当前金融企业云平台的建设需求越发迫切。实现统一的云管平台能够有效整合和利用多种异构资源,简化内部IT架构,实现设备的全生命周期管理,消除设备使用信息孤岛,降低运维和管理成本,因此如何对现有的IT进行有效的整合和管理是每家金融企业必须要考虑的事情。近日,twt社区组织了云管平台领域的社区专家针对“金融企业云管平台架构设计及难点”主题进行了深入的在线探讨,以下是专家和社区会员的部分实践经验和观点分享。
1、云管平台主要是为了解决企业的哪些具体问题?
@zhuqibs Mcd 软件开发工程师:
云管平台有好多种,有些只是管理云上的资源,有的加入了DevOps的成分。但无论何种,目的就是把企业的IT流程标准化、客户化、自动化。
@chinesezzqiang 信息技术经理:
主要是为了解决大运算需求的业务支撑,提供弹性算力、按需提供计算、网络、存储的能力。
@某金融企业技术经理:
统一纳管多云环境,屏蔽异构云给运维人员带来的复杂度。快速交付计算资源给到应用开发人员使用。
@邓毓 某农信 系统工程师:
云管平台最主要解决的还是业务敏捷发展带来日益增长的资源需求与传统资源管理的自动化、敏捷化低下的矛盾问题,同时解决各分散资源管理上的不便捷和不统一,资源标准化难以落地的痛点。
2、城商行如何推进私有云建设(从技术架构选择)?
【问题描述】1、云计算如何技术架构设计;2、出发点--传统生产架构改造上云--如何建设?是否有必要?行内现在战略规划推动互联网金融发展,如何匹配建设云?3、当前应该是传统与互金一起上, 还是只是单独针对互金业务推动云建设。如何推进硬件资源IAAS层建设选型, 如何过渡到平台层PAAS层建设, 最后如何进入容器云阶段?欢迎各位大侠指点迷津!!!(我行的传统架构已十分健壮了)
@潘延晟 系统工程师:
先说第二个问题吧。传统生产架构改造上云是否有必要,我觉得这个是首要问题。要根据现有的架构评估上云的必要性,虚拟化是否能解决问题,上云并不一定是企业的一定选择。这个要根据业务量、业务特点等等决定的。如果企业的发展规模庞大,系统变得越来越复杂,并且业务更新上线也频繁。那么则可以考虑改造私有云。私有云的选择。总体上我觉得无外乎两种:技术实力强的选择开源、自研。否则,则直接选用成型的商业产品。业务上线上,我还是主张整体考虑、分步建设、逐步迁移,避免一次性的动作引发多方面问题而无法判断。
@邓毓 某农信 系统工程师:
1、云计算大体架构为资源池---虚拟化管理平台---云资源适配平台(IAAS)---云管平台(服务、编排、管理、安全、运维等等)。
2、就如您所说你们行传统架构已经十分健壮了,我个人不建议为了上云而上云,但要有云,可以把云架构做出来,无论是互金业务也好还是其他传统业务也好,新业务或者老业务改造后的资源都可以上到云上面来,这样稳步推进,传统架构也没发生根本性变化,新架构也用得蒸蒸日上。这是通用的方法。
3、项目一期肯定是IAAS云,这是毋庸质疑,后面再把云管做出来,统一异构资源管控也是流行趋势,接着开始大力推进服务目录和编排,把你们常用的资源服务编排成模板或者目录,从IAAS过渡到PAAS云,当然云容器一旦用起来,就直接是PAAS了,再和云管平台进行对接。这是我的思路供您参考。
@zhuqibs Mcd 软件开发工程师:
1、云架构的设计:内部业务上私有云,互联网业务可以考虑公有云;目前Kubernetes方兴未艾,所以,以OpenStack架构(只是架构,具体找供应商,不是用开源)+ K8S + 传统架构整合为主。
