金融是现代经济的核心，金融科技创新是数字经济时代助力商业银行高质量发展的主要驱动力，在数字化转型的背景下，银行业基于传统IOE基础架构的烟囱式系统存在的交付慢、扩展难、性能差、“卡脖子”等问题持续凸显。

中国人民银行发布的《金融科技发展规划（2022—2025年）》中重点指出“布局先进高效的算力体系。加快云计算技术规范应用，稳妥推进信息系统向多节点并行运行、数据分布存储、动态负载均衡的分布式架构转型，为金融业务提供跨地域数据中心资源高效管理、弹性供给、云网联动、多地多活部署能力，为金融数字化转型提供更为精准、高效的算力支持”。为满足高速的业务增长和敏捷交付的需求，实现业务经营的高质量发展，银行业正在如火如荼开展云化基础架构转型。

贵州银行因时应势，不断学习行业先进经验，经充分规划设计，建成并投产了贵银金融云平台，并在运维过程中持续进行平台级优化。目前已基本建成了架构安全可靠、资源灵活调度和弹性伸缩的新型算力体系，并具备“业务全面上云”“资源类型丰富”“同城双活部署”“兼容一云多芯”等特色。贵州银行以云计算算力塑造数字化转型底座，以数据由内到外驱动各业态解耦，打造数字化、低延迟和高沉浸感的新一代数字银行。

贵州银行董事会秘书 周贵昌

一、“云”起之处

贵州银行原有的业务系统主要基于“IBM小型机+Oracle数据库+EMC存储+VMWare虚拟化”的传统基础架构，随着业务的快速发展、数字化转型工作的持续推进，以及监管要求的不断提升，传统的基础架构面临着大量行业存在的通病。一是系统冗余程度低，核心节点故障易造成大面积业务影响。关键基础软硬件长期依赖于国外技术，供应链风险较大。二是系统间资源无法共享，难以实现横向扩展，无法满足“秒杀”等高并发业务场景需求。三是基础资源的交付慢、自动化程度低，运维效率低下。

为解决上述问题，贵州银行建设贵银金融云平台，主要目标如下：首先，实现业务全面上云，应用系统全面基于计算、存储、中间件、数据搜索引擎等IAAS及PAAS组件部署；其次，支持同城双活部署架构，并可以平滑扩展到多活，计算、存储、网络资源池的构建采用虚拟化技术，建立可动态管理、快速伸缩及统一标准的基础设施资源池；第三，建设统一云管平台，实现运营门户、运维门户和自服务门户的集成，实现多租户、可计量的资源平台，实现跨数据中心的资源整合，支撑多数据中心一体化管理；第四，对接行内现有分布式开发框架、统一服务治理、开发运维管理体系（监控、CMDB、自动化运维、ITSM、DevOps等）；第五，集成全方位安全产品，提供完整的安全防护能力，满足三级等保认证标准；第六，提供对云原生的支持。

根据上述建设目标，贵州银行在前期充分调研、规划、设计、测试的基础上，历时6个月，高效推进详细方案设计、平台部署、业务适配和演练等工作，完成了贵银金融云平台的投产。

二、高“云”建瓴

贵银金融云平台包含生产云和测试云两朵云。生产云按照同城双活架构进行部署，测试云按照单中心架构（单Region单AZ）进行部署。贵银金融云平台为应用系统提供了丰富的IAAS及PAAS层资源，实现了生产系统同城双活部署及业务全面上云。在生产运维过程中持续进行了逃生通道建设、双活数据中心切换演练、“一云多芯”改造等平台级优化，保障了基础平台的稳定性和安全性，目前各项运行指标优异。

1.功能架构

贵银金融云平台从功能上分为IAAS云服务、PAAS云服务和SAAS云服务层，并具备完善的安全防护和运维管理能力，其功能架构如图1所示。

图1  贵银金融云功能架构

（1）IAAS是贵银金融云的基础，提供数据中心设备服务化的能力。主要包括计算、存储、网络服务，其中计算服务包括云主机、裸金属、弹性伸缩服务；存储服务包括块存储、对象存储、文件存储服务；网络服务包括虚拟网络服务（VPC、CLB、DC）、VPN服务、NAT网关服务。

（2）PAAS基于IAAS平台提供的基础架构能力，为上层应用服务提供快速、高效的开发、测试、运维能力。主要包括数据平台、应用平台及容器平台服务。其中，数据平台服务提供整合的数据库服务能力，支持分布式数据库技术（TDSQL）、文档数据库（MongoDB）；应用平台服务提供应用技术能力服务，如消息队列服务（CKafka）、缓存服务（CRedis）、API网关服务（APIGW）、微服务治理框架（TSF）等；容器服务提供整合的容器管理能力。

（3）云平台所有安全服务均为纯软件部署，提供Web应用防护、内网防护、外网防护、病毒防护等防护能力，主要包括Web应用防护系统WAF、主机安全“云镜”、流量分析“御界”、入侵防御系统“天幕”等。

（4）运维管理服务提供统一的平台运维管理服务，包括云审计、云监控、CMDB、基础设施管理、用户管理、计量管理等。

2.平台部署架构

贵银金融云平台采用“单Region（地域，提供云服务的一个大区域，通常为相近的若干个数据中心）双AZ（可用区，一个独立的资源区，通常是一个独立的数据中心）+仲裁”的架构进行部署，分别为主AZ（金阳）、备AZ（贵安）和仲裁区（总行ECC）。主AZ和备AZ通过自建的环形广域网和运营商的骨干网分别形成内外网的连接。贵安和金阳两个数据中心之间通过“物理专线+波分”方式实现低时延链路相连。平台部署架构如图2所示。

