開源云在金融行業的應用——以深證云為例丨TF成立大會演講實錄

本文整理自“TF中文社區成立暨第一次全員大會”上的演講，點擊下載幻燈片文檔。https://tungstenfabric.org.cn/assets/uploads/files/financial-case-ztcloud.pdf

深證通金融云研發中心總助張鵬

各位上午好！我是來自深證通的張鵬。很榮幸能有機會和大家分享一下開源云在金融行業的應用。
首先介紹一下深證云的情況，我們公司是深圳證券通信有限公司，成立于1993年，主要為深圳的證券市場提供行情、交易，還有清算的通信服務，同時也為中國的金融證券機構提供綜合IT服務。

從2013年開始，隨著云計算浪潮的興起，我們就著手搭建行業云，主要為中國的金融證券行業提供云服務，我們的四項基本原則叫做開放、中立、專業、合規。

開放主要是我們去擁抱開源的技術路線，去打造一個開放的生態；中立是指公司具有行業公信力，作為獨立的第三方，保持業務的中立性；專業是指我們20多年的金融證券IT服務經驗，就專注于這個行業；合規是指我們符合證監會等監管機構的規定，同時利用專業的服務去幫助我們云上的客戶做業務合規。

我們主要是基于開源的技術體系，使用了大家熟悉的OpenStack，計算虛擬化用的KVM，然后分布式存儲用Ceph，SDN也用到了TungstenFabric。現在我們正在基于K8S去做相關的容器云服務的研發。上面BSS業務支撐系統，還有CMP的多云管理，OpenAPI，數據調用接口，都是基于Java的框架自研開發的。

經過這六年多的發展，我們逐漸基于開源的技術體系打造了一個穩定安全的基礎設施平臺，同時聯合了恒生，金證等ISV，共同為我們的云租戶提供相關的產品服務，主要是包括IT基礎資源外包，災備開發測試，行情云等。

社群包括很多客戶，給大家舉三個應用場景的例子。

第一個例子是核心監管機構，比如中國證券基金業協會，大家如果報名考試證券從業資格證的時候，訪問的考試系統就位于深證云上。

第二個例子是券商，現在大家用手機瀏覽股市行情，看股市的曲線，很多券商把行情系統上到我們的深證云，因為深證云具有全國各地的數據中心節點，便于他們的用戶去就近接入。

第三個例子是一些公募和私募的基金，主要這幾年新籌的公募和私募，他們為了縮短申請牌照的周期，就會選擇云服務，利用我們公司專業的云服務，快速取得牌照。

深證云作為行業云，與騰訊云、阿里云這些公有云相比，有什么特點呢？我也想談三個方面。

第一點，就是云租戶除了在自己的VPC之內擁有傳統的云主機、云盤、云網絡等，還可以申請物理機，以及專業存儲。因為在金融證券IT行業，很多核心系統其實還是跑在Oracle上面，去IOE還是需要一個過程。

第二點，深證云具有專業的網絡結構優勢，云租戶上了我們深證云之后，可以很快地接入行業網絡，連接到核心機構，比如說連接到深交所、上交所，還有證聯網。

第三點，我們會同深信服、綠盟、360這些安全廠商合作，同他們共建安全資源池的方案，便于云租戶繼續使用他們熟悉的云安全產品，只不過這個產品是以虛擬機的形式存在的。

最近一兩年，我們也推出了私有云的解決方案，私有云主要是為客戶提供一個專屬的機柜，做到天然的物理隔離，然后基于客戶的需求，定制化他們的硬件方案，還有網絡方案。

然后私有云也給大家舉兩個場景。到2020年，央行要取消外資的證券基金期貨持股比的限制，現在一些外資基金與我們聯系，他們對私有云這種模式非常感興趣，因為可以做到定制化，他們就可以使用熟悉的安全設備、網絡設備，用他們自己的架構。

還有就是災備。2019年證監會發布了《中國金融證券經營機構信息技術管理辦法》，里面對經營機構的災備能力作了明確的要求。現在券商還有基金公司也對私有云的方案比較有興趣，因為他們可以基于私有云做同城或異地的災備。

經過這六年的發展，我們逐漸形成了全國布局、就近服務的行業云計算中心。既有我們自己的數據中心,也有租用的，比如說運營商的廊坊、重慶、蘇州的機房，現在服務器有數千臺。

其中，最大的一個TF網絡SDN節點，就是位于我們中國證券期貨業南方信息技術中心，使用TF的SDN網絡方案。

下面請Mirantis中國區GM Eugene Huang來介紹一下具體的技術架構。

Mirantis中國區總經理黃子鈾

謝謝張總，我是Mirantis的黃子鈾，一直在美國硅谷那邊工作，大概也差不多20年了。很高興為大家分享Mirantis跟深證通的合作。

從2012年成立起，Mirantis就一直在開源社區里做貢獻，2013年進入OpenStack，2014年開始跟Juniper有緊密的合作，并選擇了他們的Contrail方案，也就是現在的Tungsten Fabric。

