曾几何时,股票是人们发财和一夜暴富的手段,那时的人们用拷克 箱来装实物股票,数目大的股民需要用麻袋装实物股票到交易所办理转 让过户手续;
曾几何时,办理交易的人们需要到窗口排队,远远望去像极了一条 条“长龙”,场面十分壮观,那时的交易工作需要大量的人力来完成;
曾几何时,中国的证券行业正处于熊市,那时电话委托、网上交易取 代了传统的交易方式,券商的 IT 工程师们“马不停蹄”地奔走于各大城市, 调研自己所在券商公司各地营业厅的交易以及系统运行情况,一轮又一 轮扩容相应的 IT 系统......
而今,对于跃然云上的华金证券来说,那样的日子已经一去不复返 了。
华金证券股份有限公司(以下简称:“华金证券”)前身是设立于 2000 年 9 月的上海久联证券经纪有限责任公司,而后经历引进战投、增资扩股、 股份改制等一系列事宜,2016 年 12 月正式更名为华金证券。作为一家拥 有全牌照的综合性证券公司,华金证券业务范围涵盖证券承销与保荐、证 券资产管理、证券经纪、证券自营、另类投资等诸多领域。 目前,华金证券业务主要依托股票期权、沪港通、期货、私募、债券投 资、新三板、投资银行等板块,重点围绕“三大引擎+两大支撑”,即:以固定 收益、资产管理、投资银行为主导业务,以经纪(含融资融券)、研究销售为 核心支撑业务,立足沪上金融制高点,依托珠海横琴区位、政策优势,欲通 过创新与互联网金融的发展方向,走出一条多元化、国际化的道路,然而 证券企业的创新之路并不好走。
互联网+”带来的“焦虑” 用私有云“破局“
2016 年前后,“互联网+”概念引发了全民狂欢。所谓“互联网+”就是“互联网+各个传统行业”,但这并不是简单的相加,而 是利用信息通信技术以及互联网平台,让互联网与传统行业进行深度融合,创造新的发展生态。证券作为金融业的大龙头,自 然也被推向了“互联网+”的风口,众多公司把一部分业务搬到了线上,例如网上开户、网上金融商场等,华金证券也在“互联网 +”的浪潮下,不断利用最新技术升级产品和业务,从而提升用户体验。
然而,“互联网+”犹如硬币的正反两面,给用户带来良好体验的同时,对行业的技术架构也提出了新的要求:产品迭代越 来越快、交易量峰值无法预测等挑战要求证券企业必须尽快利用 IT 技术提升自身信息化水平,这时候,云计算无疑是最佳选 择。
为什么说云计算是最优解?有数据显示,2016 年前后,云计算逐步向以金融行业为代表的传统行业加速渗透,证券领域中 应用私有云 laaS 的企业逐年增多,加速系统上线、降低成本、提升运维效率是他们建设私有云的主要驱动力。
面对如此形势,华金证券结合自身业务特点,决定在上海小范围釆用新型技术加速业务发展的思路下,开展内部私有云 建设。在云计算飞速发展的当下,立体式的金融服务平台需要有一个强大的后端支撑平台,对于在金融投资数据服务领域快速 发展的华金证券来说更是如此。
私有云建设之路困难重重
当时,华金证券对国内外现有的云平台服务做了细致的测试和对比,涉及经济性、自主可控性、未来发展趋势等多个方 面,对比之后最终选择釆用 0 penstack 技术路线来构建私有云。华金证券希望通过逐步上云的策略和开放的技术架构,建设 有行业有特色的证券私有云,为集团内部提供一套完整且高效的金融 IT 服务能力。 私有云平台需要承载多个任务:为 IT 运维部门提供一整套完整的 IT 基础设施、基础 IT 资源管理系统,为 IT 开发人员和第三 方解决方案厂商提供云平台服标准接口,为内部业务人员和外部客户提供应用数据服务。整个云平台从架构上要符合云计算 未来的建设标准,提供标准的对外接口和可扩展能力。对于华金证券来说,要建设这样一个私有云平台是有一定难度的:
首先是云平台的部署和扩展方面,华金证券将建设互联网金融业务云平台,如何通过该平台为金融行业提供互联网金融 业务开展所需的软件服务、基础架构服务;
