一、项目背景

（一）项目背景

当前，银行数字化转型正在全面展开，金融服务向线上化、移动化和场景化趋势演变，这对传统的IT架构提出了巨大挑战，对信息科技能力提出了更高要求。安徽省联社以金融科技为支撑，通过技术创新促进业务流程的优化升级,增强业务系统的敏捷响应能力。

云原生技术作为新一代云计算的关键“内核”，可以显著提升系统的灵活性、可扩展性和高可用性，持续为业务发展注入新动能。安徽省联社紧跟技术发展趋势，全面拥抱云原生技术，基于云原生理念革新信息系统应用架构及软件研发体系，提升研发和运维团队生产力，全面支撑金融科技服务提质增效，满足业务创新发展新要求，推进数字化转型，力争实现新跨越。

（二）项目目标

全行统一规划建设云原生PaaS平台，满足开发测试、生产、灾备三套环境的资源需求；将容器、微服务架构、 Service Mesh、DevOps等技术及理念进行整合，应用到系统研发的各个环节，形成了“以应用为中心”的全新构建模式，使业务系统逐步具备卓越的弹性能力，能够自动适应不同的负载，实现服务自治和故障自愈，同时也具备大规模可复制性。

二、项目方案

（一）建设规划

1、*****阶段：云原生技术落地，业务微服务化接入

*****阶段主要通过试点系统接入，落地容器云平台基础能力，在弹性扩容、中间件即服务、云原生安全等层面进行能力建设。在试点接入的同时，通过建立云原生Wiki、知识迭代体系，结合学习、培训、认证机制，让科技条线各职能人员适应云原生带来的习惯与职责变化，确保各个岗位人员对云原生技术正确认知，保障云原生技术落地成效。
在统一服务治理方面，结合现有技术栈及云原生技术优势，统一技术栈标准，加强现有技术栈能力，共同规划核心技术能力建设。与现有技术栈对接共建，借助云平台功能服务加强现有能力，如高可用容灾、多租户、统一监控、应急管理等。

2、第二阶段：全面推广云原生，建立研发运维规范

在*****阶段试点运行完成的基础上，第二阶段将云原生推广到更多业务系统，统一管理存量微服务应用、异构技术栈系统及新建系统；对于关键的PaaS组件，以多租户云化形式提供服务，实现按需申请、统一运维管控。

在研发运维规范方面，一是研发侧制定应用容器化接入、构建、部署等规范，保障应用设计符合云原生要求；二是制订云原生交付规范，保障应用上云安全合规；三是运维侧规范优化容器云平台的底层计算资源管理，提升资源利用率，保障容器平台层、PaaS 层、应用层可靠运行。

3、第三阶段：增强PaaS服务能力，完善全生命周期流程

通过 PaaS 层能力为研发提供统一技术服务，一是为上云业务一键提供常用中间件服务；二是提供不同微服务框架下的服务治理能力，推动各类应用系统向微服务架构转型，对老旧、“稳态”的应用，通过服务网格化部署，实现异构系统服务治理；三是搭建 DevSecOps 体系打通应用上云的制品流转、自动化安全合规审核;四是推动统一可观测能力建设，形成统一监控部署，实现从应用到网络的全链路跟踪；五是在应用运维体系试点落地的基础上，具备常态化机房级容灾演练能力，建立成熟的应急响应体系。

（二）平台功能

三、创新点

（一）统一可观测

从业务系统出发，构建全链路的可观测性，全面监控基础设施、各类组件及应用，快速发现系统安全风险，保障业务稳定运行。可观测能力能够提供基于租户的跨集群多维度监控，采用Prometheus和Grafana实现全链路监控指标存储和展示, 通过OpenTelemetry和Jaeger实现端到端的分布式追踪，可为不同角色提供不同维度的多渠道、多配置的监控告警服务，以及丰富的日志、事件、审计等。平台实现了统一采集、统一标签、统一存储和统一界面，带来全功能的一体化可观测体验，在云原生环境下，覆盖了从底层容器基础设施到通用技术组件，再到业务应用系统层面的全链路可观测，实现业务全流程透明化，极大降低了运维成本。

