2024年面向中小银行的轻量级云计算研究报告-金融信创生态实验室

二〇二四年十二月本报告涉及的产品解析结果的准确性及有效性建立在产品供应商所提供材料的真实性与准确性基础之上，且仅针对参与本次特定评估的系统及产品版本有效。本报告的解释权归金融信创生态实验室所有。未经授权，任何单位或个人均不得擅自复制、传播或利用本报告中的任何内容。如需引用、转载或商业使用本报告中的内容，或对本报告有任何疑问或建议，请联系金融信创生态实验室。感谢各位读者的关注与支持！主编单位：金融信创生态实验室参编单位：九江银行股份有限公司达州银行股份有限公司江苏江南农村商业银行股份有限公司北京火山引擎科技有限公司北京志凌海纳科技股份有限公司上海云轴科技股份有限公司 9 强有力的支持。2020年4月，国家发展改革委与中央网信办发布了了《金融科技发展规划（2022-2025）》及《关于银行业保险业数字力有限，往往依赖与科技公司合作建设IT系统，传统的IT架构和虚拟化技术在资源分配、管理效率及的IT架构需求。大型云计算平台虽然功能全面且强大(1)轻量级云计算支持裸金属、虚机、容器等多种工作负载，能(5)轻量级云计算支持多种GPU，符合人工智能发展需求，使得够满足中小银行对IT架构灵活性、高效性和低成本性的迫切本研究报告旨在深入探讨轻量级云计算在中小银行中的应用现软件作为两种主流的IT基础设施解决方案，各具特能成为其数字化转型的绊脚石。一方面，大型云计算平台与服务器、IT架构灵活性、高效性要求的解决方案。在全方位保障数据安全与于中小银行来说，可以更加灵活地调整IT基础设施，以适应智算支持，轻量级云计算支持多种GPU架构，通过对异构AI算调整资源分配，避免了传统IT架构中的资源浪费现象。同时硬件资源是银行IT基础设施的基石，但中小银行在硬件资源的分散使中小银行难以对资源进行统一调度和优化配2．系统架构僵化，制约中小银行快速响应市场变化的“枷锁”轻量级云计算技术为中小银行解决系统架构僵化的问题提供了石”轻量级云计算技术为中小银行解决数据孤岛现象提供了有效的展规划（2022-2025）》的指引，通过规范应用云计算技术，实现信施与资源评估时，中小银行需要对现有的IT基础设施进行全面云环境内部安全；数据加密，对存储与传输中的数据进行加密处理，以确保所选产品能满足和现有IT系统架构融的轻量级云计算基础设施交付（资源池/集群可小时级交付），业务基础架构应能与中小银行现有的IT系统及外部第三轻量级云计算平台的构建属于一个具备产品化与标准化的工程性低中中心时，可考虑采用Spine-Leaf网络（SDN）技术扮演了核心角色。SDN通过将网络控制功能从物理硬略，如微分段策略管理、负载均衡（LB）和虚拟私有云（VPC）部署.资源灵活调整与高效利用（资源池化、弹性扩展）.成本效益提升（硬件成本和运维成本降低）.数据可靠性和可用性增强（数据冗余与容错、故障自恢复）.性能优化（并行数据访问、性能线性扩展，高性能接入协议.支持创新应用（容器化、大数据、AI）.标准硬件（以太网、服务器）据库（如Redis），都需要块存储来确保数据的快速读写。的AI场景的数据共享访问。文件存储资源池在轻量级云计算平台中时间和数据丢失的可接受程度，以此确定容灾备份的恢复时间目标针对中小银行应用业务与数据向轻量云迁移，应制定详细的迁设定业务上云的总体目标，如提高资源利用这种方式适用于将现有的基于物理服务器运行的业务系统迁移到轻评估迁移数据量和迁移工具效率是保障迁移任务执行成功率的迁移的过程中，可能会遇到各种意外情况，如硬件故容器编排工具（如Kubernetes）来管理容器的生命周期，包括容器操作系统，轻量级云计算平台中运行的操作系统（如Linux、WindowsServer等）需要定期进行更新和补丁安装，以修复安全漏标。通过性能监控工具（如Zabbix、Prometheus等）收集和分析这防止恶意网络攻击，保护Host和Guest的安全。在数据安全方面，采用数据加密技术，如对存储的数据进行加密，对传输的数据采用（Service-LevelAgreement，服务级别协议）的达成情况进行评估九江银行为积极响应加快云计算技术规范应用和全栈技术自主创新要求，紧跟“十四五”规划的指引。