2、如何构建:首先,你要了解,云是什么,云是种服务模式;也就是说,如果你的行内,如果都是传统架构,我可以用一个OpenStack来整理管理你的传统架构,然后,对外提供服务,那就是传统架构就瞬间变为了“云”。这个在paypal公司(美国的支付宝)就是这样。而且,我可以告知你,德国大众也是这样的。要知道公司过去已经有大量的传统架构了,有VMware、Critx等等,难道全废了,上新的云再建起来,no,no,no,千万不要这样做,成本太高,你要做的是整合。云有整合的功能。
3、传统和互金并不矛盾, 对应于传统,你仍然可以通过传统模式建设,只要和云供应商谈好接口即可,到时候对接就可以的。一定要记住,“云化”是种整合,你现在所有的设备都可以云化。当整合完毕后,你的IAAS就完成了,接下来,你传统组件可以有什么功能,可以提供相应的api接口,在云平台上提供出去,这就是Paas了。
4、容器云,是需要改你底层的东西的,你可以在新的项目上,采用容器云的方案,老的就不要动了,采用整合的办法整合到云平台中,最终,通过一个统一的UI界面对外提供服务,这就是你们的企业云了。
@某金融企业技术经理:
1、IAAS、PAAS都是为了快速交付相应资源而生,IAAS快速交付计算资源、PAAS快速交付应用资源快速部署上线。当前行里现状是否有这些需要,这块儿的工作是否已经有了瓶颈?IAAS层与PAAS层架构上考虑的问题有很多区别,IAAS需要考虑机房机器的部署、网络的情况,银行受监管的要求比较多,网络分区是个比较大的问题。PAAS层需要考虑应用的改造,应用的架构与当前行方的网络架构是否有冲突,应用的部署是否受相应制约需要提前考虑。
2、考虑清楚第一点,那是否要上云心里应该有个初步考虑。如果当前运维的能力已经无法快速支撑业务的发展,那上IAAS,上云管是一个比较好的选择。若当前应用的迭代速度非常快,且有的时候会出现失控的情况如应用上线出现问题但无法快速回滚,部分业务系统的问题导致大面积应用无法正常服务等等,那就考虑PAAS层的建设。当前一直吹捧的DevOps概念还是有道理有价值的。
3、互金业务在前面试水吧,传统业务的改造有很多制约,存量系统谁来改造匹配当前架构?系统稳定运行多年,根据行方的业务发展,能满足近几年或者几十年的要求,那改造的意义何在?微服务架构固然有他的意义在,但通过其不断的发展,带来的很多问题显而易见。
@systemroot 中国航空结算有限责任公司 系统工程师:
1、如果已经有vmware了,可以采用独立商业云管+商业PAAS。
2、云管平台可以纳管已有虚拟化资源,一般也对接了主流公有云。
3、paas平台可以选商业开源,比如openshift或者Rancher。云管平台可以初步对接paas,达到形式上的统一云平台。
4、传统业务改造也是一个逐步的过程,所以单体传统应用和微服务互金业务三年内至少也是并存的,就是算是互金业务,现在数据库一般也不上容器。
5、云管作为统一入口,可以对接ITIL,堡垒机等周边运维子系统。所以用云管统一IAAS(vmware)+Paas就好。
@chinesezzqiang 信息技术经理:
1、首先上云是趋势,是必然之势。未来将是传统企业大规模拥抱云的时代(私有云、公有云)。可以将重型应用转移到云内,实现按需供给,节约成本;
2、传统企业逐渐拥抱+互联网概念,通过互联网提升自身业务能力、生产能力等,而这些的基础就是云、大数据、人工智能等技术的结合;
3、其实不必要过快的通IAAS过度到PAAS,要根据企业的实际情况而定。传统企业的属性始终是稳定为主,尤其是银行。
3�Ͻ�,����、众多的产品应该如何选择?是否达到了相应的效果?有什么经验可以分享?
