開源云在金融行業(yè)的應(yīng)用——以深證云為例丨TF成立大會演講實(shí)錄

本文整理自“TF中文社區(qū)成立暨第一次全員大會”上的演講，點(diǎn)擊下載幻燈片文檔。https://tungstenfabric.org.cn/assets/uploads/files/financial-case-ztcloud.pdf

深證通金融云研發(fā)中心總助張鵬

各位上午好！我是來自深證通的張鵬。很榮幸能有機(jī)會和大家分享一下開源云在金融行業(yè)的應(yīng)用。
首先介紹一下深證云的情況，我們公司是深圳證券通信有限公司，成立于1993年，主要為深圳的證券市場提供行情、交易，還有清算的通信服務(wù)，同時(shí)也為中國的金融證券機(jī)構(gòu)提供綜合IT服務(wù)。

從2013年開始，隨著云計(jì)算浪潮的興起，我們就著手搭建行業(yè)云，主要為中國的金融證券行業(yè)提供云服務(wù)，我們的四項(xiàng)基本原則叫做開放、中立、專業(yè)、合規(guī)。

開放主要是我們?nèi)肀ч_源的技術(shù)路線，去打造一個開放的生態(tài)；中立是指公司具有行業(yè)公信力，作為獨(dú)立的第三方，保持業(yè)務(wù)的中立性；專業(yè)是指我們20多年的金融證券IT服務(wù)經(jīng)驗(yàn)，就專注于這個行業(yè)；合規(guī)是指我們符合證監(jiān)會等監(jiān)管機(jī)構(gòu)的規(guī)定，同時(shí)利用專業(yè)的服務(wù)去幫助我們云上的客戶做業(yè)務(wù)合規(guī)。

我們主要是基于開源的技術(shù)體系，使用了大家熟悉的OpenStack，計(jì)算虛擬化用的KVM，然后分布式存儲用Ceph，SDN也用到了TungstenFabric?，F(xiàn)在我們正在基于K8S去做相關(guān)的容器云服務(wù)的研發(fā)。上面BSS業(yè)務(wù)支撐系統(tǒng)，還有CMP的多云管理，OpenAPI，數(shù)據(jù)調(diào)用接口，都是基于Java的框架自研開發(fā)的。

經(jīng)過這六年多的發(fā)展，我們逐漸基于開源的技術(shù)體系打造了一個穩(wěn)定安全的基礎(chǔ)設(shè)施平臺，同時(shí)聯(lián)合了恒生，金證等ISV，共同為我們的云租戶提供相關(guān)的產(chǎn)品服務(wù)，主要是包括IT基礎(chǔ)資源外包，災(zāi)備開發(fā)測試，行情云等。

社群包括很多客戶，給大家舉三個應(yīng)用場景的例子。

第一個例子是核心監(jiān)管機(jī)構(gòu)，比如中國證券基金業(yè)協(xié)會，大家如果報(bào)名考試證券從業(yè)資格證的時(shí)候，訪問的考試系統(tǒng)就位于深證云上。

第二個例子是券商，現(xiàn)在大家用手機(jī)瀏覽股市行情，看股市的曲線，很多券商把行情系統(tǒng)上到我們的深證云，因?yàn)樯钭C云具有全國各地的數(shù)據(jù)中心節(jié)點(diǎn)，便于他們的用戶去就近接入。

第三個例子是一些公募和私募的基金，主要這幾年新籌的公募和私募，他們?yōu)榱丝s短申請牌照的周期，就會選擇云服務(wù)，利用我們公司專業(yè)的云服務(wù)，快速取得牌照。

深證云作為行業(yè)云，與騰訊云、阿里云這些公有云相比，有什么特點(diǎn)呢？我也想談三個方面。

第一點(diǎn)，就是云租戶除了在自己的VPC之內(nèi)擁有傳統(tǒng)的云主機(jī)、云盤、云網(wǎng)絡(luò)等，還可以申請物理機(jī)，以及專業(yè)存儲。因?yàn)樵诮鹑谧C券IT行業(yè)，很多核心系統(tǒng)其實(shí)還是跑在Oracle上面，去IOE還是需要一個過程。

第二點(diǎn)，深證云具有專業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)勢，云租戶上了我們深證云之后，可以很快地接入行業(yè)網(wǎng)絡(luò)，連接到核心機(jī)構(gòu)，比如說連接到深交所、上交所，還有證聯(lián)網(wǎng)。

第三點(diǎn)，我們會同深信服、綠盟、360這些安全廠商合作，同他們共建安全資源池的方案，便于云租戶繼續(xù)使用他們熟悉的云安全產(chǎn)品，只不過這個產(chǎn)品是以虛擬機(jī)的形式存在的。

