導(dǎo)語(yǔ)：基層央行業(yè)務(wù)網(wǎng)超融合平臺(tái)探索一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

摘要：業(yè)務(wù)網(wǎng)超融合平臺(tái)是人民銀行邵陽(yáng)市中心支行解決信息系統(tǒng)“孤島式的建設(shè)和應(yīng)用模式”的重要舉措，是信息系統(tǒng)虛擬化建設(shè)道路上一個(gè)非常重要的嘗試。本文介紹了該平臺(tái)的建設(shè)、完善過(guò)程和主要做法，并對(duì)實(shí)際運(yùn)維情況進(jìn)行小結(jié)。

關(guān)鍵詞：金融科技；超融合平臺(tái)；運(yùn)維

一、引言

當(dāng)前，人民銀行信息化建設(shè)發(fā)展迅速，但基層央行在系統(tǒng)的上線(xiàn)及運(yùn)維方面，一直以來(lái)都存在“孤島式”的建設(shè)和應(yīng)用弊端，存在建設(shè)周期長(zhǎng)、資源利用率低等問(wèn)題，數(shù)據(jù)的安全性及工作效率有待提高。中國(guó)人民銀行邵陽(yáng)市中心支行（以下簡(jiǎn)稱(chēng)“人行邵陽(yáng)中支”）為了解決弊端，積極探索虛擬化建設(shè)，于2017年11月初立項(xiàng)建設(shè)業(yè)務(wù)網(wǎng)超融合平臺(tái)，2018年1月18日正式上線(xiàn)。在實(shí)際運(yùn)行過(guò)程中，該行不斷總結(jié)、不斷探索，先后進(jìn)行了2次升級(jí)（一次平臺(tái)架構(gòu)升級(jí)、一次網(wǎng)絡(luò)結(jié)構(gòu)升級(jí)），逐步完善平臺(tái)，最終圓滿(mǎn)達(dá)成了建設(shè)目標(biāo)。

