基于SDN的下一代金融云

1、基于SDN的下一代金融云1金融云理解與認(rèn)知金融云的研究與實踐后續(xù)工作與發(fā)展的思考金融云的理解定義金融信息技術(shù)發(fā)展到高級階段的必然產(chǎn)物金融服務(wù)數(shù)字化進(jìn)程中，底層IT支撐基礎(chǔ)設(shè)施的總稱金融屬性合規(guī)性：符合金融主管部門的合規(guī)性要求，如等級保護(hù)要求、IT審計等安全性：符合金融行業(yè)國家金融安全的要求，具備完備、嚴(yán)格的安全防護(hù)能力可用性：滿足金融業(yè)務(wù)國家重大民生服務(wù)的業(yè)務(wù)可用性要求，具備高等級的業(yè)務(wù)連續(xù)支撐能力服務(wù)能力：相比傳統(tǒng)架構(gòu)可以有效支撐金融創(chuàng)新，具備適應(yīng)業(yè)務(wù)發(fā)展的敏捷性金融架構(gòu)特征：必須滿足“兩地三中心”等金融行業(yè)特殊的金融架構(gòu)11月15日國務(wù)院常務(wù)會議明確提出“對云計算關(guān)鍵技術(shù)進(jìn)行突破，加快云計

2、算的應(yīng)用與研發(fā)的總體要求”，支持云計算關(guān)鍵技術(shù)研發(fā)和重大項目建設(shè)。201120122013201420152016阿里云在京正式宣布對外提供金融云計算服務(wù),該項服務(wù)也被稱之為“聚寶盆”,計劃面向2000多家區(qū)域銀行以及證券、保險、基金等金融機構(gòu)提供云計算服務(wù)。銀聯(lián)基于云計算的電子支付和電子商務(wù)綜合服務(wù)平臺項目得到發(fā)改委正式批復(fù)，列入2011年中央財政戰(zhàn)略性新興產(chǎn)業(yè)發(fā)展專項資金補助計劃（國家云計算示范工程項目）國際上PayPal、英國巴克萊銀行開始將自己的金融生產(chǎn)應(yīng)用遷移到云平臺上運行，比表示云平臺有效降低了金融成本，以及加速了業(yè)務(wù)敏捷性國務(wù)院印發(fā)關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動的指導(dǎo)意見，明確指出

3、“探索互聯(lián)網(wǎng)企業(yè)構(gòu)建互聯(lián)網(wǎng)金融云服務(wù)平臺”，“支持銀行、證券、保險企業(yè)穩(wěn)妥實施系統(tǒng)架構(gòu)轉(zhuǎn)型，鼓勵探索利用云服務(wù)平臺開展金融核心業(yè)務(wù)”。銀監(jiān)會印發(fā)中國銀行業(yè)信息科技“十三五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見指出，銀行業(yè)金融機構(gòu)要“積極開展云計算架構(gòu)規(guī)劃”，制定云計算標(biāo)準(zhǔn)，聯(lián)合建立行業(yè)云平臺，主動實施架構(gòu)轉(zhuǎn)型“。產(chǎn)業(yè)/企業(yè)政府監(jiān)管部門鼓勵金融企業(yè)上云，建云金融企業(yè)和互聯(lián)網(wǎng)企業(yè)都在探索金融云金融云發(fā)展動態(tài)互聯(lián)網(wǎng)+金融理財支付征信保險手機銀行手機錢包證券手機支付移動受理終端車聯(lián)網(wǎng)金融未來金融科技互聯(lián)網(wǎng)金融移動金融過去數(shù)年經(jīng)驗當(dāng)前與未來正在快速發(fā)展的“互聯(lián)網(wǎng)+金融”，以及未來“車聯(lián)網(wǎng)金融”等金融創(chuàng)新新形態(tài)，對金融云

4、技術(shù)發(fā)展也在不斷提出新的要求云計算新技術(shù)應(yīng)用確實支撐起了“互聯(lián)網(wǎng)金融”、“移動金融”等創(chuàng)新應(yīng)用的發(fā)展，對金融云“落地下雨”可行性有了明確判斷金融云是金融創(chuàng)新的基石，金融創(chuàng)新推動金融云發(fā)展大機構(gòu)金融云生態(tài)分析私有云托管云滿足自身信息系統(tǒng)升級，自建私有云，承載核心關(guān)鍵業(yè)務(wù)能力外延，向具有關(guān)聯(lián)關(guān)系（如集團(tuán)關(guān)系）的中小機構(gòu)提供托管云,復(fù)用私有云科技投入，加強集團(tuán)資源整合中小機構(gòu)私有云跟隨大機構(gòu)信息系統(tǒng)發(fā)展路徑，建設(shè)自己的私有云，核心關(guān)鍵業(yè)務(wù)承載托管云公有云行業(yè)云關(guān)聯(lián)關(guān)系是其模式的必須依托，因此單一托管云服務(wù)對象數(shù)量有限行業(yè)云資源利用率最佳體現(xiàn)與私有云實現(xiàn)資源互相拆借最適合的模式運營者屬性1：業(yè)務(wù)上必須

5、是中立第三方，無同業(yè)競爭運營者屬性2：金融監(jiān)管部門的認(rèn)可與支持是否滿足金融行業(yè)合規(guī)性技術(shù)與管理的要求，是限制其應(yīng)用的主要因素監(jiān)管部門鼓勵聯(lián)合建立行業(yè)云平臺，既能有效集中力量攻關(guān)關(guān)鍵技術(shù)，又能有效合規(guī)服務(wù)產(chǎn)業(yè)金融云生態(tài)展望金融行業(yè)云大機構(gòu)托管云大機構(gòu)私有云中小機構(gòu)私有云中小機構(gòu)私有云中小機構(gòu)私有云金融行業(yè)云、金融私有云、金融托管云共存互聯(lián)，云與云之間互通有無，以“云間互聯(lián)”的方式，統(tǒng)一提供金融服務(wù)“聯(lián)云”面臨的挑戰(zhàn)傳統(tǒng)架構(gòu) 云計算架構(gòu)面臨“多”的問題：云計算環(huán)境設(shè)備數(shù)眾多，如何有效管理海量設(shè)備面臨“新”的問題：云計算領(lǐng)域的新技術(shù)應(yīng)用需要巨大的學(xué)習(xí)與應(yīng)用成本面臨“變”的問題：云計算IT服務(wù)模式需要

6、改革如資源申請等IT流程，如資源操作等維護(hù)方式關(guān)鍵：缺乏核心關(guān)鍵技術(shù)架構(gòu)：網(wǎng)絡(luò)連接數(shù)據(jù)中心內(nèi)計算與存儲其他節(jié)點，網(wǎng)絡(luò)技術(shù)是云計算平臺架構(gòu)的最核心影響因素安全：下一代網(wǎng)絡(luò)將不僅是網(wǎng)絡(luò)，還將包括安全，而安全是金融云最關(guān)鍵的特性特性：金融云“云間互聯(lián)”實現(xiàn)、云內(nèi)多租戶的合規(guī)管控，都核心依賴網(wǎng)絡(luò)技術(shù)的能力網(wǎng)絡(luò)計算存儲金融云與軟件定義網(wǎng)絡(luò)技術(shù)應(yīng)用密不可分2金融云理解與認(rèn)知金融云的研究與實踐后續(xù)工作與發(fā)展的思考互聯(lián)網(wǎng)+金融等創(chuàng)新應(yīng)用平臺型開放式成本效率體現(xiàn) 金融云私有云行業(yè)云金融云平臺定位是互聯(lián)網(wǎng)+金融等創(chuàng)新應(yīng)用最佳服務(wù)模式，補足傳統(tǒng)架構(gòu)體系的補足平臺戰(zhàn)略的落腳點，同時必須是以開放理念推進(jìn)建設(shè)，匯聚產(chǎn)業(yè)資

7、源是金融業(yè)務(wù)降低成本，效率提高的手段體現(xiàn)金融特色服務(wù)銀行卡支付服務(wù)產(chǎn)業(yè)關(guān)鍵里程碑200920112015預(yù)研啟動，啟動對云計算的跟蹤研究國家立項， 10 月 國家云計算示范工程項目獲得批準(zhǔn)，全國 15 家入選單位中，唯一的國有企業(yè)，唯一的金融企業(yè)201420122013原型試用，自主研發(fā)的生產(chǎn)云基礎(chǔ)平臺完成原型建設(shè)，當(dāng)年12月第一個云應(yīng)用生產(chǎn)上線。試點應(yīng)用，核心關(guān)鍵技術(shù)取得突破，服務(wù)能力較為完善，公司范圍內(nèi)各部門開始推進(jìn)云業(yè)務(wù)試點。規(guī)模應(yīng)用，公司級重點項目與產(chǎn)品應(yīng)用系統(tǒng)均選擇在云計算平臺上部署落地。私有云已完成建設(shè)，突破千臺級物理服務(wù)器規(guī)模能力。深化應(yīng)用，實現(xiàn)資源的內(nèi)聚外聯(lián)，創(chuàng)新產(chǎn)品、業(yè)務(wù)、商

8、務(wù)模式的加速孵化，實現(xiàn)了對合作伙伴的云計算技術(shù)輸出的首次嘗試，總/分/子公司180+應(yīng)用的支撐，互聯(lián)網(wǎng)業(yè)務(wù)、移動業(yè)務(wù)(ApplePay等)、國際業(yè)務(wù)等部署于云平臺2016建立了金融行業(yè)的創(chuàng)新實驗云服務(wù)平臺，加深對行業(yè)合作伙伴的云計算合作，探索行業(yè)云服務(wù)模式，助力金融行業(yè)區(qū)塊鏈、生物識別等創(chuàng)新應(yīng)用的發(fā)展技術(shù)路線：開源自主金融業(yè)務(wù)需求開源技術(shù)軟件定義基礎(chǔ)架構(gòu)功能強大、成本節(jié)約、響應(yīng)及時開源虛擬化軟件開源云管理軟件開源操作系統(tǒng)開源中間件開源數(shù)據(jù)庫開源監(jiān)控開源運維軟件定義網(wǎng)絡(luò)軟件定義存儲軟件定義計算開放機柜網(wǎng)絡(luò)功能虛擬化標(biāo)準(zhǔn)統(tǒng)一、集成方便、擴展敏捷開源軟件開放硬件開源容器金融云SDN網(wǎng)絡(luò)能力與模型研究

9、交換機（SPINE）交換機（SPINE）交換機（LEAF）交換機（LEAF）交換機（LEAF）防火墻負(fù)載均衡服務(wù)器虛擬交換機VMVM1.多物理網(wǎng)絡(luò)設(shè)備聯(lián)合管理技術(shù)3. 圖形拖拽式網(wǎng)絡(luò)服務(wù)自動化開通技術(shù)4.SDN網(wǎng)絡(luò)性能加速技術(shù)2.SDN網(wǎng)絡(luò)控制技術(shù)四大關(guān)鍵能力，三大網(wǎng)絡(luò)管理模型金融大區(qū)組網(wǎng)管理模型以應(yīng)用為中心的網(wǎng)絡(luò)管理模型虛擬兩地三中心多租戶管理模型關(guān)鍵能力：多物理網(wǎng)絡(luò)設(shè)備聯(lián)合管理Drive交換Fabric基于標(biāo)準(zhǔn)驅(qū)動的方式實現(xiàn)了各類物理網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理，包括物理交換機、物理防火墻、物理負(fù)載均衡、VPN等，滿足金融區(qū)域邊界物理隔離、證書硬件卸載等金融特殊應(yīng)用場景Drive防火墻Drive負(fù)載

10、均衡Drive其他設(shè)備Openstack交換/路由防火墻負(fù)載均衡VPN等關(guān)鍵能力： SDN網(wǎng)絡(luò)控制Fabric控制器物理交換網(wǎng)絡(luò)vFirewallvBalancevDNS物理機物理機VMVMVMflowtable物理機VMVMVMflowtable虛擬交換網(wǎng)絡(luò)網(wǎng)絡(luò)功能虛擬化統(tǒng)一管理基于SDN控制器技術(shù)，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流的任意轉(zhuǎn)發(fā)，包括物理/虛擬化數(shù)據(jù)交換路由控制，網(wǎng)絡(luò)服務(wù)功能鏈（SFC），基于應(yīng)用組的云網(wǎng)監(jiān)控流量鏡像，網(wǎng)絡(luò)安全組控制等能力路由轉(zhuǎn)發(fā)控制網(wǎng)絡(luò)安全組控制網(wǎng)絡(luò)服務(wù)功能鏈基于應(yīng)用組的云網(wǎng)監(jiān)控流量鏡像關(guān)鍵能力：圖形拖拽式網(wǎng)絡(luò)服務(wù)自動化開通基于網(wǎng)絡(luò)服務(wù)自動化技術(shù)，實現(xiàn)虛擬網(wǎng)絡(luò)元素的圖形化拖拽部

11、署能力，實現(xiàn)網(wǎng)絡(luò)資源組的一鍵開通，包括虛擬路由、負(fù)載均衡、防火墻、VPN以及相關(guān)網(wǎng)絡(luò)安全配置參數(shù)等關(guān)鍵能力：SDN網(wǎng)絡(luò)數(shù)據(jù)平面性能加速DPDKSR-IOV固定CPU系統(tǒng)內(nèi)核技術(shù)QoS技術(shù)參數(shù)優(yōu)化性能極限逼近硬件關(guān)鍵指標(biāo)提升突破了SDN網(wǎng)絡(luò)現(xiàn)有數(shù)據(jù)平面轉(zhuǎn)發(fā)流量受限的瓶頸，提升在10Gbs網(wǎng)絡(luò)環(huán)境下，虛擬交換機Vxlan報文點對點跨物理節(jié)點傳輸性能1.5Gbs至8-9Gbps的優(yōu)化優(yōu)化技術(shù)模型研究：金融大區(qū)組網(wǎng)管理模型傳統(tǒng)組網(wǎng)SDN組網(wǎng)傳統(tǒng)多個區(qū)域復(fù)用同一個大區(qū)的SDN交換矩陣，最大化利用區(qū)域資源每個大區(qū)內(nèi)的邏輯區(qū)域可以靈活調(diào)度資源，彈性伸縮，避免資源豎井仍然保留APP大區(qū)和DMZ大區(qū)，符合監(jiān)管合

12、規(guī)性要求傳統(tǒng)區(qū)域劃分導(dǎo)致每個區(qū)域要單獨物理基礎(chǔ)設(shè)施，資源浪費區(qū)域與區(qū)域之間無法實現(xiàn)資源靈活調(diào)度，業(yè)務(wù)敏捷性不高以DMZ大區(qū)與APP大區(qū)最精簡的物理區(qū)域方式構(gòu)建，符合監(jiān)管規(guī)范要求的同時，在大區(qū)內(nèi)實現(xiàn)邏輯區(qū)域，提升資源利用率邏輯區(qū)域間可以實現(xiàn)資源動態(tài)調(diào)度模型研究：以應(yīng)用為中心的網(wǎng)絡(luò)管理模型IT資源開通將向“應(yīng)用緊密結(jié)合化”、“模板化”、“完全自動化”的“三化”趨勢發(fā)展應(yīng)用流定義安全與服務(wù)規(guī)則定義服務(wù)資源開通物理網(wǎng)絡(luò)映射安全策略實施云網(wǎng)監(jiān)控主機組高可用主機組自動伸縮服務(wù)質(zhì)量保障跨站點高可用屬性策略定義模型研究：虛擬兩地三中心多租戶管理模型在共享的多數(shù)據(jù)中心基礎(chǔ)物理設(shè)施之上，實現(xiàn)多租戶化的虛擬兩地三中

