本文共字，预计阅读时间。

文/招商证券股份有限公司何宇、陈子升

（本文为“证券机构数字化转型与证券科技创新”征文活动入围文章。）

一、引言

当前，随着金融行业不断发展，为满足客户多样化的需求，应对跨界竞争加剧的复杂环境，证券公司纷纷利用技术创新定制数字化转型方案。招商证券参考业内外成功案例，结合自身业务特点以及对云计算技术的思考，通过大量测试验证，摸索出符合自身情况的云计算技术应用的发展路径，构建出IT即服务（ITaaS）的云服务中台，为业务提质增效提供了有效的技术支持。

本文将以招商证券从虚拟化至云服务中台的云计算技术应用路径为例，介绍云技术的应用方向。希望通过案例背后场景与思考，为同业在建设金融云服务中台时提供现实启迪，从而为金融行业数字化转型助力。

二、招商证券云技术应用历程

招商证券云技术应用经历了四大阶段：计算虚拟化阶段、软件定义与自服务阶段、混合云阶段、云服务中台阶段。受经营模式、组织架构、技术条件等因素影响，不同阶段表现出不同的建设模式。

图1 云技术应用路径

1. 计算虚拟化阶段

早期，证券业务经营模式对于基础架构的敏捷度要求不高，基于异构，成本，功能等因素的综合考虑，招商证券主要以多平台计算虚拟化的形式实现基础架构。计算虚拟化技术把服务器虚拟化，整合成计算资源池，结合CPU分片、内存共享、虚拟网卡、存储精简供应等技术，大大提升了资源利用率，节省了总体成本。同时，计算虚拟化管理平台使用热迁移、主机高可用、动态资源分配等技术，从平台层为虚拟机提高了灵活性与业务连续性。

图2 计算虚拟化

2. 软件定义与自服务阶段

随着经营管理模式进一步细化，产品逐步增多，业务对基础架构的敏捷性提出了更高要求。基于成熟度，便利性，复杂资源供应敏捷度等考虑，招商证券通过软件定义计算、存储、网络等，构建了以软件定义数据中心为基础，以自服务为核心的云平台。SDDC（软件定义数据中心）技术，将计算、存储、网络、安全等硬件资源整合为云资源池。使用配备高容量磁盘、高速网卡的服务器组成集群，即可实现计算、网络、存储、安全的超融合基础架构。SDDC技术极大地改变了数据中心的形态，节省了空间、电力等基础设施资源。同时使硬件设备更标准化，易于扩展。

图3 软件定义与自服务

同时，招商证券通过云管平台将基础资源及运行环境打包为服务，并实现申请、审批、分配流程自动化，将过往通过人工申请，人工分配的低效的资源供应方式改变为自助申请、自动分配的高效资源供应方式。大大提升了资源申请与使用效率。

图4 云管平台自服务流程

3. 混合云与多云管理阶段

随着公有云技术已趋成熟，产品日渐丰富，行业相关监管政策对公有云的承认度越来越高，且公有云原生具备的快速供应，弹性伸缩等特点，尤其适合满足券商行情及资讯等易产生突发性高峰的业务对资源供应敏捷性的需求。券商采用公有云承载部分非敏感性业务已成为行业趋势。

另外，招商证券依据多年私有云管理运维经验，在本地数据中心搭建托管云区域，供行业及下游机构用户租用。托管云使用SDN技术划分多租户VPC，租户间实现逻辑的安全隔离。

招商证券使用统一云管平台，实现公有云、私有云、托管云的混合云管理。

图5 混合云管理

另外，随着互联网业务的高速发展，传统的开发模式已不足以支撑敏态应用快速迭代的需求，敏捷开发模型成为企业开发首选。但同时，敏捷开发模型也对基础架构的资源类型提出了新的如快速启动、整体环境打包等需求。随着容器、Kubernetes、微服务等技术及相应社区的成熟，采用容器云技术构建DevOps开发流程，支撑企业敏捷开发成为了必然趋势。

