金融云数据中心方案 2017.8
目录 1 方案背景 2 方案规划 3 4 方案设计 案例介绍 2
金融行业业务发展趋势和挑战 确保传统业务安全 稳定增长, 守住已有优势 传统金融 存款 贷款 投资 理财 渠道业务 核心业务 业务发展 推出新产品和服务, 抓住稍纵即逝的巨大商机 互联网金融 移动银行 微信银行 直销银行 小额贷 移动化 互联网金融 利率市场化 政策变化 碎片时间利用, 并发数量大, 弹性特征明显 渠道创新,4K 人脸 指纹识别等要求具备大规模计算能力 杀手锏 应用, 快速开发 快速上线 快速试错 竞争激烈, 需要提供更丰富的产品和便捷的服务渠道 产品生命周期变短, 产品快速开发 快速上线 网络活动多, 波峰波谷交替成为新常态, 需要 IT 架构灵活弹性 竞争加剧, 混业经营成为趋势 以丰富的产品和低成本服务渠道创新留客 获客 营销计算和风险计算增加, 针对不同客户定价 风控和营销 银监会 39 号文对于银行自主可控持续创新和风险管控能力提出更高的要求 银监会十三五规划要求积极开展云计算架构规划, 制定云计算标准, 联合建立行业云平台, 主动实施架构转型 ; 3
当前建设 CloudBased 的架构支持往分布式应用的 CloudNative 架构演进的能力 现在 将来 过去 综合前置信贷理财移动支付 综合前置信贷理财移动支付抢红包 PaaS( 容器 中间件 微服务 ) 网上银行 虚拟化 手机银行 云管平台 IaaS VDC 服务计算服务存储服务 网络服务网络服务 灾备服务 云操作系统 FusionSphere OpenStack VMware FusionComput e X86 物理机 虚拟化 存储 SAN Server VMWare SAN FusionSphere 网络 FW Switch LB X86 物理机 虚拟化 VMWare FusionSphere 存储 SAN Server SAN 网络 FW Switch LB 开发 测试 生产 灾备 托管 开发测试 生产 灾备 托管 节省成本服务器虚拟化 基础设施快速交付跨数据中心统一监控 Cloud Native 以应用为中心的基础设施交付 4
云平台技术趋势 1. 云平台转向开放化 开源化架构 1 2 IBM/HP 等公司放弃私有云管理平台, 转向开放架构 各大主流云计算厂商都转向支持 Openstack, 获取广 泛的生态支持 社区活跃度 2. OpenStack 云平台有广泛的兼容性和架构演进能力 1 支持广泛的虚拟化平台 :KVM Xen Vmware Hyper-V 2 支持多种的网络设备接入 : 思科 华为 H3C 博科 3 支持多种存储设备接入 :HDS 华为 EMC IBM 4 已经通过 Magnum 项目支持容器 3. 容器编排和管理平台发展迅速 kubernetes Docker Swarm Mesos 1 2 3 Google 开放 Kubernetes, 具有较成熟的容器管理能力, 能够简单并快速的启动 移植并扩展集群 Docker 自己的 Swarm 平台也较为成熟 Apache Mesos 也是主流的容器编排和管理系统 私有到开放 : 云平台从私有平台逐步过渡到开放平台, 容器编排和管理平台发展迅速 简单到高级 : 云平台服务从基础的计算 块存储服务演进到弹性计算 应用部署服务 对象存储 容器服务等更高级的服务 广泛生态支持 :Openstack 聚集所有 IT 和云计算巨头, 获得广泛的支持, 成为开源云平台的事实标准 5
开源社区持续贡献 : 源于开源 优于开源 回馈开源 Kubenetes & CNCF 社区 Docker & OCI 社区 全球 TOP4 国内 TOP1 贡献 : commits 400+ 全球 TOP4 国内 TOP1 贡献 : commits 800+ 主导核心设计 : 主导设计集群联邦, 支持多调度器框架 亲和性调度策略, 集群部署 运维监控增强, 安全加固 CNCF( 云原生计算基金会 ) 初创成员 主导核心设计 : 动态资源调整, 各种安全加固措施, 增强各种资源限制, 增加 ARM64 支持, 运维增强, 容器重启策略 OCI( 开放容器倡议 ) 项目初创成员 6
目录 1 方案背景 2 方案规划 3 4 方案设计 案例介绍 7
目录 总体规划 1 建 2 用 3 管 存量基础设施 统一运营 统一运维 公有云接入 资源服务化 基础设施平台 应用上云 PaaS 应用平台 安全合规 容灾备份高可用 8
金融云需求场景域 9 用 : 应用上云 存量业务迁移 新业务上云规划 8 用 : 资源服务化 自服务能力 服务申请审批 统一运营 7 用 : 统一运营管理 租户用户资源配额及隔离 资源 SLA 及池化分级 资源服务化 : 自动化编排能力 资源使用计量计费 10 管 : 统一运维管理 对跨地域 跨机房 跨网络的异构资源 ( 物理设备和虚机 ) 统一拓扑呈现 告警监控 运维报表 现有第三方集成联动 (ITSM CMDB 等 ) 资源编排 统一运维 应用服务平台 虚拟化 SDN/SDS 虚拟化资源池物理资源池虚拟机化资源池 1 ( 机房 1) 新建机房 1 虚拟化 SDN/SDS 虚拟机化资源池 2 虚拟资源池物理资源池灾备机房 公有云 / 行业托管云 2 建 : 公有云接入 公有云 (AWS/HWS 等 ) 接入纳管 1 建 : 存量基础设施 3 建 : 基础设施平台 4 建 :PaaS 应用平台 5 建 : 安全合规 6 建 : 容灾备份高可用 混合云资源规划 存量虚拟化资源 ( 如 VMware) IBM Power 小机 支持多地域 多机房 资源池化共享 多计算资源池 ( 物理机 虚拟化 ) 基于容器和微服务的 PaaS 应用云平台构建 数据 / 网络安全等 G3/F3 合规等 建设两地三中心资源池 具备本地备份和跨地域容灾能力 SDN 网络自动化, 网络虚拟化 SDS 存储自动化, 分布式存储池 9
总体规划 : 金融行业云数据中心业务架构 自助服务 Console 框架 1 1 2 IaaS consle PaaS consle SaaS consle 2 2 应用超市 Portal 订单 Console 运维 Console SaaS 开发云 桌面云 3 rd PaaS DB CAE 大数据 运营平台 运维平台 安全基础防护 IaaS 计算虚拟化存储虚拟化网络虚拟化 服务器存储网络防火墙 1 2 构建基础云平台满足自身内部业务需求 : 基础设施资源和应用服务自助供给能力, 先行满足内部业务需求建设运营运维和行业应用生态, 监管合规体系, 支持行业云服务输出能力建立面向行业内的 SAAS 应用开发及管理的运营运维平台及体系 ( 计量计费 运维边界 ), 具备行业服务输出能力重点应对银监会 / 证监会等监管机构检查要求, 在机房条件 物理空间 资源隔离方面要满足安全可靠审计等方面的监管要求 10
金融云数据中心逻辑架构 应用层 XX 应用 XX 应用 管理域 服务层 应用节点自动化编排 计算服务 虚拟主机 物理机 存储服务 块存储服务 对象存储服务 网络服务 VPC LB( 硬 ) 安全服务 VFW LB( 硬 ) 灾备服务 主机备份 主备容灾 数据服务 RDS 大数据 PAAS 服务 Docker 微服务框架 运维管理资源管理告警呈现性能管理设备管理拓扑呈现 资源池 OpenStack DB 物理机发放 Web/App VM 发放 物理机集群 虚拟机集群 DB Web App 高可靠 物理机集群 DB OpenStack Web PaaS 平台 虚拟机集群 App 运营管理 用户管理 资源编排 资源调度 资源管理 服务目录 资源计量 安全管理 VPC 安全组 基础设施 SAN 存储资源池 存储自动化 SDS Controller X86 服务器 存储设备 主数据中心 分布式存储资源池 SDN Controller 网络设备 网络自动化 DCI SAN 存储资源池 X86 服务器 SDS Controller 存储设备 备数据中心 分布式存储资源池 SDN Controller 网络设备 VPN 接入安全控制 VFW 运维安全 灾备管理 备份管理 容灾管理 容灾流程编排 可视化管理 11
