一、项目背景

湖北省农村信用社联合社（以下简称“湖北农信”）原有聚合支付系统托管在农信银，随着业务发展带来的交易量不断攀升，现有系统已无法满足业务需求。因此湖北农信计划在行内新建私有云平台，并将聚合支付系统进行回迁，以满足业务发展需求。我行在符合国家法律、法规和金融监管政策要求的前提下，以金融科技创新为引领，以转型发展为目标，以新业务、新产品为契机，扎实推进银行数字化转型发展，建设互联网金融云（以下简称“云平台”）作为行内云化转型的底座，承载行内重要业务系统的运行，以技术升级为支撑推动全行业务发展。

二、项目方案

云平台作为行内云化转型的底座，按照标准的两地三中心架构进行整体规划。初期建设同城双中心（单Region 、双AZ和仲裁区），满足行内应用系统上云双中心部署需求和等保2.0三级认证要求。异地灾备中心纳入后期统筹规划，满足应用及数据远程容灾备份需求。

云平台采用高度可扩展的部署架构，由基础支撑、资源服务、运营运维三大部分组成。云平台功能架构如图所示。

云平台具备14项计算/存储/网络、8项安全和5项PaaS云服务能力，均为双AZ部署、高可用设计。

计算服务：云服务器、弹性伸缩、容器

存储服务：云硬盘、文件存储、对象存储

网络服务：私有网络、内网负载均衡、外网负载均衡、专线接入、NAT网关、对等连接、弹性公网IP、VPC域名解析

PaaS服务：分布式消息队列、注册配置服务、关系型数据库、分布式缓存、数据传输服务

安全服务：WEB应用防火墙、主机安全、高级威胁检测系统、网络入侵防护系统、云加密机、蜜罐、漏洞扫描、安全运营中心

三、创新点

（一）一云多芯，自主可控

云平台支持国内主流信创芯片架构，聚焦于IaaS服务、PaaS服务，为各类应用提供全面的支持。平台的关键技术，如底层基础支撑平台、IaaS服务产品、PaaS服务产品均采用国内自主研发的产品，满足自主安全可控要求。

（二）全栈技术体系，统一技术标准

云计算技术在金融业普遍应用，技术栈范围覆盖面广。结合湖北农信已有技术栈和业界先进技术路线，以收敛原则为抓手，以专业技术为标准，确定我行云平台技术栈标准，降低在技术选型、软件升级、问题排查、代码维护上的成本，助力应用快速迭代、提升开发运维效能，增强系统先进性与稳定性，实现用更少的成本保障更多的业务系统稳定运行。

云平台目前支持的技术栈列表如下：

（三）一站式云服务，助力业务上云

云平台实现了IaaS和PaaS服务的标准化，基于统一的技术标准，提供灵活配置、动态扩展、多租户支持和高度集成的云资源服务，及时响应业务部门的需求并提供有效的技术支持，有效降低行内应用系统上云适配的难度和复杂性，助力业务转型发展。

（四）统一运营运维管理

组建专属技术团队，制定统一的服务标准和规范，依托各类运维工具，建立统一的运营运维服务体系，打造一体化服务和统一运营能力，围绕资源管理、服务管理、监控与告警管理、安全管理和日常维护管理，提供实时响应的运营运维保障服务。

四、技术实现特点及优势

基于银联和腾讯产品体系，采用业界先进的云平台技术和充分论证的技术架构，构建一套包含基础网络、基础平台及IaaS产品、PaaS产品、云安全产品和运营运维管理体系的全栈云平台。

（一）基础网络

云平台项目使用交换机、防火墙、路由器搭建统一的underlay物理网络，在同一张underlay物理网络上基于NFV虚拟化技术构建虚拟网络，将云上网络与物理网络解耦；云平台物理网络采用模块化分区设计，每个分区的同类网络设备至少2台，避免单点故障。

云平台两个AZ分别部署于两个数据中心，通过专线互联实现双中心生产数据互联互通。每个AZ接入主备两条三网动态BGP线路作为互联网出口，具备ISP智能选路、抗DDOS流量清洗等功能，确保网络高可用、低延迟，提升带宽利用率，并通过单独专线实现双中心互联网出口的互备容灾。

（二）基础平台及IaaS产品

基础平台使用Kubernetes容器+支撑组件组成平台底座，控制台、云API、云产品OSS以容器方式部署于底座，使用支撑组件保存数据，管理各类云产品相关的服务器资源。

