北部湾银行拥抱云原生之路

VSole2022-12-26 09:55:26

数字经济的发展,推动了金融行业变革。在金融行业数字化转型过程中,金融机构在IT基础设施技术架构、应用业务上云、制度规范等方面,面临诸多挑战。对于区域金融机构而言,如何结合自身特点,利用数字化转型的发展契机提升科技服务水平和IT资源的现代治理能力,践行普惠金融和支持地方经济高速发展是当前的重要课题。

广西北部湾银行是顺应国家实施北部湾经济区开放开发战略,在原南宁市商业银行基础上改制设立的省级城市商业银行,于2008年10月挂牌成立。作为“广西自己的银行”,近3年来,北部湾银行主要经营指标翻番,资产质量优于全国全区同业平均水平,实现3年再造一个新北行,发挥了省级金融平台表率作用。北部湾银行加速拥抱数字化,加快完善IT架构,打造坚实的数字化基础设施,推动金融业务的创新,为企业的发展注入“云原生”之力。

云原生架构助力业务平稳发展

为加快实现由传统银行核心架构向金融生态体系架构的转变,北部湾银行按照“集约高效、共享灵活”的原则,以科技建设驱动全行业务升级。作为金融数字化转型的先行者,北部湾银行建设了生产和测试环境两套私有云平台,并以两个云平台为技术底座大力创新资源管理模式。

2021年,北部湾银行启动了统一决策引擎系统的建设项目,以便对信贷业务贷前的自动化审批决策进行优化,并根据业务特点,设计部署相应的贷前风控模型和策略,从系统层面上实现贷前风控决策的集中统一管理。

云技术与DevOps平台结合,推动流程管理自动化精细化

北部湾银行根据本行技术架构特点,确立云原生建设思路:基于新华三集团绿洲平台,打造IaaS、PaaS基础,加速建设一站式DevOps工作台,依托微服务、容器化架构,提高底层资源的使用率,确保业务的快速发展和创新,保障业务在高负载压力下稳定运行,圆满实现业务上云目标。

图    广西北部湾银行IaaS、PaaS平台架构

对于底层IaaS服务基础,北部湾银行于2020年构建了基于云原生虚拟化技术的计算、存储、网络等资源池,并完成了已有虚拟化资源的纳管,形成集中统一、具备可弹性扩展和动态分配的资源池能力。中间层包含容器、数据库、中间件、API网关、应用管理、应用运维等服务,为生产区、互联网区、开发测试区多个独立区域提供完整PaaS服务。应用服务层,针对不同业务进行不同的租户隔离,针对业务系统的不同,不同租户及用户有不同的操作权限,能保证传统存量系统应用和创新的微服务应用同时部署、统一管理,为银行应用逐步优化,不断创新提供有力保障,并为Devops流程自动化建设打下技术基础。

图 广西北部湾银行金融云架构

为降低对开发人员的要求,北部湾银行针对源码编译、应用打包、镜像构建、应用配置、容器部署等技术门槛要求较高的流程进行了优化,通过建设一套DevOps工作台,实现了开发、测试、生产各环节在制品管理、测试过程中的一致性和完备性。同时,打通了DevOps平台与云平台的镜像库中,提高开发效率。此外北部湾银行还基于私有云内置了平台级的快捷操作工具,确保所有应用在发布、回滚、灰度、监控、运维等环节都实现快捷操作。

在DevOps平台打通与云平台镜像接口后,北部湾银行业务系统中诸多应用环境搭建、应用部署等重复的工作目前都已经交由流程和工具自动化完成,减少了对人员和经验的依赖。同时,通过拉通数据、量化数据,实现项目的多维度精细化管理。

北部湾银行不仅完成了统一决策引擎等系统的顺利升级,通过打通云平台和Devops平台,还实现了面向互联网类业务、生产类业务和开发测试类业务所需IaaS资源和PaaS服务的自动交付。

升级微服务架构,助力应用敏捷开发快速迭代

DevOps一站式工作流程的成功应用,离不开微服务架构和容器化交付方式的落地。其中,微服务架构在部署过程中,需要按照业务能力进行垂直架构划分,即每个微服务完成一种特定功能,以便实现业务的独立开发、独立运行和独立部署,达到敏捷迭代的目的。