目录 总体规划 1 建 2 用 3 管 存量基础设施 统一运营 统一运维 公有云接入 资源服务化 基础设施平台 应用上云 PaaS 应用平台 安全合规 容灾备份高可用 12
云管平台 云管平台 服务目录文件镜像管理系统管理 用户 Portal 管理员 Portal 界面 Portal 云管平台 服务管理 资源管理 调度 ( 如 SLA 地域等 ) 用户管理申请审批管理变更管理 配置管理 (CMDB) IT 管理与运维自动化运维项目管理监控管理认证管理 自动化运维 性能管理 存储管理 容量管理 配置管理 (CMDB) 计量计费 适配层 1 资源统一集成管理 资源层 FusionSphere OpenStack VMware 小型机 公有云 (HWS AWS) 2 3 4 5 6 云内资源生命周期管理服务目录定义及编排自动化运维灵活分权分域支持计量计费管理 7 与现有 ITSM 及其它系统快速集成 需适配现有业务流程深度持续定制开发 8 架构开放支持灵活二次定制开发 13
统一纳管异构虚拟化 -WMware 华为虚拟化 Nova 计算资源池 vcenter ESXi TOR VDS Glance ESXi 物理服务器 云管平台 FusionSphere OpenStack Ironic Cinder 物理服务器 存储资源池 传统存储 Server SAN VC-agent 网络资源池 SDN 控制器 计算存储网络 虚拟网络 Neutron 物理网络 技术点 OpenStack 通过 VC-Driver 对接 vcenter, 实现对 VMware 虚拟机管理 网络资源通过 VC-agent 对接 VMware 的 VDS, 实现对虚机的网络管理 同时通过 Neutron 对接 SDN 控制器, 实现物理网络的自动化配置 通过 Cinder-Driver 对接 DataStore 实现存储管理 Nova-API Nova-Scheduler Cinder-API Compute-Node VC-Driver vcenter ESX 集群 Compute-Node VC-Driver vcenter ESX 集群 Cinder-Volume Cinder-Driver DataStore 客户价值新建云平台或云平台改造后, 客户需求虚拟化资源统一管理, 保留已有业务虚机, 平滑演进, 保护历史投资 14
支持小机自动化管理, 一键发放小机应用 服务平台 计算服务存储服务网络服务 PowerVM cli 适配器 HMC 技术点 对服务器的自动发现, 用户可以一键添加主机 可以对主机的物理资源进行统一的管理和分配 可以对资源使用状态实时监控, 并提供负载报警功能 提供对 Power 虚拟机的一键创建 删除功能, 实现了虚拟机资源的动态管理 查询虚拟机资源的使用情况 客户价值 小机与服务平台有机的融合, 实现统一的云 Lpar PowerVM 集群 Lpar 资源调度和管理 实现小机应用的一键发放 减少小机的维护成本 15
混合云总体架构 技术点 第三方运营运维 ManageOne 运营运维 嵌入式混合云架构, 可以方便地接入同构云 ( 华 为承建的专属云 HEC OTC) 与异构云 (AWS 云服务层 FusionSphere 多云资源协同层 云服务 API OpenStack API 等 ) FusionSphere 多云资源协同层从资源层面拉通不同的云资源, 形成逻辑上统一的多云资源, 北向提供标准的 OpenStack API 具备跨云统一镜像管理 跨云统一安全组 跨云部署 跨云备份恢复 跨云网络三层互通能力 不同云资源在逻辑上等同于私有云架构中的资源 池 AZ, 上层可以通过 AZ 名区分不同云资源, 在 用户使用体验上同私有云 私有云 CloudGW@ 专属云 政务 / 警务专属云 CloudGW@HEC 华为企业云 CloudGW@OTC 德电公有云 CloudGW@AWS 云管 (ManageOne 或第三方云管 ) 对接云服务层, 实现混合云运营运维 第三方运营运维可分别对接云服务层或 FusionSphere 多云资源协同层北向 OpenStackAPI 私有云侧提供 DC2 6.0 基线所有服务, 公有云侧 提供如下云服务 :IMS ECS EVS VPC EIP 等 16
异构 AWS 混合云实现架构 IMG ECS EVS VPC EIP VBS SBS Agent VM01 AWS 公有云 FusionSphere Cloud Gateway Agent VM02 从 AWS 公有云申请的资源 (VPC 账号 ) 混合云管理平台 FusionSphere OpenStack Cascading (Cloud Broker) Agent VM20 FusionSphere OpenStack Cascaded KVM 资源池 企业私有云 FusionSphere OpenStack Cascaded VRM 资源池 限制 : 1 混合云仅支持纯软 SDN 架构 2 暂不支持跨云弹性伸缩 跨云迁移 跨云网络大二层 跨云备份 / 恢复 3 在公有云侧仅支持混合云支持的服务, 在私有云侧支持 6.0 基线能力的所有服务 4 在公有云侧暂不支持 Windows guest OS 5 在混合云公有云侧的运维, 只能看到虚拟资源这一层, 看不到虚拟资源之下的物理资源的运维信息 BMS FusionSphere OpenStack Cascaded 物理机资源池 跨云部署 企业从 AWS 公有云申请一个账号 ( 共享给所有租户使用 ), 混合云通过 Cloud Broker 把从 AWS 申请账号内的虚拟资源以及企业私有云的资源统一管理, 形成逻辑上统一的多云资源池 AWS 账号内的虚拟资源池通过注入的 Cloud Gateway 与 Cloud Broker 协同实现统一管理 ; 实现统一镜像管理 统一安全组 跨云网络三层互通 租户界面可以看到所有的云服务, 但是在 AWS 上目前仅支持 IMG/ECS/EVS/VPC/EIP 等服务 混合云租户可以创建跨云的 VPC, 在 VPC 内创建不垮云的子网 ; 在发放业务时可以选择发放到公有云侧或私有云侧 17
目录 总体规划 1 建 2 用 3 管 存量基础设施 统一运营 统一运维 公有云接入 资源服务化 基础设施平台 应用上云 PaaS 应用平台 安全合规 容灾备份高可用 18
多数据中心统一管理, 多资源池统一管理 服务平台 计算服务存储服务网络服务 VMWare 适配器 OpenStack 适配器 PowerVM cli 适配器 功能层次说明 资源池管理 金融客户现网具有多个网络数据中心, 每个数据中心都具有多种不同的虚拟化资源池, 针对不同的虚拟化资源池需要有统一的服务平台进行统一管理 收益 支持多数据中心集中管理, 数据中心支持多种虚拟化技术统一管理 ; 云服务定义 资源分配灵活 可扩展 特性描述 生产数据中心 灾备数据中心 测试数据中心 多数据中心支持服务平台统一管理, 多个物理 Vmware 集群 Openstack 集群 PowerVM 集群 Vmware 集群 Openstack 集群 PowerVM 集群 Vmware 集群 Openstack 集群 PowerVM 集群 数据中心当一个管, 同时支持一个物理数据中心当多个虚拟数据中心用 异构资源池统一管理, 数据中心具有多个异构 虚拟化平台需要统一管理 服务器 存储网络 / 安全 服务器 存储网络 / 安全 服务器 存储网络 / 安全 19
