中国光大银行信息科技部总经理  李璠

　　随着信息技术的高速发展，银行业务与科技高度融合，在信息科技的支撑和引领下，光大银行转变发展方式，提高发展质量和效率，积极探索云计算相关技术，成功实施了基于全行资源池化管理的私有云建设实践项目。秉承“统一规划，架构先行，技术创新，管理配套”的方针，光大银行攻克多项技术难关，突破传统组织的管理困局，建成了全面覆盖总分行各级机构的私有云平台，提升了科技运营效率，促进了业务快速发展，项目规模效益明显，应用效果显著。

　　一、光大银行私有云体系架构设计

　　1.光大银行私有云逻辑架构

　　光大银行私有云逻辑上分为云门户层、云管理平台层、云运维平台层和IT基础设施层4个部分，具体架构如图1所示。

　　光大银行私有云通过云门户层实现了用户资源的自助式申请。为体现云自服务、弹性和敏捷的特点，光大银行构建了五大类(资源开通和撤销类、变更类、操作类、查询类以及安全类)自服务功能，实现了绝大部分资源类需求的自助式快速交付，大大提升了用户体验。通过云管理平台层实现了对x86平台/IBM小型机/HP小型机的异构计算资源、SAN/NAS异构存储资源以及传统网络/SDN网络等IT基础设施资源的一体化交付和精细化管理。针对云环境下资源池化和流动性的特点，光大银行构建了更有针对性的运维管理平台，通过与云管理平台层的交互，实现了资源配置信息的动态发现、动态更新，以及事件故障根源自动化发现和分析，有效提升了光大银行私有云的可维护性。

　　2.光大银行私有云部署架构

　　光大银行的私有云由部署在两地三中心的总行生产云、由总/分两级资源池构成的分行生产云以及部署在总行开发测试中心的全行开发测试云三部分组成。整体部署架构如图2所示。

　　总行生产云承载了总行所有生产系统;分行生产云的一级资源池统一部署在总行，承载了所有分行重要应用系统;二级资源池部署在分行本地，承载了分行网络流量较大、重要性较低的办公类应用系统。通过分行生产云的建设，有效缩减了分行本地IT基础设施的规模;全行开发测试云承载了总、分行所有的开发测试系统。为提升云环境下应用系统的部署效率和自动化水平，光大银行的私有云通过自动化编排系统和存储同步技术实现了开发测试环境向生产环境的动态发布以及分行一、二级资源池之间的按需流动，进一步提升了光大云整体的灵活性以及应用交付效率。

　　3.光大银行私有云安全架构

　　参照CSA(云安全联盟)的云安全参考架构，并结合全行资源池化管理的核心思想，光大银行的私有云安全架构可以概括为“安全多租户隔离，兼顾应用级防护”。

　　光大银行私有云将总行和各个分行视为一个各自独立的租户，以租户为单位实现有效的安全隔离和防护。在每个租户内部可以为各个业务和科技部门提供VDC(虚拟数据中心)服务，并基于软件定义网络技术构建应用云容器，以动态安全边界的形式实现了总分行、分行间以应用为单位的访问控制和隔离，有效提升了云环境下的安全性。

　　4.光大银行私有云运营组织架构

　　光大银行私有云的运营组织架构建设从组织调整和运营转型入手，整合系统和网络专业人员，成立基础设施处，统管私有云的整体建设和运维工作，实现了云基础设施的一体化管理，未来还将进一步细化规划、部署和运维的分工，使人员更加专注于软件驱动能力建设、标准化快速部署能力建设以及故障快速恢复能力建设;为加强运营管理体系建设，突出以服务为导向的理念，光大银行针对私有云专门设置了云服务运营经理、云服务运维经理和云服务产品经理3个角色，由专人对云的服务质量、可用性、计量计费和用户需求等方面进行管理，实现了从运维到运营的转型。

　　光大银行私有云还具备完善的云资源定价体系和计费标准。通过标准化的基础设施软硬件采购以及机房和人力成本的准确核算，形成了可执行的云定价体系。目前该体系已应用于总分行的预算编制当中，云管理人员根据预算情况设置各个租户的资源配额。同时，我们根据用户申请资源的合理性和准确性给予相应的评级以及价格的折扣，进一步促进资源的合理使用。

　　二、光大银行私有云创新特点

　　1.实现了全行总分两级资源池的集中管理

　　相对于传统私有云仅能够管理一到两个数据中心，光大银行创新性地通过一套云管理平台实现了对全行总分两级资源池的集中管理和资源的集中供给，实现总行对全行IT基础设施的全面掌控。