从促进业务快速发展和创新的角度,北部湾银行根据业务场景、流程、规则等,对原有应用进行了详细梳理,在不影响现有业务运转的前提下,基于业务逻辑、可扩展性、可靠性、性能等原则,将原有单体架构业务系统逐步分解为不同的微服务。

以统一决策为例,原系统所有模块都集中在一起,系统复杂、耦合度高、弹性弱。按照相关性原则,北部湾银行将风控应用进行了全新设计,共拆分成包括决策中心、监控中心、运维中心、管理中心等在内的21个微服务。分拆后,各应用之间耦合度大大降低,每一个微服务都具备完全的独立性,降低了系统复杂度,提高了决策效率,保证了弹性伸缩,部署时间由小时级降低到秒级。同时,可实现异常服务的快速恢复,以及对异常服务的限流、熔断、故障隔离等操作,最大限度地减轻了故障对正常业务的影响。

为了保证微服务的正常运行,按照微服务拆分原则,北部湾银行同时对该系统原有数据库进行了拆分,不同的微服务对应一个数据库服务中不同的子库。针对数据库性能需求,运行数据库的块存储可选用独立的高性能存储介质。通过云平台可实现数据库服务化,一键发放能力。从数据迁移上云到实现完整的数据库全生命周期管理,全新PaaS云平台下的云数据库服务,除了保证微服务的稳定运行外,同时减少了企业人力、物力成本支出。

构筑容器化平台,业务部署灵活弹性更安全

与其他金融机构类似,北部湾银行原有业务系统大量的应用由软件开发商定制开发。这些应用普遍存在交付方式、安装部署不统一的问题。在系统升级过程中,北部湾银行通过云原生系统,构建了容器云平台。在构建容器云过程中,北部湾银行将原业务系统各种组件和服务进行重新打包,将其纳入到CloudOS基础平台的统一安装框架中,实现基于Docker容器的自动化的安装部署。云平台PaaS层依托容器资源管理调度框架、开发流水线等实现用户业务系统容器化,提升资源利用率和弹性伸缩能力。与传统虚拟机技术相比,原有业务系统应用容器化改造之后更加轻量化,具有更高的性能和效率,可快速弹性满足业务峰值的负载要求。

根据银行内部业务情况,云平台PaaS支持SpringCloud、Kubernetes+Istio两种微服务框架。在运行过程中,业务部门可以基于业务系统的实际情况选择对应的微服务框架,大大提高了业务部署的灵活性。

银行业务系统容器化之后,PaaS平台可以对各容器进行无差异调度,实现了软件与基础环境的解耦,既方便应用的部署、改善了用户体验,同时提供了良好的安全隔离能力。以北部湾银行生产云平台为例,平台的容器组件采用了一个主K8S集群+多个子K8S集群的架构,为每个业务系统提供独立的容器云子集群,所有集群统一由主集群管理平台纳管,每个业务租户只能管理自己的容器云子集群,降低操作风险,保证各租户的网络以及权限隔离。

借助此次云原生架构升级,北部湾银行同时将内部1600百余台VMware虚拟机由云平台实现统一纳管,实现了业务的平滑切换。在云技术推广应用的过程中,北部湾银行逐步建立健全云原生技术改造规范及关键技术要求,使得应用开发厂商在业务升级及应用开发过程中,能够参照适配规范实施微服务应用程序优化,实现业务及应用快速上云,优化资源配置提升服务能力。

2021年底,北部湾银行统一决策引擎系统技术架构顺利完成升级转型,之后包括可视化建模平台、全渠道反欺诈、马上消费风控系统等在内的8个业务系统也陆续迁移上线并稳定运行,提高了银行的资源管理能力和公共服务水平。

