編者按:興業(yè)數(shù)金金融云在銀監(jiān)會(huì)的監(jiān)管和指導(dǎo)下已開(kāi)展了十年的金融服務(wù)業(yè)務(wù)���。通過(guò)四朵云為客戶及生態(tài)鏈提供全方位的解決方案�,包括銀行云�����、非銀云��、普惠云和數(shù)金云�。其中�,數(shù)金云是面向興業(yè)銀行集團(tuán)內(nèi)、外部客戶��,提供金融級(jí) IaaS平臺(tái)����、金融級(jí)PaaS平臺(tái)、銀行級(jí)IaaS平臺(tái)���,以及覆蓋金融全行業(yè)的端到端解決方案�。目前��,興業(yè)數(shù)金已累計(jì)服務(wù)超350家合作銀行���,有400項(xiàng)從基礎(chǔ)設(shè)施到解決方案的服務(wù)品種���,成為國(guó)內(nèi)領(lǐng)先的銀行信息系統(tǒng)云服務(wù)平臺(tái)��。那么�,興業(yè)數(shù)金是如何解決金融云平臺(tái)的運(yùn)維與合規(guī)難題�,走向金融科技應(yīng)用前列的呢?
實(shí)際上��,興業(yè)銀行在金融科技的浪潮中主動(dòng)擁抱新技術(shù)���,領(lǐng)先完成了網(wǎng)絡(luò)和云平臺(tái)選型����,邁出了數(shù)字化轉(zhuǎn)型的第一步���。興業(yè)數(shù)金很快發(fā)現(xiàn)傳統(tǒng)的運(yùn)維監(jiān)控方式已經(jīng)無(wú)法匹配云時(shí)代的技術(shù)架構(gòu)�。怎么辦�����?只能迎頭趕上����,繼續(xù)創(chuàng)新,應(yīng)對(duì)轉(zhuǎn)型后的新挑戰(zhàn)�。
第一步 | 可視化打開(kāi)虛擬網(wǎng)絡(luò)的“黑盒”
云計(jì)算、軟件定義網(wǎng)絡(luò)(SDN)等架構(gòu)的引入為金融服務(wù)水平的進(jìn)步奠定了基礎(chǔ)�����,卻也帶來(lái)了管理和運(yùn)維上的挑戰(zhàn)——從前���,服務(wù)器集群組成一個(gè)業(yè)務(wù)系統(tǒng)���,再配置交換機(jī)便完成了部署。這樣的架構(gòu)使得出現(xiàn)問(wèn)題時(shí)非常好定位���。而如今����,隨著多租戶環(huán)境中虛擬網(wǎng)絡(luò)流量的日益增長(zhǎng)��,租戶業(yè)務(wù)系統(tǒng)中應(yīng)用和服務(wù)的調(diào)用關(guān)系越來(lái)越復(fù)雜����,租戶內(nèi)部以及租戶與租戶之間東西向的網(wǎng)絡(luò)鏈接和安全狀況卻是“黑盒子”。在實(shí)際操作中���,業(yè)務(wù)部門報(bào)障后���,云平臺(tái)的運(yùn)維管理人員則需要對(duì)問(wèn)題進(jìn)行排查和定位����,由于傳統(tǒng)物理網(wǎng)絡(luò)的監(jiān)控工具缺少對(duì)虛擬網(wǎng)絡(luò)流量數(shù)據(jù)監(jiān)測(cè)的能力��,Overlay網(wǎng)絡(luò)內(nèi)部一直處于“黑盒”狀態(tài)��,無(wú)法掌握東西向流量與租戶業(yè)務(wù)���、虛擬機(jī)��、虛擬網(wǎng)元之間的對(duì)應(yīng)關(guān)系�,整個(gè)業(yè)務(wù)鏈路究竟哪段出現(xiàn)了問(wèn)題���,讓運(yùn)維人員難理頭緒�。
興業(yè)數(shù)金的第一步��,進(jìn)行全網(wǎng)流量精準(zhǔn)采集���,使虛擬網(wǎng)絡(luò)全景可視化��。首先數(shù)金云在同城雙數(shù)據(jù)中心部署一體化的虛擬網(wǎng)絡(luò)流量采集與分析平臺(tái)�����,通過(guò)對(duì)接現(xiàn)有OpenStack云平臺(tái)并自動(dòng)化部署輕量級(jí)用戶態(tài)的采集器�����,完成大規(guī)模云網(wǎng)絡(luò)的全景圖繪制���,該全景圖是解決網(wǎng)絡(luò)問(wèn)題的總?cè)肟冢ㄟ^(guò)對(duì)全景圖上異常流量的監(jiān)控和告警���,云平臺(tái)的運(yùn)維人員可第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)問(wèn)題��,然后進(jìn)行端到端診斷����,并進(jìn)行分析和取證��;對(duì)于業(yè)務(wù)層問(wèn)題的診斷需求����,可以使用分發(fā)功能將相關(guān)流量發(fā)給第三方工具進(jìn)行分析�。