其次是定制化开发服务方面,如何缩短系统开发周期、实现产品的快速迭代,最大程度地満足市场需求和用户体验;
再次是计费计量方面,如何根据客户的使用量进行按需计费和计量,实现按需的弹性资源供给;
是高瞬(SLA99.99%)方面,如计算节点和惭 J 节点在交易时段内费累十咨」99.99%的可用愠
除了面对上述困难之外,华金证券内部也缺乏专业的技术人员,处理云平台日常运维管理中存在的问题。
基于九州未来的云平台解决方案打造健壮的私有云平台
为了解决上述难题,华金证券找到了九州未来。根据华金证券云平台的建设成本、开放架构以及所面临的难题,九州未来为其 提供了一套高效的解决方案:从物理层、虚拟化层、管理层、业务层、运维监控层和用户层面,以 OpenStack 核心组件为基础进 行管理,通过分期建设的方式,帮助华金证券逐步构建私有云平台。
第一阶段釆用 OpenStack 成熟的模块,把计算虚拟化、存储虚拟化进行统一管理,并结合开源的监控工具完成对整个私有 云业务系统的监控。整个云平台从资源上通过 OpenStackW 理平台整合了原有的计算、存储、网络的管理,为华金证券的业务提 供了标准的 laaS 的 API 服务。通过九州未来的 Animbus 服务门户,让管理员可以通过统一门户为企业 IT 管理人员提供自助服务。整 个私有云平台在构建初期就考虑到平台的稳定性,云控制部分釆用多节点、高可用的方式,整体解决方案遵循以下设计原则:
计算资源池:资源池架构标准化与充分整合以降低运维成本,提高资源池的运行保障效率,通过资源池的设计实现计算 资源弹性化,缩短服务部署时间以提升业务竞争能力。从安全可靠、适应性、可扩展性、实用性、先进性、高效性、标准化、易管理 的角度出发,通过业界领先的方法论和对金融行业应用业务的理解,并参照金融业界最佳实践经验来规划计算资源池。
存储资源池:根据金融业务的特点,存储资源池的设计需要从数据安全性、性能以及可扩展性进行设计,遵循架构灵活 性、易管理、资源调配统一性和便捷性、数据保护性、存储层次化,多样性等原则。存储资源池的设计需要纳管传统商业存储 (例如:SANs NAS),同时需要在扩展性方面对软件定义、分布式存储作为业务的扩展,实现多种存储的统一设计和统一管理。
网络资源池:采用“先分层,后分区”的设计思路,根据不同业务功能区域的隔离需求,整个网络系统按照整体业务流向 划分为外联接入层、网络交换层、核心网络层、存储区域层。同时,为了更好的支持云平台的运行管理,将网络分为服务、业务、 管理 3 个网络平面,通过层与平面结合形成 7 个区域,各业务区域之间实现网络逻辑隔离,有利于系统的拓展,也便于日后的运 维管理,同时也为业务的拓展奠定基础,只需增加相应功能区域的设备就可以满足新业务的网络通讯需求。
另外,证券企业有大量的业务系统需要和硬件的 USB-KEY 进行通讯,在本方案中,需要把原有的 USB-KEY 的业务系统逐 步迁移到整个私有云平台上。考虑到今后对 USB-KEY 的统一管理,在私有云平台控制节点上接入应用平台所需要的 USB-KEY,通过 IP 网络挂载给私有云平台的虚拟机,从而提供基于 KEY 的安全认证。考虑到 USB-KEY 业务的连续性,在两个控 制节点同时具备接入 USB-KEY 的能力,在必要的情况下,可以切换 USB-KEY 到备份节点。
在云平台运维方面,通过 Zabbix+ELK 的方式,从物理设备、基础 OpenStack 服务、存储服务等多个维度对整个平台的监 控状况做一个合理的评估,并通过 Grafana 为运维人员提供统一的监控展现平台。
如下图,华金证券云平台底层基于计算存储融合的 X86 服务器以及网络交换设备的部署,通过虚拟化技术整合,基 于超融合架构,实现计算资源池、存储资源池和网络资源池构建。超融合技术将 X86 服务器的本地存储资源汇集成统一 的存储资源池,通过网络路径冗余、网络分平面设计、存储多副本、小 10 聚合、自动负载均衡等高可用技术实现高可靠的 云计算资源池建设;上层通过云资源管理平台建设实现用户管理、运维和运营管理、开发管理、安全管理、日志管理以及 计费管理等功能。通过 IAAS 云平台提供的云主机或容器以支撑上层业务系统相关模块的部署和运行。
