访谈 | 云原生为数字化启动强大引擎——访安信证券股份有限公司信息技术总监兼信息技术中心负责人许彦冰
文 / 本刊记者 郑艺
证券业正借助信息技术手段加速行业数字化进程。以容器为代表的云原生技术为证券业务与科技的融合创新,提供了强大的驱动力。安信证券股份有限公司信息技术总监兼信息技术中心负责人许彦冰在接受本刊记者专访中,阐释了安信证券积极探索、先行先试,运用云原生技术打造行业领先的金融云平台的成功实践。
安信证券股份有限公司信息技术总监
兼信息技术中心负责人 许彦冰
搭建面向未来的云原生基础环境
Q
记者:以容器为代表的云原生技术能够更大程度地发挥云计算的优势,近年来发展迅速。安信证券云原生应用起步较早,请谈谈最初选择云原生应用有哪些方面的考量?
许彦冰:云计算搭建了敏捷、灵活、可伸缩、低成本、更安全的架构,是安信证券数字化转型的最佳载体。但随着金融科技建设的深入,各种问题也逐渐浮现,如机房资源紧缺和服务器资源利用率较低等问题;自研类业务系统逐渐增多,研发过程中的管理体系、开发规范和质量保障等需要进一步跟进。同时,公司也面临着公共的开发框架、服务治理、CICD流水线、制品仓库等基础功能等需求。
为解决这些问题,安信证券积极关注新技术趋势,选择云原生路线,最大程度地发挥云计算的优势。实践证明,云原生技术不仅降低了用户数字化技术应用的门槛,提高了资源的复合利用率,而且通过云原生技术变革研发运营的生产方式,可实现研发与运维的跨域协同,提升了业务应用的迭代速度。
Q
记者:请介绍安信证券容器云的整体规划和建设节奏。具有怎样的特点和优势?
许彦冰:安信证券在2019年初就成立了平台研发团队,负责公司PaaS平台规划、建设和运营,制定技术规范和技术栈选型,规划和管理开发框架、公共技术组件和中间件,DevOps基础工具的研发和技术支持。目前,安信证券已完成云原生1.0的建设,包括以Rancher为底座的容器云平台、DevOps平台以及服务化基础平台的搭建及应用,覆盖工程创建、持续集成、镜像构建、内建质量、持续发布和应用可观测性等功能,面向40多套自研类系统提供服务。
安信证券的容器与云原生建设亮点可概括为:开放、务实和统一。云原生体系建设是个庞大的系统生态工程,涉及多方面的建设工作,相关技术发展更新也比较快,闭门造车是走不通的。
在技术选择上,我们采取务实的态度,从内部实际需求出发,从传统技术不太好解决的问题场景出发,有重点、有计划地引入新技术,以保证新技术可以带来确实的便利和收益。
落地实践方面,对于选定的技术方案,我们要求大家思路统一、技术栈统一、流程标准统一,各团队形成合力才能有所突破。统一技术栈打造云原生快速开发平台,引入DevOps理念强化软件研发运维的全周期管理,结合统一的DevOps门户,实现流程、工具、方法的一致性。
应对挑战:规划先行、共同行动、敏捷迭代
Q
记者:在落地容器等云原生技术的进程中,安信证券面临过的最大挑战是什么?如何解决?
许彦冰:作为一家传统金融企业,安信证券在落地容器和云原生等新兴技术中存在诸多挑战。建设初期,我们主要面临平台技术选型、人才储备、网络和存储方案制定等挑战;与此同时,研发人员的思维也要快速转换,还有很多遗留系统需要迁移,平台也面临稳定与安全等问题。
我们解决这些问题的思路可以总结为三个关键词:“规划先行、共同行动、敏捷迭代”。首先,“规划先行”是在规划阶段就要清楚掌握用户的需求。例如,我们结合近几年生产事件分析、问卷调查、面对面沟通、持续跟踪等多种方法收集用户需求,以用户的需求为中心设计方案和规划路线。“共同行动”是公司内各部门统一思想,达成一致,对平台功能、演进路线等信息完全透明。“敏捷迭代”是面对新兴技术,我们必须要小步快跑,及时跟进用户的反馈意见,紧跟行业发展和技术演进方向。例如,在服务化建设之初,我们原本考虑试点和推广基于Spring Cloud框架的服务治理方案,这是一种对业务有侵入的模式,然而,随着k8s技术的日益成熟和基于 Rancher的容器云平台的推进,我们及时调整为依赖于k8s平台提供的服务注册与发现功能,实现业务与基础功能的解耦合。
IT建设与安全治理同步
Q
记者:安全是金融机构的生命线,容器和云原生是否会带来新的安全问题?在风控方面,安信证券是如何规划与应对的?