（二）云原生安全

1、智能免疫：对可执行二进制文件进行学习固化、构建正常运行行为清单，从而准确识别黑客攻击等异常行为，并进行告警或防御；

2、镜像防护：对镜像文件进行静动态安全扫描，以发现安全漏洞、木马病毒、涉密文件及环境变量，对非法来源和有安全问题镜像禁止运行。支持可信签名机制，通过对镜像进行***签名来保证镜像在分发过程中的完整性。

3、容器运行时防护：pod级细粒度控制，可捕获到shell反弹、内网扫描、提权、容器逃逸、后门驻留、挖矿等几乎所有的主机攻击行为；

4、微隔离：通过对正常业务流量学习，智能推荐隔离策略，必要时阻断或限制容器间通信流量，防止攻击者在获取到一定权限后进行进一步攻击。

（三）一云多芯信创异构

着眼全栈信创支持和兼容能力，支持鲲鹏、海光等国产不同架构 CPU 芯片的混合部署，实现资源统一池化、统一管理、多租户安全隔离等防护措施，屏蔽底层异构基础设施的复杂性，实现混合异构集群的灵活调度，为信创软硬件提供良好的运行环境，提升信创资源利用率和应用的整体稳定性，实现应用无感的异构信创/非信创基础设施，同时也可以降低单一技术路线风险。

四、项目过程管理

安徽省联社于2022年10月启动容器云平台建设项目，11月完成开发测试环境搭建和内部功能验证， 2023年4月完成生产和灾备环境容器云平台部署，2023年6月起综合收单业务管理、金农易贷等系统陆续在容器云平台投产上线。

五、运营情况

1、提供应用容器化上云的技术咨询，同时配合完成试点业务的应用容器化上线；

2、帮助整合开发工具链并形成容器平台自动化发布流程，提升应用的敏捷开发能力；

3、进行内部推广，提供相关技术培训，加速云原生应用落地并提升其日常运维管理能力；

4、形成应用容器化上云、镜像封装、应用容器化交付、日常运维管理等经验和规范，输出《项目上云手册》，加速应用容器化上云进度，提升IT敏捷性；

5、引入“云原生研习社”认证培训体系，将专业培训从单一的技能培养，上升到以应用项目组为核心，全体系的架构科技管理能力培训。

六、项目成效

完成云平台 PaaS 层建设，构建分布式系统上下游生态，整合行内已有研发效能平台、监控系统、日志系统、IaaS 资源池等，对接上层微服务治理平台，统一单体、容器、微服务等应用，形成统一的全行PaaS应用云支撑平台，实现分布式云原生架构体系，从技术规范、基础设施、生产力工具、组织流程等各个方面进行持续革新，主要如下：

1、提升资源利用效率。通过容器云平台有效整合现有资源，利用“一云多芯”技术进行异构资源统一化管理，资源更集约化，计算、存储、网络等资源的管理颗粒度更精确，资源的调度更合理，资源使用率更优化，对比传统架构TCO降低50%以上，业务故障降低80%；

2、充分提升运维效率。实现应用服务状态自管理、自动化动态扩缩容、故障自愈，利用滚动升级、灰度发布实现应用不间断提供服务，业务应用的部署时间降低80%以上，运维效率提升70%以上；

3、全面提升架构敏捷性。加速应用创新，资源申请交付时间由平均2天降低到1小时，帮助研发条线更加灵活地应对业务发展中的不确定性，研发效能提升56%；

4、与现代云原生技术接轨。建立了一整套基于云原生技术的应用发布、开发运维、平台管理的技术规范，通过规范化的流程和标准，提升了应用发布和上线效率，为业务需求提供了高速迭代的平台支撑环境，业务上线效率提升5倍。

七、经验总结

云原生应用架构为企业的数字化转型奠定了坚实的基础，使企业能够更紧密地融入数字化技术。随着不断变化的业务需求逐渐向定制的云应用程序转变，云原生架构可以让企业更多地关注不断演进地业务需求，从而推动业务的进一步增长和繁荣。

目前国内金融同业在云原生分布式技术领域仍大量处于“学习者”、“跟随者”的阶段，金融领域部分头部企业通过对优秀人才的培养以及过硬的技术体系规划迈入了“优化者”的行业。未来安徽省联社将继续围绕云原生架构规划推进业务系统建设，在云原生领域持续深耕与实践，为各类金融场景与应用输出基础能力，助推数字经济发展。