下一代金融云網(wǎng)絡(luò)聯(lián)合研究與應(yīng)用SDK

　　引言

　　中國(guó)銀聯(lián)與上海銀行就金融云與SDN技術(shù)研究等達(dá)成合作，其中中國(guó)銀聯(lián)的電子商務(wù)與電子支付國(guó)家工程實(shí)驗(yàn)室與上海銀行數(shù)據(jù)中心以下一代金融云數(shù)據(jù)中心為藍(lán)圖，組成聯(lián)合研究團(tuán)隊(duì)開展基于SDN的下一代金融云網(wǎng)絡(luò)架構(gòu)技術(shù)研究。（上海市科委項(xiàng)目資助（17YF1425800）： 金融行業(yè)云關(guān)鍵技術(shù)研究及應(yīng)用）

　　聯(lián)合研究團(tuán)隊(duì)認(rèn)為：云網(wǎng)絡(luò)架構(gòu)是機(jī)構(gòu)開展金融云基礎(chǔ)平臺(tái)建設(shè)最為核心關(guān)鍵的因素，其主要體現(xiàn)如下方面：

　　首先，雙模IT中網(wǎng)絡(luò)是唯一必須兼容兩種IT模式的平滑互通的基礎(chǔ)資源。為兼顧新技術(shù)、新架構(gòu)、新模式于既有的傳統(tǒng)信息技術(shù)體系結(jié)合，雙模IT將是金融機(jī)構(gòu)IT發(fā)展的主要形態(tài)，處于兩種IT模式下的金融應(yīng)用無必須共享服務(wù)器和存儲(chǔ)的要求，但必須在網(wǎng)絡(luò)層面實(shí)現(xiàn)互聯(lián)互通。

　　其次，金融合規(guī)性與安全性在IT基礎(chǔ)設(shè)施中主要體現(xiàn)在數(shù)據(jù)中心網(wǎng)絡(luò)。金融機(jī)構(gòu)多區(qū)域隔離、應(yīng)用間的強(qiáng)訪問控制以及外部防護(hù)攻擊均主要基于網(wǎng)絡(luò)規(guī)劃與專用網(wǎng)絡(luò)設(shè)備應(yīng)用措施。

　　最后，以軟件定義網(wǎng)絡(luò)為代表的新技術(shù)應(yīng)用是云平臺(tái)發(fā)展的必然趨勢(shì)?；?a href='http://wenjunhu.com/v/tag/475/' target='_blank' class='arckwlink_none'>云計(jì)算、大數(shù)據(jù)與區(qū)塊鏈等新技術(shù)的金融創(chuàng)新應(yīng)用產(chǎn)生了新的數(shù)據(jù)網(wǎng)絡(luò)交換模型，對(duì)應(yīng)用所部署的數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境提出了新的技術(shù)要求，軟件定義網(wǎng)絡(luò)技術(shù)效果與之契合，有助于推動(dòng)金融IT向高效服務(wù)化的轉(zhuǎn)型，從而提升金融機(jī)構(gòu)的創(chuàng)新能力。

　　然而，由于網(wǎng)絡(luò)技術(shù)變革難度高與應(yīng)用影響性廣等因素，當(dāng)前在全球范圍內(nèi)金融機(jī)構(gòu)云網(wǎng)絡(luò)架構(gòu)落地實(shí)踐整體上還處于初級(jí)階段，無標(biāo)準(zhǔn)化統(tǒng)一的架構(gòu)實(shí)踐參考。為此聯(lián)合研究團(tuán)隊(duì)經(jīng)過近兩年多的努力，提出了在當(dāng)前金融數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)下，應(yīng)用SDN的云網(wǎng)參考模型，并予以落地實(shí)踐驗(yàn)證，其中主要完成工作包括：

　　金融云數(shù)據(jù)中心需求梳理與新架構(gòu)網(wǎng)絡(luò)設(shè)計(jì)原則規(guī)劃。結(jié)合當(dāng)前金融行業(yè)網(wǎng)絡(luò)架構(gòu)現(xiàn)狀分析，梳理了未來金融數(shù)據(jù)中心網(wǎng)絡(luò)高敏捷、高彈性、高可管理、高可用以及高性能的“五高”要求，歸納總結(jié)了未來金融數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)“面向服務(wù)理念、管理統(tǒng)一編排、資源池標(biāo)準(zhǔn)化、成熟技術(shù)集成再造創(chuàng)新”的四大設(shè)計(jì)原則。

