随着市场竞争的日益激烈、成本攀升、客户需求复杂化，传统金融行业纷纷进行深化改革，谋求发展的压力不断增大，信息技术正被推至科技创新、引领业务发展的地位，如何应用云计算技术补充金融技术提升整体金融业务。

本次分享，青云解决方案部门陈柏文将会从具体的金融行业公司的实践案例和场景出发，解析如何通过云计算技术来设计与实施架构转型的经验。

以下是分享正文：

大家好，我是青云解决方案部门的陈柏文，很高兴能有机会和大家分享金融行业IT架构实践。今天我的分享分为三个部分：金融云的价值、青云金融云产品架构及解决方案 、青云金融云客户案例。

1

金融云的价值

互联网金融业务比拼的是什么?因素有很多，但我认为最重要的还是在于运营和技术。

• 运营决定业务模式，带来业务创新、带来用户流量、带来用户忠诚度。互联网金融还是一种互联网业务，归根结底的技术实现是由一个个互联网应用系统、一个个移动互联网 APP 组成。

  
  

• 技术带来安全、带来可靠、带来用户体验和用户粘性。业务的创新业需要技术的快速迭代来保障实现，技术的革命性创新会带来革命性的业务模式改变。

金融云是建立一个可信、 高效的互联网金融利器。所有的互联网金融都既需要一个可以支撑起快速发展的平台，又需要确保数据安全，满足金融监管的要求。金融云就是结合这两者的优势，从以下角度来有效地帮助传统金融机构发展互联网金融。

互联网上的热点是瞬息万变的，如何让客户从海量的移动金融服务中选中自己？

除了金融单位长久以来的品牌效应之外，移动服务的多样性和质量必然影响用户的安装和使用。这就要求金融机构需要快速迭代应用，快速应付任何可能的“用户风暴”。

一个弹性的、可以快速实现和交付的 IT 环境则是整个服务的基础。如果像以前 3~5 天才可以有一个变动，扩展一个系统需要数周，用户是没有耐心等。

基于软件定义的云平台，通过集中调度和管理所有的计算资源、存储资源、网络资源和安全控管，让金融单位可以根据业务的发展和变化及时做出调整，快速响应业务需求，而这一切又是以很低的成本来实现，资源的共享使计算资源的可利用率大为提升。

2

青云金融云产品架构及解决方案

青云QingCloud 的金融云产品，依托自身公有云平台（QingCloud 的公有云已有 3 年多的运营历史, 现在整个平台上承载了近逾 60,000 企业用户），我们将其得到验证的技术产品化后落地金融企业来帮助企业搭建一个企业云/行业云或者混合云环境，利用领先的软件定义数据中心技术来构建和管理的计算、存储和网络资源，并且基于 QingCloud 的基础架构云平台来运行其上的数据 PaaS 服务，包括数据库服务和大数据服务，从而提供给金融客户一个完整的云服务平台。

金融行业中的数据安全，业务安全、金融合规对金融机构的重要性不言而喻，包括网络隔离、安全扫描、路径检测、堡垒机 VPN，实时记录、操作日志实时记录和审计、DDOS 的防火和多运营商的出口，这是必不可少的。

提供一站式服务，不单单是基础，还有上层，不单单是技术，还有运维和流程。金融云的解决方案，整套上云的过程，这是一套完整的逻辑，也是一个可以落地的方法。

对于我们来说有如下资源，通过 VPN 可以接入做运营和运维的相关事务。比如做用户管理、监控、审计、备份，从而操纵资源。同时可以对负载均衡、安全等进行自定义维护管理。在云上，通过自由化的操作，可以最大程度的便利云运维管理。通过安全的访问控制，使运维是安全可靠的环境。

上云还需要注意投资保护。 QingCloud 平台可以与客户私有云或是原有的物理环境进行完全对接，最大程度对客户原有投资进行保护。

另外，我们是开放的，我们还会联合行业合作伙伴为小贷、证券、基金、保险、银行等行业客户提供更具行业特色的解决方案。

例如网银系统认证、第三方支付中的收单业务、银行混合云架构安全通信、金融数据加密备份等业务场景中针对有数据加密、身份认证及数字签名的需求的客户，我们联合北京三未信安科技发展有限公司推出云密码服务。