二、探索背景

（一）平臺(tái)拓?fù)浜?jiǎn)單，風(fēng)險(xiǎn)抵御能力不足。在平臺(tái)建設(shè)初期，人行邵陽(yáng)中支決定整個(gè)平臺(tái)的建設(shè)分多步進(jìn)行，首期升級(jí)原有閑置服務(wù)器的硬件配置，在此基礎(chǔ)上搭建一個(gè)雙節(jié)點(diǎn)超融合架構(gòu)平臺(tái)，今后再根據(jù)需要逐步升級(jí)平臺(tái)。初期的拓?fù)淙鐖D1所示。初期平臺(tái)上創(chuàng)建了服務(wù)器網(wǎng)段、安全設(shè)備網(wǎng)段、測(cè)試網(wǎng)段等3個(gè)虛網(wǎng)，遷移了公文流轉(zhuǎn)、TIPS前置系統(tǒng)，邵陽(yáng)金信港、邵陽(yáng)電子設(shè)備管理系統(tǒng)，遠(yuǎn)程培訓(xùn)課程分發(fā)子系統(tǒng)主機(jī)、遠(yuǎn)程培訓(xùn)課程分發(fā)子系統(tǒng)主機(jī)和備機(jī)等6個(gè)在用應(yīng)用系統(tǒng)，后期又創(chuàng)建了6個(gè)用于測(cè)試的云盤(pán)系統(tǒng)虛擬機(jī)。平臺(tái)CPU、內(nèi)存、存儲(chǔ)資源充足，完全能滿(mǎn)足所有虛擬機(jī)運(yùn)行及數(shù)據(jù)實(shí)時(shí)備份的需求。但是在雙節(jié)點(diǎn)架構(gòu)運(yùn)行時(shí)，一旦其中一個(gè)節(jié)點(diǎn)故障，在故障節(jié)點(diǎn)修復(fù)前平臺(tái)的運(yùn)行壓力將急劇增加，可能影響某些部署在平臺(tái)上的系統(tǒng)的流暢性。同時(shí)，還將暫時(shí)出現(xiàn)單點(diǎn)風(fēng)險(xiǎn)。（二）局域網(wǎng)拓?fù)溥^(guò)時(shí)，效率及安全性有待提升。一是從平臺(tái)拓?fù)浣Y(jié)構(gòu)及局域網(wǎng)拓?fù)浣Y(jié)構(gòu)上來(lái)看，業(yè)務(wù)出口分別用千兆雙絞線(xiàn)與兩臺(tái)核心交換機(jī)相連。實(shí)際上，由于兩臺(tái)核心交換機(jī)通過(guò)傳統(tǒng)“MSTP+VRRP”架構(gòu)進(jìn)行組網(wǎng)連接，平臺(tái)兩條業(yè)務(wù)出口線(xiàn)路中有一條處于阻斷狀態(tài)，其網(wǎng)絡(luò)利用率最多只能達(dá)到50%。局域網(wǎng)拓?fù)湄酱齼?yōu)化，平臺(tái)入網(wǎng)連接方式有待改進(jìn)。中心網(wǎng)絡(luò)的可靠性及轉(zhuǎn)發(fā)能力亟待提高。二是從網(wǎng)絡(luò)管理層面來(lái)看，平臺(tái)上線(xiàn)后，業(yè)務(wù)網(wǎng)的業(yè)務(wù)系統(tǒng)、平臺(tái)軟件等全部部署在同一個(gè)虛網(wǎng)內(nèi)（服務(wù)器虛網(wǎng)），無(wú)法做到對(duì)平臺(tái)訪(fǎng)問(wèn)控制的最小權(quán)限配置，不便于對(duì)服務(wù)器進(jìn)行分類(lèi)管理及精細(xì)化訪(fǎng)問(wèn)控制，存在一定的風(fēng)險(xiǎn)隱患。（三）運(yùn)維不夠深入，平臺(tái)功能有待深挖。平臺(tái)上線(xiàn)后，人行邵陽(yáng)中支組織力量平穩(wěn)地將現(xiàn)行的業(yè)務(wù)系統(tǒng)逐一遷入平臺(tái)，實(shí)現(xiàn)了業(yè)務(wù)系統(tǒng)的實(shí)時(shí)備份。管理員每天巡檢平臺(tái)實(shí)體機(jī)的工作狀態(tài)，登錄平臺(tái)查看虛擬機(jī)的狀態(tài)，并在業(yè)務(wù)系統(tǒng)維護(hù)前保存快照。監(jiān)控和運(yùn)維手段比較單一，未能完全發(fā)揮出超融合平臺(tái)的智能化功能。