图2  贵银金融云平台部署架构

贵银金融云平台服务分为Global、Region、AZ三种级别。Region级别服务在Region中跨AZ部署，数据在主备AZ间采用集群或主备模式实现高可用。主备模式的服务（如数据库TDSQL）由备AZ同步主AZ的所有数据。当主AZ服务异常时，备AZ会接管其服务。集群模式的服务（如对象存储CSP）常态下由主备AZ通过多活的方式共同提供服务，当任一AZ故障时，可快速切换服务至正常AZ。AZ级别服务（如云主机CVM、块存储CBS、缓存数据库Credis等）在各AZ内独立部署并提供服务，在本AZ内采用多节点的集群或主备模式实现高可用。

仲裁区为云平台高可用组件（Etcd、Zookeeper等）提供仲裁能力，部署在总行ECC机房，与金阳和贵安数据中心完全独立，部署在仲裁区的高可用服务节点数量按照“2（金阳AZ）+2（贵安AZ）+1（ECC仲裁区）、1（金阳AZ）+1（贵安AZ）+1（ECC仲裁区）或3（金阳AZ）+3（贵安AZ）+1（ECC仲裁区）”模式进行部署，任意AZ故障时集群中存活节点数量均高于集群节点总数量的1/2，从而保障了平台整体的高可用性。仲裁工作机制如图3所示。

图3  贵银金融云平台仲裁工作机制

应用系统依托于云平台组件的高可用能力、上层的服务治理（熔断、降级）能力、应用在双AZ的等量部署，并在网络层面通过域名解析和GSLB进行双中心负载均衡，在单AZ故障时业务流量可以切换至另一AZ，从而实现了真正意义上的应用双活。

3.平台落地优化

由于云平台为银行业前沿新技术，其在未知场景和极端场景的稳定性、安全性尚未在同业生产环境得到全面、长期的严苛检验。为确保生产运行安全、更好地适配业务发展并支持系统改造，贵州银行对贵银金融云平台进行了持续优化。

（1）逃生通道设计。为应对生产云整体故障导致双中心无法对外提供服务的极端场景出现，本着“战时作为生产顶上去，平时作为测试用起来”的原则，基于测试云准生产环境，设计了“云平台逃生通道”，覆盖了16套重要应用系统，后期将持续进行优化。

（2）同城双活数据中心切换演练。2022年11月，贵州银行成功开展了本行历史上首次无停机、无中断的数据中心级灾备切换演练，通过中断贵安数据中心骨干网络实现贵安数据中心（含贵银金融云平台贵安AZ）整体停服，由同城金阳数据中心（含云平台金阳AZ）独立接管全行业务运行26小时，并成功回切到由双活数据中心接管全行业务的模式。率先在银行业内实现基于金融云的、带全量业务的、客户无感知的数据中心在线切换，充分验证了贵州银行双活云平台基础架构的高可靠性。

（3）建设“一云多芯”。根据工作的需要，贵州银行引进了基于X86和ARM架构芯片的服务器，在贵银金融云平台构建了独立的计算资源和存储资源池，实现了计算和存储资源池的服务器、交换机、操作系统、基础软件的全栈升级，实现了Intel芯片和X86、ARM架构芯片在“一朵云”的共存改造，在实践方面步入行业前列。

4.业务范围及性能指标

贵州银行核心、支付、电子银行、柜面、信贷、监管报送等重要业务系统全面基于贵银金融云平台资源部署，结合云下分布式数据库的高性能特性及上层应用的双活部署，关键系统的性能指标和可扩展性大幅提升。如核心业务系统平均响应时间从云化前的157ms下降为云化后的49ms，性能测试混合TPS提升近5倍，且可以根据业务发展需求快速进行应用及数据库资源弹性扩展，更好地支持业务发展。

三、“云”程发轫

贵银金融云在建设及运维过程中，克服了行业内缺乏业务全面上云的案例、建设及生产运维缺乏参考经验、项目实施周期短、新技术运维需转型等行业难题，荣获亚洲银行家2021年度中国佳银行基础架构实施技术奖。项目建成后，贵州银行大力引进云计算专业人才，持续对平台进行优化，不断提升云平台基础架构的可靠性。贵州银行云平台的建设及运维经验表明，中小银行业务系统具备全面上云的可行性，在行业内具备一定的创新性和代表性。

一是满足应用系统对IT基础资源的多样性和自主可控要求。平台提供了丰富的IaaS和PaaS资源并实现了资源的弹性伸缩，引入了各类芯片服务器、操作系统和基础软件，实现了“一云多芯”，进一步提升了IT基础设施的自主可控能力。

二是满足不断提升的安全性和可靠性要求，采用同城双活架构进行部署并实现了软件定义计算、存储、网络及安全。

三是实现了IT基础资源的统一管理和运维目标，解决传统IT基础资源运维效率低下、资源交付周期长的问题，为贵州银行数字化转型提供基础设施弹性供给能力。

四、总结与展望

贵州银行作为率先在传统银行业实现业务全面上云的城市商业银行，贵银金融云平台已稳定运行超2年并进行了持续优化，积累了大量建设和运维经验，并向同业进行了积极的分享。未来，贵州银行将持续贯彻中国人民银行《金融科技发展规划（2022—2025年）》和原银保监会《关于银行业保险业数字化转型的指导意见》要求，不断稳妥推进贵银云平台版本升级、云原生能力推广等工作，持续完善云平台算力体系，勇攀金融科技发展新高峰，为贵州数字经济发展增光添彩。

作者：

贵州银行董事会秘书  周贵昌

贵州银行信息科技部  韩凌中  韩海松  罗科应