在上述设计原则的指导下,华金证券 laaS 基础支撑云平台整体高可用架构的设计如下图所示:
云平台计算资源:通过虚拟化管理软件实现资源池化,主要用于提供 CPU、内存等计算资源以承载业务应用,基于硬件 服务器自身的双电源、RAID 卡等机制实现设备的高可用性;
云平台存储资源:laaS 云架构实现存储和计算资源的融合,即每台 x86 服务器既是计算节点,又是存储节点,通过分布 式存储引擎将每台节点机本地不同访问速率的硬盘融合成全局的存储资源池,用于存放云主机镜像以及业务数据等;通过分 布式存储引擎构建的存储资源池具备分布式架构,通过软件定义方式实现分布式集群 HA、分布式无状态机头、分布式智能 Cache (冷热数据分离)及数据的多副本存取机制;
云平台网络资源:每台 laaS 管理服务器和计算服务器的万兆和千兆网卡和外置的万兆以及千兆以太网交换机提供云平 台的高冗余网络架构;
云平台管理:用于对云平台的资源池进行统一的调度和管理,以 H"式部署在管理节点服务器组成的集群上。云管理可对 资源池中所有节点上的资源进行统一管理并提供 we■ 口给管理员和用户,以实现访问门户的负载均衡和高可用。
全方位提高经济效益和业务效率
laaS 云平台上线之后,华金证券的研发测试系统、部分交易系统、办公系统逐步迁移到了该平台上。由于最初选择釆用九州未来提 供的云平台解决方案,在过去 3 年多的时间里,laaS 云平台给华金证券带来了巨大的经济效益,与此同时,公司的业务效率也得到了全 面提升:
资源使用率得到 I 大幅度提升:以传统开发测试环境为例,服务器 CPU 使用率通常不足 10%(业界平均),而通过云平台虚拟化以 及资源共享调配的手段可以将 CPU 使用率提高到 60%以上,同时也提高了空间、能源的使用效率;
应用咅 U 署效率得到有效提升:在传统开发测试中,大量工作花费在基础设施供应上,而通过云平台自动化实现了自动供应,将 原来数周的供应时间降为数分钟,极大提高了应用部署上线时间,减少工作量的同时,缩短了新业务上市周期,从而使得华金证券的业 务在竞争中夺得先机;
解放人力,提升了单位人工生产力:由于云平台釆纳了自动化方式,以机器替代了人工工作,从而提升了部分工作效率。另外, 通过自助化方式的申请资源,相当于将许多基础设施工作“众包”给最终用户,不但减少了中间环节,还极大解放了运维人员的生产力, 把他们从繁重的重复劳动中解放出来,投入到更加高附加值的工作中去,资源得到了合理配置; IT 管理水平得到大幅度提升:云平台通过统一自助门户管理资源,所有管理方法通过流程化手段固化,使得管理理念得以贯彻 落实,降低了由于传统 IT 管理中存在的“灰色地带”而导致的资源浪费。此外,人员知识技能以自动化脚本的方式被重复使用,降低了企 业的人力资源成本。由于云平台自带配置管理、告警、报表和仪表盘工具等,这为 IT 运维和管理辅助决策提供了现成的工具;
提升 IT 合规水平,降低了风险发生的概率:由于云平台釆纳了自动化、流程化等辅助手段减少了人工操作,从而降低了由于人 工失误带来的潜在风险。有了标准化流程保障,使得人为违规的可能性降低,再次降低了风险发生的概率,从而降低了企业所需承担风 险的隐性成本。
如今,云计算已经成为证券机构“技术引领业务”转型中的推动者,华金证券上云的案例为其他证券机构上云提供了有效借鉴。在 过去 3 年多的时间里,九州未来在为华金证券提供服务的同时,也见证了其一步一脚印踏入云端的辛路历程。未来,九州未来在不断进行技 术创新的同时,把以往累积的丰富经验和能力输出给更多行业客户,最大限度地发挥自身价值,为更多行业赋能。