　　2.采用了无边界数据中心架构

　　光大银行是国内率先同时使用SAN/NAS同城双活存储的银行。通过对上述两项存储技术的使用，并结合同城网络大二层以及虚拟化热迁移技术，实现了同城数据中心灾难的业务零中断、数据零丢失。此外，光大银行还通过异地网络大二层技术完成了同城数据中心和异地数据中心的逻辑整合，实现了应用系统在两地三中心的弹性部署，通过云服务编排引擎的资源调度能力实现了跨站点的资源负载在线调配以及资源的跨中心、无边界流动。

　　3.同时采用了融合、超融合架构

　　在总行资源池中全面应用了融合基础架构，通过融合架构的模块化横向扩容能力以及可编程性提升了资源扩容效率、资源自动化部署和自动化服务发布效率。在分行本地的二级资源池中全面使用了基于自主研发的超融合架构，促进了安全可控技术目标的落地。通过超融合架构的分布式特点，实现了模块化的无缝横向扩展，单节点故障无业务影响，节省了机房空间和电力，有效降低了分行维护成本。

　　4.基于软件定义网络(SDN)技术实现了面向应用的网络自动化交付

　　通过SDN控制器北向接口与云管理平台编排引擎的集成，实现了网络访问权限的自助式申请和自动化开通;实现了应用部署与网络基础设施的解耦;基于网络容器技术实现了以应用为单位的网络安全域内部安全访问控制和隔离;实现了以应用为单位的实时网络层健康状态监控。

　　5.通过流程编排和资源联动，实现云服务的端到端交付

　　光大银行自主研发了防火墙自动化管理平台和负载均衡自动化管理平台，通过流程编排引擎的一体化调度实现了计算、存储、网络以及虚拟桌面等多种资源的联动，使得光大银行私有云具备了资源的端到端交付能力。

　　6.实现了基于应用架构的资源交付模式

　　光大银行私有云基于资源的端到端交付能力，实现了以应用架构为单位的资源交付模式。用户在云门户中可以选择各类标准化的应用架构，提升了用户资源申请效率。云平台将行内各项技术规范和标准以自动化的方式进行固化和部署，确保了用户所得到资源的高度标准化，并符合行内最佳实践。

　　三、光大银行私有云的建设和推广

　　光大银行私有云已实现总分行打通，全行覆盖，规模效益显著。目前共上线3600余套运行环境，其中生产环境1600余套(小型机环境近200套，x86环境1400余套)。

　　光大银行私有云已实现将全行生产、开发和测试环境纳入统一的云门户管理，并能够实时监控用户资源使用的合理性以及资源使用趋势。

　　四、光大银行私有云建设应用效果

　　光大银行私有云投产上线以来，在资源使用情况、成本管理、基础设施优化和灾备建设等方面取得全面成果。

　　在资源使用方面可以用“多、快、好、省”4个字来概括。根据光大银行私有云的容量规划，按照1:15的虚拟化比例现有资源能够满足未来3年的科技发展需求;资源交付时间由原来的22小时缩短到分钟级;通过基于行内规范的自动化部署保障了所交付资源的标准化、稳定性、合规性和健壮性;在完成私有云建设后一次性节省了基础设施投入约1亿元，每年维护成本降低约1300万元;此外，通过桌面云的自动化交付，进一步提升了私有云整体的安全性。

　　在成本管理方面，光大银行私有云的管理原则是宽进严出。在资源申请阶段以满足用户需求为主，降低需求合理性沟通和确认的管理成本，在使用阶段则加强资源使用率监控和资源使用合理性调整。经过对全行开发测试云和分行生产云的持续监控和配置优化，资源利用率从原来的20%上升至60%，基础设施投入降低40%，所节省的资源通过休眠等措施节省了大量的电力成本，并为资源的按需扩容预留了空间。

　　在运行维护方面，通过分行生产云一、二级资源池建设，分行基础设施规模大幅度瘦身。分行本地的服务器数量下降90%，服务器机柜数量下降87%，服务器维护人员数量下降48%，大大降低了分行科技人员维护工作量，使得分行能够投入更多的资源参与业务营销，实现“客户经理+业务经理”营销模式。

　　在灾备建设方面，通过将分行本地重要应用系统迁移至一级资源池，并借助分行生产云所具备的二级资源池向一级资源池的按需流动和动态迁移能力，分行已不再需要建设传统的应用级同城灾备机房，仅需要建设网络级灾备就能够满足业务及监管机构对于同城灾备的要求。仅此一项全行就节省资金接近1亿元。

　　光大银行私有云建设项目通过技术和管理模式的创新、资源交付模式的变革、成本管理模式的优化、运营和灾备管理方式的转变，在全行范围内实现了资源管理集中、成本管理集中、运营管理集中和灾备管理集中。目前私有云平台已承载全行业务，3600余套系统环境运行状况良好，功能完善，自动化交付效率高，经济效益显著，为同业提供了云计算建设的成功模式，为加快云计算在银行业的落地提供了有益经验。