其他
实践背景国金证券股份有限公司(以下简称“国金证券”)前身为成都证券,经中国人民银行批准,成立于1990年12月,是上证380指数、中证500指数、MSCI新兴市场指数成份股,是一家资产质量优良、专业团队精干、创新能力突出的上市证券公司。随着国家对金融行业技术创新的重视,并结合公司对自身业务稳定性、用户数据安全的升级需求,国金证券正积极开展业务系统的数字化创新,同时也在寻求对基础设施中国外原有虚拟化平台的迁移升级方案。基础架构先行,选型私有云平台方案以业务稳定性和用户数据存储使用的安全性、可靠性为重点,国金证券大力推进基础架构平台建设的实践。整体建设框架按照1+2+3自主创新技术框架推进:1个技术底座2个赋能中台3类业务系统国产技术栈选型私有云平台选型思路在创新云平台的选型阶段,国金证券面临三种不同路线的选择:以深信服为代表,基于超融合为底座构建私有云平台:高效轻量化设计:平台自身对硬件资源消耗低,在中小规模集群的应用场景中可实现资源的高效利用。优异的资源池能力:在计算虚拟化和存储虚拟化方面表现出色,满足了对性能、稳定性、可靠性和可用性的高标准要求。强大的开放性:在云管理层与外部系统的无缝对接,以及在虚拟化层与分布式存储的硬件兼容性方面,都具有良好的开放性。以公有云厂商为代表的全栈云私有化部署方案:主要特点是大而全。PaaS层功能丰富,但存在建设投入过重、资源消耗高、运维复杂度高等问题,不适合中小规模用户的私有云建设。基于OpenStack的商用化私有云架构:云管能力丰富,但在计算虚拟化、存储虚拟化等对于性能、稳定性、可靠性、可用性能力要求高的技术领域表现欠佳。结合实际需求,并基于以下考量,国金证券最终决定采用深信服超融合作为构建私有云技术架构的基石——规模适配:国金证券预计的建设规模属于中小型,超融合架构在有效地满足公司规模需求的同时,可保持资源的高效利用,并帮助简化运维流程。功能对齐:私有云的建设目标是与国金证券现有的监控、运维和流程管理平台无缝对接。深信服云管平台在与外部系统的对接上具备良好的开放性,可保障IT环境协调统一。稳定可靠:私有云平台将逐步扩展至承载核心系统,对平台的稳定性、可靠性和可用性提出了更高的要求。深信服超融合在各项故障场景的测试中均有优异的性能表现,可保障业务连续性和数据安全性,以下为对典型场景的测试及实测报告:超融合缓存盘故障情况下,虚拟机性能基本无影响,数秒后快速平稳恢复超融合主控节点掉电情况下,集群内其他节点虚拟机运行基本无影响私有云平台从OA到核心业务承载逐步进行升级国金证券率先从办公业务切入,逐步深入到一般业务系统、核心业务系统。当前已完成OA系统、邮件系统、运维自动化系统、投行质量评价系统以及关键行情分发系统等数十套系统升级,实现了业务流程的全面优化和效能提升。接下来我们以核心业务系统“行情分发平台”为例阐述一下整个升级过程。核心业务系统承载实践:行情分发平台背景与难点系统运维工作复杂繁重在业务系统领域,国金证券的行情分发系统扮演着至关重要的角色,它不仅连接着外部交易所,还与公司内部的关键业务子系统紧密相连。然而,这一系统自投入使用以来已历经多年,其数据传输工具依赖于三家不同品牌的软件,分别由运维部门的三个独立小组维护。随着证券市场业务种类的不断扩展,运维工作的复杂性也随之增长。例如,为了满足行情分发的需求,一台行情中继服务器可能需要同时运行多个甚至超过十个不同的传输工具客户端,如果遇到交易所行情源发生变更,可能需要对多达三种不同的传输工具进行同步升级,这无疑给运维工作带来巨大的挑战。原有基础架构无法支撑未来业务发展在基础架构方面,国金证券现有的环境包含原有国外虚拟化平台,现都面临技术支持不足和市场政策变化的双重问题。国金证券认为后续可以采用统一的超融合架构进行管理,然而,考虑到国内厂商的技术能力参差不齐,系统的可靠性和性能仍需经过严格的验证。具体需求国金证券的业务和基础架构团队经过深入分析,从自主可控性、业务与技术实施的可行性、资源配置、潜在风险以及业务应急预案等多个角度进行了细致的考量,并最终明确了项目的建设目标。项目定级为等保三级,类型属于直接交易相关的系统,信息系统分类级别设定为6级。在数据备份方面,项目将达到一级能力,故障应对能力为二级,具体要求为恢复时间目标(RTO)小于5分钟,恢复点目标(RPO)小于30秒。系统设计容量和性能指标经过严格评估,确保在控制机最大用户数设为200的并发条件下,将响应时间控制在300~500毫秒,同时确保行情数据的转发处理不受影响。