资源规划功能层次 云管平台层 系统管理 运维管理服务定义 资源管理 运营管理服务使用 1 资源调度层 功能层次说明 资源调度层 1 流程调度引擎 OpenStack API OpenStack 作为基础设施资源的控制面, 采用开放框架, 负责异构资源的统一入云与灵活调度 ; 解耦底层资源与上层云管平台 计算调度 存储调度 网络调度 公共服务 2 资源池层 资源池层 2 作为基础设施资源的数据面, 采 计算资源池 KVM vcenter 物理裸机基础设施层 存储资源池 ServerSAN FC 存储 网络资源池 L2~L7 网络服务 数据中心 A 数据中心 B 用软件定义技术, 将计算 存储 网络资源优化整合, 为调度层提供标准化 高可用 弹性扩展的基础资源 2 20
OpenStack 定位 云管平台 标准 API 标准 API 定位 : 连接云内基础设施资源与云管平台唯 一通道 优势 : 化繁为简 ( 复杂变标准, 方便对接 ) 解耦 ( 例 : 与 KVM 可独立升级 ) 扩展 ( 支持大规模灵活扩展 ) 对于数据中心规模大 资源类别多 品牌多的 场景 需要一个开放的平台, 快速接入异构资源 统 一调度和管理 计算存储 网络 21
资源池规划思路 资源池层 计算资源池 存储资源池 网络资源池 VRM KVM 物理裸机 vcenter ServerSAN FC 存储 L2~L7 网络服务 分级分类 池化共享 自动化 对具备不同能力和适用范围的计算 存储 网络资 源进行分级分类 ; 实现资源合理利用和标准化管理 对基础资源池化并尽可能大范围共享, 提升利用效率 扩展能力 计算 / 存储资源池化共享 灾备与测试复用 ( 计算 网络共享 ) 部署 分配 管理自动化, 提升发放和运维效率 服务器自动化 存储自动化 网络自动化 22
计算资源分级分类 云计算云存储云网络 通过对计算资源进行分级分类, 实现计算资源发放与管理的规范标准化, 匹配不同业务需求 计算资源池分类划分维度 按部署形态 : 物理资源池和虚拟资源池 按网络分区 : 生产资源池和开发测试资源池 业务场景性能分级存储备注 VM 性能要求不高的场景 普通性能虚拟机分布式存储 (ServerSAN) 1. 通过规格大小区分普通性能 VM 性能要求较高的场景 高性能虚拟机 分布式存储 (ServerSAN) 虚拟机和高性能虚拟机 2. 相同部署形态的服务器规格 大数据 数据库 物理机 FC 存储 (SSD/SAS) 尽量归一化 23
统一纳管异构计算资源并实现自动化供给 云计算云存储云网络 数据中心 技术点 KVM 资源池 VMware 资源池 AZ1: KVM 资源池 AZ2: VMware 资源池 异构物理和虚拟资源统一云化调度管理 物理机通过 API 接入 Ironic VMware/ 华为虚拟化通过厂商 Driver 接入 Nova 小机及其它特殊环境归云管理平台直接管理 两种资源部署模式 Sub POD2 VRM 资源池 AZ3: VRM 资源池 单 OpenStack 多 AZ, 支持不同计算资源池 单 OpenStack 单一种类的计算资源 Sub POD2 裸机资源池 AZ4: 物理机资源池 小机及其它特殊环境 DMZ- 互联网 / 外联网 小机及其它特殊环境 内网 - 业务分区 客户价值 统一标准化 池化管理异构计算资源, 简化 IT 架构, 降低运维复杂度, 提升资源利用率 兼容传统的小机以及物理机, 保护客户已有投资 24
物理机纳管及自动化发放 云计算云存储云网络 云管平台 技术点 Nova Glance FusionSphere OpenStack Cinder Ironic SDS Neutron 通过 Openstack 的 Ironic 实现对物理机的池 化管理 计算资源池 华为虚拟化 VMware PXE Driver IPMI Driver TOR OS 物理服务器 存储资源池 传统存储 Server SAN 网络资源池 虚拟网络 计算存储网络 AC 物理网络 通过 PXE 实现物理机镜像的自动加载, 利用 IMPI Driver 实现对物理机上 下电以及重启等操作 通过 SDS 控制器实现自动化的存储划 ZONE 以及挂卷等操作 客户价值 DB 数据库仍需物理机承载, 物理机自动化可以实现应用系统的端到端自动化部署, 应用快速上线 大数据业务部署时需要并行发放大量物理机, 交付 Oracle DB 物理机资源时长从最多 1 个月缩短至 1 天 云平台自动化步骤客户自动化实现步骤人工操作步骤 自动化管理可以减少大量重复劳动, 快速发 放业务 25
统一纳管异构存储资源 FusionSphere OpenStack X86 虚拟化平台 IP 网络 Cinder 云管平台 Cinder-Volume Volume-Driver SDS 控制器 数据库服务器区 SAN 网络 云计算云存储云网络 技术点 X86 虚拟化场景使用 ServerSAN 承载虚机镜像等数据, 支撑高并发 弹性扩展业务 数据库 DB 服务器场景使用 FC SAN 承载数据库数据, 保障业务的稳定性和可靠性 通过各个存储厂商的 Driver 统一接入 OpenStack 客户价值 ServerSAN ServerSAN 适用场景 快速弹性伸缩 通用 x86 IP 组网, 降低成本 FC SAN( 金级 / 银级 / 铜级 ) FC 存储适用场景 对可靠性 稳定性要求高 技术成熟, 已被广泛验证 异构存储统一管理, 简化运维 兼容传统集中式存储设备, 保护客户投资 使用通用 X86 构建分布式存储, 降低成本, 弹性扩容 26
存储自动化 云计算云存储云网络 传统手工配置 云管平台 存储管理自动化 1 配置自动化 物理机 自动挂卷 SDS 控制器 相比存储传统手工配置, 可自动实现阵列, 交换机, 主机侧的相关配置 存储交换机 自动划 Zone 等 算法调度 服务等级 1 虚拟资源池 服务等级 2 服务等级 3 虚拟资源池 虚拟资源池 2 虚拟资源池异构存储虚拟化, 实现存储按服务等级统一分配 3 算法调度 自动创建 LUN, LUN 组, 主机组, 映射视图等 通过端口调度算法, 实现阵列负 载均衡, 通过物理池调度算法 存储阵列 ( 亲和性 / 抗碎片等 ), 满足存 储分配特定需求 27
网络资源规划 云计算云存储云网络 云管平台 网络资源分级分类 1. 安全隔离 : 根据不同安全等级划分为外网 开发测试和内网生产 3 类网络资源池 OpenStack 控制器 OpenStack 控制器 OpenStack 控制器 OpenStack OpenStack 2. 灵活部署 : 基于 VxLAN 技术, 网络架构采用 Spine-Leaf, 实现服务器接入与物理位置无关 网关组 1 网关组 2 网关组 1 网关组 2 网关组 1 网关组 2 网关组 1 网关组 2 3. 弹性扩展 : 同一类资源池内计算资源共享接入交换机, 针对不同安全等级业务构建多个网关组, 三层互访物理隔离 VxLAN VxLAN VxLAN VLAN 4. 传统网络上云 : 传统网络手工预配置, 通过云平台控制计算自动下发 外网区 开发测试区 生产区 1 生产区 2 28
