当前,随着企业数字化转型迈入深化阶段,以及人工智能、大数据、区块链的技术对各行业的渗透加深,分布式云作为算力云服务底座,向下统一管理调度算力资源,向上定义应用新界面,为各行业的科技创新和智能化建设提供坚实支撑。
分布式云是一种将云服务按需部署到不同地理位置,提供统一管理能力的云计算模式。过去一年来,伴随政企用户“上云用云”进程加快,分布式云技术不断演进与发展,在金融、工业制造、能源交通等行业深化应用实践,进一步加速政企数字化转型。
本白皮书以分布式云行业实践指南为主题,将全面介绍分布式云最新发展态势、典型应用场景、技术演进发展、行业实施路径及最佳实践,旨在为分布式云在各行业规模化应用实践落地提供参考和指引。
一、分布式云典型应用场景
(一)分布式云基础设施实现算力按需弹性供给
1. 时延敏感型应用
分布式云可以将云服务延展到本地 IDC、生产现场和边缘区域等下沉场景,降低访问时延和网络带宽传输压力,解决传统集中式云计算不能覆盖到的现场边缘计算场景。
图 1 低时延业务应用模型
分布式云解决了集中式云计算无法满足的时延敏感型业务的挑战。常见的时延敏感型业务如下:
◆ 面向终端消费:以直播、会议为代表的音视频,以及云游戏、AR 等业务,时延对终端用户体验有较大的影响。通过分布式云来部署业务,可以将业务放置到离终端用户更近的物理位置,从而降低时延,提升体验。
◆ 面向生产现场:在智能制造、自动驾驶等领域,需要实时对生产数据进行监控、计算,并实时反馈到生产控制系统,分布式云提供的就近部署能力,除了实现与生产系统微秒级时延互访,也减少了数据在复杂网络传输带来的不确定性。
2. 数据监管合规
分布式云通过将云服务按需部署在用户指定安全区域,能够解决集中式云计算的数据合规和政策合规问题。
政企用户敏感数据资产,通常需要采用特殊的保护策略,比如固定的部署位置、专属的部署资源,以及严格的访问管理策略。对此,传统中心公有云难以完全实现,成为企业上云的重要阻碍因素之一。除此以外,从事高科技或接触敏感信息行业,例如金融、政务等,从国家、行业层面往往也会有相应的数据安全合规规定,某些国家、地区会要求金融数据本国、本区域驻留。通过部署分布式云实现专属化的部署,满足数据监管合规诉求,保证数据从存储到处理均在合规流程范围之内。
(二)分布式云全局管理实现分支节点统一管理
在分支机构管理场景,分布式云相对于集中式中心云、传统 IT 有较大优势。
图 2 云边端一体化管控
常见的分支机构管理场景如下:
◆ 集团型企业:大型组织通常在全国乃至世界范围内会存在多个分支机构,每个机构会有自身 IT 诉求,同时又需要集团层面统筹管理,大型集团企业按国 / 省 / 市 / 地划分的部门均可以通过分布式云来统一管理 IT 架构。
◆ 分散部署型业务:部分业务天然具有分散部署特征, 比如智慧高速、智慧水利、智慧地产,运营方需要部署和管理从数十到数千的分散业务节点。
但在企业实践过程中,以某大型企业为例,传统的解决方案不具备统一管理、分布式部署等能力,机构、企业的分支机构往往各自独立建设资源,导致资源异构、管控困难、数据孤岛等问题。通过分布式云的建设,将大型政企单位的不同分支节点的云资源进行统一管理,进而统一管理集团的IT 资产、软件服务、中心组织、生产制造系统以及企业管理系统等,实现企业内的数字化资产、业务、人力资源的统一管理运营。
(三)分布式云原生全面提升企业应用管理效率
1. 多云应用治理
随着企业数字化能力的逐步提升和上云进程的深入,越来越多的企业选择多云战略,同时采购和使用多个厂商的云服务或自建云中心的方式,满足企业不同业务的需求,平衡多家供应商影响,避免厂商锁定,提高企业平台自身的独立性和稳定性。但大部分企业受限于技术和成本等因素,在推进多云过程中仍面临管理复杂、成本较高等挑战。
