中信银行:裸金属云服务建设实践
浏览:454次    类型:银行、股份制银行、云计算、云服务器    2020-01-22 11:26

银行裸金属云服务建设的背景

银行云平台主要使用虚拟机提供弹性计算资源,但对裸金属云服务器,也就是实体机的基础服务,需求也越来越大。


一是商业银行存在大量的高性能、低延迟的业务场景,例如数据库、AI、高性能计算、容器化部署在实体机等场景,需要使用物理服务器。


二是分布式架构的大规模使用,大数据、分布式数据库、Elasticsearch集群、分布式存储,需要一次性部署大量的物理服务器。


三是虚拟机需要部署在物理服务器上,尤其在SDN技术大规模推广的当下,对快速上线,按需部署的裸金属服务需求非常迫切,需要实现私有云底层的操作系统安装批量化、标准化。


因此急需建设裸金属云服务,实现对物理服务器的统一管理,包括裸金属服务器资源池建设、快速上线、自助服务、统一管理等。


中信银行裸金属云服务建设实践

1.整体架构

中信银行实现了IAAS、PAAS一体化的云平台,将裸金属作为一项IAAS服务进行建设。技术上将云管平台、云新信息公司的带外装机模块、CMDB、流程平台融合在一起,实现物理资源的统一管理、统一申请、统一审批。


(1)实现了基于ITSM的统一审批流。裸金属作为一项云服务,在ITSM中发起申请和审批。


(2)实现了基于云管平台的资源申请技术管控。装机服务在云管平台进行线上下单,实时更新CMDB。


(3)实现了物理机的配置管理,通过云新的采集服务器,自动纳管、采集物理服务器信息。


(4)实现装机的服务化,通过云管平台与云新系统结合,实现了物理机装机的服务化。


2.标准化

云计算的前提是标准化,裸金属服务作为整个云计算大厦的基石,提供了基于X86服务器的配置基线。


(1)服务器配置标准化

配置标准化:服务器的标准化分多个层次,首先是服务器内部配置的标准化。需要针对不同用途的服务器,固化CPU、内存、硬盘、HBA卡、Raid卡等的配置。


槽位标准化:针对不同用途的服务器,规范布线槽位的标准化。因为对于linux,不同槽位的插线,将映射为不同的逻辑网卡名,所以使用同一槽位的板卡对于物理机装机和配置都至关重要。


布线标准化:对于不同用途的服务器,制定业务平面、存储平面、备份平面的使用规划,制定千兆网线、万兆网线、光纤线的标准。


标准部署单元:针对不同用途的资源池,形成服务器、交换机、存储的配比关系,规划好标准部署单元。


(2)标准化的技术保障

标准化的落地离不开技术的支持,一方面裸金属服务要自动识别服务器配置,进行基线管理;另一方面,裸金属服务要能支持不能型号的服务器和组件,实现统一的服务器装机服务。


兼容性:不同用途的服务器的配置不同,裸金属服务需要能自动识别、进行有效的配置管理。范围包括CPU、内存、硬盘、网卡、光纤卡的型号、数量、BIOS和BMC的版本、Raid的配置等。例如针对硬盘配置,装机服务既要支持传统的基于Raid卡的配置,也要支持新型基于CPU的Raid配置。


配置基线:裸金属服务要能实现对物理服务器的集中纳管、版本的集中展示,基于基线的自动检查功能。其中BIOS和BMC的版本,是装机前系统必须检查的信息。


镜像管理:裸金属服务要具备镜像管理功能,将安装软件包清单,文件系统大小、安全配置等内容定制为ks文件,与操作系统介质一道制作为镜像包,并对镜像包进行版本管理,漏洞扫描。


3.服务化

传统的装机过程需要多个部门协同、线下完成。中信银行的裸金属服务中,通过云管平台与ITSM、云新系统的集成,实现了物理机资源申请自助化、装机过程自动化、操作规范化。整个工作流程如下:

4.安全性

在人工装机过程时,经常出现几类错误,第一是配错,人工输入IP地址,出现地址格式错误等问题;第二是配重,将IP输入为网关,将IP输入成一个已经存在的IP等;第三是配反,对于主备机的场景,主机配成了备机;第四是漏配,服务器数量多时,常常将遗漏了一些关键配置。通过裸金属服务,就是用自动化的方式替代人工方式,保障装机的安全性。


(1)提交装机订单时,云管平台会检查输入的IP的格式的有效性,包括IPv4和IPv6的格式。


(2)对于格式有效的IP,会检查CMDB,确认是否是一个已经存在的IP;同时ping这个IP,确实是否是一个已经在线的IP。


(3)实际装机前,还会再一次ping这个IP,确认不会将IP配重。


(4)通过从CMDB读取的序列号,与从云新扫描的序列号的对比,确认在实际期望的服务器上装机。


(5)装机前,调用云新系统的API接口判断该主机的电源状态,只有关机状态的服务器才能安装系统。


5.准确性

数据中心CMDB存放了基础设施数据,准确性至关重要,而CMDB中最重要的信息就是服务器的资产信息,包括机房、机柜、U位、型号等物理信息,包括CPU、内存、IP、主机名、业务系统、安装软件等逻辑信息。裸金属服务在装机环节,就把源数据控制好,是CMDB数据准确的第一关。


装机前环节:在装机时,云管平台将三方面信息进行对比,首先是从CMDB中读取的序列号信息、BMCIP信息,第二是云新系统扫描的的序列号和BMCIP信息,第三种装机人员在下订单时,选择的序列号。三方信息比对,确保信息的准确。


装机后环节:装机完成后,将IP、主机名等信息,自动的同步到CMDB中,避免人为输入的错误。


6.高效性

为了实现高效、并发、安全的装机,我们从云管平台、云新系统做了多方面的努力。


(1)云新系统的装机服务,实现了40台主机的并行装机,实现了多台相同配置主机装机时,共用一个镜像,减少了CPU和内存的消耗。


(2)云管平台实现了大批量并行装机。从云管平台可以一次性下发几百台主机的装机订单,云管平台会进行40台主机的并行装机,并监控每个装机进程的进度。如果有一台完成,而发起第下一台主机的装机,从而保持一直有40台主机并行装机。从而保障了整个过程的高并发性。


总结

裸金属云服务作为中信银行云平台的一个重要组成部分,在总行、分行全面上线,实现了对物理机的集中管理和快速部署,实现了配置的规范性、准确性、安全性,为云数据中心建设打下了坚实的基础。




推荐阅读:
【案例】深圳农商行智能柜台
中软国际:信用卡申请反欺诈
天津滨海农商行:双数据中心多活架构的研究与实践
甘肃农信:飞天云账通
兆维自服:安全可控自助终端一体机
本网站部分案例、观点文章来源于网络素材,如有侵权,请邮件联系liuzhenyu@fintechinchina.com处理!转载网站文章请注明来源于金科创新社。特别提示:本网站免费为广大金融企业提供IT规划、选型咨询参考报告,详情点击【 需求提交 】。