统一纳管异构网络资源 云计算云存储云网络 云管理平台基础网络管理防火墙管理负载均衡管理 FusionSphere OpenStack Neutron SDN 控制器 Core/Service Plugin LB Plugin 技术点 由 SDN 控制器管理交换机以及防火墙, 实现 VXLAN 网络自动化配置, 北向与 OpenStack 对接 通过不同的插件实现 OpenStack 统一管理交换机 防火墙以及负载均衡设备 云管平台南向对接 Neutron API, 北向提供统一的网络配置及管理服务 VXLAN 客户价值 异构网络设备统一管理, 简化运维 Leaf 交换机 Spine 交换机 网关交换机 防火墙 负载均衡 通过 SDN 实现网络自动化配置 通过 VXLAN 技术实现大二层, 扩大资源 池, 提升资源共享率 29
实现网络自动化部署 云计算云存储云网络 Nova Neutron OpenStack Plugin/Agent 技术点 1 计算资源上线 / 迁移 / 卸载时, OpenStack 实现通过 Nova 和 Neutron 1 FW SDN 控制器 3 4 2 汇聚交换机 ( 网关 ) LB(F5) 的信息交互实现计算 网络信息交换, 下发相关的网络配置 2 通过 SDN 控制器实现对接入以及网关交换机自动下发 L2~L3 配置 3 通过 SDN 控制器实现对防火墙策略配置 接入交换机 (VTEP) OVS:Open vswitch 和自动化发放 (FWaaS) 4 F5 提供 OpenStack 插件, 通过云管平 台配置参数, 控制器接收 OpenStack 协 OVS OVS 同消息进行网络配置 VM1 VMn VM1 VMn 客户价值 端到端网络配置自动化, 支撑业务快速 上线及调整 30
目录 总体规划 1 建 2 用 3 管 存量基础设施 统一运营 统一运维 公有云接入 资源服务化 基础设施平台 应用上云 PaaS 应用平台 安全合规 容灾备份高可用 31
FusionStage 总体架构 32
PaaS 功能定义 微服务治理框架 : 为应用提供自动注册 发现 治理 隔离 调用分析等一系列分布式 / 微服务治理能力, 屏蔽分布式系统的复杂度 应用调度与资源管理框架 : 打通从应用建模 编排部署到资源调度 弹性伸缩 监控自愈的生命周期管理自动化 应用开发流水线框架 : 打通从编写代码提交到自动编译打包 持续集成 自动部署上线的一系列 CI/CD 全流程自动化 云中间件服务 : 应用云化所需的数据库 大数据 通信和应用中间件服务 ; 通过服务集成管控可集成传统非云化的中间件能力 管理面 数据面 PaaS 云管理系统 遗留应用 虚拟化应用 云化应用 代码版本管理 ERP 网银 CRM 电商 Web Email 持续集成 应用开发流水线框架 编译打包 IDE Websphere Weblogic Tomcat Java Go 轻量级通信 服务注册 服务发现 服务治理 故障隔离 C/C++ 调用分析 微服务运行与治理框架 混合编排部署 监控 & 自愈 自动弹性伸缩 应用调度与资源管理框架 跨云适配 服务集成管控 应用资源调度 RDS-MySQL 分布式缓存 Hadoop/MR 分布式消息 RDS-PostgreSQL Memcached Spark 弹性负载均衡 RDS-Oracle API 管理 数据库服务 大数据服务 应用中间件服务 云中间件服务 IaaS(FusionSphere OpenStack Vmware 等 ) 33
目录 总体规划 1 建 2 用 3 管 存量基础设施 统一运营 统一运维 公有云接入 资源服务化 基础设施平台 应用上云 PaaS 应用平台 安全合规 容灾备份高可用 34
云平台安全 : 自身安全无漏洞, 对接满足 G3&F3 合规 弱点管理 堡垒机双因素认证 VPN 网关 大数据分析平台 等 数据层 数据库审计 数据安全擦除 容灾备份方案 保 应用层 WAF 网页防篡改 安全沙箱 安 安 主机 主机入侵防护防病毒软件软件白名单终端管理软件 全 全合 虚拟化 虚拟资源隔离 云平台安全加固 VPC VDC 安全组 服务 规 网络安全交换平台防火墙 AntiDDOS 入侵防御 VPN 终端防病毒软件主机入侵防护主机防火墙 35
金融云高高可用设计 管理平台 互联网安全域 外联网安全域内网安全域数据库安全域 资源域 Fabric 资源域 Fabric 基础设施系统无单点故障 管理高可用 资源域 资源域 资源域 Openstack 控制节点高可用 OpenStack 控制节点 FSM OpenStack 控制节点 FSM AC Controller OpenStack 控制节点 DJ AC Controller FusionStorage 管理高可用 AC Controller 管理高可用 DJ 管理高可用 KV M KV M FusionStorage FusionStorage KV M KV M FusionStorage FusionStorage 裸机 裸机 FC SAN 计算高可用 虚拟机高可用 计算资源池 存储资源池 计算资源池 存储资源池 计算资源池 存储资源池 设备 / 链路高可用 服务器接入高可用 网络设备间高可用 网络资源池 (Fabric) 网络资源池 (Fabric) 网络链路高可用 36
云平台可靠性设计 管理层 管理可靠性 管理节点全冗余架构 管理数据备份与恢复 管理层系统统一监控告警 全局时间同步管理 管理数据一致性校验机制 健康检查工具 资源层 网络池 VM VM VM 计算池 VM VM VM 存储池 网络可靠性计算可靠性存储可靠性 网络路径全冗余网络分平面设计虚拟化网络流量控制网卡负荷分担 虚拟机 HA 虚拟机计划内热迁移虚拟机 OS 故障检测黑匣子 存储多路径, 数据多副本 基于快照的备份与恢复 虚拟机计划内存储热迁移 37
云部署方案 : 部署模型与原则 两地三中心场景, 一个 Region 对应一个 DC 全部数据中心 ( 两地三中心数据中心及其他机房 ) 物理模型 单数据中心 ( 成都 DC, 上海田林 DC, 上海宝山 DC 等 ) 机房模块 ( 可独立交付的机房模块, 有完整的供电制冷 ) 资源域 (KVM 虚拟化 物理机 ) 资源池 ( 普通 / 高性能资源池 高可用资源池 ) 机架计算节点 ( 服务器 ) 存储节点 网络设备 Region: 上海宝山上海宝山 DC 基础设施云平台 Region: 四川成都四川成都 DC 成都 上海 Region: 上海田林上海田林 DC 逻辑部署模型 业务分区 OpenStack 主机组 ( Host Aggregate) 部署单元 host( 计算集群 )+ 数据存储 38
