项目背景
近些年,金融科技蓬勃发展,保险行业作为金融领域的重要 组成,云计算、大数据等关键技术正在深刻改变保险行业的生态, 如何运用新技术推动效率、促进企业创新发展,成为保险企业未 来的核心竞争力。目前,国内已有诸多保险企业将云计算应用于 信息系统创新建设中。既有传统保险企业积极开展私有云建设, 又有新兴互联网保险企业全业务上行业云。
中国银保监(原中国保监会)发布的《中国保险业发展“十三 五”规划纲要》中也明确指出要“推动云计算、大数据在保险行业 的创新应用,加快数据采集、整合和应用分析”。 云计算是保险行业信息化发展变革的重要技术手段,保险行 业全面上云,可以有效解决系统转型过程中的痛点问题,加快保 险机构新一代 IT 系统构建的步伐,促进金融行业自身业务和服务 水平的提升,实现创新发展。未来,会有更多的保险企业探索云计 算,实现企业上云。
为积极遵循银保监提出的“十三五”规划,结合 IT 的信息化建 设现状、用户需求以及其整体的标准要求,中国人寿数据中心计 划稳步、有序地推进云建设,并选择九州未来作为合作伙伴共同打 造基于 OpenStack 的生产云。
需求挑战
就保险行业而言,上云安全、合规是十分关键的。在互联网转型的影响下,保险行业大多数创新业务直接连接互联网或跨 安全域工作,面临着非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、web 应用保护、僵尸木马、DDoS 攻击等各种安全问 题,并且其底层和其上的系统软件可能存在的安全漏洞将影响到整个平台系统的安全,攻击者在利用漏洞入侵到平台之后,可 以对整个平台内部的资源进行各种破坏,从而导致系统不可用,或者数据丢失、数据泄露......云安全是云计算发挥产能的原 则性条件。
因此,为保险行业构建立体、全面的云安全保障体系十分必要,中国人寿数据中心自然也不例外。云平台通过编排
调用现有内/外网云数据中心网络安全设备、防火墙、IPS 组建网络安全,通过流量引导以编排的形式为各种应用场景自定义 不同的安全机制。
应用三副本、纠删码存储方案,釆用分布式架构,中国人寿数据中心可实现除本地应用的实际保护机制外同时实现异地 周期快照、数据回滚、多云同步能力,保障数据安全,实现 10 个 9 的数据保障性。同时,云应用可弹性伸缩,实现自动化运维、自 动化迁移能力,配合高可用架构、负载均衡集群,打造 RTO=0 的应用安全。
安全可靠的私有云是网络+应用+数据的系统性安全。为保障业务连续及高可用保护,九州未来为中国人寿数据中心提供秒 级连续数据保护、多副本数据存储、系统架构高可用、自动伸缩、负载均衡群集,保障云软件系统的高可用性、云部署的高可用 性。基于分布式存储技术,保障业务数据存储多副本保存,并根据业务场景提供跨机柜的数据容灾提供 99.9999999%的数据 可靠性,同时可根据监控策略监听并发现故障后端主机自动隔离。 毋庸置疑,云技术正为保险企业创造大量新商机,但随之也出现了许多新的安全风险,凭借专业的技术和安全防护手段, 九州未来致力于为中国人寿数据中心提供更加安全的上云之路。
解决方案
中国人寿数据中心云平台设计以国际主流 laaS 技术 OpenStack 为核心,基于它提供的计算资源管理、存储管理、网络管 理、镜像管理、认证管理、计量管理和其他模块进行优化,结合分布式存储 Ceph,构建一个面向未来的、易于横向扩展的、高可 用的、不被厂商锁定的弹性计算存储云资源池。
本次实施基于社区版 OpenStack 并集成第三方 SDN 网络设备及存储设备搭建一个 OpenStack 私有云平台。本平台共三 Region, Region One (传统网络区),Region two (华为 SDN 区),Region Three(华三 SDN 区)。
本项目主要为 OpenStack 云平台提供虚拟机管理、存储管理、网络管理,为避免控制节点出现单点故障,故釆用三物理节 点做 HA 来提供控制区域的高可用性。OpenStack 控制区域部署 OpenStack 控制端所需组件,各个组件均提供 HA 的能力。