将云原生技术与分布式云融合,能够帮助企业更好地实现多云的应用治理。分布式云应用治理应能够统一发布和管理跨云环境的应用服务,实现跨云多活、故障迁移、灾备等。同时,多集群间应用能够弹性伸缩,按地域、状态、资源等维度进行调度,实现快速地在多个集群上部署和管理应用,提高业务弹性敏捷。
图 3 多集群应用服务架构
2. 应用高可用容灾
在企业上云实践过程中,尤其在保障关键业务可靠性的方面,利用云原生分布式云的技术,能够更加有效地应对高可用容灾的场景。
例如 Kubernetes 体系结构支持集群范围中的应用程序正常高可用的运行,但不支持对分布式云跨地理位置的大规模灾难恢复。在这种情况下,需要构建多集群的方式,应用服务通过在集群间备份恢复或多活部署的方式,实现更大范围的业务高可用性。该种方式涉及操作多个集群上的应用、服务和数据,通过统一的容灾管理机制,在分布式云跨集群之间实现服务同步、负载均衡、应用配置、数据服务等,实现跨云多活容灾,并提高资源利用率,节约成本。
图 4 多集群容灾架构
3. 混合云架构应用
企业在上云过程中由于数据安全隐私、资源利旧、业务容灾等原因,在上云时通常无法放弃自建数据中心或本地资源,往往会采用混合云的架构。但混合云架构带来的额外管理运维成本,以及云上云下资源、应用不能协同等瓶颈限制了业务的进一步扩展。
通过以 Docker、Kubernetes 为代表的云原生技术,使用分布式云方式利用跨云混合部署集群的方式,支持用户在自有的本地基础设施运行与中心云上集群一致的 Kubernetes 容器服务,包括虚拟机和物理机。中心云上托管的 K8s 集群的控制平面,集群的创建、升级、监控等生命周期管理由分布式云云厂商统一管理,用户只需要提供硬件和机房即可。
图 5 跨云混合部署集群
这种混合部署集群的方式能够快速实现多云多地域的分布式云服务,具备以下优势:
◆ 资源利旧:充分利用 IDC 资源,在上云的过程中可以对已有的资源进行成本摊销;
◆ 降低运维成本:免去在本地搭建、运维K8s 集群的成本,由云厂商统一运维管控,减少运维投入成本;
◆ 云能力按需接入:不仅要支撑应用本身运行,还要便捷地与网络、数据库、中间件等云服务连接,实现按需扩展;
◆ 弹性敏捷:支持使用云上资源对 IDC 的资源进行快速扩容,赋予 IDC 资源弹性拓展的能力,有效应对流量突发的场景。
二、金融行业分布式云应用实施路径
1. 用云背景和主要场景
金融业在我国经济发展中扮演至关重要的角色,随着经济活动数字化进程加速,头部金融企业在近年纷纷设立信息科技子公司以有效支撑金融和信息通信技术的持续融合。一直以来,金融业都是信息化和数字化的先行者和实践者,近几年,在政策和业务的双重驱动下,金融业更是全方位投入以云计算基础设施为底座的新 IT 基础设施系统。金融机构上云能够解决过去 IT 系统重运维、灵活性差等问题,同时,云作为数字化平台底座,能够实现金融业务与大数据、人工智能、区块链等新一代数字技术充分融合,提升运营效率、节约决策成本、优化管理能力,有效支持金融业务创新。
金融机构业务种类繁多、场景多样,银行、证券、保险机构的核心业务在用云时面临多样化的挑战,总的来说,金融机构用云场景整体呈现四个特点。
- 一是业务种类繁多,包含众多社会民生类业务,参与人分布广泛,同时,集团直属业务和各省分行特色业务各有侧重,需要结合地域业务特点提供基础云服务,涉及到交易、结算的系统还需要考虑到跨国场景;
- 二是业务体量大,金融交易涉及巨量用户数,并发交易数多,业务来源渠道多样,手机银行、网上银行、短信银行等业务并行,线上、线下业务同时进行,相关的内、外部业务系统众多,且相互关联;
- 三是可靠性要求高,金融业务办理不受时间和空间的限制,需要支撑系统具备极高的稳定性以保证业务连续性,面对可能出现的系统安全隐患也需要具备全方位多维度的容灾能力;
