開源雲在金融行業的應用——以深證云爲例丨TF成立大會演講實錄

本文整理自「TF中文社區成立暨第一次全員大會」上的演講，點擊下載幻燈片文檔。https://tungstenfabric.org.cn/assets/uploads/files/financial-case-ztcloud.pdf

深證通金融雲研發中心總助張鵬

各位上午好！我是來自深證通的張鵬。很榮幸能有機會和你們分享一下開源雲在金融行業的應用。
首先介紹一下深證雲的狀況，咱們公司是深圳證券通訊有限公司，成立於1993年，主要爲深圳的證券市場提供行情、交易，還有清算的通訊服務，同時也爲中國的金融證券機構提供綜合IT服務。

從2013年開始，隨着雲計算浪潮的興起，咱們就着手搭建行業雲，主要爲中國的金融證券行業提供雲服務，咱們的四項基本原則叫作開放、中立、專業、合規。

開放主要是咱們去擁抱開源的技術路線，去打造一個開放的生態；中立是指公司具備行業公信力，做爲獨立的第三方，保持業務的中立性；專業是指咱們20多年的金融證券IT服務經驗，就專一於這個行業；合規是指咱們符合證監會等監管機構的規定，同時利用專業的服務去幫助咱們雲上的客戶作業務合規。

咱們主要是基於開源的技術體系，使用了你們熟悉的OpenStack，計算虛擬化用的KVM，而後分佈式存儲用Ceph，SDN也用到了TungstenFabric。如今咱們正在基於K8S去作相關的容器雲服務的研發。上面BSS業務支撐系統，還有CMP的多雲管理，OpenAPI，數據調用接口，都是基於Java的框架自研開發的。

通過這六年多的發展，咱們逐漸基於開源的技術體系打造了一個穩定安全的基礎設施平臺，同時聯合了恆生，金證等ISV，共同爲咱們的雲租戶提供相關的產品服務，主要是包括IT基礎資源外包，災備開發測試，行情雲等。

社羣包括不少客戶，給你們舉三個應用場景的例子。

第一個例子是核心監管機構，好比中國證券基金業協會，你們若是報名考試證券從業資格證的時候，訪問的考試系統就位於深證雲上。

第二個例子是券商，如今你們用手機瀏覽股市行情，看股市的曲線，不少券商把行情繫統上到咱們的深證雲，由於深證雲具備全國各地的數據中心節點，便於他們的用戶去就近接入。

第三個例子是一些公募和私募的基金，主要這幾年新籌的公募和私募，他們爲了縮短申請牌照的週期，就會選擇雲服務，利用咱們公司專業的雲服務，快速取得牌照。

深證雲做爲行業雲，與騰訊雲、阿里雲這些公有云相比，有什麼特色呢？我也想談三個方面。

第一點，就是雲租戶除了在本身的VPC以內擁有傳統的雲主機、雲盤、雲網絡等，還能夠申請物理機，以及專業存儲。由於在金融證券IT行業，不少核心系統其實仍是跑在Oracle上面，去IOE仍是須要一個過程。

第二點，深證雲具備專業的網絡結構優點，雲租戶上了咱們深證雲以後，能夠很快地接入行業網絡，鏈接到核心機構，好比說鏈接到深交所、上交所，還有證聯網。

第三點，咱們會同深信服、綠盟、360這些安全廠商合做，同他們共建安全資源池的方案，便於雲租戶繼續使用他們熟悉的雲安全產品，只不過這個產品是以虛擬機的形式存在的。

最近一兩年，咱們也推出了私有云的解決方案，私有云主要是爲客戶提供一個專屬的機櫃，作到自然的物理隔離，而後基於客戶的需求，定製化他們的硬件方案，還有網絡方案。

而後私有云也給你們舉兩個場景。到2020年，央行要取消外資的證券基金期貨持股比的限制，如今一些外資基金與咱們聯繫，他們對私有云這種模式很是感興趣，由於能夠作到定製化，他們就可使用熟悉的安全設備、網絡設備，用他們本身的架構。

還有就是災備。2019年證監會發布了《中國金融證券經營機構信息技術管理辦法》，裏面對經營機構的災備能力做了明確的要求。如今券商還有基金公司也對私有云的方案比較有興趣，由於他們能夠基於私有云作同城或異地的災備。

通過這六年的發展，咱們逐漸造成了全國佈局、就近服務的行業雲計算中心。既有咱們本身的數據中心,也有租用的，好比說運營商的廊坊、重慶、蘇州的機房，如今服務器有數千臺。

其中，最大的一個TF網絡SDN節點，就是位於咱們中國證券期貨業南方信息技術中心，使用TF的SDN網絡方案。

下面請Mirantis中國區GM Eugene Huang來介紹一下具體的技術架構。

Mirantis中國區總經理黃子鈾

謝謝張總，我是Mirantis的黃子鈾，一直在美國硅谷那邊工做，大概也差很少20年了。很高興爲你們分享Mirantis跟深證通的合做。

從2012年成立起，Mirantis就一直在開源社區裏作貢獻，2013年進入OpenStack，2014年開始跟Juniper有緊密的合做，並選擇了他們的Contrail方案，也就是如今的Tungsten Fabric。

