火山引擎：国信证券“蜂鸟”云原生智能研运一体化平台

扫描分享

本文共字，预计阅读时间。

案例名称

国信证券“蜂鸟”云原生智能研运一体化平台

案例简介

国信证券是行业前八家创新试点证券公司之一，公司以“金融科技，科技创新”为主导思想，不断地推进数字化转型，为快速地响应市场及满足业务不断变化的需求，金太阳手机交易系统采用了敏捷开发模式和微服务架构等前沿技术；同时，为满足业务系统快速迭代上线的需求，亟需在企业内部建设一套统一的、标准化的容器运行和管理环境。为了满足上述需求，国信证券携手火山引擎打造了“蜂鸟”云原生智能研运一体化平台（以下简称蜂鸟容器云）。

系统适配及安全

行业化云原生金融版管理平台：比原生K8S更适合证券公司使用。金融版优化了原生K8S在功能和性能上的不足。从异构计算统一管理、网络多元兼容、存储高性能以及群集网络多分区等多项定制功能，深度贴合证券对运维标准的管理需求，落地云原生金融版本的最佳实践。

核心系统对接方案：火山引擎通过与国信的SSO单点登录系统、磐石CMDB系统、事件平台、运维大数据平台等系统对接实现容器平台与运维平台一体化管理，让容器平台的所有实体对象均围绕CMDB数据进行标准配置。

网络多元融合：在金融业态多场景下，容器网络缺少丰富性，一般的容器平台只能支持一种网络方法，但是在瞬息万变的券商市场环境下，一般一套系统都需要支持多个不同的网络平面或者网络类型。为此，国信证券在蜂鸟容器云平台上开发了一套多元融合的网络系统，可以为应用、容器、集群提供不同的网络系统插件，并且结合安全合规性要求，这套网络系统也可以根据自己的ACL规则进行严格的网路协议安全准入管理，解决网络安全的问题。

金融两地三中心部署架构：金融业务需要在两地三中心分别进行容灾部署，为满足业务高可用、高可靠的SLA，我们通过集群容灾的技术，让业务可以基于两地三中心部署，并且通过多中心、多集群等优势让业务得到高可用、高可靠的保障。

DevSecOps研运安全一体化：金融业务在快速发展的开发迭代过程中，如何保障金融业务系统的安全成为了挑战。因此，国信证券构建了一套DevSecOps研运安全一体化平台，集成了丰富的漏洞扫描、配置检测、恶意文件检测、资产清点等安全工具，确保云原生应用在发布过程中的安全保障。

集成创新效果

券商行业首家落地云原生容器云平台，实现“敏捷开发+敏捷运维”秒级部署系统

国信证券“蜂鸟”平台创新点介绍

1）开发侧，与国信自研微服务框架和流水线深度融合

“蜂鸟”平台融合微服务、流水线的DevOps管道。减少了开发人员申请资源、搭建环境、管理设备、部署软件等精力和时间，打通开发、构建、测试、部署和问题定位，支持应用编排和一键部署到测试、预发布、生产等环境，新业务开发周期从原来的几周时间，缩短至小时级别的交付速率。（详情参考下图）

2）运维侧，与公司“监管控析”一体化运维平台全面融合

“蜂鸟”平台与ITSM平台全面打通，变更发布满足ISO 20000 IT服务管理体系标准；容器对象全部纳入CMDB，实现IT资源在容器环境与非容器环境的统一与标准化管理；打通服务监控、事件管理、日志采集、运维大数据、调用链跟踪等故障定位工具，与运行监控体系全面集成，打造云原生智能运维一体化平台。（详情参考下图）

3）运维侧，支持“两地三中心”多集群的统一调度和集中式管理

蜂鸟”平台实现了“两地三中心”多集群部署，证券交易的核心系统需要在“两地三中心”进行多活部署，以满足业务高可用、高可靠的SLA运行服务能力。平台实现了多集群统一管理，一站式运维，让研运一体化交付的应用可以灵活地部署在多个数据中心机房。（详情参考下图）

4）运维侧，深度融合金融科技，智能化提升资源效能和应用可用性

（1）符合行业特性的弹性伸缩策略：根据业务负载，自动秒级弹性伸缩，并针对证券业特点定制了基于交易日历时段的弹性伸缩策略。帮助用户轻松应对业务流量高峰。

（2）高效的资源调度利用能力：由云原生容器技术提供了基本调度技术实现不同服务间的调度，但是对于容器-虚机-物理机之间的协作效率并没有得到速度的保障。所以国信证券需要依据基础设施、容器平台、应用的多个场景进行优化，为此自研了一套调度机制和技术，通过NUMA感知技术加快了多处理器之间的协作效率，让内存访问的效率加快，让应用可以使用最少的资源来提供优秀的性能。另外我们也利用了云原生的驱逐算法技术，新增磁盘IO和网络IO两个维度根据历史数据进行资源使用量推荐，让用户可以使用最佳实践的资源推荐，杜绝资源上的浪费。

（3）精准的故障发现与自愈能力：通过与运维监控、故障定位工具平台的深度融合，具备更精准的故障发现智能检测策略，可自动对运行应用故障进行准确判别、隔离和恢复，故障处理速度显著提升。在证券行业下的异构基础设施之上实现应用的运维管理、业务流量潮汐的弹性应对、应用故障的自动修复，保证系统稳定、高效、及时响应。（详情参考下图）

5）集成丰富安全工具链，全面实现研运安全一体化(DevSecOps)

随着敏捷开发运维的流行，如何在快速发布上线的研发流程中保证安全成为一个挑战。为了建立一种可以持续的、灵活合作的安全机制和流程，引入研运安全一体化工具，集成丰富的安全工具链，实现“安全左移”,即更早地将安全性集成到代码持续构建与发布的过程中，比如漏洞扫描、配置检测、恶意文件检测、资产清点等能力，确保云原生应用在镜像构建、镜像发布、容器运行时的安全保障。（详情参考下图）