- 四是金融创新诉求强,政策层面驱动金融与科技结合创新,利用新型信息通信技术实现金融业务智能化转型,随着信创硬件和云环境快速发展,云基础设施层面面临更高的可控性要求。
2. 主要挑战
在业务场景推动下,金融行业用云方式面临多层次的转型挑战。第一是分支机构基础设施存在差异,难以通过单一平台统管、实现管理效率真正提升。以银行为例,集团和各分行信息系统建设时相互独立,且建设和维护都经历了较长的时间跨度,分别拥有规模非常大、架构复杂、零散分布的存量 IT 系统。在多种不同架构、不同代际基础设施、不同网络环境共存的状态下,很难实现运维成本降低、人效提升、聚焦业务应用创新,云平台需要具备部署灵活性的同时,保证管理方式的一致性和效率,大型金融机构也希望通过广泛的网络连接,将公有云、本地私有云和自建数据机房打通,形成协同运作的合力。
第二是未能充分调动云底座支撑能力,云上创新能力不足。随着金融科技创新诉求日益增强,金融机构用云不再局限于使用云的基础设施,将更加快速向智能化经营和精细化管理方向发展,例如,利用大数据和推荐算法实现对特定人群的精准服务,提高获客率,降低获客门槛;运用识别算法,在保险理赔过程中自动审核,完成理赔的风险管理。这需要云平台能够帮助提升业务研发效能,增强用户体验,实现业务应用的快速迭代,以实现智能化的精准营销。
第三是金融云生态需要全面构建,金融机构技术和能力亟待开放。大型金融机构用云时间长久,用云方式成熟,也极为普遍的采用多家供应商的云服务,对于上云、用云、云管理有着比较丰富的经验积累,加之自身的行业应用积累,多家金融机构希望将自身的金融云技术沉淀进行输出,为中小型金融机构或中小型企业的数字化转型赋能,为其提供更稳定、更高可用性的基础设施底座和更贴合业务需求的金融场景化应用,更好适应各类金融业务全面云化的需要。因此,金融机构对于云系统的认知从使用者转变到服务者,需要解决更多用云“疑难杂症”的问题。
3. 分布式云实施路径和应用价值
金融业数字化转型需要应对业务线上化、场景丰富化、客户需求多元化长尾化、监管粒度精细化的带来的变化,金融业云系统建设、部署和运维经历了不同阶段,碎片化和复杂性问题严重,很难实现资源利用率提升从而支撑创新应用。
▶ 分支机构资源统筹管理
通过引入分布式云架构,支持金融机构构建“两地三中心”的同城、异地容灾基础设施,应用分布式云管平台能够统一管理部署在总行、分行、网点等不同分支机构的基础设施,深度整合算力资源,将全局资源统筹使用。同时,随着信创技术不断成熟,金融机构面临引入新基础设施硬件的适配和兼容性挑战,以云原生技术为核心的分布式云容器平台能够屏蔽大部分底层设备的异构性,提供原子化的、全局一致的使用体验,银行、券商等机构能够聚焦核心业务,不再过多关注系统异构问题,有效助力金融业的安全合规和业务数字化、智能化创新。
▶ 生态开放
分布式云本地部署模式成为助力金融云生态服务的基础平台,在提供全栈服务能力为金融行业用户提供 IaaS、PaaS 服务之外,还支持企业核心技术能力以及自身特色云产品的接入,通过搭载用户自身的 PaaS 服务,向行业内输出企业的金融数字化能力,帮助企业实现用云者到云服务者身份转变。
▶ 金融科技创新
金融业务数字化创新需要敏捷、弹性、安全的 IT 基础设施,本地部署 + 公有云服务共存的分布式云架构既满足了算力的扩展性和使用的便捷性,又能够让用户在本地服务器上自由操作,实现金融安全合规需求,更好的利用不同类型的算力底座,充分运用人工智能、物联网、区块链、低 / 无代码等技术为技术创新提供支撑平台,实现金融科技创新。
图 6 应用分布式云的数字化银行系统
分布式云为金融业企业提供了全方位的云上解决方案,统一的资源管控能力、全面的安全防护体系、业务快速恢复能力,实现了资源利用的降本增效、保障了金融业务数字化和智能化发展。在银行业中,利用分布式云基础设施打造遍布各地理位置的算力底座,私有化部署方式和公有云结合,既保证了数据安全保护需求,又提供了弹性、便捷、随需使用的基础服务。保险行业在我国发展迅速,用户数据量庞大,业务系统对基础架构资源需求量大,分布式云架构为保险行业提供下沉至用户最近的云服务,叠加人工智能和物联网技术,为用户提供更精确匹配的保险业务和客户服务。