招商证券在IaaS云基础上构建PaaS容器云，IaaS平台的软件定义网络与软件定义存储技术为容器云平台提供容器网络插件（CNI）与持久化存储（PV），更高地保障PaaS平台的数据可靠性与租户间的安全隔离性。招商证券统一云管平台，纳管IaaS与PaaS云，同时满足稳态、敏态应用需求。

图6 PaaS平台与DevOps流程

4. IT即服务的云服务中台阶段

随着微服务、人工智能、区块链等技术的蓬勃发展，证券公司业务类型、应用架构、开发框架不断变化以适应业务要求。以往孤立分散的监控运维体系须向监管控一体化、自动化、智能化的新型运维体系迈进，以适应云端应用对于运维的需求。为支撑新业务发展，集技术与理念创新的IT即服务的云服务中台走上了招商证券IT系统建设的舞台。

三、云服务中台技术背景

传统云平台是在基础架构硬件基础上，构建软件定义的云资源。云模式极大地提高了基础资源的供应与使用效率。但传统云平台因为与传统物理环境架构的差异，正逐渐成为基础架构新的竖井。另外，传统运维的ITIL标准化流程没有针对云环境作针对性改进，大量工作如资产录入，配置变更，监控与事件管理等还是依赖于人工操作。实现基础架构统一化、智能化运维，存在以下挑战：

1)      如何统一管理传统基础资源与云平台资源；

2)      如何统一传统基础资源与云资源的申请模式、流程与入口；

3)      如何融合传统基础环境与云环境的监控；

4)      如何实现对传统基础资源与云资源的统一自动化运维；

5)      如何整合传统ITIL流程与新型云形态资源使用流程。

云服务中台将在混合云与多云管理的基础之上，打通传统物理形态基础架构资源与新型云形态资源监管控的壁垒，并补充从硬件到应用全栈式监控、多平台日志管理、应用商店、自动化运维、安全审计、备份恢复等能力，开启迈向运维监管控一体化、自动化的云端运维的大门，使ITIL标准化流程更智能化，打造更加安全可靠的金融云。最终实现运维即云，IT即服务。

四、云服务中台技术架构

招商证券金融云服务中台，参考IT服务管理平台国际标准架构，结合自身的建设需求及项目目标进行设计。

图7 云服务中台架构

1、多平台统一管理

云服务中台向下统一纳管异构的基础设施，向上对接现有的业务流程平台。通过统一门户向不同租户、部门、角色和用户提供自动化云服务，在运维管理员、开发测试人员以及业务部门之间构建了创新的IT管理、IT服务和分析能力，形成资源管控、IT治理和跨部门协同平台。

通过单一的控制台，连接、编排和分析包括私有云、公有云、容器平台、裸金属服务器、超融合平台等在内的多云环境，包括：

1)    在上述环境中按需创建不同类型的资源；

2)    将传统物理或虚拟化环境的资源导入到云服务中台中进行统一管理；

3)    在不同平台之上提供一致的抽象资源及服务，屏蔽平台差异性。

2、IT即服务 - ITaaS

云服务中台的服务管理方案，通过TOSCA设计所见即所得的服务蓝图，通过BPMN流程引擎设计服务流程和审批流程，配合自定义表单，构建了基础云平台、软件、运行环境、开发框架、脚本任务等IT服务，开发和运维人员按需申请、自动化部署裸金属、虚拟机、容器、应用环境等资源。云服务中台通过流程引擎，实现一切即服务（IaaS/IaaS+/PaaS/XaaS）、运营管理（ITOM&ITSM）、自动化与DevOps一站式解决方案。

图8 云服务模型

3、SaaS应用商店

构建应用商店，使用资源编排、自动化运维等工具、将软件、运行环境、开发框架、自动化脚本等抽象为应用商店里的服务，无论是在裸金属、虚拟机或容器等形态的资源之上，均可一键部署服务。开发与运维人员不再需要进行重复的环境准备与配置变更工作，一切按需申请，自动部署。