　　定義基于SDN的下一代金融機(jī)構(gòu)網(wǎng)絡(luò)的標(biāo)準(zhǔn)化參考架構(gòu)。聯(lián)合研究團(tuán)隊(duì)提出了“多數(shù)據(jù)中心間虛擬專網(wǎng)互聯(lián)，數(shù)據(jù)中心內(nèi)核心交換總線互通，傳統(tǒng)分區(qū)、云網(wǎng)分區(qū)并存”的云網(wǎng)絡(luò)架構(gòu)模型，模型給出了網(wǎng)絡(luò)管理平面與數(shù)據(jù)平面的標(biāo)準(zhǔn)實(shí)現(xiàn)架構(gòu)，服務(wù)能力涵蓋二/三層網(wǎng)絡(luò)連通性能力以及負(fù)載均衡/防火墻L4-L7服務(wù)能力。

　　驗(yàn)證標(biāo)準(zhǔn)化參考架構(gòu)的核心關(guān)鍵技術(shù)。研究團(tuán)隊(duì)已基于開源技術(shù)通過自主研發(fā)的區(qū)域互聯(lián)（Region Interconnect）SDN控制器實(shí)現(xiàn)了對(duì)核心交換網(wǎng)絡(luò)（國(guó)際首創(chuàng)）與各分區(qū)的SDN控制器的協(xié)調(diào)控制，從而實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)網(wǎng)絡(luò)資源池化以及網(wǎng)絡(luò)資源彈性調(diào)度服務(wù)。

　　上述云網(wǎng)架構(gòu)模型的應(yīng)用可實(shí)現(xiàn)新一代符合金融行業(yè)云要求的網(wǎng)絡(luò)架構(gòu)，其效果主要包括：

　　平滑兼容傳統(tǒng)架構(gòu)?？捎行еС蛛p模IT，可在保持傳統(tǒng)網(wǎng)絡(luò)架構(gòu)穩(wěn)定運(yùn)行的前提下，支持SDN等新技術(shù)的前瞻性應(yīng)用。

　　兼容異構(gòu)網(wǎng)絡(luò)技術(shù)。通過自主創(chuàng)新的區(qū)域互聯(lián)（RI）SDN控制技術(shù)，實(shí)現(xiàn)對(duì)廠商設(shè)備異構(gòu)解耦，屏蔽不同廠商在SDN技術(shù)實(shí)現(xiàn)中的技術(shù)差異性。

　　網(wǎng)絡(luò)多租戶能力擴(kuò)展性強(qiáng)。網(wǎng)絡(luò)租戶能力不局限于單一網(wǎng)絡(luò)設(shè)備區(qū)域，可有效擴(kuò)展至異構(gòu)設(shè)備區(qū)域以及跨數(shù)據(jù)中心區(qū)域。

　　安全合規(guī)等級(jí)不降低。新模型設(shè)計(jì)之初即基于現(xiàn)有網(wǎng)絡(luò)安全與合規(guī)性的要求考慮，新技術(shù)的應(yīng)用嚴(yán)格遵守現(xiàn)有金融規(guī)范。

　　在研究過程中，我們認(rèn)識(shí)到金融云計(jì)算技術(shù)研究是技術(shù)集成創(chuàng)新與產(chǎn)業(yè)協(xié)同創(chuàng)新的復(fù)雜系統(tǒng)工程，金融云計(jì)算技術(shù)的自主可控需要良好的產(chǎn)業(yè)生態(tài)支持，因此也同步與國(guó)內(nèi)外產(chǎn)業(yè)界保持密切溝通，探索相關(guān)技術(shù)在金融行業(yè)范圍內(nèi)以工作組的形式深化聯(lián)合研究，在工作組內(nèi)共享技術(shù)研究成果，共同以工作組的團(tuán)體力量與國(guó)內(nèi)外云計(jì)算組織展開合作，推動(dòng)金融云技術(shù)的研究與進(jìn)步，加速金融科技的變革，支撐金融服務(wù)的創(chuàng)新發(fā)展。

　　金融行業(yè)網(wǎng)絡(luò)架構(gòu)現(xiàn)狀

　　金融行業(yè)網(wǎng)絡(luò)建設(shè)歷程與金融行業(yè)近三十年信息化過程密不可分，目前為止已經(jīng)歷多個(gè)階段發(fā)展。