三未信安云密码机提供了全面的算法支持，包括国密算法 SM1/SM2/SM3/SM4及RSA/AES/DES/3DES 等。以硬件形式实现，能为用户提供高安全性的密钥保护和密码运算能力，保护用户数据交互安全、存储安全等，满足金融系统的合规性要求。云密码机也具备按需获取、申请即用的特点。

2.1

应用的高可用解决方案

QingCloud 通过负载均衡器集群为应用提供高可用保障。大家对于负载均衡器都不陌生，目前主流的分为以下几种：

• 硬件的负载均衡器如：F5、Citrix、Radware、A10；

• 软件的负载均衡器如：LVS、Nginx、HAProxy。

无论是硬件负载均衡器还是软件负载均衡器，都有一个共同的特点，就是除了流量分发之外，更重要的是能检测应用的健康情况。

我们的负载均衡器通过 L3~L7 的检测，不仅可以检测主机 IP 是否可达、应用的端口是否开启、更能检测出应用是否可用。

正如大家所知，有些特殊情况下，应用虽然已经不可以使用，但是服务器的 IP 仍然可达，端口仍然被占用。如果仅通过 L3~L4 的健康检查是不足以判断应用是否真实可用的，这时 L7 的健康检查就是必不可少的了。

除了 L3~L7 的健康检查之外，我们的负载均衡器还支持集群功能。

负载均衡器的主要目的就是解决流量分发和单点故障问题，而通过负载均衡器集群，不仅可以保障后端服务器集群的高可用，更能保证负载均衡器自身的高可用。

同时相对于传统的负载均衡器仅做流量的处理，我们的负载均衡器可以做的更多。可以和整个服务器集群联动，通过设置并发数、连接数、响应延迟、后端服务器可用个数等为触发条件，动态的增加/减少/保持后端服务器数量，从而灵活的应对金融行业业务压力的变化。

2.2

多数据中心网络安全方案

• 跨机房多活架构

  QingCloud 各机房依靠高速、高频宽、低延时的多路光纤连接，从网络基础设施层面为用户应用程序提供了良好的多活支撑能力。

  我们自身提供的 IaaS/PaaS/Orchestration 等层次也将适应此格局以提供更好的工具来支持多活架构。

  
  

• 跨区灾备能力

  机房之间、区域之间的全部光纤连接使得资源相互间内网化，频繁的数据跨机房/跨区成为可能，用户可以通过使用自己喜欢的备份方式在不同地理位置之间进行数据容灾备份。同时 IaaS/PaaS/Orchestration 等层次也提供开箱即用的异地容灾备份的可选功能。

  
  

• 物理链路冗余

  通过与多家优质链路提供商合作及优秀的架构设计，在同城内实现星型多环物理网络拓扑结构，在实现任意节点内网间 400G 承载的同时，任何一条物理链路的中断都可在 50 毫秒内切换至健康链路，为用户的关键业务保驾护航。

2.3

混合云及数据备份方案

无论是使用公有云，还是用户自建的私有云，无论机房在相距不远的同城，还是相互距离遥远的异地，都可以通过我们提供的 GRE/IPsec （通过路由器免费实现）或长传直连的服务来将这些分散的资源连接在一起，并透过统一的调度平台一致调管。

不论服务的形态呈现为公有云、私有云、混合云、托管云，最终都将呈现为一套完整的、非割裂的整合 IT 系统。

2.4

双活数据中心解决方案

借助 QingCloud 提供的环形骨干网，可以更加便利的实现双活。

如图中所示，可以把同一个业务同时部署在两个数据中心。数据中心间双线 400G 光纤互联，任何一条物理链路的中断都可在 50 毫秒内切换至健康链路，保证了两个数据中心间的数据同步的可靠性。

同时，通过多重实时数据副本技术，可以把数据副本分布在多个数据中心中。当一个数据中心因不可抗力无法继续提供服务时，可以通过其他机房的副本继续提供服务，并且公网 IP 可以在多个数据中心间任意漂移。

