文 / 中國光大銀行金融科技部 彭曉 李剛 蔡絮

近年來，隨著大數(shù)據(jù)、云計算在商業(yè)銀行的引入和快速推廣，對應(yīng)的服務(wù)器規(guī)模增長迅速，現(xiàn)有銀行數(shù)據(jù)中心容量逐漸無法滿足業(yè)務(wù)快速發(fā)展的需求。此外，人民銀行在《金融科技發(fā)展規(guī)劃（2022—2025年）》中指出要“穩(wěn)妥推進(jìn)信息系統(tǒng)向多節(jié)點并行運行、數(shù)據(jù)分布存儲、動態(tài)負(fù)載均衡的分布式架構(gòu)轉(zhuǎn)型”。為適應(yīng)上述發(fā)展趨勢，中國光大銀行數(shù)據(jù)中心將在未來幾年由“兩地三中心”向“兩地多中心”架構(gòu)轉(zhuǎn)型；數(shù)據(jù)中心網(wǎng)絡(luò)也將從同城大二層對等網(wǎng)絡(luò)向支持多中心互聯(lián)架構(gòu)演進(jìn)，提高泛在接入、靈活調(diào)度、安全穩(wěn)定的科技運營網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐能力。

【資料圖】

中國光大銀行金融科技部副總經(jīng)理 彭曉

多數(shù)據(jù)中心網(wǎng)絡(luò)的需求與挑戰(zhàn)

1.應(yīng)用部署需求

在多中心場景下，商業(yè)銀行的應(yīng)用部署及容災(zāi)能力從兩地三中心向多活數(shù)據(jù)中心逐步升級，其對網(wǎng)絡(luò)的需求主要體現(xiàn)在以下幾方面。

一是業(yè)務(wù)分布式單元化部署需要網(wǎng)絡(luò)架構(gòu)能夠提供泛在的網(wǎng)絡(luò)連接服務(wù)；二是多中心間的流量調(diào)度需要網(wǎng)絡(luò)提供穩(wěn)定、可靠、安全的網(wǎng)絡(luò)域名服務(wù)；三是云計算、大數(shù)據(jù)技術(shù)的大規(guī)模部署需要網(wǎng)絡(luò)提供高速率、大帶寬、彈性靈活的網(wǎng)絡(luò)服務(wù)。

2.監(jiān)管規(guī)范指引

隨著新技術(shù)和新業(yè)務(wù)場景出現(xiàn)，各類監(jiān)管規(guī)范和指引陸續(xù)發(fā)布或更新，用于指導(dǎo)銀行科技合規(guī)穩(wěn)健發(fā)展。多中心建設(shè)涉及的災(zāi)備中心能力、災(zāi)備中心物理距離、同城和異地網(wǎng)絡(luò)、出口網(wǎng)絡(luò)等方面均有相應(yīng)的標(biāo)準(zhǔn)要求。商業(yè)銀行多中心網(wǎng)絡(luò)建設(shè)需在滿足上述監(jiān)管要求基礎(chǔ)上進(jìn)行，確保整體網(wǎng)絡(luò)規(guī)劃和建設(shè)符合最新的規(guī)范和指引要求。

3.日常網(wǎng)絡(luò)管理面臨的挑戰(zhàn)

目前，光大銀行采用業(yè)內(nèi)通用的“兩地三中心”架構(gòu)，北京同城雙活數(shù)據(jù)中心通過網(wǎng)絡(luò)大二層結(jié)構(gòu)同時對外提供服務(wù)。該網(wǎng)絡(luò)架構(gòu)在同城雙中心場景下，為應(yīng)用提供了高可用性，但延展到多數(shù)據(jù)中心仍存在不少局限性，如流量繞行、環(huán)路風(fēng)險和性能受限等?；A(chǔ)網(wǎng)絡(luò)需要在確?，F(xiàn)有生產(chǎn)業(yè)務(wù)運行穩(wěn)定的前提下，實現(xiàn)二層網(wǎng)絡(luò)轉(zhuǎn)向三層網(wǎng)絡(luò)，逐步完成底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施向多中心架構(gòu)轉(zhuǎn)型，存在一定的過渡期。