@zhuqibs Mcd 软件开发工程师:
很多的产品,你只要根据你选用的什么云去选择,比如你用azure云,当然不会去用阿里的云效,但如果是私有云的话,如果是自己搭建的,那就是openstack自搭的了,你就需要考虑github上那些开源的云管平台了,如果是买的工业商的,那又绕回来了,供应商有。产品的评价,要根据你的需求,如果你没有跨云的需求,那基本上每家供应商的云管平台都可以满足你的一般需求。如果你有DevOps需求,基本上现在每个vendor都在做自己的DevOps云管平台。
@chinesezzqiang 信息技术经理:
根据企业的IT能力而定,比如技术型公司可以考虑开源云平台,传统企业建议采用成熟的软件产品。目前我们使用vmware和openstack两种平台,vmware用于生产,openstack用于测试和轻业务。
@某金融企业技术经理:
市面上的产品大致都差不多,找个调研下来产品比较稳定,在同行业中有类似案例落地的厂商吧,最好该厂商能满足一些定制化要求比较好。效果肯定是有的,主要的功能市面上都是类似的。针对自己特殊的场景做一些定制化改造,很多问题可以得到解决。不要大而全,先着重解决当前痛点,锦上添花华而不实的晚点再说。
@邓毓 某农信 系统工程师:
云管的产品确实够多,国内外的。但如果真正去仔细去了解的话,能够实实在在匹配企业真实需求的,可以直接筛选掉很多,很多云管实际都可能功能溢出了。我们在选择云管时,最主要关注的是服务编排引擎的能力和云管二次开发的能力,其他花里胡哨的功能能不要就不要,这样尽量清晰化云管平台和其他运维平台的边界。
(可多选型相关分享,可参考 金融企业云管平台选型时会遇到的四个典型问题)
4、作为软硬件资源服务化、抽象化的云管平台,其逻辑架构如何清晰化地设计和界定?
@zhuqibs Mcd 软件开发工程师::
云管平台的设计,可以以所提供的服务、组件为维度设计,比如数据库(MySQL,Postgres,MongoDB),中间件(RabbitMQ,Kaffa),实例(服务器、网卡、安全组....)
@summit 城商行 系统架构师:
为实现 IT 服务管理模式转型,需要 2 部分工作 : 一部分为基础架构层建设,需要建设可编程的基础设施,软件定义基础设施,即提供 API 可通过调用 API 提供资源,如 VMware 和 PowerVM 虚拟化平台、私有云、容器云、 SDN 、软件定义存储等;另一部分为服务化工作,即需要在基础设施之上建设云管理平台, 在软件定义基础架构平台基础上建立面向业务开发测试、应用运维的 在线 服务门户,与流程管理系统对接,使开发测试、应用运维可在线申请,审批通过后,平台自动调用软件定义基础架构 API 以及运维管理工具 API 完成应用运行环境自动化交付和管理信息的自动同步 。实现基于安全合规强监管要求下的资源环境的在线自助服务、自动化部署以及部署后的变更、回收全生命周期管理。
通过上面的建设 , 可以解决以上矛盾和问题,一方面更加快速可靠的提供开发测试、生产运行环境,解放生产力,助力加速开发测试、投产上线、业务发展;同时, 释放 IT 人力,实现资源的全生命周期闭环管理,持续跟踪精益管理 ,减少资源浪费 。
@邓毓 江西农信 系统工程师:
先上图:
狭义的云管平台就是在云资源的上层,再做一层管理平台, 即资源服务层,来实现自服务界面,将服务的底层资源实现、部署策略和动态调配实现抽象化,并集成各类运维、管理和流程的工具等。
而广义的云管平台则另外包含了云资源管理平台,要形成资源统一适配器接口,来匹配底层不同的计算、网络和存储资源,实现对所有异构的资源的统一管理,这样的好处在于通过统一的资源适配接口屏蔽各位资源的差异性,同时支撑上层的服务编排与部署。
所以,我们更应该以广义的角度去设计和界定云管平台,而不是狭义的将云管平台和底层各类资源去简单适配和驱动,一方面这样做,容易将资源服务层越做越臃肿,而且还很难解耦合。另一方面,这样做的整体架构不清晰,资源变更和新增后,又会加重资源服务层的开发难度。
@liujinlong 项目经理:
独立云管平台应该具备以下几个产品要素:
1、云管平台应该可以独立分发和部署 平台可以依赖其他(例如IaaS平台)的部分组件,但是云管平台自身应该可以独立分发。
2、云管平台应该完全通过开放API与外部系统交互 ( 底层IaaS/PaaS平台,还是用户系统、CMDB 或者用户应用)。
3、 台应该具备云服务形态的抽象能云服务的平台。不同的云管平台在具体管理的云服务类型区别。但作为一个独立云管平台,对于需要纳入的云服务形态,都需要具备跨云服务供应商的抽象能力。例如,如果需要重点管理云主机,独立云管平台需要能够抽象来自虚拟化环境、公有云和私有云的云主机服务,并提供统一的服务目录、交付等。
4、资源池的集群化管理,集群划分原则灵活可配,并通过区域划分的理念实现不同级别平台的部署。
5、银行两地三中心容灾模式下,对于异构私有云统一管理,云管平台部署架构应该如何设计?