三、主要做法

（一）升級(jí)平臺(tái)架構(gòu)，提升平臺(tái)健壯性。為了解決平臺(tái)風(fēng)險(xiǎn)抵御能力不足的隱患，并擴(kuò)充平臺(tái)的存儲(chǔ)空間，人行邵陽(yáng)中支新購(gòu)入了一臺(tái)服務(wù)器，把平臺(tái)升級(jí)到3節(jié)點(diǎn)架構(gòu)。新的架構(gòu)充分考慮冗余設(shè)計(jì)，提升了平臺(tái)的容錯(cuò)能力，如極大地降低了平臺(tái)在硬件和線(xiàn)路兩個(gè)方面的單點(diǎn)隱患。硬件方面，由于服務(wù)器數(shù)量增加到3臺(tái)，在一臺(tái)實(shí)體機(jī)故障宕機(jī)的情況下，平臺(tái)完全有能力支撐目前的所有業(yè)務(wù)正常運(yùn)行，為故障機(jī)器的維修恢復(fù)提供了充足的時(shí)間。線(xiàn)路方面，平臺(tái)的業(yè)務(wù)出口和存儲(chǔ)通信均采用冗余連接。每臺(tái)服務(wù)器分別分配2個(gè)業(yè)務(wù)端口連接至2臺(tái)核心交換機(jī)，2個(gè)存儲(chǔ)通信端口連接至2臺(tái)存儲(chǔ)通信交換機(jī)，其中任何一條線(xiàn)路或交換機(jī)故障均不會(huì)影響平臺(tái)的正常運(yùn)行。由于服務(wù)器端口資源有限，管理端口和VXLAN通信端口暫時(shí)不做冗余連接。平臺(tái)升級(jí)后的拓?fù)淙鐖D2所示。（二）優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，拓展平臺(tái)高效性。為了從網(wǎng)絡(luò)層面上拓展平臺(tái)的高效性，人行邵陽(yáng)中支對(duì)業(yè)務(wù)網(wǎng)核心交換機(jī)進(jìn)行了虛擬化升級(jí)。經(jīng)過(guò)充分的市場(chǎng)調(diào)研及可行性驗(yàn)證，在現(xiàn)網(wǎng)設(shè)備上增加了兩塊堆疊板卡和兩塊萬(wàn)兆業(yè)務(wù)板卡，通過(guò)堆疊板卡組建CSS系統(tǒng)，實(shí)現(xiàn)了核心交換機(jī)虛擬化。接下來(lái)，人行邵陽(yáng)中支將原有的平臺(tái)實(shí)體機(jī)與核心交換機(jī)之間的所有連線(xiàn)進(jìn)行了聚合，實(shí)現(xiàn)了業(yè)務(wù)出口的負(fù)載均衡。這樣，在擴(kuò)容網(wǎng)絡(luò)效率的同時(shí)，保護(hù)了已有投入，同時(shí)簡(jiǎn)化了設(shè)備的配置和管理，提高了系統(tǒng)的可靠性。因此，網(wǎng)絡(luò)利用率、切換速度等方面都有了大幅度提升。核心交換機(jī)虛擬化升級(jí)后平臺(tái)的拓?fù)淙鐖D3所示（三）細(xì)化網(wǎng)絡(luò)管理，提高平臺(tái)安全性。根據(jù)人行邵陽(yáng)中支局域網(wǎng)IP地址的應(yīng)用現(xiàn)狀及今后虛擬化建設(shè)的發(fā)展需求，該行將服務(wù)器生產(chǎn)區(qū)劃分為應(yīng)用服務(wù)器、平臺(tái)服務(wù)器、存儲(chǔ)服務(wù)器、特殊服務(wù)器等4個(gè)虛網(wǎng)。其中，原服務(wù)器網(wǎng)段變更為應(yīng)用服務(wù)器網(wǎng)段。應(yīng)用服務(wù)器子網(wǎng)段主要部署對(duì)外提供服務(wù)的應(yīng)用系統(tǒng)（如當(dāng)前在用的所有應(yīng)用系統(tǒng)），平臺(tái)服務(wù)器子網(wǎng)主要部署超融合平臺(tái)服務(wù)器，存儲(chǔ)服務(wù)器主要部署網(wǎng)絡(luò)存儲(chǔ)服務(wù)器（比如云盤(pán)系統(tǒng)、FTP服務(wù)器等），特殊服務(wù)器主要部署今后新上線(xiàn)的對(duì)訪(fǎng)問(wèn)控制較為嚴(yán)格的應(yīng)用服務(wù)器。虛網(wǎng)調(diào)整完成后，將平臺(tái)從應(yīng)用服務(wù)器子網(wǎng)段遷移到了平臺(tái)服務(wù)器子網(wǎng)，并對(duì)平臺(tái)服務(wù)器子網(wǎng)設(shè)置了嚴(yán)格的訪(fǎng)問(wèn)控制，只允許本地網(wǎng)管人員及系統(tǒng)管理員的IP訪(fǎng)問(wèn)，極大地提高了平臺(tái)的安全性。（四）挖掘平臺(tái)功能，增強(qiáng)運(yùn)維便捷性。平臺(tái)上線(xiàn)后，業(yè)務(wù)網(wǎng)內(nèi)除上級(jí)托管在機(jī)房的4臺(tái)設(shè)備外，其他業(yè)務(wù)網(wǎng)應(yīng)用服務(wù)器已基本遷移到平臺(tái)上，且今后上線(xiàn)的新系統(tǒng)也將部署在平臺(tái)上，平臺(tái)實(shí)際上已經(jīng)成為服務(wù)器生產(chǎn)區(qū)。