“双模核心+云”可以概括为当前金融行业IT架构的现状。双模核心即稳态核心(稳态服务中心)和敏态核心(敏态服务中心)。稳态核心基于核心银行业务系统构建,业务抽象清晰,对稳定性要求高,过去十多年一直保持不变;敏态核心服务敏态业务,受惠于互联网及开源技术的快速发展,敏态核心在各大银行、金融机构的技术架构趋于统一,基于同样标准。云指的是在过去十年金融行业建设了私有云,当前一些金融企业也将非金业务部署在公有云之上。
随着金融行业在云原生能力、金融科技能力等方面的不断投入与建设,以及敏态业务需求的推动,金融行业IT整体趋势是从稳态核心逐步向敏态核心过渡。敏态核心主要基于分布式的基础架构资源、分布式的应用运行平台以及分布式的应用架构构成。
一、基础架构分布式趋势
金融行业数据中心基础架构正在从大型计算型服务器、大容量集中式存储、高性能网络安全设备,转变为以均衡型计算服务器构成的计算资源池、以通用或分布式存储构成的存储资源池以及以通用型网络安全设备或软件化网络安全组件构成的网络资源池。而在国内,尽管金融行业的一些非金业务也在公有云上运行,但它在过去几年的重点工作仍是私有云的建设。金融行业通过私有云、行业云、生态云等的建设,基本上完成了基础架构池化建设。通过池化建设,金融行业大幅提升了企业对主机、网络、存储的利用效率,例如通过云管理平台,点击几次鼠标,几分钟内就可以获得一个可用的虚拟机。运行一段时间后如果不再需要虚拟机,也只需要在云管理平台上点击几次鼠标,即可删除虚拟机,且删除后相关的计算、网络、存储等基础设施资源会被回收,以便在新创建虚拟机时再次使用。私有云及基础架构服务化的建设也推动了国内金融行业IT基础架构的分布式转型。
二、稳态服务中心:ESB架构
金融行业稳态中心ESB架构分为三层,依次是渠道接入层、ESB中间层和核心银行层。其中最重要的是核心银行层,目前大多运行在大型机或小型机上。核心银行层的主要系统一般有核心银行系统、卡系统。例如BANCS核心银行解决方案的核心层系统包括三个,BANCS系统、CARD系统、8583卡系统。这些系统运行在同一个大型机或同一组小型机上,而每个系统又有多个业务模块,例如BANCS系统的业务模块有二十多个,CARD系统的业务模块有十多个。
ESB中间层是核心银行层的前置,任何一个核心银行的模块都在中间层有对应的前置系统。中间层和核心银行之间基于TCP长连接进行通信,例如BANCS系统和中间层业务通信的主要接口是MQ和FTP。中间层的业务大致分为国际业务和国内业务,更细的分类包括存款、支付、卡系统、贷款、资金、资本市场。渠道接入层包括传统的柜台、ATM、网上银行等,传统渠道业务形态类似于核心银行业务,业务实现基于严格行业实现规范,而新的渠道业务如手机银行、第三方的渠道等业务则比较灵活,这些业务的建设会有自研、互联网技术等的应用,这也是稳态核心和敏态核心相互交汇的地方之一。渠道接入层和中间层主要是通过调用ESB总线上的不同接口和服务进行通信,以SOAP和HTTP协议为主。
三、敏态服务中心:PaaS、分布式、微服务架构
如果微服务架构没有实现基于平台级别的管理,无法通过流水线方式持续部署或持续集成,没有实现业务可观测,那么从技术上讲,这种架构还是属于分布式架构。分布式架构复杂到一定程度,必然需要平台级别的注册管理、部署集成。敏态服务核心的未来是微服务架构,以Kubernetes为技术基础的PaaS容器云平台能够很好地满足微服务架构的诉求,PaaS容器云平台是敏态服务核心的重要技术支柱。
四、开放平台和API网关
IT投入的目的是服务业务,敏态服务核心最具有业务属性的是开放银行和API网关平台,二者是敏态服务核心的主要抓手。例如某国有大型银行的开放API技术平台通过自研构建,对内建立敏态服务开发运维规范,对外通过API、SDK、自服务门户将敏态服务核心的数据资产服务化暴露出去;某股份制商业银行也进行了类似的建设,通过服务网关的建设推动行内各应用项目规范化开发、注册、维护。
五、面向未来边缘接入区与公有云服务
当前金融行业数据中心接入区位于互联网入口,互联网入口区是数据中心中最重要的区域,其中部署了大量的安全设备,如入侵检测设备、SSL卸载设备、WAF设备等,这些设备都是基于网络协议进行相关的安全防护,都是以数据中心为单元去建设,保护的对象都是同数据中心的应用。
在面向未来的多中心跨云应用场景下,对安全的诉求是面向业务的,需要针对不同业务制定个性化的安全策略。未来业务入口边缘接入区建设首先需统一边界,面向多中心和多云;当前已有厂商提供统一边界的产品,这类产品的主要特点是一种设备提供多种功能,物理统一但逻辑分离,在一个设备中可实现防火墙规则设置、SSL卸载、应用安全防护等功能。
其次是功能前移,将通用型部分安全功能交给公有云服务,边缘接入区建设使用公有云服务,特别是在跨云应用部署场景下。功能后移也是未来边缘接入区的特点,将个性化功能交给应用,例如类似构建基于应用的安全防护,基于业务场景建设SSL卸载软负载资源池。最后是集中调度能力的建设,软件化、资源池化建设的核心都是数据平面和控制平面分离,实现集中调度,这种趋势与基础架构转型趋势一致。