第二步 | 回溯分析破解運(yùn)維“迷局”
業(yè)務(wù)報(bào)障之后�����,運(yùn)維團(tuán)隊(duì)主動(dòng)復(fù)現(xiàn)問(wèn)題�,本是很平常的操作,但在金融領(lǐng)域�����,復(fù)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)的問(wèn)題����,存在很大用戶體驗(yàn)風(fēng)險(xiǎn)。而且��,運(yùn)維人員排查過(guò)程中可能無(wú)法復(fù)現(xiàn)故障�����,問(wèn)題難以根除�����。這樣的情況下��,回溯分析就顯得十分必要了。
興業(yè)數(shù)金通過(guò)云網(wǎng)環(huán)境中基于流的多維度回溯分析���,自定義流量關(guān)鍵字搜索,全景式重現(xiàn)指定時(shí)段相關(guān)網(wǎng)絡(luò)的流量特征��,為取證�、排障等應(yīng)用場(chǎng)景提供原始數(shù)據(jù)的支撐。當(dāng)運(yùn)維人員排查問(wèn)題時(shí)�����,可以以時(shí)間點(diǎn)為標(biāo)簽輕松抓出與此相關(guān)的一切網(wǎng)絡(luò)信息�����,從而實(shí)現(xiàn)迅速發(fā)現(xiàn)問(wèn)題并排查故障根源���。
第三步 | 策略驗(yàn)證確保安全合規(guī)的“金字招牌”
隨著互聯(lián)網(wǎng)金融的發(fā)展����、業(yè)務(wù)上云的推進(jìn)���,國(guó)家的監(jiān)管力度也越來(lái)越大�����。不僅僅有《網(wǎng)絡(luò)安全法》的出臺(tái)�����,工信部�、銀監(jiān)會(huì)也都推出了相應(yīng)的部門法規(guī)。而這些政策縮緊反映在技術(shù)端�����,則表現(xiàn)為對(duì)基礎(chǔ)設(shè)施越來(lái)越嚴(yán)苛的要求���,尤其是審計(jì)的要求����。
此外���,金融上云給技術(shù)帶來(lái)的新挑戰(zhàn)是�,傳統(tǒng)環(huán)境下的策略在云端是否都需要一一跟隨��。為求保險(xiǎn),運(yùn)維人員不敢輕易刪除安全策略�,只能在安全問(wèn)題發(fā)生之后再去增補(bǔ),導(dǎo)致安全策略愈積愈多�。隨著上云業(yè)務(wù)的逐漸增多,安全策略的配置也愈發(fā)復(fù)雜����。大量的新增安全策略和變動(dòng)也增加了網(wǎng)絡(luò)設(shè)備的負(fù)擔(dān)�����,影響了網(wǎng)絡(luò)效率�,最終降低業(yè)務(wù)的訪問(wèn)質(zhì)量。
興業(yè)數(shù)金從網(wǎng)絡(luò)流量的視角出發(fā)�����,通過(guò)自動(dòng)學(xué)習(xí)云環(huán)境中的網(wǎng)絡(luò)策略��、采集并分析云環(huán)境中的網(wǎng)絡(luò)流量����,協(xié)助運(yùn)維人員設(shè)置安全白名單策略驗(yàn)證,通過(guò)對(duì)比真實(shí)發(fā)生的流量是否違背技術(shù)人員編寫的網(wǎng)絡(luò)策略���,從而觸發(fā)告警��,以確保生產(chǎn)系統(tǒng)的安全可靠����。并且可將舊平臺(tái)的策略直接導(dǎo)入在新的平臺(tái)上,同樣通過(guò)流量分析和白名單驗(yàn)證���,觀察是否存在安全風(fēng)險(xiǎn)����。這樣�����,不斷驗(yàn)證策略是否生效����、是否足以表達(dá)用戶的安全意圖,從而保證網(wǎng)絡(luò)安全的萬(wàn)無(wú)一失�。
第四步 | 流量及性能量化做精細(xì)化運(yùn)營(yíng)的“小能手”