同时在全球经济和地缘政治关系复杂多变的大环境下，构建一个全面信息技术应用创新兼容的IT基础架构，对于保障业务稳定运行和满足行业监管要求至关重要。在此背景下，九江银行建设以自主创新软硬件为技术底座的金融级云计算平台，以提升业务效率和创新能力，推动数字化转型和首要且至关重要的是，鉴于金融行业对安全合规的高标准，平台必须确保金融服务的安全性与稳定性达到最优水平；其次，确保平台能够满足业务快速发展和数字化创新的需求，包括提供多样化的服务以及实现开箱即用的功能；此外，还需要应对自主创新的“一云多芯”架构，以适应不同业务应用架构场景的异构需求。九江银行金融云平台总体逻辑架构主要由硬件基础设施层、云基础平台层、IaaS层&存储层、PaaS层、运营运维体系、等保安全体系，以及支撑上层的业务系统组成，如下图所示。硬件基础设施层：基础设施层是指金融云平台的实际运行的物理设施，包括服务器、存储、网络安全设备。服务器可细分为X86、ARM计算服务器；分布式块、文件、对象存储设备；单台设备通过网络交换机、路由器、防火墙组网互联起来形成大规模集群，为上层业务提供计算、存储、网络资源。公共组件等组成，是云平台的大脑中枢。IaaS层&存储层：IaaS层提供丰富的计算、网络服务；存储层提供含块存储、对象存储、文件存储、数据库等在内的服务，可以按需构建多种资源池，每种类型的资源池可以配置一个或多个，也可以对不需要的资源池进行裁剪。PaaS层：PaaS平台通过容器、微服务、镜像仓库、持续交付、测试、调优、运维运营环境。安全体系：安全体系由安全中心、WAF、NTA、云防火墙等系列安全服务及平台组成，支撑金融云平台构建满足等保3.0规范要求的等级安全保护体系，为云平台安全保驾护航。运营运维层：运营运维体系提供云平台的基础运营运维能力，管理员可以通过运营运维平台轻松管理数据中心的计算、存储、网络资源，同时运营运维平台还提供标准的API接口实现容器、数据库、消息队列等PaaS组件的快速部署。根据业务需求提供包括IaaS、PaaS、数据库中间件、安全等在内的全栈云服务解决方案。金融云平台以云原生理念为基础，实现本地数据中心资源的统集成、部署环境，助力产品快速迭代，让行内更专注于业务创新。金融云平台同时支持海光X86、鲲鹏ARM服务器资源池，提供全面的云服务，包括计算、网络、存储、数据库、中间件、云原生PaaS等，云主机ECS支持统信UOSV20、麒麟V10等自主创新操作系统，并可兼容其数据库、中间件等自主创新应用生态。在安全方面，平台提供端到端的安全云服务。金融云平台还具备数据中心级的统一运营运维平台，适合企业多租户场景，支持资源隔离和灵活的角色管理，配置细粒度的操作权限和资源权限，支持多云管理，并纳管行内的虚拟化环境。此次金融云平台的建设项目自2024年年初启动，涵盖了武汉机房的架构设计、网络、计算、存储资源的全面规划与实施，以及云安全和云管监控的集成实施。项目实施目标明确为“一大三小”：一个大目标：金融云平台的基础架构采用“同城双活，异地灾备”的两地三中心架构。具体为武汉主数据中心和同城数据中心的双中心部署，以及异地灾备云平台建设。三个小目标：1）规范业务系统上云流程和用云规范，提高业务系统建设效率，增强上云支撑和竞争力。2）通过金融云平台的智能化运维和精细化运营，提升银行对业务系统的管理能力，提高资源利用率，降低运维成本。3）确保金融云平台的安全架构可靠、业务连续稳定、系统高可用、自动化程度高。此次项目实施共分为三个阶段：硬件交付阶段：多次调整上架规划以满足机房建设要求，确保规划的科学合理性。完成硬件测试，对不同自主创新品牌型号的设备进行了如机架掉电、设备掉电等高可用性测试。软件交付阶段：分别对金融云平台的测试环境和生产环境进行了部署和升级，业务面保持稳定，未出现中危以上风险，同时验证了云上大部分主体重要功能，均未出现问题。业务上云保障阶段：半年来，行内业务已开始逐步上云，上云过程稳定，无业务中断，进展有序。挑战一：如何解决异构资源池融合调度的问题在推进金融云平台建设的过程中，面临着异构资源池融合调度的挑战。这一挑战主要体现在如何高效管理和调度鲲鹏ARM和海光X86两种不同架构的计算资源，以实现资源的最优利用和系统的高可用性。