2020年以来,北部湾银行坚持以客户为中心,以金融科技和业务创新为驱动,主动求变加速数字化转型。通过构筑坚实的数字化技术底座,为打造大数据驱动的敏捷银行,破除传统竖井式的系统架构,北部湾银行正逐步建立分布式、平台化、服务化、标准化的强后台、大中台、敏前台的技术架构体系和基础设施。不断加强金融科技生态合作,强化数字科技对金融服务的再造升级,牢牢构筑坚实的网络安全防线,北部湾银行将与合作伙伴一起,在未来发展中抢占先机,持续为推动社会进步做出地方银行的独特贡献。


应用架构云技术
本作品采用《CC 协议》,转载必须注明作者和本文链接
数年前,农业银行在总行层面规划和建设了VXLAN DCI(Datacenter Interconnect)网络核心,将内外网Fabric资源池通过DCI高速互联,并采用原创的多段式VXLAN和两级外部网络技术,实现跨Fabric的逻辑分区、资源调度及服务链功能,为原生应用提供超大规模的网络资源池。该架构业已成为大型金融数据中心网络的最佳实践和事实标准,被同业广泛采用。
随着大数据、物联网、计算、5G等关键技术的不断突破发展,企业大量的数据慢慢迁移到云端,业务上也已成为潮流和趋势,“原生”(CloudNative)作为一种新的应用程序开发和部署的方法,可以提高应用程序的可靠性、弹性和可扩展性,同时降低开发和运维的成本,采用原生的开发和部署模式正逐渐成为行业发展的趋势。
近日,中国信通院正式发布《计算白皮书》,中国信通院计算与大数据研究所副所长栗蔚对白皮书进行了解读。这是中国信通院第八次发布计算白皮书。全球计算市场增速反弹,我国计算市场保持高速增长。计算正在重塑企业IT消费模型,催生可变成本管理等问题,企业资源效益有待提升,技术与管理双轮驱动,引入资源动态调度机制促进资源效益提升。
2022年7月21日,由中国信息通信研究院、中国通信标准化协会联合主办的“2022 可信大会”在京召开。大会上,中国信通院正式发布《计算白皮书》,中国信通院计算与大数据研究所副所长栗蔚对白皮书进行了解读。全球计算市场增速反弹,我国计算市场保持高速增长。
该报告对28家WEB应用防火墙知名厂商从市场规模、功能、区域市场关注点和垂直市场关注点等多维度进行了综合分析和梳理,为客户选择专业的安全产品提供了重要的参考依据。
计算能帮助企业提升业务敏捷性并降低成本,但同时也增加了攻击面。根据IDC最近的一份报告,98%的组织在过去18个月中至少遭受过一次安全漏洞利用。大约79%的公司至少经历过一次数据泄露。Ponemon Institute和IBM的另一项研究发现,数据泄露给企业带来的平均损失高达361万美元。
以中国人民银行《金融科技(FinTech)发展规划(2019-2021)》为指导,民生银行坚持创新发展理念,深度融合技术和业务,主动转型科技架构,加速技术能力向业务价值转化,于2019年和2021年分别发布了《中国民生银行科技金融战略发展规划(2019-2022年)》和《中国民生银行五年发展规划(2021-2025)》。在技术能力方面,民生银行基于多年SOA、分布式、微服务和原生研发领域的经验积
按照相关性原则,北部湾银行将风控应用进行了全新设计,共拆分成包括决策中心、监控中心、运维中心、管理中心等在内的21个微服务。分拆后,各应用之间耦合度大大降低,每一个微服务都具备完全的独立性,降低了系统复杂度,提高了决策效率,保证了弹性伸缩,部署时间由小时级降低到秒级。借助此次原生架构升级,北部湾银行同时将内部1600百余台VMware虚拟机由平台实现统一纳管,实现了业务的平滑切换。
零信任安全不是一种特定技术、产品,而是一种基于“不相信任何人”理念的安全模型。Forrester[1]将零信任定义为“默认情况下拒绝访问应用程序和数据的信息安全模型。威胁预防是通过仅使用策略授予对网络和工作负载的访问权限来实现的,并通过跨用户及其相关设备的持续、上下文、基于风险的验证来通知”。包含以下四个原则:
打造稳定、安全、高效的金融底座
VSole
网络安全专家