多數(shù)據(jù)中心網(wǎng)絡(luò)實踐

1.多數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)原則

多數(shù)據(jù)中心網(wǎng)絡(luò)依據(jù)以下原則進(jìn)行規(guī)劃建設(shè)，打造支持多中心和多業(yè)務(wù)場景的網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)能力。

一體化：以業(yè)務(wù)為核心，統(tǒng)籌考慮應(yīng)用系統(tǒng)與網(wǎng)絡(luò)協(xié)同，實現(xiàn)多中心網(wǎng)絡(luò)架構(gòu)統(tǒng)一規(guī)劃。

高可靠：部署滿足多中心災(zāi)備需求的網(wǎng)絡(luò)能力。

易擴展：根據(jù)業(yè)務(wù)需求實現(xiàn)網(wǎng)絡(luò)融合承載、邏輯隔離、模塊化部署，提高靈活擴展能力。

高安全：依據(jù)監(jiān)管要求和規(guī)范進(jìn)行網(wǎng)絡(luò)規(guī)劃，提升網(wǎng)絡(luò)安全合規(guī)管控能力。

前瞻性：結(jié)合網(wǎng)絡(luò)、存儲、分布式數(shù)據(jù)庫、全棧云等技術(shù)發(fā)展趨勢，使光大銀行未來網(wǎng)絡(luò)架構(gòu)規(guī)劃滿足技術(shù)發(fā)展需求。

可行性：綜合考慮網(wǎng)絡(luò)和系統(tǒng)部署、搬遷的可落地性、技術(shù)復(fù)雜度和成本因素，確保現(xiàn)有架構(gòu)平穩(wěn)過渡。

2.多數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)策略

向多數(shù)據(jù)中心網(wǎng)絡(luò)轉(zhuǎn)型的過程并非一蹴而就，需在充分考慮二層網(wǎng)絡(luò)存在的架構(gòu)局限性和技術(shù)風(fēng)險基礎(chǔ)上，根據(jù)應(yīng)用需求，結(jié)合多中心網(wǎng)絡(luò)架構(gòu)演進(jìn)方向，對基礎(chǔ)網(wǎng)絡(luò)架構(gòu)進(jìn)行重構(gòu)，滿足多數(shù)據(jù)中心的接入需求。整體網(wǎng)絡(luò)轉(zhuǎn)型思路是以承載網(wǎng)為核心，以分布式域名解析系統(tǒng)和三層網(wǎng)絡(luò)區(qū)域國產(chǎn)改造為抓手，以同城DCI和光傳輸波分系統(tǒng)為支撐，為業(yè)務(wù)網(wǎng)絡(luò)分布式部署及大數(shù)據(jù)存算網(wǎng)絡(luò)等數(shù)據(jù)中心間的大流量提供高速網(wǎng)絡(luò)服務(wù)，以數(shù)據(jù)中心服務(wù)器資源池化部署為依托，通過標(biāo)準(zhǔn)模塊化架構(gòu)，實現(xiàn)快速靈活的交付服務(wù)。

3.多數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)實踐

（1）核心承載網(wǎng)。核心承載網(wǎng)是光大銀行多數(shù)據(jù)中心、多業(yè)務(wù)融合承載的網(wǎng)絡(luò)核心。按照層次化、模塊化設(shè)計，核心承載網(wǎng)采用“核心+POP”雙層架構(gòu)，基礎(chǔ)架構(gòu)彈性靈活，實現(xiàn)分布式數(shù)據(jù)中心、一級分行、分支機構(gòu)、外聯(lián)合作伙伴等網(wǎng)絡(luò)接入能力。核心層作為頂層穿越區(qū)域，以北京同城主要數(shù)據(jù)中心和異地數(shù)據(jù)中心部署核心節(jié)點。POP層根據(jù)業(yè)務(wù)和地域?qū)傩远x各類匯聚節(jié)點，后續(xù)按需擴展，實現(xiàn)網(wǎng)絡(luò)快速部署、業(yè)務(wù)靈活接入。另外，根據(jù)業(yè)務(wù)屬性和接入范圍，規(guī)劃雙平面路由和業(yè)務(wù)邏輯通道，實現(xiàn)了業(yè)務(wù)流量負(fù)載分擔(dān)和業(yè)務(wù)邏輯隔離功能，為整網(wǎng)提供了高效、安全的數(shù)據(jù)傳輸網(wǎng)絡(luò)通道（見圖1）。