各组件之间通过如下的逻辑关系构成,控制节点部署所需的 API、镜像服务、数据库服务、消息服务等所需的服务。釆用 HAProxy、Galera 等集群技术构建控制节点高可用,详细如下图所示,在应用层形成高可用方案。
OpenStack 计算区域由 X86 及刀片组成,使用 KVM 提供虚拟化能力。OVS 为虚拟机提供 vswitch,从而为灵活组网提供支 撑 oLibvirtd 作为虚拟化管理 API 层,作为 OpenStack nova-compute 控制 kvm 的接入层。Nova-compute 对集群节点进行计算 资源管理,neutron-ovs-agent 对集群节点网络进行管理,Zabbix-agent 提供监控数据釆集。
通过该项目建设,中国人寿数据中心成功构建 OpenStack 私有云平台,方案涉及的主要技术亮点有:
-计算与存储的分布式架构:
釆取将计算与存储的分布式架构,实现类似 Google 数据中心的,实现可线性横向扩展的分布式云计算资源池; ・软件定义计算: 基于优化过的开源虚拟化平台,增加热迁移和高可用等高级功能,整合自动化物理节点部署和应用部署自动化,实现计 算资源的软件定义。可以实现多虚拟化平台的整合,避免厂商锁定; ・软件定义网络: 通过 OpenStack Neutron 和 OVS 以及异构网络硬件设备的整合,实现控制平面和转发平面的分离,建立软件定义网络环 境; ・软件定义存储: 通过 OpenStack 实现异构存储的统一,底层部署分布式存储和商用存储并暴露接口,实现存储的灵活调度和按需分配, 并通过分布式存储搭建冗余备份环境,实现软件定义存储环境; ・安全组功能:
云平台提供了针对云主机的安全组功能,使用安全组功能对云主机权限进行管理,防止租户主机非授权访问 oSecurity Group 通过对 Linux Bridge 的端口进行 IPtables 过滤达到对云主机的安全防护。安全组实现了四层的防护功能,能够针对不同 的协议如 U DP、TCP、ICM P,针对不同端口如 80、22、3306、3389 等,不同的来源 IP 范围;
•监控功能: 在监控方面基于统一、集中的管理体系,统一的数据处理和展现,统一的告警平台。统一的数据处理和展现,消除各个监 控工具之间各自为政、系统管理员在各个界面间频繁切换的情况,摆脱旧监控工具的数据和事件的现状,统一在新的监控平 台中实现,并通过统一的展现界面进行展现。统一的告警平台,将所有告警纳入监控管理监控平台,并通过短信、邮件和桌面 客户端统一告警。
项目成果
云计算的应用必将不断深入保险业,对保险业诸多方面建设产生越来越大的影响。让云计算在保险业更加发力,提升行 业管理能力,提升行业科技创新能力,提升行业服务社会经济能力,是保险发展的需要及必然趋势。中国人寿数据中心通过 “云化”创新,将会有更广阔的用武之地,将会实现以下显著的效果:
-越来越多地发挥云平台作用:
通过平台即服务与业务流程即服务,中国人寿数据中心可实现新渠道开发、新设备应用、新业务伙伴合作等。大力运用 云平台,将极大提高中国人寿数据中心快速反应能力和敏捷性、主动性,使保险企业能够跨越创新障碍,克服诸如新技术应用 开发、条款要求、业务部署等各方面的挑战。
•增强云服务技术实力和基础设施: 中国人寿数据中心将持续增强云服务技术实力和基础设施,充分收集和利用实时数据,以此为基础建立全新的产品与 服务系列,整合业务流程的不同环节,提升产品定价与风险管理等内在能力,深度融合银行、证券、汽车企业、医院等外部合作 伙伴。
-形成数据服务产业化:
中国人寿数据中心通过云计算数据平台获得的数据迅速增加,其各个业务部门需要履行、协调好数据从生成到传输的 责任,提高数据管理效率。并且其需要全面了解数据供求状况,准确判断数据价值,创建数据供应链,形成数据服务产业化。 -提高业务敏捷性: 云技术把分析法即服务提供给中国人寿数据中心,帮助其重新审视其核心业务、重新划分核心与非核心业 务,并将助力简化其核心业务架构,提高业务敏捷性。 ・更好的规避新的安全风险: 云技术在为保险企业创造大量新商机的同时,也会出现许多新的安全风险,尤其在移动交易中,中国人寿数据中心对设 备、应用和操作系统的控制更为关注,并更好的规避安全风险。