@zhuqibs Mcd 软件开发工程师:
这个是好问题,现在有很多公司设置灾备环境,比如一个在腾讯云,一个在阿里云,如果要设计统一的云管平台首要的就会 “配置中心”,因为每个云上的Paas都是不一样的,需要将配置统一放在云管平台上,才能实现自动切换,竟可能减少切换的时间,也方便更改配置和配置审计。
@邓毓 某农信 系统工程师:
在多数据中心时,要实现多数据中心资源服务的统一调度、编排和管理,就必须要一套云管,实现多云管理,每个数据中心又都可能存在多种异构的小云(VMWARE X86云、POWER云、KVM X86云、HyperV X86云等等),单数据中心可以通过云资源适配平台对这些小云进行统一适配和接管,统一云管再分别对接这些云资源适配平台。这样就能顺利实现多云管理,通过云仓库来保证多云间模板、镜像、配置等的一致性,更有利于多云下标准化的落地和实现。同时,更为便利的是,能够实现多数据中心云的统一编排了,按照精心指定的编排模板,能够轻易实现多数据中心资源申请和部署。
@chinesezzqiang 信息技术经理:
好问题,也是很多企业都在探索和考虑的方向。长期混合云的趋势已经确定,留给IT管理者的更多的是考虑如何统一管理。我们目前处于尝试阶段,所以不敢班门弄斧,但是有些经验和坑可以分享给你:
1.云服务商之间竞争激烈,很少有那个供应商可以同时兼容多家公有云;
2.容灾模式要考虑平台的平滑切换问题,比如PAAS接口问题;
3.云平台架构的差异性。
@liujinlong 项目经理:
(1)可以跨多个虚拟化管理程序、私有云和公有云交付基础架构和应用,同时保持速度和控制力。
(2)自助式门户使授权管理员、开发人员或业务用户可以基于组、角色或策略控制他们请求基础架构、多层应用或自定义服务的方式。
(3)基于蓝本的基础架构和应用服务交付可简化私有云和公有云环境中多层应用和其他自定义服务拓扑的交付。
(4)基于策略的管理控制用户可以请求的服务、他们可以使用的资源的量或类型,以及他们可以跨服务或工作负载生命周期执行的操作。
(5)智能化资源管理可确保根据业务和服务级别要求分配资源,并且可以适当调整资源的规模以优化容量利用率。
6、云管平台与云架构建设过程中应注意哪些方面?
【问题描述】我们正在规划建设云架构,为兼顾原有的VM环境,也准备同步上云管平台,在云架构和云管平台建设过程中应当注意哪些方面?
@邓毓 某农信 系统工程师:
1、要注意云管架构分层,剥离出一层来做统一资源适配层,作为技术实现层。上层云管作为服务抽象层,将技术实现抽象为资源服务。
2、要注意底层资源信息往上层同步的问题,原有资源信息,包括原有的VM环境,同步至技术实现层和云管平台层。
3、要注意服务编排引擎的选择,异构云管要能做到跨云编排能力。另外服务编排的可视化也是很重要的,通过托拉拽搭积木的方式编排服务模板。
4、要注意云管和其他运维系统的边界问题,哪些云管来做,哪些通过对接的方式集成。
7、金融行业云建设一期云计算平台的通用功能需求点,欢迎提供专业建议?