云部署方案 : 部署单元设计 开发测试环境 A-20 B-20 C-20 D-20 S-20 A-19 B-19 C-19 D-19 S-19 A-18 B-18 C-18 D-18 S-18 A-17 B-17 C-17 D-17 S-17 A-16 B-16 C-16 D-16 S-16 A-15 B-15 C-15 D-15 S-15 A-14 B-14 C-14 D-14 S-14 A-13 B-13 C-13 D-13 S-13 A-12 B-12 C-12 D-12 S-12 A-11 B-11 C-11 D-11 S-11 A-10 B-10 C-10 D-10 S-10 A-9 B-9 C-9 D-9 S-9 A-8 B-8 C-8 D-8 S-8 A-7 B-7 C-7 D-7 S-7 A-6 B-6 C-6 D-6 S-6 A-5 B-5 C-5 D-5 S-5 A-4 B-4 C-4 D-4 S-4 A-3 B-3 C-3 D-3 S-3 A-2 B-2 C-2 D-2 S-2 A-1 B-1 C-1 D-1 ServerSAN S-1 服务器机柜机柜 标准化 设计考虑要素 描述 应用对计算 存储要求配比标准化 : 针对虚拟化资源池设计 ; 依据资源池发放虚机平均规格, 确定虚拟化比, 虚机数量 依据虚机平均规格及虚机数量, 确定 ServerSAN 服务器数量 部署单元示例 每柜服务器数量 生产 开发测试 16 20 机房规划 资源规划 模块化标准化快速交付 生产环境设计为 2 节点高可用计算集群 ; 开发测试设计为集群内高 机柜数量 2 1 高可用集群 高可用集群 A1-16 A2-16 B1-16 B2-16 S-16 可用性 可用 1 个计算集群对应 1 个计算机柜和 1 生产环境 A1-15 A2-15 B1-15 B2-15 S-15 A1-14 A2-14 B1-14 B2-14 S-14 A1-13 A2-13 B1-13 B2-13 S-13 A1-12 A2-12 B1-12 B2-12 S-12 A1-11 A2-11 B1-11 B2-11 S-11 A1-10 A2-10 B1-10 B2-10 S-10 A1-9 A2-9 B1-9 B2-9 S-9 A1-8 A2-8 B1-8 B2-8 S-8 A1-7 A2-7 B1-7 B2-7 S-7 A1-6 A2-6 B1-6 B2-6 S-6 A1-5 A2-5 B1-5 B2-5 S-5 A1-4 A2-4 B1-4 B2-4 S-4 A1-3 A2-3 B1-3 B2-3 S-3 A1-2 A2-2 B1-2 B2-2 S-2 A1-1 A2-1 B1-1 B2-1 S-1 适用性 个存储 pool 单存储池最少配置 4 台服务器 根据供电条件确定每柜服务器数量, 生产环境供电比开发测试环境供电低 Server SAN 服务器最小数量 8 4 39
云部署方案 : 云管平台数据中心部署 单中心部署 运维管理区云管平台 数据中心园区 部署原则 在同一个园区内, 可划分多个 POD, 每个 POD 部署一个或多个 OpenStack 将园区划分为多个故障隔离区域 (POD), 便于实现园区高可用 POD( 外网 ) POD( 开发测试 ) POD( 生产 ) 网络以 POD 为核心进行物理网络设计 默认情况下 POD 以机房为单位进行划分, 一个 POD 为一个机房 Sub POD FusionSphere OpenStack Sub POD FusionSphere OpenStack Sub POD FusionSphere OpenStack 一个 POD 部署一套物理独立的网络 Fabric, 还包括了其承载的一组 或多组计算和存储资源 一个 Sub POD 对应一套 OpenStack, 包含了计算 存储和网络资源 多中心部署 园区 : 上海田林 园区 : 上海宝山 园区 : 四川成都 运管区 云管平台 POD POD POD POD POD POD Sub POD Sub POD Sub POD Sub POD Sub POD Sub POD FusionSphere OpenStack FusionSphere OpenStack FusionSphere OpenStack FusionSphere OpenStack FusionSphere OpenStack FusionSphere OpenStack 40
资源安全隔离 应用系统在迁入云技术平台后, 自身的信息安全等级不会改变 应用系统在应用用户身份鉴别, 应用数据完整性和保密性保护, 应用信息审计, 应用软件容错码等要求不变 但主机安全 网络安全层面可与云平台进行结合 安全设计原则 : 安全设计在充分利用数据中心网络边界安全 终端安全管控 运维安全审计等项目的基础上, 重点考虑云平台内部的虚拟化平台安全 数据和资源隔离等信息安全等级保护的要求 安全适度原则 : 金融云的保护与部署的应用系统安全要求相匹配 最佳实践 : 参考业界最佳实践就高原则 安全优先原则 : 生产云 DMZ 区 ( 标准资源域 ) 2 生产云 DMZ 区 :DMZ 区与内网区计算和存储资源物理 隔离 网络资源物理隔离, 只在业务平面与内网互通, 管理平面不互通, 满足网络安全隔离的要求 3 生产云数据库区 : 保存关键业务数据, 需要与其他区域 采取必要访问控制措施, 一直部署在专属机房 生产云 数据库区计算和存储资源与其他区域隔离, 网络在业务 平面与内网互通, 管理平面不互通, 满足网络安全隔离 的要求 内网区 ( 标准资源域 ) 2 3 数据库区 ( 数据库资源域 ) 1 1 生产云与测试云物理隔离, 按两朵云建设 测试云 DMZ 区 内网区 数据库区 ( 标准资源域 ) ( 数据库资源域 ) 4 5 4 测试云 DMZ 区 / 内网区 :DMZ 区与内网区都是 VM 部署, 采用一个标准资源域 网络平面与内网 区做逻辑隔离 5 测试云数据库区 : 部署与生产云保持一致 41
资源安全可控 - 部署架构 根据前述云化部署原则确定云化部署目标视图, 包括安全域划分 安全域与 Openstack 集群对应关系 生产云 开发测试云 互联网安全域 外联网安全域内网安全域数据库安全域 互联网安全域 外联网安全域内网安全域数据库安全域 DMZ 区内网区数据库区 标准资源域 Fusionsphere Openstack 标准资源域 Fusionsphere Openstack 数据库资源域 Fusionsphere Openstack DMZ 区 / 内网区 标准资源域 FusionSphere OpenStack 数据库区 数据库资源域 FusionSphere OpenStack KVM 集群 KVM 集群 裸机集群 KVM 集群 裸机集群 FusionStorage FusionStorage FC SAN FusionStorag e FC SAN 1. 云网络区域包括 4 个安全域 : 互联网安全域 外联网安全域 内网安全域 数据库安全域 2. 互联网安全域 外联网安全域易受攻击, 部署独立的 Openstack 3. 内网区安全域 数据库安全域的安全级别不同, 分别部署单独的 Openstack 1. 安全域划分与生产云保持一致 2. 互联网安全域 外联网安全域 内网区安全域都是提供虚拟机, 采用一个 Openstack 部署 3. 数据库安全域部署单独的 Openstack 42
资源安全可控 - 物理网络架构规划 Intranet Internet 方案 : 1. 新增云网络区域, 接入到交换核心, 与其 主机区 原有业务区原有业 3 务区原有业 2 务区 1 数据库内网业 Fabric1 数据库内网业务 Fabric1 数据库资源务数据库业域 Fabric1 务 内网业务区 内网业务区 外联网隔离区 外联网隔离区 互联网隔离区 互联网隔离区 标准资源域 Fabric1 标准 FabricN 他原有区域互通 2. 新增云网络区域的物理分区采用 Fabric 架构, 一个物理分区可以承载多个逻辑业务分区 业务分区之间物理资源共享,VPN 逻辑隔 离 3. 云物理分区的 Fabric 有两种类型 : 标准资源 域的 Fabric( 部署 KVM 虚拟化, 提供应用 ECC 管理区 交换核心 (Intranet) 的 web/app 节点 ) 数据库资源域的 Fabric( 部署数据库, 提供应用的 DB 节点 ) 原有互联区 Internet 原有外联区 Intranet 广域网接入区 骨干核心区 用户接入区 原有网络区域新增云网络区域 43