Mirantis的客戶主要有運營商，包括美國AT&T，還有印度、澳大利亞的運營商等，還有就是和蘋果電腦、大衆汽車等合做，在一些場景中提供服務。

爲何要選擇開源的雲架構？由於它是自主可控的，擁有豐富的生態。上層有BigData、DBaaS、Containers、PaaS、CMP等。中間是咱們提供的，當時只是OpenStack跟裸機，如今也支持Kubernetes。下層也有不少不一樣的合做方，能夠任意選擇不一樣的基礎設施。

當時跟深證通一塊兒創建的那朵雲，是基於Fuel的產品去部署和運維的，還有包含一些LMA的toolchain；另外也包含了HighAvailability；網絡是選擇了Open Contrail（TungstenFabric）；存儲是分佈式的用Ceph，也對接商業版本的SAN；Wordload包括Murano和Sahara。

那爲何要選擇Contrail呢？當時咱們的網絡專家把市場裏全部的SDN都作了一些調查，用那些條件去選型。各方面評估後，咱們以爲Contrail是當時穩定性和可用性最好的一個SDN，它支持高可用，能夠橫向擴展，功能豐富，Service Chaining、NetworkPolicy也都是咱們一些大客戶須要的場景。開源，而且是軟件的方案，也沒有供應商的鎖定。特別是對於運營商，這是一個很大的痛點，也知足了當時深證通的應用場景。

咱們的Underlay網絡架構的設計。有IP-CLOS的架構，OSPF做爲Underlay網絡的路由協議，ECMP來實現可用鏈路的覆載均衡等。

存儲方面咱們是用了Cinder backend就是多存儲，分紅不一樣的資源池。有SAS的pool用Ceph來實現，大部分就都解決了。還有一些高性能的，咱們就選用了SSD的pool。咱們也對接了一個SAN的Storage pool去解決一些商業場景。
接下來請楊雨介紹一下具體的應用場景。

Tungsten Fabric中文社區技術人員表明楊雨

介紹一下我本身，我是TF社區的技術表明，作社區的推廣和運營，包括咱們中文社區的籌建。

剛纔提到證券雲行業的監管要求，證監會但願券商的IT基礎設施是有災備的。那麼咱們從深證通考慮，提出有災備雲的服務，那麼在網絡這個層面，就須要一個SDN的方案能支撐多雲互聯。深證通災備雲目前在東莞鳳崗的證券基金行業南方數據中心有一個主集羣，北京也部署了一個災備的集羣，造成了一個災備雲的方案，也是經過Contrail來實現多雲互聯的。

具體它是怎麼實現的？主要是基於Contrail的一個底層技術，就是咱們熟知的MPLS 。首先咱們能夠看到，客戶的一個網絡，它是能夠跨兩個數據中心的。那麼他只須要把他的租戶的網絡，相應的的VRF的RT，和咱們另一個數據中心的VRF的RT作相應的路由交互，就能夠實現二層或者三層的L2 或者L3 的交互，實現整個的租戶網絡的打通。與運營商的MPLS骨幹網絡也是自然兼容，這是Contrail的優點，也是一個典型的應用場景。

另一塊比較大的應用場景，就是物理機VLAN和VXLAN的互聯。剛纔張總也提到，在金融行業如今有大量的Oracle應用，對磁盤的IO性能要求是比較高的，如今大部分Oracle的服務器都是跑在物理機上。咱們的租戶在雲裏面，怎麼再把雲的一個虛擬網絡和租戶的一個物理網絡，作到統一的租戶體驗的管理，以及統一的隔離？其實在TungstenFabric裏面就有相應方案，之前咱們用的是OVSDB的方案，如今有E*** VXLAN的方案。

原來的OVSDB的方案，它能夠經過一個支持OVSDB的交換機，把物理機的VLAN在交換機上做VXLAN的轉換，有L2的一個bridge，實現了雲租戶網絡的一個虛機和物理機的一個二層通訊，這樣也確保整個物理機也是有網絡的隔離性，而且和網絡的虛機，是一個徹底連通的場景。如今這個場景也有大量的應用在深證通裏面，大概有一百臺物理機的數據庫節點經過TF實現了和虛擬機的二來提供這樣的一個場景服務。

最後一點就是靈活的網絡接入。相對於其餘的公有云平臺，深證通的網絡其實有更多的要求，它須要和深交所、上交所、證聯網和金融數據交換平臺作互聯互通。同時做爲金融雲的租戶，他也有接入雲和他本身的私有云之間互聯的需求，包括專線的接入，或者是三層***的接入。甚至租戶也須要經過互聯網提供相應的互聯網服務，TF經過MPLS ***的技術來提供一個很好的、靈活的接入選擇方案。

同時還有一點，能夠看到咱們會和深交所和上交所接入，其實在金融行業裏面還會有一個比較特殊的場景，就是經過組播支持高頻的Level 2行情數據的場景，其實當時咱們在作技術選型的時候，也是看到TF支持組播在SDN虛擬網絡裏面的傳輸。

謝謝你們！

關注微信：TF中文社區