最近一兩年，我們也推出了私有云的解決方案，私有云主要是為客戶提供一個專屬的機(jī)柜，做到天然的物理隔離，然后基于客戶的需求，定制化他們的硬件方案，還有網(wǎng)絡(luò)方案。

然后私有云也給大家舉兩個場景。到2020年，央行要取消外資的證券基金期貨持股比的限制，現(xiàn)在一些外資基金與我們聯(lián)系，他們對私有云這種模式非常感興趣，因?yàn)榭梢宰龅蕉ㄖ苹?，他們就可以使用熟悉的安全設(shè)備、網(wǎng)絡(luò)設(shè)備，用他們自己的架構(gòu)。

還有就是災(zāi)備。2019年證監(jiān)會發(fā)布了《中國金融證券經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》，里面對經(jīng)營機(jī)構(gòu)的災(zāi)備能力作了明確的要求。現(xiàn)在券商還有基金公司也對私有云的方案比較有興趣，因?yàn)樗麄兛梢曰谒接性谱鐾腔虍惖氐臑?zāi)備。

經(jīng)過這六年的發(fā)展，我們逐漸形成了全國布局、就近服務(wù)的行業(yè)云計(jì)算中心。既有我們自己的數(shù)據(jù)中心,也有租用的，比如說運(yùn)營商的廊坊、重慶、蘇州的機(jī)房，現(xiàn)在服務(wù)器有數(shù)千臺。

其中，最大的一個TF網(wǎng)絡(luò)SDN節(jié)點(diǎn)，就是位于我們中國證券期貨業(yè)南方信息技術(shù)中心，使用TF的SDN網(wǎng)絡(luò)方案。

下面請Mirantis中國區(qū)GM Eugene Huang來介紹一下具體的技術(shù)架構(gòu)。

Mirantis中國區(qū)總經(jīng)理黃子鈾

謝謝張總，我是Mirantis的黃子鈾，一直在美國硅谷那邊工作，大概也差不多20年了。很高興為大家分享Mirantis跟深證通的合作。

從2012年成立起，Mirantis就一直在開源社區(qū)里做貢獻(xiàn)，2013年進(jìn)入OpenStack，2014年開始跟Juniper有緊密的合作，并選擇了他們的Contrail方案，也就是現(xiàn)在的Tungsten Fabric。

Mirantis的客戶主要有運(yùn)營商，包括美國AT&T，還有印度、澳大利亞的運(yùn)營商等，還有就是和蘋果電腦、大眾汽車等合作，在一些場景中提供服務(wù)。

為什么要選擇開源的云架構(gòu)？因?yàn)樗亲灾骺煽氐模瑩碛胸S富的生態(tài)。上層有BigData、DBaaS、Containers、PaaS、CMP等。中間是我們提供的，當(dāng)時(shí)只是OpenStack跟裸機(jī)，現(xiàn)在也支持Kubernetes。下層也有很多不同的合作方，可以任意選擇不同的基礎(chǔ)設(shè)施。

當(dāng)時(shí)跟深證通一起建立的那朵云，是基于Fuel的產(chǎn)品去部署和運(yùn)維的，還有包含一些LMA的toolchain；另外也包含了HighAvailability；網(wǎng)絡(luò)是選擇了Open Contrail（TungstenFabric）；存儲是分布式的用Ceph，也對接商業(yè)版本的SAN；Wordload包括Murano和Sahara。

那為什么要選擇Contrail呢？當(dāng)時(shí)我們的網(wǎng)絡(luò)專家把市場里所有的SDN都做了一些調(diào)查，用那些條件去選型。各方面評估后，我們覺得Contrail是當(dāng)時(shí)穩(wěn)定性和可用性最好的一個SDN，它支持高可用，可以橫向擴(kuò)展，功能豐富，Service Chaining、NetworkPolicy也都是我們一些大客戶需要的場景。開源，并且是軟件的方案，也沒有供應(yīng)商的鎖定。特別是對于運(yùn)營商，這是一個很大的痛點(diǎn)，也滿足了當(dāng)時(shí)深證通的應(yīng)用場景。

我們的Underlay網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)。有IP-CLOS的架構(gòu)，OSPF作為Underlay網(wǎng)絡(luò)的路由協(xié)議，ECMP來實(shí)現(xiàn)可用鏈路的復(fù)載均衡等。

存儲方面我們是用了Cinder backend就是多存儲，分成不同的資源池。有SAS的pool用Ceph來實(shí)現(xiàn)，大部分就都解決了。還有一些高性能的，我們就選用了SSD的pool。我們也對接了一個SAN的Storage pool去解決一些商業(yè)場景。
接下來請楊雨介紹一下具體的應(yīng)用場景。