　　現(xiàn)階段金融行業(yè)網(wǎng)絡(luò)整體多以“兩地三中心”架構(gòu)為主。利用DWDM及高帶寬專線構(gòu)建高速轉(zhuǎn)發(fā)“核心骨干網(wǎng)”用于數(shù)據(jù)中心間互聯(lián)，數(shù)據(jù)中心作為骨干網(wǎng)接入節(jié)點(diǎn)。在核心骨干網(wǎng)框架上擴(kuò)展延伸出“三級(jí)網(wǎng)”架構(gòu)用于各級(jí)分支機(jī)構(gòu)的匯聚，數(shù)據(jù)中心至一級(jí)分支機(jī)構(gòu)間構(gòu)建一級(jí)網(wǎng)，一級(jí)分支至二級(jí)分支機(jī)構(gòu)間構(gòu)建二級(jí)網(wǎng)，二級(jí)至三級(jí)分支機(jī)構(gòu)間構(gòu)建三級(jí)網(wǎng)。示意圖如下：

　　圖1 階段金融行業(yè)網(wǎng)絡(luò)整體示意圖

　　數(shù)據(jù)中心內(nèi)部采用“總線型、模塊化”架構(gòu)，遵循“垂直分層、水平分區(qū)”的原則，根據(jù)應(yīng)用系統(tǒng)種類不同、重要性區(qū)別、安全防護(hù)需求差異將網(wǎng)絡(luò)劃分為多個(gè)區(qū)域，通過高性能交換機(jī)構(gòu)建交換總線，網(wǎng)絡(luò)各分區(qū)通過總線進(jìn)行互聯(lián)互通，如下圖：

　　圖2 數(shù)據(jù)中心內(nèi)網(wǎng)絡(luò)分區(qū)示意圖

　　網(wǎng)絡(luò)分區(qū)可劃分為三大類：業(yè)務(wù)區(qū)、隔離區(qū)、特定功能區(qū)。

　　業(yè)務(wù)區(qū)：用于承載各類系統(tǒng)應(yīng)用服務(wù)器及數(shù)據(jù)庫(kù)服務(wù)器，應(yīng)用系統(tǒng)根據(jù)特定原則劃分至不同業(yè)務(wù)區(qū)。

　　隔離區(qū)：也稱DMZ區(qū)，承載各類前置機(jī)，面向互聯(lián)網(wǎng)或第三方機(jī)構(gòu)提供服務(wù)。

　　特定功能區(qū)：如管理區(qū)承載監(jiān)控系統(tǒng)、流程系統(tǒng)、操作終端等，用于數(shù)據(jù)中心維護(hù)；廣域網(wǎng)區(qū)用戶數(shù)據(jù)中心至骨干網(wǎng)的連通。

　　傳統(tǒng)架構(gòu)優(yōu)點(diǎn)：安全、穩(wěn)定、可靠、可擴(kuò)展。

　　架構(gòu)缺點(diǎn)：靈活性不足、豎井壁壘存在、自動(dòng)化不高、建設(shè)成本高昂。

　　金融數(shù)據(jù)中心網(wǎng)絡(luò)面臨的挑戰(zhàn)

　　1. 面臨的挑戰(zhàn)

　　當(dāng)前，“業(yè)務(wù)應(yīng)用變革式創(chuàng)新發(fā)展”、“以云計(jì)算為代表的新技術(shù)應(yīng)用”以及“金融IT成本與效率優(yōu)化新要求”是金融數(shù)據(jù)中心網(wǎng)絡(luò)發(fā)展面臨的三大挑戰(zhàn)。

　　首先業(yè)務(wù)應(yīng)用發(fā)展對(duì)網(wǎng)絡(luò)服務(wù)提出新的挑戰(zhàn)，面向互聯(lián)網(wǎng)方式的金融創(chuàng)新應(yīng)用快速發(fā)展對(duì)網(wǎng)絡(luò)服務(wù)提出更敏捷的服務(wù)要求，網(wǎng)絡(luò)資源的開通與變更希望是從原本的周為單位提升到分鐘級(jí)別，從而支撐應(yīng)用快速投產(chǎn)。

　　其次，云計(jì)算等新技術(shù)在數(shù)據(jù)中心內(nèi)越發(fā)應(yīng)用廣泛，其對(duì)網(wǎng)絡(luò)連接也提出新的要求。為適應(yīng)虛擬化技術(shù)，資源的漂移遷移能力，網(wǎng)絡(luò)服務(wù)需要從物理機(jī)識(shí)別提升到虛擬主機(jī)識(shí)別，云的多租戶特性要求在共享的物理網(wǎng)絡(luò)設(shè)備下提供可獨(dú)立解耦的網(wǎng)絡(luò)地址路由空間，云彈性伸縮則要求網(wǎng)絡(luò)有更高地彈性擴(kuò)展能力，巨大的云平臺(tái)規(guī)模，也要求云網(wǎng)絡(luò)服務(wù)也必須具備足夠的網(wǎng)絡(luò)容量與健壯性。