许彦冰:任何新生事物都会改变它所在的生态环境,而这样的改变,犹如硬币的一体两面。容器和云原生的引入必然带来新的机遇,同时带来新的安全问题。
信息安全规划上,我们一直努力保持IT建设与安全治理同步规划、同步建设、同步运营。在容器和云原生的规划过程中,一是同步在进行容器安全事件、风险合规等方面的研究;二是同步收集各团队安全需求,制定容器安全目标;三是同步建立容器安全的负责组织、制度规范、协作流程;四是同步规划容器安全的技术检查手段。
系统设计方面,以容器和云原生生态环境为范围,深入研究容器和云原生技术原理。综合考虑攻防两个视角,从攻击视角发现风险,从防御视角解决风险。将安全防御和安全检测措施纳入DevOps流水线中,再配合组织、规范、流程等管理措施实现闭环。
应用部署方面,同一级别的应用共享同一个集群。集群划分遵循原有网络区域的划分,每个网络区域部署一个容器云集群。同一集群不同应用之间,通过命名空间进行部署隔离。同时,增加容器微隔离技术,不同项目位于不同子网,实现网络层面的隔离。
资源共享必然带来安全边界如何定义和管控的问题,应用从物理隔离到逻辑隔离,我们也在不断探索,平衡安全、效率、成本等综合因素,做出合理的方案选择。
将技术改造过程化整为零
Q
记者:目前,云原生技术还在持续演进过程中,部署环境也与传统虚拟机或物理机环境有所不同,安信证券在推进容器和云原生过程中是否会对现有业务造成影响?如何实现平滑过渡?
许彦冰:在建设之初,我们就将平滑过渡作为重要需求点进行考量,大幅降低这种影响。
关于遗留应用“上云”改造,我们采取的措施是:一是将应用“上云”过程化整为零,拆分成能力子项,如:服务拆分、配置中心、链路跟踪、容器化、流水线等,项目组可根据业务迭代情况选择一次对接一项或多项;二是提前评估确定了纳入改造的系统范围,并进行了简单的改造评估,由项目组结合业务开展情况自行安排改造计划,只要在规定时间周期内完成即可;三是平台团队提供了“脚手架”工具和完备的改造手册,并安排专人跟进对接问题,可以提升改造效率,缩短改造时间。目前来看,单个项目改造对接的时间平均在2周左右,对业务的影响基本可控。
关于应用上线流量平滑迁移,我们采取的措施是:一是初期新老架构并存。采用虚拟机 + 容器并行部署的方案,结合灰度流量分发,通过技术手段逐步保障流量迁移到容器环境。二是运维保障工作先行。基于云原生架构建立完善的链路追踪、指标收集、实时告警等应用可观测机制,保证发生故障时可快速定位。
基于上述措施,我们的容器和云原生应用的整体推进工作顺利。2020年,SpringBoot基础框架、运行指标、配置中心、链路跟踪这些能力项的对接,已经覆盖了全部的40多套自研系统。15套以上系统完成了容器化、流水线的对接改造。计划2021年实现所有能力项覆盖全部自研系统,以及适合上云的外购系统。
容器云赋能数字化发展
Q
记者:与传统的数字化方案相比,容器云建设实践解决了哪些实际问题?为基础技术环境带来了怎样的优势?
许彦冰:与传统数字化方案相比,容器技术能有效解决异构环境的部署一致性问题,促进了资源的标准化,为自动化提供了基础。不同于虚拟机分钟级的弹性响应,以容器技术为基础的云原生技术架构可实现秒级甚至毫秒级的弹性响应,并且其具有高度自动化的资源调度机制,可实现应用故障的自动熔断与降级,具有极强的自愈能力及影响半径控制能力。不同于传统应用的上线后监控,云原生要求应用从构建起就自带可观测能力,更强调主动,是植根于系统中的一个属性。安信云原生应用遵循12要素标准构建,具备大规模可复制能力,可实现跨集群、跨区域甚至跨服务商的规模化的复制部署。
安信云原生的定位是成为数字化的助推器,成为驱动业务增长的重要引擎,让应用“上云”更简单、更高效。核心还是需要聚焦在效率 + 成本两个维度。
一是让企业成本更低,云原生技术栈有效提高了效率和资源利用率,同时动态管理和调度微服务的中央编排流程降低了与维护和操作相关的成本。二是高效的软件交付,基于DevOps理念的一站式研发管理平台,从代码管理、开发环境管理、测试管理、构建和发布管理等多个维度,为研发人员提供完整的工具平台和自动化平台,最大程度利用云服务提升软件交付能力,提升团队的研发效能。三是非功能特性的大量委托,非功能特性虽没有给业务带来直接价值,但又很重要,比如弹性能力、韧性能力、可观测性、灰度发布等。我们基于云原生理念构建的容器云平台、服务化平台和中间件PaaS服务,让业务研发和运维人员聚焦在满足业务功能需求,最终提升企业的效率和竞争力。
未来,安信容器云建设将紧跟云原生技术的最新发展动向,完善公共服务建设,加强运行安全保障,提供开放API能力。实现“开放、连接、赋能”的战略目标。
(点击查看精彩内容)
● 访谈 | 砥砺奋进,科技赋能铸优势,守正出新,数字转型立潮头——中国农业银行研发中心总经理王怡专访
关于仿冒我刊收费的声明
我刊自创刊以来,从未向投稿人收取过任何费用。任何以刊发文章为名向投稿人收取费用的行为,均属于对投稿人的欺诈行为。
我刊官网地址为 www.fcmag.com.cn。
我刊投稿邮箱为 fcmag@fcmag.com.cn。
对于仿冒我刊网站、网页的违法行为,我社将追究其侵权责任,以维护我社和投稿人的合法权益。仿冒网站、网页举报电话:010-88232443
《金融电子化》新媒体部:主任 / 邝源 编辑 / 潘婧 傅甜甜