Tungsten Fabric中文社區(qū)技術(shù)人員代表?xiàng)钣?br/>

介紹一下我自己，我是TF社區(qū)的技術(shù)代表，做社區(qū)的推廣和運(yùn)營，包括我們中文社區(qū)的籌建。

剛才提到證券云行業(yè)的監(jiān)管要求，證監(jiān)會希望券商的IT基礎(chǔ)設(shè)施是有災(zāi)備的。那么我們從深證通考慮，提出有災(zāi)備云的服務(wù)，那么在網(wǎng)絡(luò)這個層面，就需要一個SDN的方案能支撐多云互聯(lián)。深證通災(zāi)備云目前在東莞鳳崗的證券基金行業(yè)南方數(shù)據(jù)中心有一個主集群，北京也部署了一個災(zāi)備的集群，形成了一個災(zāi)備云的方案，也是通過Contrail來實(shí)現(xiàn)多云互聯(lián)的。

具體它是怎么實(shí)現(xiàn)的？主要是基于Contrail的一個底層技術(shù)，就是我們熟知的MPLS 。首先我們可以看到，客戶的一個網(wǎng)絡(luò)，它是可以跨兩個數(shù)據(jù)中心的。那么他只需要把他的租戶的網(wǎng)絡(luò)，相應(yīng)的的VRF的RT，和我們另外一個數(shù)據(jù)中心的VRF的RT做相應(yīng)的路由交互，就可以實(shí)現(xiàn)二層或者三層的L2 或者L3 的交互，實(shí)現(xiàn)整個的租戶網(wǎng)絡(luò)的打通。與運(yùn)營商的MPLS骨干網(wǎng)絡(luò)也是天然兼容，這是Contrail的優(yōu)勢，也是一個典型的應(yīng)用場景。

另外一塊比較大的應(yīng)用場景，就是物理機(jī)VLAN和VXLAN的互聯(lián)。剛才張總也提到，在金融行業(yè)現(xiàn)在有大量的Oracle應(yīng)用，對磁盤的IO性能要求是比較高的，現(xiàn)在大部分Oracle的服務(wù)器都是跑在物理機(jī)上。我們的租戶在云里面，怎么再把云的一個虛擬網(wǎng)絡(luò)和租戶的一個物理網(wǎng)絡(luò)，做到統(tǒng)一的租戶體驗(yàn)的管理，以及統(tǒng)一的隔離？其實(shí)在TungstenFabric里面就有相應(yīng)方案，以前我們用的是OVSDB的方案，現(xiàn)在有E*** VXLAN的方案。

原來的OVSDB的方案，它可以通過一個支持OVSDB的交換機(jī)，把物理機(jī)的VLAN在交換機(jī)上作VXLAN的轉(zhuǎn)換，有L2的一個bridge，實(shí)現(xiàn)了云租戶網(wǎng)絡(luò)的一個虛機(jī)和物理機(jī)的一個二層通信，這樣也確保整個物理機(jī)也是有網(wǎng)絡(luò)的隔離性，并且和網(wǎng)絡(luò)的虛機(jī)，是一個完全連通的場景?，F(xiàn)在這個場景也有大量的應(yīng)用在深證通里面，大概有一百臺物理機(jī)的數(shù)據(jù)庫節(jié)點(diǎn)通過TF實(shí)現(xiàn)了和虛擬機(jī)的二來提供這樣的一個場景服務(wù)。

最后一點(diǎn)就是靈活的網(wǎng)絡(luò)接入。相對于其他的公有云平臺，深證通的網(wǎng)絡(luò)其實(shí)有更多的要求，它需要和深交所、上交所、證聯(lián)網(wǎng)和金融數(shù)據(jù)交換平臺做互聯(lián)互通。同時(shí)作為金融云的租戶，他也有接入云和他自己的私有云之間互聯(lián)的需求，包括專線的接入，或者是三層***的接入。甚至租戶也需要通過互聯(lián)網(wǎng)提供相應(yīng)的互聯(lián)網(wǎng)服務(wù)，TF通過MPLS ***的技術(shù)來提供一個很好的、靈活的接入選擇方案。

同時(shí)還有一點(diǎn)，可以看到我們會和深交所和上交所接入，其實(shí)在金融行業(yè)里面還會有一個比較特殊的場景，就是通過組播支持高頻的Level 2行情數(shù)據(jù)的場景，其實(shí)當(dāng)時(shí)我們在做技術(shù)選型的時(shí)候，也是看到TF支持組播在SDN虛擬網(wǎng)絡(luò)里面的傳輸。

謝謝大家！

關(guān)注微信：TF中文社區(qū)