金融機(jī)構(gòu)的互聯(lián)共享,帶來(lái)了金融科技新的想象空間����。興業(yè)數(shù)金累計(jì)簽約客戶已經(jīng)超過(guò)360多家�,而且數(shù)量仍在持續(xù)增加中�,其中170多家的業(yè)務(wù)都托管在興業(yè)數(shù)金的云平臺(tái)上。在云平臺(tái)運(yùn)營(yíng)的初期�����,計(jì)費(fèi)策略主要是按照租戶帶寬進(jìn)行按月結(jié)算計(jì)費(fèi)����,但隨著租戶規(guī)模不斷擴(kuò)大和金融業(yè)務(wù)的增長(zhǎng),對(duì)計(jì)費(fèi)模式提出了新的需求����。興業(yè)數(shù)金迫切需要解決的則是如何以云服務(wù)運(yùn)營(yíng)者的身份�,通過(guò)精細(xì)化管理更好地為這些客戶提供靈活、個(gè)性化的服務(wù)��。
數(shù)金云依托全網(wǎng)流量的細(xì)粒度采集能力����,運(yùn)營(yíng)人員可以根據(jù)租戶需求自定義選擇任意日期范圍、不同時(shí)間粒度內(nèi)指定資源所生成的流量生成報(bào)表����。租戶通過(guò)個(gè)性化、詳實(shí)的數(shù)據(jù)可以更直觀的了解流量的使用情況。對(duì)平臺(tái)運(yùn)營(yíng)方來(lái)說(shuō)可以及時(shí)回收虛擬機(jī)����、帶寬等閑置資源,不但提高IT投資回報(bào)率也提高金融云整體服務(wù)水平��。
興業(yè)數(shù)金點(diǎn)亮云網(wǎng)黑盒 實(shí)現(xiàn)云網(wǎng)絡(luò)精細(xì)化運(yùn)營(yíng)
經(jīng)過(guò)這四步的穩(wěn)扎穩(wěn)打����,興業(yè)數(shù)金大幅提升了云網(wǎng)絡(luò)的運(yùn)營(yíng)效率,排障時(shí)間成功縮短到分鐘級(jí)���;成本上���,一套虛擬網(wǎng)絡(luò)流量采集分析系統(tǒng)可以將流量分發(fā)給不同平臺(tái)、不同分析工具復(fù)用���,大大節(jié)省成本�;管理上�,精細(xì)化運(yùn)營(yíng)讓整個(gè)流程更清晰可控、井然有序����。
對(duì)于為興業(yè)數(shù)金提供上述虛擬網(wǎng)絡(luò)流量采集與云網(wǎng)分析解決方案的云杉網(wǎng)絡(luò)來(lái)說(shuō)����,深耕數(shù)據(jù)中心網(wǎng)絡(luò)解決方案多年����,認(rèn)識(shí)到要解決上述問(wèn)題必須深刻理解業(yè)務(wù)和網(wǎng)絡(luò)的關(guān)系,即將網(wǎng)絡(luò)的拓?fù)?����、網(wǎng)絡(luò)的流量與其承載的業(yè)務(wù)進(jìn)行有機(jī)的關(guān)聯(lián)���。云杉網(wǎng)絡(luò)DeepFlow從虛擬流量的采集���、分發(fā)���、分析三個(gè)層面出發(fā)�����,用機(jī)器學(xué)習(xí)的方式分析虛擬網(wǎng)元及其配置信息�����、抽象網(wǎng)絡(luò)流量數(shù)據(jù)中的類型��、從業(yè)務(wù)的視角層層梳理網(wǎng)元與流量的特性�����,從而為客戶提供“采集分發(fā)”和“分析診斷”兩大解決方案��。
- DeepFlow采集與分發(fā)方案面向云端業(yè)務(wù)�����,支持用戶根據(jù)應(yīng)用和服務(wù)自定義精細(xì)的過(guò)濾策略���,支持OpenStack���、vSphere虛擬化環(huán)境。通過(guò)幫助用戶構(gòu)建大規(guī)模��、高性能����、一體化的監(jiān)控分析平臺(tái),從而提高云資源的利用率和云服務(wù)的安全性�����。
- DeepFlow分析與診斷方案以特定監(jiān)控對(duì)象(業(yè)務(wù)畫(huà)像)為起點(diǎn),通過(guò)在業(yè)務(wù)關(guān)鍵路徑實(shí)施監(jiān)控����,對(duì)其中的相關(guān)流量進(jìn)行逐步鉆取分析,從而快速定位問(wèn)題��。對(duì)于歷史問(wèn)題則采用網(wǎng)絡(luò)分析和回溯分析進(jìn)一步定位����,特殊場(chǎng)景下則需將相關(guān)網(wǎng)包發(fā)給第三方分析工具處理。
興業(yè)數(shù)金在與云杉網(wǎng)絡(luò)的合作下���,穩(wěn)扎穩(wěn)打擊破金融上云的各種網(wǎng)絡(luò)難題��,成就金融行業(yè)最佳應(yīng)用案例��。