【问题描述】背景:公司计划按照信息安全等保三级要求建立金融行业云(主备机房模式,自用+对金融客户租赁),目前跟多家云厂商做了沟通,各家云计算平台功能匹配的技术不一,我司一期建设计划是IAAS层+SAAS,先把主要的架子搭起来。
@zhuqibs Mcd 软件开发工程师:
建议谈不上,过去有个失败的例子,供参考。上家公司名字不说了,说出来大家都知道。要建立一个宏大的私有云计划,计划投资10.8亿美元,规划了一个数据中心,8个模块,计划采购上万台服务器,招了600多名技术人员,联系了各大商业云供应商,不断谈判,历时一年,结果到头来,项目取消,技术人员全部解聘。我建议以下几点:
(1)成本:最主要的,私有云、公有云,初期投入巨大,特别是金融云,要求两地三中心,所以,初期规模不应太大,应分多期进行。造一期,产生效益了,再造下一期。
(2)供应商:建议使用成熟的供应商,底层基本都是openstack,但是openstack是半成品,各个供应商有各自的高可用一站式解决方案。
(3)技术人员; 初期以管理人员为主,降低成本,产生效益后,纳入技术人员,开始接管供应商的技术。
(4)网络:云数据中心,重在网络,机房建设,初期必须网络先行,要仔细规划,考虑二期、三期的需求;
(5)服务器:一期建议高配20%,中配40%,低配40%,初期高端客户较少,用中低配打开市场,如果是公有云的话。
(6)存储:建议使用存储集群。
(7)备份:使用统一的备份中心平台 。
(8)外网:这要和三大供应商协商,至少是BGP线路,如果是公有云的话,带宽在1~2G,私有云可以降低。
@systemroot 中国航空结算有限责任公司 系统工程师:
看您这边设计,是混合云架构,建议引入独立的云管厂商。这种独立云厂商一般都与国内外主流公有云、openstack、openshift等完成对接,这种对接一般是松耦合对接,混合云架构的基本功能都有,扩展模块也很容易增加和减少功能模块。这种模式适合分级投入,如果不做大量定制化开发,后续换云管厂商的代价也不大。仅供参考。
8、云管平台需要统一监控平台吗?
【问题描述】背景:目前企业已经有类似BMC这这中传统的监控和告警平台,但是企业容器平台自带promethus监控,云管平台本身也会从VMWARE等不同云平台收集监控和告警信息。
@zhuqibs Mcd 软件开发工程师:
(1)云管平台和传统的设备,不是两套,不要划清界面。所谓的云的概念,一定要端正,云是种服务,不是任何设备的代名词。所以,你BMC监控,你告诉我,为什么不能集成对云的监控。
(2)传统的企业,不可能完全新建,必须是借助云来整合老的设备,然后新的项目上Kubernetes,上容器云。vmware + Kubernetes + critix + 裸机(物理机) 可以整合成一个大的企业私有云。而这个私有云,需要有一个统一的监控中心。然后搞一个统一的监控大盘(APM) 如果,现在你的BMC不支持,你可以去询问你的bmc的vendor,是否支持对prometheus的整合,是否可以访问prometheus的api接口,这并不是很难的。
@董志卫 李宁(中国)体育用品有限公司 系统架构师:
运维的头等大事可以说是监控了,没有监控犹如人无双眼,那是不是说有监控就能万事大吉了呢,显然不是。大量的无效告警,重复告警,如果不能很好的设置规则,那么监控给你带来的烦恼也是问题诸多,反而会拖累整体运维工作。不管哪家的云管平台产品均是有所监控的,但是这个监控范围和整体可控性,应该来说没有统一的监控产品兼顾的那么周全,否则就要在云管平台上做大量的二开,工作量和投入也不小。为了有利于整体的运维和后期的持续性,应该结合企业自身的具体需求,维护好一个开源或者商业产品监控解决方案,作为监控的统一入口,不断的更新迭代,一段时期下来企业就会积累很多经验,后期的运维也会更加的自如。