资源安全可控 - 部署架构 Fabric 架构组件 : Fabric: 对应一个交换网络, 由一对或多对网关组, 加上一个 Spine- Leaf 网络组成 网关组 : 由一对网关交换机, 加一对或多对防火墙, 加一对或多对负载 均衡设备构成 交换核心 CORE CORE CORE CORE Spine 交换机 : 骨干交换机, 北向与网关组交换机全互联, 南向与所有 Leaf 交换机全互联,Spine 交换机之间不互联 Leaf 交换机 : 叶子交换机, 南向连接服务器, 北向连接 Spine 交换机 服务器双归连接到两台 Leaf 交换机, 这两台 Leaf 交换机堆叠部署或 M-LAG 方式部署 FW( 主 ) FW( 备 ) GW1 (VS1) LB( 主 ) GW1 GW2 LB( 备 ) (VS0) (VS0) 数据库网关组 GW2 (VS1) FW( 主 ) FW( 备 ) GW1 (VS1) GW2 (VS1) LB( 主 ) GW1 GW2 LB( 备 ) (VS0) (VS0) DMZ 网关组 FW( 主 ) FW( 备 ) GW1 (VS1) GW2 (VS1) LB( 主 ) GW1 GW2 LB( 备 ) (VS0) (VS0) 内网网关组 两种 Fabric 类型 : 1 标准 Fabric: DMZ 与内网区, 采用不同的网关组物理隔离 独立部署 ; SPINE SPINE SPINE SPINE DMZ 区域中 : 互联网 DMZ 和外联 DMZ 对应网关组逻辑隔离 ; 共享二层网络接入, 三层以上服务 ( 网关 FW LEAF VTEP Leaf-1 LEAF VTEP.. LEAF VTEP Leaf-N LEAF VTEP LEAF VTEP Leaf-1 LEAF VTEP.. LEAF VTEP Leaf-N LEAF VTEP LB) 通过逻辑隔离方式 (VPN 独立设备) 2 数据库 Fabric: 网关组由一对网关交换机 + 一对防火墙 + 一对负载 数据库资源域 Fabric 标准资源域 Fabric 均衡设备 44
场景 : 跨 DC 大二层满足双活业务快速恢复 跨 DC 大二层网络 : 两个 DC 数据库的集群要求大二层网络, 同时通过 SDN 控制器控制两个 DC 的网络设备满足 双活业务的快速恢复 ; DC1 GSLB DC2 LB 主 统一安全组 /ACL 策略 LB 备 SDN 控制器 Web/App Web/App Web/App Web/App SDN 控制器 虚拟 IP/ 网络大二层 DB 实时复制 DB 45
目录 总体规划 1 建 2 用 3 管 存量基础设施 统一运营 统一运维 公有云接入 资源服务化 基础设施平台 应用上云 PaaS 应用平台 安全合规 容灾备份高可用 46
云服务目录整体设计 VM 服务 X86 物理服务器 EBS 弹性 IP VPC vrouter vfw 应用模板 快速部署 弹性伸缩 计算服务 存储服务 网络服务 APP 服务 统一资源池 计算池 存储池 网络池 物理数据中心 灾备中心 1 主数据中心 资源整合 : 多数据中心统一逻辑资源池 灾备中心 2 47
IaaS 服务目录实现应用级资源编排调度及弹性扩容 应用运维人员 ESB 信贷网银应用 特性描述 IaaS 服务目录 应用节点组安装 数据库节点组安装 应用节点组扩容 参数配置 FusionManger 服务目录模板 Heat FusionspherOpenstack 软件安装配置脚本 基于金融应用实现资源编排调度 面向金融应用的服务目录 针对应用安装及扩容的服务目录模板, 可以外挂软件安装配置脚本 服务目录内部实现对大量复杂的 OpenStack API 进行调度编排 实现应用级资源弹性扩容 能够灵活设置扩容策略, 监控虚机状态, 满足扩容策略条件时自动扩容 扩容的时候会根据应用模板进行基础设施资源以及应用的自动化安装配置 计算网络存储 镜像查询 模板查询 虚机创建 存储创建 Openstack API 存储挂载 均创衡建组负载 加入衡组负载均 创建全网组络安 虚机启动 装中间配件置安 & 应配用置安装 & 第三方工具 Cloudinit/Puppet 监控工具安装. 主要价值屏蔽 OpenStack 的大量复杂 API, 易于集成 应用级的自动化编排, 应用上线时间由月缩短到天 可以根据业务需求快速扩容, 应对突发业务压力应用级资源扩容, 实现端到端的自动化部署配置 48
IaaS 服务目录实现应用级资源编排调度及弹性扩容 服务目录 云管平台 1 资源受理人 A 监控 计量 生产 VDC 开发测试 VDC 1 资源受理人 B A 中心 B 中心 软件仓库 ORACLE 软件仓库 ORACLE JDK WAS 2 2 JDK WAS 2 OpenStack OpenStack OpenStack OpenStack OpenStack 4 3 4 3 4 3 SuseLinux SuseLinux Windows 全行统一服务目录视图, 提供标准化和自定义的服务目录, 实现多种资源快速发放供给 标准化的服务发放管理流程, 提升资源供给的效率和规范化 通过选择平台提供的服务, 实现计算 网络 存储与基础软件资源的自动化联动供给 资源受理人登录云管平台, 通过 VDC 的服务目录实现跨地域多数据中心资源的发放管理 虚机发放成功后, 从就近的属地文件仓库下载基础软件实现自动安装部署 49
按金融应用级别对云资源池和应用中间件自动化部署, 编排 1 申请 XX 应用 业务发放应用服务目录 2 XX 应用申请的业务参数 满足应用开发 测试上线的业务流程 : 1. 应用人员通过自助平台申请 XX 应用, 填写 网络环境 WEB/APP VM Agent 应用软件 IP 操作系统 Disk DB 物理机 Agent 应用软件 IP 操作系统 Disk DNS 负载均衡策略防火墙安全访问策略 供应虚拟机 供应物理机 配置管理 FusionSphere OpenStack ( 虚拟化资源域 ) FusionSphere OpenStack + DJ ( 物理机资源域 ) 5 FusionSphere OpenStack + AC Agent 客户端 4 4 6 3 应用模板数据获取和更新 发放 WEB/APP 虚拟机节点 发放 DB 物理机节点 配置网络 : DNS FW 和 LB 策略 系统配置和软件部署 服务引擎 应用的参数 ( 应用名称 版本 规模等 ); 2. 参数进入到服务引擎中, 服务引擎服务整体业务的部署流程管理 ; 3. 服务引擎从配置管理中获取 xx 应用的详细信息 (AZ 物理区域 网络 OS 计算规格 存储 软件类型等 ); 4. 服务引擎调用 OpenStack 接口创建基础资源 ( 虚拟机 物理机 存储 网络 IP 资源 ) 5. 服务引擎从生成的节点中的 IP 等参数, 结合网络策略, 实现 DNS 部署 负载均衡策略和防火墙策略调用 OpenStack 接口, 并通过 AC 完成网络设备自动化配置 ; 6. 自动进行系统配置和一些通用软件配置 ; 7. 安装应用软件实例 VAIM 7 应用版本安装和配置 50
