為了進(jìn)一步推進(jìn)金融科技發(fā)展應(yīng)用，深化西南部地區(qū)金融機(jī)構(gòu)間的協(xié)同，提升服務(wù)實(shí)體經(jīng)濟(jì)水平，助推西部地區(qū)金融業(yè)高質(zhì)量發(fā)展，四川省計(jì)算機(jī)學(xué)會(huì)金融分會(huì)聯(lián)合《金融電子化》雜志社、中國(guó)信息通信研究院共同主辦，由成都銀行承辦，于2019年7月18、19日召開(kāi)了2019中國(guó)「成都」金融科技發(fā)展論壇。

金融行業(yè)在穩(wěn)步改進(jìn)系統(tǒng)架構(gòu)和云計(jì)算應(yīng)用的過(guò)程中，中大型金融機(jī)構(gòu)從傳統(tǒng)IT基礎(chǔ)架構(gòu)逐漸向云基礎(chǔ)架構(gòu)演進(jìn)時(shí)面臨了諸多的問(wèn)題與挑戰(zhàn)。云杉網(wǎng)絡(luò)CTO張?zhí)禊i在會(huì)上與來(lái)自西南地區(qū)國(guó)有銀行分支機(jī)構(gòu)、股份制銀行、城商行農(nóng)信社等信息科技部門的專家及領(lǐng)導(dǎo)共同探討了企業(yè)IT如何構(gòu)建混合云SDN網(wǎng)絡(luò)，分享了云杉網(wǎng)絡(luò)在金融、運(yùn)營(yíng)商、交通等行業(yè)的一體化云網(wǎng)解決方案。以下為演講實(shí)錄。

SDDC的現(xiàn)狀

不同行業(yè)根據(jù)自身的業(yè)務(wù)特點(diǎn)對(duì)于云計(jì)算基礎(chǔ)架構(gòu)的要求有所差異。金融企業(yè)對(duì)網(wǎng)絡(luò)的高可用、合規(guī)性等方面有很高的要求。SDDC即軟件定義的數(shù)據(jù)中心所涵蓋的范疇相對(duì)較大，包括計(jì)算虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化。在建設(shè)SDDC的時(shí)候不僅要考慮資源，更要以業(yè)務(wù)為核心去考慮如何構(gòu)建IT基礎(chǔ)架構(gòu)，實(shí)現(xiàn)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)的按需軟件化定義。SDDC構(gòu)建之后整個(gè)數(shù)據(jù)中心的IT技術(shù)架構(gòu)以服務(wù)的方式交付給業(yè)務(wù)系統(tǒng)，資源的管理編排實(shí)現(xiàn)高度的自動(dòng)化控制，未來(lái)軟件定義的數(shù)據(jù)中心趨勢(shì)是智能化的運(yùn)維與閉環(huán)控制，滿足業(yè)務(wù)彈性擴(kuò)展和平滑遷移。

在云計(jì)算核心技術(shù)中，網(wǎng)絡(luò)是重要且復(fù)雜的部分，需要考慮的因素包括物理網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)、安全、合規(guī)、運(yùn)維等諸多因素。SDN是實(shí)現(xiàn)SDDC網(wǎng)絡(luò)規(guī)劃的核心技術(shù)，主要體現(xiàn)在：

解決網(wǎng)絡(luò)自動(dòng)化配置，讓網(wǎng)絡(luò)具有可編程性，從而獲得很大的靈活性； 網(wǎng)絡(luò)可視化，云網(wǎng)絡(luò)本身很復(fù)雜，需要有強(qiáng)大可視化能力； 云網(wǎng)一體化，通過(guò)與云平臺(tái)對(duì)接提供網(wǎng)絡(luò)編排能力。

