中国建设银行首席信息官 金磐石

  “无科技、不金融”，“无云计算、不科技”，云计算作为底座技术，影响金融产品的运营及创新，是构建稳健高效的金融基础设施的关键。建设银行着眼于未来发展，超前布局云原生技术，建设建行云，优化敏捷研发平台，提升科技供给能力，赋能业务创新发展，助力行业生态建设。

一、建行云及云原生探索之路

  “烟囱”式的系统、数据孤岛、重复建设等问题曾是金融信息化进程中的共性难题，为从根本上解决上述问题，建设银行于2010年启动了新一代核心系统建设，推动核心系统重构，在系统重构初期即引入云计算，建设云平台，推动IT架构转型。

  2013年，建设银行基于通用性商业技术栈建成了当时金融行业规模最大的私有云——建行私有云;2018年，上线可提供互联网服务和行业生态应用服务的专有云，形成了建行云，赋能智慧金融及行业生态发展;2021年，投产采用全栈信创技术构建的云计算平台，形成了一云多芯的建行云融合架构，构建了支持金融级核心业务及全栈信创的云基础设施。

  互联网金融的发展及客户日益多样化的需求对IT架构、交付流程和技术风险保障机制均提出了新的要求，金融机构传统IT架构和应用研发模式急需转型升级。将“加速创新、降低成本、提高效率”的云原生架构、云原生技术和云原生应用进行组合，形成调用标准化、高度自动化的基础设施和平台服务，为架构转型提供了可选方案。

  为遵循行业监管要求和满足金融特殊安全等级要求，建设银行通过容器云平台实现资源的敏捷调度、弹性伸缩、跨底层环境移植等功能，使金融基础设施摆脱了上层应用对物理环境的依赖。在此基础上，建设银行将通用业务能力、技术能力进行封装，利用分布式微服务平台，以标准服务的方式供上层应用调用，实质上形成了金融“操作系统”，降低了系统整体开发成本，促进了数字化转型。

二、云原生能力建设

  建设银行以“安全、稳定、灵活、敏捷”为能力建设目标，利用云原生构建防护体系，推动架构转型，打造敏捷研发平台，提升专业能力。

  1.基于云原生构建防护体系

  建设银行搭建了“安全即服务”的企业级安全架构，构建了“多层水闸式”的安全防护体系，实现了传统金融安全与云原生安全的无缝融合，将业界成熟的安全技术、产品进行封装，通过云化标准接口统一为应用提供服务，形成了用户认证、密码服务、安全监控、数据安全、终端安全、安全策略管理中心、基础设施安全等七大安全组件、90余项安全服务，全面覆盖业务应用、终端、系统、网络、主机、云环境等安全场景;打造了以智慧安全运营平台为核心，涵盖边界串行防护、边界旁路阻断、纵深检测防御、应用安全监控“四道防线”的安全防护体系，建立起全渠道的纵深抗攻击体系。

  为适应爆发式增长的场景，建设银行推出容器安全服务，为容器的构建、部署、运行提供全生命周期防护，通过检测主机和容器平台等各类基线配置，从源头控制风险，针对容器运行态提供容器逃逸、高危命令执行检测，异常进程和文件检测，以及常规木马和内存马检测与防护功能，提高建行云的安全防护能力。

  2021年护网期间，建设银行成功抵御了331.1万次网络攻击，日均抵御攻击次数接近平时的3倍，防守未失一分，圆满完成护网防守任务。

  2.以云原生提升架构能力

  建设银行引入业界标准，在建行云上应用云原生技术，打造金融级容器云平台、分布式微服务平台和敏捷研发平台，形成金融级的高可用、一致性、弹性伸缩等云原生基础架构能力。金融级容器云平台实现应用与底层基础技术解耦，提供灵活、弹性、开放的云原生敏捷基础设施服务能力;分布式微服务平台拥有网关、注册中心、配置中心、分布式缓存、分布式事务、分布式锁等全套的微服务治理组件，支持大规模、多中心、分布式的架构部署，可实现规模化跨云部署和迁移，提高系统业务连续性保障能力;敏捷研发平台提供安全规范的研发流程和工具支持，建成可定制、可扩展的DevOps流水线，提升自动化和智能研发度量能力。通过三大平台建设，建设银行架构具有了服务化、弹性、可观测、韧性、自动化、安全等技术特征。

  3.以云原生打造敏捷服务能力

  建行云融合开放了60多项基础云服务，支持用户通过云平台和API方式自助调用云。用户可快速搭建基础运行环境，提升了建设效率，降低了基础设施建设成本。

  建设银行对应用研发、交付、运行所依赖的技术进行平台化、组件化封装，以云服务为主要交付方式，实现技术基础能力的快速供给;基于容器技术对基础设施资源进行申请与调度，对分布式微服务平台、大数据云平台、人工智能平台、区块链平台以及新一代应用平台进行技术研发，通过人工智能组件、技术组件等提供公共服务，形成了敏捷交付与基础设施快速供给、公共技术服务共享复用、数字化经营高效支撑、解决方案快速复制、新技术共创新生态共建、跨平台服务整合等六大能力。

  建设银行通过对应用进行微服务、容器化改造，实现数据库分库分表、实时数据采集与处理架构改造、数据库端数据采集与处理架构改造、云化数仓的整合和分析;对重构后的代码进行代码仓和流水线迁移，使云原生技术在建行生活App、分布式个贷、分布式核心等应用中得到充分运用。

  4.以云原生提高持续交付和运维管理能力

  建设银行完成了敏捷研发平台代码库流水线核心能力建设，并已在全行推广。截至目前，敏捷研发平台已为1500余个系统提供1.8万条流水线服务，流水线规模在金融同业中处于领先地位;平台工具链基本覆盖行内主流交易类应用从开发到投产的全流程。

  分布式、服务网格、研发运维一体化、混沌工程等云原生架构和技术改变了金融应用系统和基础设施的运维模式。建设银行通过标准化运维语言建立模型，沉淀通用的运维服务，共享运维能力，实现众创、共建、共享，使得应用发布更敏捷、运维人员操作更规范、自动化水平和运维能效更高、架构可靠性更强、系统稳定更有保障。

三、赋能同业数字化转型

  人民银行发布的《金融科技发展规划(2022—2025年)》及银保监会发布的《关于银行业保险业数字化转型的指导意见》均要求金融机构加快数字化转型。

  建设银行通过“慧系列”风险管理工具等多种云服务助力同业金融机构数字化转型。

  基于云原生架构及云原生技术应用，建设银行打造了包括技术中台、分布式微服务框架、建行生活、个贷流程审批等在内的云原生“样板间”，投产分布式核心系统，实现信息系统核心技术和关键组件的自主研发，以及生产、升级、维护的全程可控，进而通过金融信创云和金融云原生技术赋能中小金融机构，提升行业自主可控能力。

  建设银行秉持“跨域、绿色、创新、共享”的理念，布局金融云数据中心，利用云原生技术有效解决数据中心碎片化、分布不合理等问题，提供绿色低碳的金融云服务，提升能源使用效率，减少碳排放，促进金融云的绿色发展。

  云原生应用探索不可能一蹴而就，建设银行将持续运用云原生技术，与行业共建云平台、共享云计算最佳应用实践，与同业同向发力，共同提升金融科技供给能力，促进金融行业创新发展。