除此之外，还具备以下特性：

• 外网的流量分发

  全局的负载均衡器，根据各个数据中心业务的健康情况、负载压力等信息智能的分发用户请求到达两个数据中心。

  
  

• 负载均衡器集群

  负载均衡器集群也采用分数据中心部署模式。当负载均衡器集群不可用时，负载均衡器集群联动 DNS 健康检测，将域名解析切换到另一个数据中心。

  
  

• 应用服务器

  应用服务器采用双数据中心同时部署模式，可以借助多路环形 BGP 骨干网实现跨数据中心的数据实时同步。当应用服务器不可用时，负载均衡根据优先级将请求指向另外一端。

  
  

• 缓存

  缓存采用多主多从、异地主从架构，可以借助多路环形 BGP 骨干网实现跨数据中心的数据实时同步。当某个主节点异常，它的从节点会自动切换成主节点。

  
  

• 数据库

  数据库采用一主多从，异地主从架构，可以借助多路环形 BGP 骨干网实现跨数据中心的数据实时同步。当主数据库发生故障时，数据可以库启用 HA 切换，应用实现跨数据中心访问 DB。

  
  

3

青云金融云案例——某保险公司

3.1

情况介绍

某保险公司业务以寿险、财险、渠道合作平台为主。开始采用的是传统架构以小型机、集中存储为主。RTO=4 小时、RPO=2 小时，非常不利于业务开展。

因为其渠道合作平台会对该保险公司的业务稳定性会做 KPI 考核，一旦违规业务直接中断半个月，半个月内不导入流量。目前这种处罚有 2 到 3 次，严重影响了该保险公司的业务。

但是 RTO=4 小时、RPO=2 小时从传统架构来说，已经是最优化的了，如果要做到分钟级，必须从传统架构向云架构迁移。

另外该保险公司大数据分析业务之前是基于传统的商业数据库实现的，对财险、寿险、第三方合作渠道平台来做关联和分析，每周做一次数据处理，然后把处理结果交付给业务部门来做业务发展调整和险种的定制。

而业务系统希望做 T+1，不能以周来提供，只能以天为单位来提供结果。这样对原来的平台业务压力非常大，因为原来仅仅做业务处理就要近 16 个小时，T+1 是没有办法满足的。只能基于 Spark 平台对原有大数据分析业务做改造，从传统商业数据库迁移到 Spark 上来。

针对非结构化数据，该保险公司通过青云对象存储替换了原来的 IP SAN，目前该保险公司已经把对青云对象存储的使用从网盘扩展到电子保单和视频文件，借助青云的对象存储服务器，可以通过低成本的方式存放海量的非结构化数据。

该保险公司不仅仅使用 IaaS，更多的是使用 PaaS。

因为 PaaS 可以大幅度降低运维人员的运维压力，提升业务交付速度，平台稳定性和易维护性更高。并且利用我们的应用编排功能形成模块化的应用交付系统，进一步提升了交付和响应速度。

3.2

业务架构图

• 前端互联网金融业务和后端支付系统互联；

• 互联网金融业务系统同时部署在青云公有云和企业私有云环境（双活）；

• 支付系统部署在企业私有云环境，并且在青云托管专区配置备份系统；

• 在异地建设灾备系统。

3.3

后续规划及经验

• 新业务系统必将以云计算平台作为基础架构进行设计部署。

• 已有业务系统逐步完成从传统架构向云计算平台的平滑过渡与迁移。

• 大数据与对象存储的是面向未来业务的利器（从运维角度来说，会有极大减轻运维压力，尤其是环境搭建和扩容，可从原来 2-3 周缩短到数分钟）。

• 通过应用代码的优化，完全可以用开源数据库替换现有的 Oracle 数据库。（财险和渠道合作平台都已通过 MySQL 实现，MySQL 和 Oracle 间通过消息队列来做消息同步）。

  
  

往期技术分享：

听课请扫描下方二维码入群

入群请完整备注“姓名-公司-职务”

- FIN -