图9 SaaS应用商店

4、资源全生命周期管理

云服务中台提供对云资源和应用完整的生命周期管理，包括：

1)    操作系统的创建、启停、更改配置，备份还原与回收等；

2)    应用软件及数据库的安装、启停、更改配置、卸载等；

3)    容器的部署、镜像发布、扩缩容、销毁等；

4)    基础云资源如分布式存储、软件负载均衡等的创建、更改配置与回收；

5)    云资源的批量自动化运维，支持Shell、Python、Ansible、Powershell等主流自动化脚本语言。

另外，现存传统物理与虚拟化资源亦可导入到云服务中台中做全面生命周期管理。

图10 资源生命周期管理

5、基于组织架构的管理和流程

云服务中台的资源池化能力，根据资源的所属数据中心、网络区域、性能参数等贴上对应的资源标签，将一个云平台中的资源映射到一个或多个逻辑的资源池中，从而对资源池进行自由分类、切割和配额管理。用户根据业务需求，选择不同标签的资源和部署策略，平台自动化根据标签和策略选择基础云平台资源类承载应用。

同时，云服务中台对接我司OA系统，自动匹配我司的组织架构和业务部门，根据不同业务组需求分配资源池、设置服务规范、服务部署策略、审批流程、角色和用户的服务管理权限等。

图11 组织架构管理

6、开放的体系架构

云服务中台使用开放的可插拔式架构，提供多种接口，方便扩展各种功能：

1)      所有组件、功能均提供标准的Restful API接口，供第三方系统开发集成；

2)      提供标准的基于消息中间件的第三方系统集成方案，可集成OA、ITIL流程系统、短信邮件通知平台、CMDB等；

3)      提供基于Prometheus的监控平台，可接收现有传统基础环境的监控数据，作统一展现与告警；也提供监控数据输出接口，可对接现有基Prometheus的监控平台；

4)      提供对接AD、LDAP、OAuth SSO等安全认证系统；

5)      提供对接主流堡垒机做安全审计，资源创建后自动添加到堡垒机的资产列表并关联使用人；

6)      提供对接主流备份系统做数据备份管理，将备份、还原等操作抽象成云资源的功能按钮；

7)      提供对接基于syslog的日志中心；

8)      提供对各类主流私有云及公有云平台的接入。扩展基础云平台操作对对上层应用服务及业务透明。

7、整合ITLL标准化流程

云服务中台的资源编排与自动化能力，可为整合ITIL流程、实现智能一体化运维包括ITSM、CMDB、智能监控、自动化运维等提供自动化接入的基础。

图12 云服务中台整合ITIL标准化流程

云服务中台整合ITIL标准化流程框架如下：

1)      云管理员使用云服务中台管理基础架构资源及资产、设计与发布服务；

2)      云管理员按用户需求编写自动化运维脚本，并抽象为服务卡片；

3)      云管理员与业务运营人员定义ITSM中的事件、流程、变更等元素；

4)      用户通过ITSM服务台发起服务申请；

5)      ITSM通过CMDB查询与服务相关资产；

6)      CMDB返回资产信息并关联到流程中；

7)      ITSM调用云服务中台接口，触发资源创建或变更操作；

8)      云服务中台根据ITSM请求自动完成资源管理或运维操作；

9)      云服务中台将操作后的资产状态更新至CMDB中；

10)    通过云服务中台创建的资源自动纳入智能监控平台；

11)    智能监控平台实时监控资源状态触发告警至ITSM，并通知至相关责任人；

12)    云管理员通过智能监控平台对资产进行主动式监控。

五、结束语

云服务中台使信息技术部门更专注于业务创新，助力业务部门不断改进和推出新的功能模块及增值服务产品，创造更好的客户体验与价值。招商证券将以打造中国最佳金融云为目标，不断完善云服务中台，致力将IT资源全面云化，提升IT资源敏捷度，降低人力成本，使运维为业务赋能。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文版权归原作者所有，如有侵权，请联系删除。