Mirantis的客戶主要有運營商，包括美國AT&T，還有印度、澳大利亞的運營商等，還有就是和蘋果電腦、大眾汽車等合作，在一些場景中提供服務。

為什么要選擇開源的云架構？因為它是自主可控的，擁有豐富的生態。上層有BigData、DBaaS、Containers、PaaS、CMP等。中間是我們提供的，當時只是OpenStack跟裸機，現在也支持Kubernetes。下層也有很多不同的合作方，可以任意選擇不同的基礎設施。

當時跟深證通一起建立的那朵云，是基于Fuel的產品去部署和運維的，還有包含一些LMA的toolchain；另外也包含了HighAvailability；網絡是選擇了Open Contrail（TungstenFabric）；存儲是分布式的用Ceph，也對接商業版本的SAN；Wordload包括Murano和Sahara。

那為什么要選擇Contrail呢？當時我們的網絡專家把市場里所有的SDN都做了一些調查，用那些條件去選型。各方面評估后，我們覺得Contrail是當時穩定性和可用性最好的一個SDN，它支持高可用，可以橫向擴展，功能豐富，Service Chaining、NetworkPolicy也都是我們一些大客戶需要的場景。開源，并且是軟件的方案，也沒有供應商的鎖定。特別是對于運營商，這是一個很大的痛點，也滿足了當時深證通的應用場景。

我們的Underlay網絡架構的設計。有IP-CLOS的架構，OSPF作為Underlay網絡的路由協議，ECMP來實現可用鏈路的復載均衡等。

存儲方面我們是用了Cinder backend就是多存儲，分成不同的資源池。有SAS的pool用Ceph來實現，大部分就都解決了。還有一些高性能的，我們就選用了SSD的pool。我們也對接了一個SAN的Storage pool去解決一些商業場景。
接下來請楊雨介紹一下具體的應用場景。

Tungsten Fabric中文社區技術人員代表楊雨

介紹一下我自己，我是TF社區的技術代表，做社區的推廣和運營，包括我們中文社區的籌建。

剛才提到證券云行業的監管要求，證監會希望券商的IT基礎設施是有災備的。那么我們從深證通考慮，提出有災備云的服務，那么在網絡這個層面，就需要一個SDN的方案能支撐多云互聯。深證通災備云目前在東莞鳳崗的證券基金行業南方數據中心有一個主集群，北京也部署了一個災備的集群，形成了一個災備云的方案，也是通過Contrail來實現多云互聯的。

具體它是怎么實現的？主要是基于Contrail的一個底層技術，就是我們熟知的MPLS 。首先我們可以看到，客戶的一個網絡，它是可以跨兩個數據中心的。那么他只需要把他的租戶的網絡，相應的的VRF的RT，和我們另外一個數據中心的VRF的RT做相應的路由交互，就可以實現二層或者三層的L2 或者L3 的交互，實現整個的租戶網絡的打通。與運營商的MPLS骨干網絡也是天然兼容，這是Contrail的優勢，也是一個典型的應用場景。

另外一塊比較大的應用場景，就是物理機VLAN和VXLAN的互聯。剛才張總也提到，在金融行業現在有大量的Oracle應用，對磁盤的IO性能要求是比較高的，現在大部分Oracle的服務器都是跑在物理機上。我們的租戶在云里面，怎么再把云的一個虛擬網絡和租戶的一個物理網絡，做到統一的租戶體驗的管理，以及統一的隔離？其實在TungstenFabric里面就有相應方案，以前我們用的是OVSDB的方案，現在有E*** VXLAN的方案。

原來的OVSDB的方案，它可以通過一個支持OVSDB的交換機，把物理機的VLAN在交換機上作VXLAN的轉換，有L2的一個bridge，實現了云租戶網絡的一個虛機和物理機的一個二層通信，這樣也確保整個物理機也是有網絡的隔離性，并且和網絡的虛機，是一個完全連通的場景。現在這個場景也有大量的應用在深證通里面，大概有一百臺物理機的數據庫節點通過TF實現了和虛擬機的二來提供這樣的一個場景服務。

最后一點就是靈活的網絡接入。相對于其他的公有云平臺，深證通的網絡其實有更多的要求，它需要和深交所、上交所、證聯網和金融數據交換平臺做互聯互通。同時作為金融云的租戶，他也有接入云和他自己的私有云之間互聯的需求，包括專線的接入，或者是三層***的接入。甚至租戶也需要通過互聯網提供相應的互聯網服務，TF通過MPLS ***的技術來提供一個很好的、靈活的接入選擇方案。

同時還有一點，可以看到我們會和深交所和上交所接入，其實在金融行業里面還會有一個比較特殊的場景，就是通過組播支持高頻的Level 2行情數據的場景，其實當時我們在做技術選型的時候，也是看到TF支持組播在SDN虛擬網絡里面的傳輸。

謝謝大家！

關注微信：TF中文社區