三、金融行业分布式云应用最佳实践:腾讯云金融专区
1. 案例背景
腾讯云金融专区由于安全,认证合规要求,采用分布式云架构,基于腾讯专有云企业版 TCE 将公有云能力进行延伸,由腾讯建设,运营,为央行名下的金融机构提供云服务 . 总体架构满足容灾 6 级要求 ( 至少需要两地三中心,支持同城双活,异地灾备),满足金融机构多地域就近接入,金融业务高可用,并且多点接入的需求。
2020 年中国人民银行发布《金融部门标准强化金融云规范治理的通知》,要求金融部门在利用金融云时,应选择通过标准符合性自律备案的金融云。根据央行 247 号文,中国互联网金融协会发布了《金融云备案自律管理办法(试行)》,根据《办法》中备案申请的要求, 任何机构和个人未经备案不得从事或变相从事金融云服务业务。同时,金融机构不得使用未经备案的金融云产品。
基于此,腾讯云基于分布式云架构建设合规的金融行业云,专注服务于银行、证卷、保险、基金、金控、支付、担保、租赁、财务公司、汽车金融、消费金融、小贷等金融机构。
2. 用户痛点
表 1 金融专区用户痛点
相关项 | 需求描述 |
运营运维 | 1. 客户期望有一朵安全合规的云,但是单客户缺乏运营运维一朵云的经验,并且需要保持与主流的云平台,技术路线一致 2. 支持多地域,不同类型,不同云服务资源池统一管理与运营运维提升运营运维效率,降低系统复杂度 |
就近接入 | 金融机构分布于不同地域,业务要求低时延,就近接入 |
多地域互联 | 1. 不同机房间通过互联通道互通, 例如 MPLS。 VPN,实现业务跨地域统一使用 2. ECN 专线接入网关支持客户 IDC 就近接入 |
安全合规 | 1. 支持 JRT 0168-2020《云计算技术金融应用规范 容灾》6 级要求 2. 支持团体云合规认证要求 3. 通过网信办云评估 4. 等保认证 : 公安等保护 4 级、金融等保 4 级 5. 机房认证 : 50174、0131 |
安全隔离 | 1. 云产品,安全等运营运维系统金融专区独立部署,与专区外网隔离 2. 专人运营运维 3. 运维安全边界 : FW 与外界隔离,内部通过堡垒机实现操作可审计,VPN 作为接入通道 |
3. 建设方案
金融专区采用分布式云遨驰架构,提供和公有云能力一致的云服务能力,并且支持“两地三中心”,支持同城双活、异地容灾,保障金融机构业务、应用连续性,数据可靠性、安全性等要求。完全符合各类型金融机构对于 IT 基础设施和服务的容灾等级要求,并支持容灾等级 6 级。
图 10 金融专区架构图
4. 技术架构
◆ 2 个 Region : 上海金融专区 / 深圳金融专区
◆ 3个 AZ: 上海金融专区一区( 上海松江)/ 上海金融专区二区( 上海宝信),深圳金融专区一区 ( 深圳荔景)
◆ 单可用区 : 按互联网、专线接入、网关接入、租户区、管理区等安全区域分区建设。
图 11 两地三中心架构
图 12 单可用区架构
5. 应用成效
腾讯云金融专区是基于分布式云架构、业界领先、安全合规、全栈集成的行业云解决方案。已服务银行、证券、互金、新筹保险、传统保险等百十家客户。满足团体云、云安审、公安等保 4.0、金融等保 4.0、可信云、安评、国密等合规要求,金融专区的云平台和云产品全部兼容主流 CPU 和操作系统。
本文摘编自腾讯云和中国信息通信研究院《分布式云行业实践指南(2023)》,全文下载:
分布式云行业实践指南(2023)
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。