圖1 核心承載網(wǎng)

2019年，光大銀行在總分行一級骨干網(wǎng)率先建設(shè)基于SR-MPLS的SDN-WAN網(wǎng)絡(luò)，實現(xiàn)了業(yè)務(wù)細(xì)粒度檢測與流量自動調(diào)度，能夠敏捷感知運營商線路質(zhì)量變化與業(yè)務(wù)服務(wù)質(zhì)量狀況。根據(jù)網(wǎng)絡(luò)隧道級能力，實現(xiàn)基于業(yè)務(wù)服務(wù)質(zhì)量感知的自動切換，有效提升網(wǎng)絡(luò)運維效率。基于SR的廣域網(wǎng)SDN技術(shù)通過線路資源精細(xì)化管理，挖掘線路資源潛力，在保障業(yè)務(wù)可靠開展的前提下，提高了廣域網(wǎng)線路帶寬資源利用率。

針對目前網(wǎng)絡(luò)調(diào)度管理方面缺少隨流即時檢測和實時業(yè)務(wù)質(zhì)量可視等問題，光大銀行結(jié)合金融廣域網(wǎng)技術(shù)發(fā)展趨勢，開展核心承載網(wǎng)SRv6的試點和部署，研究核心承載網(wǎng)SRv6的演進(jìn)路線和IPv6+的隨流檢測、應(yīng)用感知等技術(shù)。

（2）分布式域名解析系統(tǒng)。基于域名實現(xiàn)商業(yè)銀行多數(shù)據(jù)中心業(yè)務(wù)流量的調(diào)度，已成為行業(yè)主流解決方案，域名化改造也成為多中心建設(shè)中必不可缺的一環(huán)。域名化改造對整個域名系統(tǒng)提出了新的挑戰(zhàn)，承載全行業(yè)務(wù)系統(tǒng)解析流量意味著域名系統(tǒng)需要極高的性能容量。作為流量調(diào)度的核心環(huán)節(jié)，域名系統(tǒng)應(yīng)具備高可用架構(gòu)的支撐，同時，其本身的安全性也將影響全行的業(yè)務(wù)系統(tǒng)穩(wěn)定性。

為滿足多中心場景下全行業(yè)務(wù)流量調(diào)度的需求，光大銀行在架構(gòu)方面將域名服務(wù)器按照根服務(wù)器、權(quán)威服務(wù)器和遞歸服務(wù)器進(jìn)行角色解耦，每一層角色服務(wù)器均在多中心進(jìn)行分布式的部署，各層級域名服務(wù)器之間實現(xiàn)完整的域名授權(quán)體系，單中心域名服務(wù)器通過負(fù)載均衡實現(xiàn)集群部署，增加域名系統(tǒng)整體可靠性和擴展性，提升整體服務(wù)能力（見圖2）。在產(chǎn)品方面，引入國產(chǎn)產(chǎn)品進(jìn)行異構(gòu)部署，持續(xù)推進(jìn)應(yīng)用創(chuàng)新能力建設(shè)；在安全和規(guī)范服務(wù)治理方面，設(shè)計針對DNS的相關(guān)安全防護(hù)措施和技術(shù)保障方案，提升域名服務(wù)系統(tǒng)安全管理水平。

圖2 分布式域名解析系統(tǒng)

（3）同城DCI和波分網(wǎng)絡(luò)。DCI和波分網(wǎng)絡(luò)是多數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)的重要組成部分，實現(xiàn)同城數(shù)據(jù)中心大流量高速傳輸通道，分擔(dān)承載網(wǎng)在同城數(shù)據(jù)中心間的傳輸壓力。