因此，如何充分發(fā)揮平臺(tái)的效用，提升運(yùn)維便捷性，值得人行邵陽(yáng)中支認(rèn)真思考。1.虛擬機(jī)外部備份。上線(xiàn)初期，平臺(tái)的虛擬機(jī)備份均位于平臺(tái)本地，一旦平臺(tái)出現(xiàn)崩潰式故障，就會(huì)存在丟失所有數(shù)據(jù)的風(fēng)險(xiǎn)。基于將虛擬機(jī)備份獨(dú)立于平臺(tái)之外的思路，人行邵陽(yáng)中支咨詢(xún)廠家，找到了平臺(tái)虛擬機(jī)外部備份的方法。平臺(tái)是通過(guò)創(chuàng)建備份池來(lái)存放備份數(shù)據(jù)的，而備份池的位置可以選擇本地或Windows共享目錄，還可以通過(guò)iSCSI服務(wù)擴(kuò)展虛擬存儲(chǔ)。其中，Windows共享目錄和iSCSI服務(wù)擴(kuò)展虛擬存儲(chǔ)的方式可以將虛擬機(jī)備份到外部。兩種方式對(duì)比而言，iSCSI服務(wù)擴(kuò)展虛擬存儲(chǔ)安全性更高，但需要提供支持iSCSI服務(wù)協(xié)議的外部設(shè)備?？紤]到實(shí)際情況，在不增加投入的前提下，人行邵陽(yáng)中支選擇采用Windows共享的方式，將平臺(tái)虛擬機(jī)備份到安裝了Windowsserver2008系統(tǒng)的閑置服務(wù)器上。為了提高備份服務(wù)器的安全性，將備份服務(wù)器部署在平臺(tái)服務(wù)器子網(wǎng)并設(shè)置了嚴(yán)格的訪(fǎng)問(wèn)策略，只允許平臺(tái)服務(wù)器訪(fǎng)問(wèn)該備份服務(wù)器。外部備份配置完成后，平臺(tái)每天23:00開(kāi)始將虛擬機(jī)自動(dòng)備份到備份服務(wù)器，提高了數(shù)據(jù)安全性。2.啟用平臺(tái)監(jiān)控。登錄平臺(tái)后，在首頁(yè)可以看到一些簡(jiǎn)單的平臺(tái)運(yùn)行數(shù)據(jù)，方便值班人員及時(shí)了解平臺(tái)的運(yùn)行情況。但該界面內(nèi)容過(guò)于簡(jiǎn)單，值班人員如果需要了解各虛擬機(jī)的詳細(xì)運(yùn)行情況，需要進(jìn)入不同的模塊調(diào)閱，往往層級(jí)還比較深，操作比較復(fù)雜，反應(yīng)時(shí)間比較長(zhǎng)。有的甚至需要從系統(tǒng)管理員處獲得授權(quán)才能進(jìn)入應(yīng)用系統(tǒng)，增加了值班人員巡檢的難度。為了使日常巡檢變得更加方便快捷，人行邵陽(yáng)中支啟用了平臺(tái)的監(jiān)控中心功能。監(jiān)控中心界面布局大方，科技感強(qiáng)，更直觀地展示當(dāng)前各業(yè)務(wù)系統(tǒng)的運(yùn)行狀況、資源占用情況、告警情況等，更能一鍵進(jìn)入虛擬機(jī)詳情界面，全面、直觀地展現(xiàn)虛擬機(jī)實(shí)時(shí)狀況。監(jiān)控中心的啟用，大大地提高了值班人員的工作效率。3.平臺(tái)故障通知。平臺(tái)具備了強(qiáng)大的故障監(jiān)控功能，當(dāng)平臺(tái)發(fā)生諸如網(wǎng)絡(luò)異常（如某個(gè)端口掉線(xiàn)）、資源不足（如某個(gè)虛擬機(jī)內(nèi)存不足）、操作失?。ㄈ鐐浞菔。┑裙收蠒r(shí)，均會(huì)產(chǎn)生告警記錄。告警信息會(huì)及時(shí)在平臺(tái)首頁(yè)顯示，使值班人員巡檢時(shí)能及時(shí)發(fā)現(xiàn)。然而人行邵陽(yáng)中支并不滿(mǎn)足于登錄系統(tǒng)發(fā)現(xiàn)告警，而更希望告警信息能實(shí)時(shí)通過(guò)其他方式通知運(yùn)維人員。通過(guò)查詢(xún)平臺(tái)白皮書(shū)及咨詢(xún)廠商發(fā)現(xiàn)，系統(tǒng)本身自帶郵件通知功能。該功能配置完成并啟用后，平臺(tái)可以將告警信息實(shí)時(shí)發(fā)送到目的郵箱，在及時(shí)通告告警信息的同時(shí)擴(kuò)大了告警信息的獲知群體（由單一值班人員擴(kuò)展到全科人員），提高了平臺(tái)故障處理的時(shí)效性。（五）制訂平臺(tái)制度，強(qiáng)化運(yùn)維規(guī)范性。在日常運(yùn)維方面，人行邵陽(yáng)中支堅(jiān)決落實(shí)上級(jí)行“三道防線(xiàn)”的要求，積極推動(dòng)平臺(tái)在運(yùn)行維護(hù)、風(fēng)險(xiǎn)控制、安全審計(jì)全方位落實(shí)到位。系統(tǒng)試運(yùn)行后，其先后制定了《超融合平臺(tái)運(yùn)維管理制度》和《超融合平臺(tái)應(yīng)急預(yù)案》，從職責(zé)分工、運(yùn)維流程、安全保密、應(yīng)急資源、應(yīng)急管理等多個(gè)方面提升平臺(tái)的安全保障。