裸金属 ( 物理机 ) 原子服务 申请人员 环境部署需求 设备运维人员 设备上架 上电 KVM 安装操作系统 IP 地址配置 设备信息录入 cmdb 系统维护 ( 数据库 自动化 ) 需求评估确定 ( 会议 ) 物理机 网络运维人员 网络 IP 分配 布线 连通 存储光纤布线 防火墙开通 存储 LUN 挂载 数据库环境搭建 监控 工具类软件安装配置 各专业评估人员 审批流程 启动搭建 存储运维人员 存储划分 LUN 环境如果不涉及物理机则可省略 以网银为例 : 数据库 Oracle 需部署在 Linux 物理机环境, Web 与 App 需承载在虚拟机环境 Bare Metal Service 1. 镜像制作 安装自动化 2. 外部共享卷挂载与存储配置自动化 虚拟机 系统维护 网络运维人员 虚拟机发放 防火墙开通 中间件安装 负载均衡配置 应用节点信息录入 CMDB 安全人员特权用户上收安全软件安装 漏洞扫描 安全检查 预投产区应用系统部署 应用信息录入 cmdb 切换 IP 至生产区 应用维护 3. 网络配置自动化 4. 物理机全生命周期管理 ( 创建 删除 查询 启动 关闭 重启 ) 生产区应用系统部署 应用安装上线 应用系统上线 资源池构建阶段实现云设施实现云管平台实现 统计应用中,80% 数据库和 10% 应用只支持物理机部署, 新兴大数据应用需支持要物理机部署 51
服务流程 - 资源发放及交付 现在 申请资源准备资源发放资源交付基础系统安装更新采购基础环境准备 OS 安装投产用户监控软件安装 CMDB部署应用 应用测试及上线 部署需求 投产会汇报 存储规划 网络及存储布线 交换机配置 服务器上架 F5 负载评估 存储配置 F5 配置 防火墙设置 接入安全审计 SAN 识别 / 挂载 云平台建成后 资源池 (Server SAN/FC 存储 / 基础网络 / 物理服务器 /FC 存储自动化 / 计算 IP 地址池 ) 网络 存储自动联动 资源池构建 申请 资源发放 资源交付 审批及配额 更新 CMDB 虚拟机 / 物理机 (OS+ 卷 +IP+ 网络配置 ) 更新基础软件 (DB/ 中间件 ) 及监 CMDB 控软件自动部署部署应用 应用测试及上线 ( 防火墙 /F5 设置 ) Windows 加域 52
SLA 计量计费等 资源受理人 申请 / 变更 / 删除 / 回收 自定义属性字段 资源信息全记录 服务目录 虚机 WAS 集群数据库负载均衡 更新记录 VM 资源全生命周期信息记录与查询 自定义查询 云内资源生命周期管理 云内资源配置项 资源变动 ( 新建 变更 回收等 ) 信息数据自动更新和记录, 便于后续实现云内资源的变动情况追溯和统计分析 系统提供按部门 申请项目 申请人 受理人等多维度输出统计结果, 实现资源监控管理 统计分析等多种灵活管理要求 新建规格 部署资源池 规格变更 节点变更 回收时间 回收人员 建立时间 发放人员 变更人员 变更时间 释放资源 剩余资源 申请信息 受理人员 创建变更回收 53
云迁移 - 私有云场景 华为自研迁移工具 Rainbow 支持在线块级 在线文件级迁移 Rainbow Server 支持基于华为 FusionSphere 云平台的 P2V 和 V2V 业务 迁移操作 支持 x86 架构主流物理服务器 虚拟化平台和 Linux Windows 等操作系统 迁移命令 数据传输 VM Rainbow sagent 源端服务器 /VM Rainbow dagent FusionSphere Rainbow Server: 工具控制端软件 Rainbow sagent: 迁移源端代理 Rainbow dagent: 迁移目的端代理 54
云迁移 - 公有云场景 华为自研公有云 迁移即服务 (MaaS, Migration as a Service) 支持业务从 Amazon 公有云 (AWS) 迁移至 DT 公有云 (OTC), 包含三种迁移场景 : Route 53 DNS DNS 虚拟机迁移 对象数据迁移 数据库迁移 EC2 LB 1 VM VM VM VM ELB ECS MaaS 优势 : 虚拟机迁移 一站式迁移服务 支持数据压缩 RDS S3 2 对象数据迁移 OBS RDS 全程加密传输 3 数据库迁移 55
目录 总体规划 1 建 2 用 3 管 存量基础设施 统一运营 统一运维 公有云接入 资源服务化 基础设施平台 应用上云 PaaS 应用平台 安全合规 容灾备份高可用 56
金融云运维全景视图 运维目标 : 业务连续性 ( 业务可访问 管理可访问 ) 故障影响范围 故障恢复时间运维对象 : 基础设施 资源池 云平台 应用运维组织 : 安全部 应用维护 云运营部 设备部 系统部 网络部运维场景 : 日常维护 故障处理 备份恢复 升级扩容 系统规划 系统建设 系统运维 专项支撑 管理平台 资源计算管理 ( 虚拟计算 网络 存储 ) 需求收集 项目管理 网络优化 网络设备 需求分析 方案可研 版本开发 工程建设 流程优化 性能调优 主机设备 概要设计 集成测试 XXX 详细设计 业务迁移 存储设备 方案输出 项目转维 57
金融云运营流程设计 云主机云硬盘物理机 虚拟数据中心 弹性 IP 服务审批 SC 审批服务资源确认 SC 审批服务 资源确认 SC 审批服务 资源确认 SC 审批服务 资源确认 SC 服务申请服务发布资源配置虚拟化配置 SC SC 云主机服务申请, 确认云主机云主机服务发布地域 模板 数量云主机服务创建服务目录配置用户 VDC VPC 配置 FusionSphere 模板制作级联可用分区配置资源分区关联群集接入虚拟化资源分区配置基础网络配置存储池配置 SC SC 云硬盘服务申请, 确认云硬盘宿主机 大小 SLA 数量云硬盘服务发布云硬盘服务创建服务目录配置存储池 SLA 标签存储池配置 SC SC 物理机服务申请, 确认地域 规格 数量物理机服务发布物理机服务创建服务目录配置物理机接入资源分区配置 SC SC 虚拟数据中心服务申请, 确认虚拟数据中心地域 配额虚拟数据中心服务发布虚拟数据中心服务创建服务目录配置用户 VDC VPC 配置 FusionSphere 级联可用分区配置资源分区关联群集接入虚拟化资源分区配置基础网络配置存储池配置 SC SC 弹性 IP 服务申请, 确认弹性 IP 的云主机和数量弹性 IP 服务发布弹性 IP 服务创建服务目录配置配置路由网络 ( 创建路由网络 申请公网 IP 申请弹性 IP) 配置公网 IP 地址池基础网络配置 FC 集群配置 FC FC 集群配置 FC 服务识别 确认云主机模板 ( 镜像 规格 基础软件 ) 识别云主机服务 确认云硬盘 SLA 识别云硬盘服务 确认物理机规格识别物理机服务 识别云数据中心服务 确认 IP 及 VLAN 识别弹性 IP 服务 58
金融云应急运维 机房管理员 系统管理员 应急场景 应急流程 应急对象 应急措施 云应用 大面积应用无法访问 核心应用主备故障 大面积应用无法访问应急流程 核心应用主备故障应急流程 数据库配置 指标 告警 异常 日志中间件配置 指标 告警 异常 日志集群软件配置 指标 告警 异常 日志业务应用配置 指标 告警 异常 日志 重新部署, 配置修复数据恢复 业务连通性测试 云服务 大面积云服务无法使用 大面积云服务数据损坏 云服务管理 Portal 无访问 大面积云服务无法使用应急流程 大面积云服务数据损坏应急流程 云服务管理 Portal 无访问应急流程 业务服务配置 指标 告警 异常 日志 云服务系统配置 指标 告警 异常 日志 配置修复, 系统重装数据修复, 配置恢复云服务告警消除, 云服务业务验证 虚拟化 大面积虚拟机故障 虚拟化运维 Portal 无法访问 大面积虚拟机性能慢 大面积虚拟机数据损坏 大面积虚拟机故障应急流程 运维 Portal 无法访问应急流程 大面积虚拟机性能慢应急流程 大面积虚拟机数据损坏应急流程 Guest OS 配置 指标 告警 异常 日志虚拟资源配置 指标 告警 异常 日志 PvDriver 配置 指标 告警 异常 日志虚拟化系统配置 指标 告警 异常 日志第三方配置 指标 告警 异常 日志 系统备份 系统重装 数据库修复 配置导入, 数据恢复 数据修复 VRM/FM 主备切换虚拟化平台功能测试日志告警 / 监控告警消除 网络配置 指标 告警 异常 日志 网络 : 集群切换, 链路切换, 设备 / 端口重置, 配置导 基础设施 存储整机故障 核心交换机双机故障 防火墙双机故障 存储整机故障应急流程 核心交换机双机故障应急流程 防火墙双机故障应急流程 存储配置 指标 告警 异常 日志安全配置 指标 告警 异常 日志服务器配置 指标 告警 异常 日志链路配置 指标 告警 异常 日志 入存储 : 双控切换, 多路径切换, 配置导入安全 :HA 切换, 防火墙旁路, 配置导入 59