通过金融云平台的“一云多芯”解决方案，实现了对鲲鹏ARM和海光X86计算资源的精确划分，并通过灵活的调度策略，应用能够根据需求选择合适的底层架构进行部署，不仅提高了资源的使用进一步提升了资源调度的自动化水平，确保了系统的稳定性和安全性。最后，该解决方案考虑了自主创新处理器的业务移植问题，通过提供自主创新服务的能力，解决了云平台技术栈不全面、不完善的问题，使得金融云平台能够更好地支持业务系统的数字化转型，提高了业务系统的管理能力和系统的高可用性。挑战二：如何解决云平台轻量化交付部署的问题市场上传统的云平台，常常面临重交付、重部署的问题，这主要是由于平台底层管理资源的规模庞大以及软件设计缺乏模块化，系统耦合性高导致。这种情况下，如果行内需要进行复杂的配置管理和环境同步，会使得软件更新和部署过程变得繁琐且耗时，严重影响了业务的连续性和用户体验。九江银行采用轻量化的金融云平台解决方案。该方案的亮点在于其最小化资源占用，支持3台管控节点起步，使得存储、安全、中间件等组件可以根据实际需求进行部署。此外，该方案支持模块化设计和横向扩展能力，允许根据业务需求灵活扩展资源，而不必受限于固定的资源池规模。这种设计不仅简化了交付和部署流程，还提高了资源的使用效率，降低了运维成本，为企业提供了更加灵活、高效的云服务体验。通过这种方式，金融云平台有效地解决了轻量化交付部署方面的挑战。挑战三：如何解决传统虚拟化平台平滑迁移到云平台的问题如何在不中断业务运行的情况下，将现有的虚拟化环境平滑迁移至新的云原生平台，并实现有效的统一管理和监控？该问题涉及迁移策略的制定、应用的兼容性、迁移过程中的服务连续性保障，以及新平台的管理和运维能力。为了满足现有虚拟化的业务平滑迁移上云的要求，金融云平台利用虚拟化统一管理界面对现有虚拟化集群进行纳管，实现了资源的统一调度和管理，同时提供相应的集群计算资源迁移工具SCM，对迁移任务实时监控，在简化迁移过程的同时，也能保证业务的连续性。借鉴火山引擎veStack云，九江银行金融云平台PaaS服务能力以及开发与运维等服务，助力在数字化升级过程中实现持续增长。通过自主研发和技术创新，金融云平台将成为九江银行数字化转型的强大引擎，推动业务向更高效、更智能的方向发金融云的主要应用场景包括开发测试应用部署、生产应用部署，实现一云多芯，同时实现了对非自主创新虚拟化平台的资源纳管，提供相关迁移工具，帮助业务应用快速迁移上云。截至2024年业务应用上云情况，目前行内互联网相关业务上云规模的逐步放大，且对云平台资源占比量较大，表明这些业务对云平台的资源弹性计算有较高要求。为了满足这些需求，逐步开始采用云上的容器服务，这些服务可以根据业务负载自动调整资源、优化成本，同时提供必要的并发处理能力和快速响应。除了互联网业务外，行内目前针对稳定性和高可用要求较高的核心系统也有上云要求。这类业务系统对平台自身的稳定性和安全高可用能力提出了更高的要求，针对此类业务系统（有状态、资源较为固定），目前平台已经可以满足此类业务资源高标准要求。同时随着行内业务大模型需求的增长，平台服务的扩展能力显得尤为重要。未来，平台将具备更强的扩展能力，以适应不断变化的业务需求，特别是，平台能够针对异构GPU进行统一调度和管理，这一点对于高性能计算和AI应用尤为重要，通过利用如Kubernetes和从而为大模型提供必要的计算支持。在数字化浪潮席卷金融领域之际，我行作为区域金融服务的中坚力量，面临着日益增长的业务创新需求与激烈的市场竞争挑战。此前，除核心交易类业务，我行长期依赖传统虚拟化结合集中存储络隔离）。虽然在初期满足了局部业务快速上线的诉求，但久而久之，这些孤立的资源池犹如“孤岛”般散落在整体IT版图之中。一方面，资源利用率严重失衡，部分区域资源紧张，需频繁申请新设备，而其他区域存在大量闲置硬件，运维成本持续攀升却无法实现协同共享；另一方面，新业务上线流程繁琐，从资源调配、环境搭建到系统部署，耗时漫长，难以契合金融产品快速迭代推向市场的节奏，且分散运维导致故障排查难度大、管理复杂，数据安全与合规管控也因架构分散而存在诸多隐患，整体IT效能滞后于业务发展步伐，云化转型迫在眉睫。访问全流程安