多活改造是一項(xiàng)復(fù)雜的系統(tǒng)工程,在具體網(wǎng)絡(luò)建設(shè)和應(yīng)用部署過程中還會遇到新的問題和挑戰(zhàn),我們將結(jié)合業(yè)務(wù)需求持續(xù)研究完善,積極推進(jìn)金融科技網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型,打造堅(jiān)實(shí)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,逐步實(shí)現(xiàn)“兩地三中心”向多數(shù)據(jù)中心災(zāi)備架構(gòu)演進(jìn),通過科技賦能產(chǎn)品和服務(wù),助力光大銀行實(shí)現(xiàn)財(cái)富管理銀行的戰(zhàn)略愿景。
(欄目編輯:張麗霞)
責(zé)任編輯:Rex_31
營業(yè)執(zhí)照公示信息