目前絕大多數(shù)的公有云、私有云都采用了SDN技術(shù)。這是一個(gè)逐步演進(jìn)的過(guò)程。從傳統(tǒng)的數(shù)據(jù)中心物理資源來(lái)看，計(jì)算資源、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)資源這三者雖然相關(guān)但融合度并不高。許多云平臺(tái)把計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)虛擬化以后，以相互之間隔離的邏輯將資源交付給租戶，在網(wǎng)絡(luò)層面對(duì)應(yīng)的就是VPC「Virtual Private Cloud」。VPC是交付給租戶的邏輯隔離網(wǎng)絡(luò)空間，與數(shù)據(jù)中心運(yùn)行的傳統(tǒng)網(wǎng)絡(luò)相似，托管在VPC內(nèi)的是在私有云上的服務(wù)資源，如云主機(jī)、負(fù)載均衡、云數(shù)據(jù)庫(kù)等。可以自定義網(wǎng)段、IP地址和路由策略等，并通過(guò)安全組和網(wǎng)絡(luò)ACL等實(shí)現(xiàn)多層安全防護(hù)。同時(shí)也可以通過(guò)VPN或?qū)＞€連通VPC與原有的數(shù)據(jù)中心，靈活部署混合云。

在公有云和私有云實(shí)現(xiàn)了VPC是不是就滿足了用戶的所有需求呢？在實(shí)踐中可以看到，對(duì)于全新的業(yè)務(wù)系統(tǒng)VPC很好解決了問(wèn)題，但對(duì)于需要兼容既有復(fù)雜IT環(huán)境的企業(yè)，VPC并不能完美解決問(wèn)題。公有云的VPC，目的是提供多租戶和資源隔離，強(qiáng)調(diào)的是業(yè)務(wù)的垂直性。比如很多企業(yè)可以在公有云上部署自身業(yè)務(wù)，這些業(yè)務(wù)之間一般沒(méi)有特別的關(guān)聯(lián)關(guān)系。特殊情況下，某些公有云實(shí)現(xiàn)了VPC和VPC之間的網(wǎng)絡(luò)通道，但這對(duì)于直接承載企業(yè)業(yè)務(wù)來(lái)講是遠(yuǎn)遠(yuǎn)不夠的。

資源的規(guī)劃要以業(yè)務(wù)為核心，業(yè)務(wù)的穩(wěn)定性和技術(shù)風(fēng)險(xiǎn)可控是技術(shù)選型的重要因素。很多情況下內(nèi)部業(yè)務(wù)之間的相互訪問(wèn)非常頻繁。某金融客戶的借貸業(yè)務(wù)，南北向的流量只有不到10M，但在內(nèi)部產(chǎn)生了超過(guò)1G的流量，業(yè)務(wù)區(qū)域之間東西向的流量有很多交互，某些場(chǎng)景中東西向流量可能是幾十甚至上百倍的大于南北向的流量。

另外，安全策略管控也是技術(shù)選型參考的重要因素，所有的業(yè)務(wù)之間都應(yīng)該具備安全隔離的機(jī)制，很多金融企業(yè)的IT環(huán)境中劃分了不同的安全域，跨區(qū)域的訪問(wèn)一般而言是需要經(jīng)過(guò)安全策略的。所以很多企業(yè)在實(shí)施云之后，因?yàn)闃I(yè)務(wù)太復(fù)雜，按照傳統(tǒng)VPC的邏輯很難梳理清楚，采用的是業(yè)務(wù)域VPC的實(shí)施方案。即VPC對(duì)應(yīng)的業(yè)務(wù)上的功能區(qū)，這樣可以很容易和原有IT資源區(qū)域?qū)?yīng)起來(lái)，降低業(yè)務(wù)遷移的復(fù)雜度。

SDDC建設(shè)目標(biāo)

當(dāng)用戶建設(shè)SDDC時(shí)，會(huì)面臨多種困難。首先是很多企業(yè)客戶不止一個(gè)數(shù)據(jù)中心或一套資源池，而數(shù)據(jù)中心整體IT架構(gòu)不是一天建成的，歷史上有不同廠商的設(shè)備、有不同類型資源池，混合資源池是常態(tài)。另一個(gè)是服務(wù)化的交付，原來(lái)純靠手工配置網(wǎng)絡(luò)、安全策略的時(shí)代過(guò)去了，必須實(shí)現(xiàn)高度自動(dòng)化的方式給業(yè)務(wù)部分實(shí)現(xiàn)自服務(wù)能力，不需要每天開(kāi)端口、配策略，需要把人力解放出來(lái)。再次是合規(guī)性，包括業(yè)務(wù)合規(guī)性、監(jiān)管要求、等保合規(guī)是必須滿足的。最后是可用性，從業(yè)務(wù)高可用方面必須達(dá)到高可用和容災(zāi)的要求，達(dá)到服務(wù)SLA的要求。