外部系统对接 第三方定 制 UI( 运营 ) 计量数据 第三方 计费系统 第三方 网管系统 第三方定 制 UI( 运维 ) 对接流程 云平台与现网系统对接 金融客户数据中心多种运维平台并存对非云资源, 云资源同 报表定制 审批流程定制 运营, 云服务管理 Rest Open API 云运营 Service Center 云管平台 Rest/SNMP Open API 云运维 Operation Center 告警, 性能, 资源数据 第三方 SSO Server Email Server/ SMS 系统 AD Server 时进行运维管理 运维人员基于统一数据中心管理平台通过华为云管理平台对异构云资源池进行统一运维管理 对接效果 采用开放接口把多种系统集成至统一平台, 实现操作统一, 信息统一, 流程统一, 保证客户运维效率, 不更改其使用 习惯 Openstack API Rest/SNMP API OpenStack OpenStack esight /ZOHO /CA KVMVMware FC VMware FC 物理设备 ( 计算, 存储, 网络 ) Rest/SNMP API ITIL / ITSM 对接接口 对统一平台提供运维功能及接口 ( 审计, 故障分析, 存储监控, 进程监控, 日志管理, 高级报表功能, 异构混编等功能, 提供 CMDB 接口, 性能接口, 事件接口, 日志接口, 事件接口, 界面接口, 认证接口 ) 实现统数据中心统一管理无须多系统功换, 简化运维, 提高效率 60
目录 1 方案背景 2 方案规划 3 4 方案设计 案例介绍 61
金融生产云助力某大行建设私有云 云管理者云使用者云维护者 解决方案 服务视图管理视图服务视图维护视图 智能运维平台 DCAP 监控服务部署服务维护服务分析服务 存储资源池, 单集群规划 2PB 容量, 可供应 1 万台以上虚机 基于华为增强的 Openstack 基础设施云架构, 统一管理分配计算 存储 网络资源 应用平台云 (PaaS) PaaS 服务接口 (GUI/API) 基于服务目录的运维平台设计, 实现应用快速部署及扩容 领先的全松耦合 Fabric 网络架构, 配合 Vxlan+SDN, 实现网络自 动化和网络自助服务 容器管理 注册管理 路由控制 基础设施云 (IaaS) IaaS 服务接口 (GUI/API) 计算管理 存储管理 网络管理 计算资源池 存储资源池 网络资源池 PC 服务器 存储设备 网络设备 云化基础设施 流程编排调度执行引擎 传统基础设施 客户价值 应用 / 专业人员自助服务覆盖率达到 80% 应用 / 专业服务平均交付时间缩短到几小时 服务器虚拟化率 100%, 存储虚拟化率 100%, 计算资源平均利用率 70%, 存储平均利用率 90% 支撑总行数据中心和 72 家一级分行数据中心 2016 年总行 10 个应用上云 到 2018 年总行和一级分行 所有开放平台应用上云 62
助力 XX 银行搭建 两地三中心 金融私有云 方案及客户收益 创建单台虚拟机创建 WAS 集群创建数据库 RAC 配置负载均衡 利用 VDC 模型实现两地三中心资源统一 云管平台 生产服务目录 全局服务目录 开发测试服务目录 管理 通过服务目录自定义编排实现业务快速 生产 VDC 开发测试 VDC 部署 运维服务化, 实现统一自动化运维 软件仓库 ORACL E JDK WAS 上海 北京 软件仓库 ORACL E JDK WAS 通过 SDN 实现网络自动化部署 兼容 VMware FC SAN 等传统资源, 业 务平滑迁移 OpenStack OpenStack OpenStack OpenStack OpenStack 63
广东农信 : 基于云平台的微服务架构, 业务上线整体提速 江门银电 融合农商行交费易 肇庆行政事业收费 肇庆代收罚没款 客户挑战与需求 97 个地市法人分别开发中间业务, 代码重复率高 22 套地市前置系统烟囱式单独部署设备, 资源无法弹性 调度实时上线, 浪涌式业务支撑差 农信中间业务平台 应用版本更新迭代需求多, 升级部署速度慢 运行框架公共组件业务模型 先进数通金融交易微服务 FusionStage PaaS 云 敏捷中间业务云解决方案 华为解决方案 华为 Fusion Cloud 云平台 : 提供基于开源 openstack 架构的 IaaS 层技术和 Docker K8S Redis ELB 微服务框架等 PaaS 层技术 支撑先进数通实现基于 CloudNative 的运行框架 公共组件 业务模型等应用开 客户价值 Docker K8S Distributed Cache FusionSphere IaaS 云 ELB 敏捷开发 : 业务开发 上线时间 (TTM) 缩短到 1-2 周 ; 1000 多个中间业务总体应用代码量减少 50%+ 弹性部署 : 应用弹性伸缩, 资源动态分配, 轻松应对浪涌式访问冲击 计算资源池 存储资源池 网络资源池 一键运维 : 镜像封装部署, 调试工作缩短到 4 小时 ; 滚动升级, 灰度发布, 应用版本迭代 零 中断 64
FusionCloud: 助力证通打造私有云, 起航证券版银联 业务需求 证通公司作为证券行业基础平台, 有如下需求 业务量和 IT 需求高, 需要超大规模 IT 资源和计算能力作为支撑 保障业务可靠性与连续性 证通互联网金融业务的快速上线和横向扩张的需求 减少基础建设的整体建设和运营成本 帮助证通公司降低业务和技术风 云数据中心 证通搭建同城双数据中心, 亿利互联 通联 通过 FusionSphere 构建开发测试环境 准生产环境 生产环境 备生产环境 ; 保障可靠性与稳定性 通过 FusionStorage 构建基础存储池, 保障高 IOPS, 未来业务增长的平滑扩容 ManageOne 搭建私有云管理 建立 VDC, 优化管理运维 证通股份有限公司 ( 简称证通股份 ; 英文名称,E-Capital Transfer Co., Ltd, 英文简称 ECT), 是由中国证券监督管理委员会批复设立的 由国内顶尖证券行业机构以及中国证券登记结算有限责任公司共同发起设立的金融集团公司 证通公司将打通券商 私募等各种金融机构的账户, 搭建综合理财和支付一体化平台 打造 证券版的银联 云应用部署 识别并云化部署政通 IT 应用业务系统 4 个核心业务 : 联网通汇 居民身份核查 征信查询 远程开户 ( 规划 ) 2 个内部管理应用 : ECC 计费管理系统 65
300+ 金融客户包括 6 家 Top10 银行 66
THANK YOU Copyright 2016 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice.