开源云在金融行业的应用——以深证云为例丨TF成立大会演讲实录



  • 本文整理自“TF中文社区成立暨第一次全员大会”上的演讲。pdf点击此处下载。更多会议资料,请在公众号(搜索“TF中文社区”)后台回复“成立大会”获取。

    5764d505-ebd9-4259-9161-4809992571e3-image.png

    深证通金融云研发中心总助张鹏

    各位上午好!我是来自深证通的张鹏。很荣幸能有机会和大家分享一下开源云在金融行业的应用。
    首先介绍一下深证云的情况,我们公司是深圳证券通信有限公司,成立于1993年,主要为深圳的证券市场提供行情、交易,还有清算的通信服务,同时也为中国的金融证券机构提供综合IT服务。

    82d39aa8-65bd-44ea-98c7-805c97f40270-image.png
    从2013年开始,随着云计算浪潮的兴起,我们就着手搭建行业云,主要为中国的金融证券行业提供云服务,我们的四项基本原则叫做开放、中立、专业、合规。

    731ff484-f351-4e12-b580-76025636a0f1-image.png

    开放主要是我们去拥抱开源的技术路线,去打造一个开放的生态;中立是指公司具有行业公信力,作为独立的第三方,保持业务的中立性;专业是指我们20多年的金融证券IT服务经验,就专注于这个行业;合规是指我们符合证监会等监管机构的规定,同时利用专业的服务去帮助我们云上的客户做业务合规。

    我们主要是基于开源的技术体系,使用了大家熟悉的OpenStack,计算虚拟化用的KVM,然后分布式存储用Ceph,SDN也用到了TungstenFabric。现在我们正在基于K8S去做相关的容器云服务的研发。上面BSS业务支撑系统,还有CMP的多云管理,OpenAPI,数据调用接口,都是基于Java的框架自研开发的。

    经过这六年多的发展,我们逐渐基于开源的技术体系打造了一个稳定安全的基础设施平台,同时联合了恒生,金证等ISV,共同为我们的云租户提供相关的产品服务,主要是包括IT基础资源外包,灾备开发测试,行情云等。

    3e3f120d-6cf2-407c-a275-173149353551-image.png
    社群包括很多客户,给大家举三个应用场景的例子。

    第一个例子是核心监管机构,比如中国证券基金业协会,大家如果报名考试证券从业资格证的时候,访问的考试系统就位于深证云上。

    第二个例子是券商,现在大家用手机浏览股市行情,看股市的曲线,很多券商把行情系统上到我们的深证云,因为深证云具有全国各地的数据中心节点,便于他们的用户去就近接入。

    第三个例子是一些公募和私募的基金,主要这几年新筹的公募和私募,他们为了缩短申请牌照的周期,就会选择云服务,利用我们公司专业的云服务,快速取得牌照。

    2e217b67-8827-4f96-a982-23684a81fad2-image.png
    深证云作为行业云,与腾讯云、阿里云这些公有云相比,有什么特点呢?我也想谈三个方面。

    第一点,就是云租户除了在自己的VPC之内拥有传统的云主机、云盘、云网络等,还可以申请物理机,以及专业存储。因为在金融证券IT行业,很多核心系统其实还是跑在Oracle上面,去IOE还是需要一个过程。

    第二点,深证云具有专业的网络结构优势,云租户上了我们深证云之后,可以很快地接入行业网络,连接到核心机构,比如说连接到深交所、上交所,还有证联网。

    第三点,我们会同深信服、绿盟、360这些安全厂商合作,同他们共建安全资源池的方案,便于云租户继续使用他们熟悉的云安全产品,只不过这个产品是以虚拟机的形式存在的。

    78c715e4-3924-41b5-939d-087b97d9b760-image.png

    最近一两年,我们也推出了私有云的解决方案,私有云主要是为客户提供一个专属的机柜,做到天然的物理隔离,然后基于客户的需求,定制化他们的硬件方案,还有网络方案。

    然后私有云也给大家举两个场景。到2020年,央行要取消外资的证券基金期货持股比的限制,现在一些外资基金与我们联系,他们对私有云这种模式非常感兴趣,因为可以做到定制化,他们就可以使用熟悉的安全设备、网络设备,用他们自己的架构。

    还有就是灾备。2019年证监会发布了《中国金融证券经营机构信息技术管理办法》,里面对经营机构的灾备能力作了明确的要求。现在券商还有基金公司也对私有云的方案比较有兴趣,因为他们可以基于私有云做同城或异地的灾备。

    615aac31-e18a-40cd-86cd-bb1b767f75b8-image.png
    经过这六年的发展,我们逐渐形成了全国布局、就近服务的行业云计算中心。既有我们自己的数据中心,也有租用的,比如说运营商的廊坊、重庆、苏州的机房,现在服务器有数千台。

    5ccaf679-a5de-4a12-b513-dceb564b7f1c-image.png

    其中,最大的一个TF网络SDN节点,就是位于我们中国证券期货业南方信息技术中心,使用TF的SDN网络方案。

    下面请Mirantis中国区GM Eugene Huang来介绍一下具体的技术架构。

    72ab2907-d059-427a-a9db-d14aa084d8d7-image.png
    Mirantis中国区总经理黄子铀

    谢谢张总,我是Mirantis的黄子铀,一直在美国硅谷那边工作,大概也差不多20年了。很高兴为大家分享Mirantis跟深证通的合作。

    从2012年成立起,Mirantis就一直在开源社区里做贡献,2013年进入OpenStack,2014年开始跟Juniper有紧密的合作,并选择了他们的Contrail方案,也就是现在的Tungsten Fabric。

    Mirantis的客户主要有运营商,包括美国AT&T,还有印度、澳大利亚的运营商等,还有就是和苹果电脑、大众汽车等合作,在一些场景中提供服务。

    41455de0-e2e7-4f4c-a171-778e3b891d6b-image.png
    为什么要选择开源的云架构?因为它是自主可控的,拥有丰富的生态。上层有BigData、DBaaS、Containers、PaaS、CMP等。中间是我们提供的,当时只是OpenStack跟裸机,现在也支持Kubernetes。下层也有很多不同的合作方,可以任意选择不同的基础设施。

    b83c5915-4abe-4bff-806f-1746f56df904-image.png
    当时跟深证通一起建立的那朵云,是基于Fuel的产品去部署和运维的,还有包含一些LMA的toolchain;另外也包含了HighAvailability;网络是选择了Open Contrail(TungstenFabric);存储是分布式的用Ceph,也对接商业版本的SAN;Wordload包括Murano和Sahara。

    ff2b7303-641b-41fb-a387-7e8c132f5a3c-image.png
    那为什么要选择Contrail呢?当时我们的网络专家把市场里所有的SDN都做了一些调查,用那些条件去选型。各方面评估后,我们觉得Contrail是当时稳定性和可用性最好的一个SDN,它支持高可用,可以横向扩展,功能丰富,Service Chaining、NetworkPolicy也都是我们一些大客户需要的场景。开源,并且是软件的方案,也没有供应商的锁定。特别是对于运营商,这是一个很大的痛点,也满足了当时深证通的应用场景。

    98eb5a61-a7c4-419c-a73a-4deaafb170eb-image.png
    我们的Underlay网络架构的设计。有IP-CLOS的架构,OSPF作为Underlay网络的路由协议,ECMP来实现可用链路的复载均衡等。

    c1ac4981-fa90-41fe-b1f8-bbd9a6bd3afb-image.png
    存储方面我们是用了Cinder backend就是多存储,分成不同的资源池。有SAS的pool用Ceph来实现,大部分就都解决了。还有一些高性能的,我们就选用了SSD的pool。我们也对接了一个SAN的Storage pool去解决一些商业场景。

    接下来请杨雨介绍一下具体的应用场景。

    fd9b34d7-e5b3-4fc2-99db-13493da8e08a-image.png
    中文社区技术人员代表杨雨

    介绍一下我自己,我是TF社区的技术代表,做社区的推广和运营,包括我们中文社区的筹建。

    c60ba08e-472c-41c0-8480-23ade4db1de6-image.png

    刚才提到证券云行业的监管要求,证监会希望券商的IT基础设施是有灾备的。那么我们从深证通考虑,提出有灾备云的服务,那么在网络这个层面,就需要一个SDN的方案能支撑多云互联。深证通灾备云目前在东莞凤岗的证券基金行业南方数据中心有一个主集群,北京也部署了一个灾备的集群,形成了一个灾备云的方案,也是通过Contrail来实现多云互联的。

    具体它是怎么实现的?主要是基于Contrail的一个底层技术,就是我们熟知的MPLS VPN。首先我们可以看到,客户的一个网络,它是可以跨两个数据中心的。那么他只需要把他的租户的网络,相应的VPN的VRF的RT,和我们另外一个数据中心的VRF的RT做相应的路由交互,就可以实现二层或者三层的L2 VPN或者L3 VPN的交互,实现整个的租户网络的打通。与运营商的MPLS骨干网络也是天然兼容,这是Contrail的优势,也是一个典型的应用场景。

    bafaa0f9-7e3a-42a6-a7e1-d62339559f08-image.png
    另外一块比较大的应用场景,就是物理机VLAN和VXLAN的互联。刚才张总也提到,在金融行业现在有大量的Oracle应用,对磁盘的IO性能要求是比较高的,现在大部分Oracle的服务器都是跑在物理机上。我们的租户在云里面,怎么再把云的一个虚拟网络和租户的一个物理网络,做到统一的租户体验的管理,以及统一的隔离?其实在TungstenFabric里面就有相应方案,以前我们用的是OVSDB的方案,现在有EVPN VXLAN的方案。

    原来的OVSDB的方案,它可以通过一个支持OVSDB的交换机,把物理机的VLAN在交换机上作VXLAN的转换,有L2的一个bridge,实现了云租户网络的一个虚机和物理机的一个二层通信,这样也确保整个物理机也是有网络的隔离性,并且和网络的虚机,是一个完全连通的场景。现在这个场景也有大量的应用在深证通里面,大概有一百台物理机的数据库节点通过TF实现了和虚拟机的二来提供这样的一个场景服务。

    a717addb-77b8-427e-90b7-dde7982b0984-image.png
    最后一点就是灵活的网络接入。相对于其他的公有云平台,深证通的网络其实有更多的要求,它需要和深交所、上交所、证联网和金融数据交换平台做互联互通。同时作为金融云的租户,他也有接入云和他自己的私有云之间互联的需求,包括专线的接入,或者是三层VPN的接入。甚至租户也需要通过互联网提供相应的互联网服务,TF通过MPLS VPN的技术来提供一个很好的、灵活的接入选择方案。

    同时还有一点,可以看到我们会和深交所和上交所接入,其实在金融行业里面还会有一个比较特殊的场景,就是通过组播支持高频的Level 2行情数据的场景,其实当时我们在做技术选型的时候,也是看到TF支持组播在SDN虚拟网络里面的传输。


Log in to reply