在基础设施方面,采用市场上广泛认可的国产芯片,底层软件则选用国产的达梦数据库和操作系统。同时要求提供相应的芯片兼容性证明报告,以保障整个系统的安全可靠运行。技术方案实施经过技术评估和验证,国金证券决定采用深信服超融合作为其基础架构的核心支撑。同时,选用国内自主研发的传输工具厂商,以迁移升级目前所使用的国外产品。所采用的行情传输软件基于分层架构设计,涵盖了基础设施层、服务层、管理客户端、控制台、日志中心以及授权控制等关键组件,可实现行业认可的平稳可靠运行。行情传输软件功能架构行情传输软件部署架构为确保升级过程中行情数据的安全性和可靠性,对接深交所和北交所的主备虚拟机采用节点互斥保障可靠性,同时国金证券建立了本地与异地双重备份,对于本地备份,每日的行情文件会被采集并上传至上证通数据归集服务器,最终保存至上海磁带库。而异地备份则通过上海磁带库将备份数据同步至成都西信磁带库实现,实现秒级RPO要求。此外,平台在主数据中心到交易所的连接线路、行情网关、分发服务等关键环节均实现了多节点部署,确保在任一节点或线路出现故障时,能够迅速切换至其他节点,以维持对外服务的连续性。同时在异地数据中心配置灾备系统,以应对可能的紧急情况,实现分钟级RTO要求。在基础架构的升级上,采用深信服基于超融合架构的轻量级云解决方案。充分发挥超融合架构在灵活性、轻量化、扩展性以及兼容性方面的显著优势以外,国金证券也看中深信服在底层稳定性和性能提升上的持续投入,可为业务的持续增长和未来发展需求提供长期保障。最终,国金证券基于深信服超融合,成功地将原有国外虚拟化平台进行迁移,并升级为全新的超融合架构。通过深信服的SCMT迁移工具,国金证券已顺利迁移超过100个业务虚拟机,保障业务的平滑过渡和持续运行。完成系统升级后,国金证券选择多个应用厂商及自研产品,对相关区域节点的延时、CPU使用率、内存占用以及流量压缩比等关键性能指标进行全面的承载测试。测试数据表明,经过升级的行情分发平台,基于深信服超融合的底层架构支撑,性能表现优异,完全满足日常业务运营的需求。应用系统测试结果总结通过本次成功实践,国金证券在基础设施和业务系统上的数字化升级中收获显著成效——解放运维压力深信服超融合提供多资源池的统一管理能力,为日常运维管理提供了强大的支持。同时,依赖于超融合完善的高可靠机制,日常运行中因服务器硬件问题带来业务影响的运维压力显著降低。升级后的统一行情分发平台,彻底解决同时维护和更新多个传输工具的复杂工作,极大地减轻了用户的运维负担,让运维团队得以从繁琐的运维工作中解放出来,转而投入到与业务发展更为紧密的系统支持工作中。基础架构升级国金证券借助深信服超融合和私有云平台,率先将关键业务行情分发系统融入自主创新环境中,实现转型升级。在这个过程中,深信服与国金证券一同推动生态厂商之间的协作,解决兼容性和性能问题,为金融行业的数字化升级提供优秀实践经验。在性能优化层面:业界的ARM芯片的单核计算能力与X86相比仍有一定差距,国金证券联合深信服针对ARM多核、多NUMA的情况进行了性能调优,采用自研的NUMA智能调度技术,以虚拟机为单位在多个NUMA内进行调度平衡,尽量减少跨NUMA的远地内存访问,提高服务器集群整体性能。在A/B两个应用厂商的承载测试中,上海区域时延均达到1ms以下,自研产品的处理时延也显著降低。在可靠性升级上:深信服超融合从硬件、平台、业务和数据四个层面来保证可靠性,特别是在数据可靠方面,通过双活容灾方案,包括双活和主备等多种方案,保障数据安全与业务的连续性。在安全升级方面:深信超融合平台的内建安全能力,从业务上线之初就对资产进行实时监控,并通过多维度的风险展示,提供了包括病毒扫描、系统防护、勒索软件防护等在内的全面安全防护措施,确保了业务运行的安全性和稳定性。逐步实现全业务系统转型升级截至目前,国金证券已经联合深信服在两地五DC部署全新的超融合集群,涵盖了包括鲲鹏ARM和海光C86芯片在内的16+集群,为数十套业务系统提供稳定支撑,逐步实现了全业务系统的转型升级。技术的发展与市场的变化,正影响着金融行业的数字化升级路径,国金证券积极拥抱变化,运用最新国产自研技术优化并升级IT基础设施,为客户提供更加安全、高效、稳定的金融服务。深信服也将持续打磨技术,进行产品创新,为更多金融行业用户提供更有效的平滑迁移及转型升级解决方案。扫码申请了解深信服平滑迁移方案