目前光大銀行已建成多套國產(chǎn)異構(gòu)品牌的同城高速DCIVxlan網(wǎng)絡(luò)，為業(yè)務(wù)提供跨中心二層網(wǎng)絡(luò)互訪。DCI網(wǎng)絡(luò)采用點到點結(jié)構(gòu)，根據(jù)業(yè)務(wù)類型和流量現(xiàn)狀，把各網(wǎng)絡(luò)分區(qū)分散接入各套DCIVxlan網(wǎng)絡(luò)，通過合理規(guī)劃接入?yún)^(qū)域數(shù)量及超載比，實現(xiàn)整體規(guī)劃單套DCI超載比不超過4:1。后續(xù)隨著多中心接入，結(jié)合云、大數(shù)據(jù)、分布式技術(shù)發(fā)展趨勢，DCI網(wǎng)絡(luò)將基于三層網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)中心高速互聯(lián)，滿足同城數(shù)據(jù)中心相同安全域不過防火墻的高速互訪需求（見圖3）。

圖3 同城DCI網(wǎng)絡(luò)

同時，光大銀行采用光傳輸DWDM技術(shù)和運營商裸光纖，建設(shè)同城高速波分光網(wǎng)絡(luò)。考慮到存量傳統(tǒng)二層應(yīng)用的網(wǎng)絡(luò)架構(gòu)對跨中心鏈路的時延、可靠性要求高，采用點對點按需組網(wǎng)方式構(gòu)建同城光傳輸波分網(wǎng)絡(luò)。

（4）數(shù)據(jù)中心資源池化部署。為了滿足數(shù)據(jù)中心資源池化統(tǒng)一部署需求，實現(xiàn)多業(yè)務(wù)融合承載和彈性擴展，支持業(yè)務(wù)快速敏捷交付，光大銀行以網(wǎng)絡(luò)安全域規(guī)范作為數(shù)據(jù)中心資源池標(biāo)準(zhǔn)化的基礎(chǔ)，將邏輯層面的網(wǎng)絡(luò)安全域與物理層面的資源池形成映射。

在網(wǎng)絡(luò)安全域?qū)用?，按照“安全域?guī)劃合規(guī)、安全域結(jié)構(gòu)精簡、同質(zhì)區(qū)互訪高效、邏輯區(qū)靈活擴展、云內(nèi)外安全一致”的規(guī)劃原則對原有網(wǎng)絡(luò)安全域進(jìn)行重建，根據(jù)業(yè)務(wù)屬性及安全防護(hù)等級，規(guī)劃了互聯(lián)網(wǎng)DMZ、三方DMZ、生產(chǎn)業(yè)務(wù)、IT管理、開發(fā)測試等安全域。在資源池層面，數(shù)據(jù)中心資源池參照網(wǎng)絡(luò)安全域規(guī)劃，根據(jù)業(yè)務(wù)的不同傳輸需求，形成相應(yīng)的多中心資源池組網(wǎng)標(biāo)準(zhǔn)架構(gòu)，減小廣播域和沖突域范圍，增強擴展性，降低全局性風(fēng)險。

展望

本文探討了商業(yè)銀行數(shù)據(jù)中心從“兩地三中心”向多數(shù)據(jù)中心轉(zhuǎn)型場景下基礎(chǔ)網(wǎng)絡(luò)總體部署策略，包括核心承載網(wǎng)、分布式域名系統(tǒng)、同城數(shù)據(jù)中心互聯(lián)網(wǎng)絡(luò)、同城波分網(wǎng)絡(luò)、數(shù)據(jù)中心資源池化的建設(shè)實踐和思考。

多數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)及配套應(yīng)用多活改造是一項復(fù)雜的系統(tǒng)工程，在具體網(wǎng)絡(luò)建設(shè)和應(yīng)用部署過程中還會遇到新的問題和挑戰(zhàn)，我們將結(jié)合業(yè)務(wù)需求持續(xù)研究完善，積極推進(jìn)金融科技網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型，打造堅實的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，逐步實現(xiàn)“兩地三中心”向多數(shù)據(jù)中心災(zāi)備架構(gòu)演進(jìn)，通過科技賦能產(chǎn)品和服務(wù)，助力光大銀行實現(xiàn)財富管理銀行的戰(zhàn)略愿景。

（欄目編輯：張麗霞）

關(guān)鍵詞： 數(shù)據(jù)中心 光大銀行 商業(yè)銀行