四、小結(jié)

人行邵陽(yáng)中支業(yè)務(wù)網(wǎng)超融合平臺(tái)已上線(xiàn)運(yùn)行2年多，平臺(tái)的各項(xiàng)指標(biāo)性能良好，運(yùn)行穩(wěn)定。在這2年的運(yùn)維中，人行邵陽(yáng)中支認(rèn)真觀察、大膽探索，圍繞平臺(tái)的安全性、健壯性、便捷性、穩(wěn)定性開(kāi)展調(diào)研，從平臺(tái)架構(gòu)、平臺(tái)運(yùn)行環(huán)境、平臺(tái)功能挖掘、平臺(tái)制度建設(shè)等方面入手，進(jìn)行大量的實(shí)驗(yàn)及調(diào)整工作，實(shí)現(xiàn)了構(gòu)建一個(gè)安全、可靠、便捷、高效、節(jié)能的虛擬化平臺(tái)的目標(biāo)。

參考文獻(xiàn)：

[1]張棟鍇，郭東旭. 超融合架構(gòu)在商業(yè)銀行省級(jí)分行中的應(yīng)用[J]. 金融科技時(shí)代，2019(7):32-36.

[2]張光華. 超融合系統(tǒng)架構(gòu)在數(shù)據(jù)中心的應(yīng)用研究[J]. 通訊世界，2017(9):21-

[3]謝藝平，趙丹銳. 淺析服務(wù)器虛擬化常見(jiàn)的安全隱患及其防范措施[J]. 現(xiàn)代信息科技，2018(11):153-154. 

作者:張勇 單位:中國(guó)人民銀行邵陽(yáng)市中心支行