13、心安全隔離環(huán)境通過虛擬化數(shù)據(jù)中心概念，每個虛擬化數(shù)據(jù)中心與物理數(shù)據(jù)中心實現(xiàn)解耦，即虛擬化兩地三中心中的三中心資源是符合物理距離要求的，可以不必固定唯一確定的物理數(shù)據(jù)中心兩地三中心的資源管理呈現(xiàn)統(tǒng)一的管理視圖其他關(guān)鍵技術(shù)突破云資源管里平臺IaaS(基礎(chǔ)設(shè)施即服務(wù))云集成開發(fā)平臺PaaS(開發(fā)平臺即服務(wù))自動伸縮技術(shù)熱遷移技術(shù)虛機HA技術(shù)混合虛擬化技術(shù)軟件定義存儲數(shù)據(jù)庫隔離容器技術(shù)50多項專利，10多項軟件著作權(quán)，10多篇學(xué)術(shù)論文參與制定多項國家云計算標(biāo)準(zhǔn)和云計算安全標(biāo)準(zhǔn)8 領(lǐng)域金融云安全模型多層次金融云安全實施架構(gòu)安全技術(shù)計算技術(shù)存儲技術(shù)數(shù)據(jù)庫技術(shù)3金融云理解與認(rèn)知金融云的研究與實踐后續(xù)工作與發(fā)

14、展的思考金融IT轉(zhuǎn)型與變革的思考金融科技領(lǐng)域的兩件大事金融云在企業(yè)中的落地下雨區(qū)塊鏈技術(shù)引起金融創(chuàng)新激情1.金融科技走向產(chǎn)業(yè)共建，合作共享的模式3.金融科技與金融應(yīng)用創(chuàng)新結(jié)合越來越緊密2.金融云建設(shè)標(biāo)準(zhǔn)化引導(dǎo)行業(yè)規(guī)范發(fā)展下一步工作方向：建立行業(yè)技術(shù)共享平臺用戶（金融機構(gòu)）開源基金會技術(shù)服務(wù)商監(jiān)管機構(gòu)電子商務(wù)與電子支付國家工程實驗室科研院所技術(shù)開放合作備忘錄：實現(xiàn)行業(yè)參與單位的技術(shù)資源互授權(quán)代碼安全管理政策：實現(xiàn)行業(yè)內(nèi)代碼的開源安全管控通過金融行業(yè)唯一的國家級工程實驗室窗口與平臺，匯聚產(chǎn)業(yè)資源，共同建設(shè)中國金融行業(yè)云技術(shù)共享共享經(jīng)濟：金融行業(yè)內(nèi)公開源碼，減少重復(fù)投入，集中攻堅核心技術(shù)，實現(xiàn)多贏下

15、一步工作方向：推動金融云標(biāo)準(zhǔn)化工作 面向能力評測的認(rèn)證標(biāo)準(zhǔn) 面向云基礎(chǔ)設(shè)施建設(shè)的規(guī)范指南 面向云技術(shù)選型的標(biāo)準(zhǔn)規(guī)范 金融行業(yè)云基礎(chǔ)能力與服務(wù)能力評測 金融云基礎(chǔ)庫（功能與性能） 基礎(chǔ)技術(shù)架構(gòu) 基礎(chǔ)設(shè)備要求 硬件集成實施規(guī)范和要求 軟件集成實施規(guī)范和要求 高可用實施規(guī)范和要求 云間互聯(lián)標(biāo)準(zhǔn)“聯(lián)云”互聯(lián)接口規(guī)范 軟件定義網(wǎng)絡(luò)技術(shù)評測標(biāo)準(zhǔn) 軟件定義存儲技術(shù)評測標(biāo)準(zhǔn)容器技術(shù)評測標(biāo)準(zhǔn)明確核心技術(shù)組件相應(yīng)的技術(shù)要求規(guī)范金融云的建設(shè)方案確定金融云的服務(wù)能力指標(biāo)制定金融云與云之間的互聯(lián)互操作接口下一步工作方向：圍繞區(qū)塊鏈金融創(chuàng)新應(yīng)用研究區(qū)塊鏈金融創(chuàng)新應(yīng)用基于區(qū)塊鏈的金融應(yīng)用是金融云的拳頭級創(chuàng)新應(yīng)用可信云計算基礎(chǔ)環(huán)境“BlockChain as a Service”數(shù)字貨幣云服務(wù)提供數(shù)字貨幣等金融創(chuàng)新應(yīng)用的可信計算環(huán)境基于服務(wù)器硬件安全模塊與操作系統(tǒng)可信模塊技術(shù)實現(xiàn)對基礎(chǔ)設(shè)施的可