相关支撑组件及各类IaaS服务产品均为高可用设计。

入口网关集群、管控集群以及底座支撑集群跨AZ部署，AZ间网络时延在1ms以内，保障数据容灾和平台高可用。单AZ内生产服务节点混合部署，统一由上层管控管理，保障服务节点高可用。仲裁区设计，解决AZ故障时分布式服务的选举问题，实现故障自动切换。

（二）PaaS产品

云平台引入了5款成熟的国产UP系列数据库/中间件产品，各产品均具备数据三副本、节点高可用、超高性能和故障自动切换等特性，配置有数据备份与恢复机制；可提供单产品PaaS服务，或多产品组合提供应用层、缓存层和数据层分离架构的PaaS服务，覆盖应用系统各类使用场景。

（三）云安全产品体系

依托各类安全产品，围绕网络通讯安全、网络边界安全、计算环境安全构建云安全防护体系，通过安全管理中心集中展示安全态势，实现统一管理。

（四）运营运维管理体系

围绕云平台运营运维工作，通过建立和实施一套组织架构、流程和方法，构建云平台运营运维管理体系。

1.组织架构

通过自有技术、管理人员与厂商驻场服务人员相结合的形式，构建专业技术团队，明确职责和权限，协同开展云平台运营运维工作。

2.流程和规范

在湖北农信原有ISO20000管理体系基础上，引入银联和云平台厂商的运营运维经验，编制与云平台运营运维需求相适配的流程与规范，包括资源管理、服务管理、事件管理、问题管理、变更管理、应急管理等；编制运行维护指导手册，确保一切运营运维活动的安全性和合规性。

3.工具体系

基础平台：提供云服务产品管理、任务调度、账号权限管控、操作审计等功能。

运维平台：提供资源管理、监控告警、基础实施及支撑组件管理、平台升级更新等功能。

运营平台：提供租户管理、云服务产品资源管理与计量等功能。

运维工具：云哨平台、巡检平台、全链路监控、ELK日志分析等工具平台提供各类运维管理所需的实时监控、巡检、告警阈值设置与告警信息推送等能力。

4.培训与知识管理

通过定期培训与考试提升团队人员技能水平，同时通过建立知识库和文档体系，记录和共享运维经验和佳实践。

五、项目过程管理

方案设计及准备工作：2022年4月至2022年8月。

机房施工：2022年8月。

硬件设备到货及安装：2022年9月。

云平台部署及功能测试：202年10月。

云平台上线：2022年11月17日。

云平台试运行：2022年11月至2023年4月。

云平台验收：2023年4月11日。

六、运营情况

云平台自上线以来已稳定运行300天，已发放云主机240余台、中间件及数据库实例70余个；完成聚合支付系统和电子账单系统回迁上云工作，其中聚合支付系统回迁和新增商户约120万户，每日交易量约650万笔；电子账单系统累计处理信用卡账单信息约67万条，发送信用卡账单邮件约50万封；手机银行及网上银行回迁、柜面系统上云、门户网站上云等工作正稳步开展。

七、项目成效

1、通过严格技术评估和选型，基于长期发展的需求考虑技术更新和演进发展，选择经过业界验证的成熟稳定的技术方案和产品，构建全栈技术体系，统一上云技术标准，覆盖从底层基础设施到应用运行环境的全部技术要素，相关技术和产品实行一体化管理和协同发展，确保相关技术成熟度、稳定性、兼容性和延续性，为云平台及云上应用的长期稳定运行打好基础。

2、依托云服务目录，规范资源的配置、分配和管理流程，实现各类资源服务的标准化；通过明确资源的标准规格和性能要求，能够更好地评估资源的利用率和需求，避免了资源过剩或不足的情况，降低了资源使用成本；通过统一的资源管理和调度策略，能够更好地协调和优化资源的分配和利用，提高资源服务的效率；标准化还带来了更高效的资源监控和故障处理机制，使得对资源状态和性能进行实时监测和调整成为可能。

3、制定应用上云规范和实施指南，相关内容包括需求评估、架构设计、环境搭建、功能测试、安全测试、数据迁移和上线发布等环节，有效地规范了上云活动的执行顺序和相应的工作任务，指导上云活动高效、顺利进行，从而缩短上云实施周期，降低开发和部署成本。

4、采取集中运维管理的策略，首先建立了专门的云平台运维团队，运维工作集中调度和分配，确保人力资源得到充分的利用；其次制定了详细的运维流程，涵盖了日常监控、故障排除、应急处置、问题管理、变更管理、性能优化、容量管理等方面，通过规范操作步骤和操作方法，大限度减少人为错误的发生；此外积极运用平台建设引入的各类监控工具、自动化工具，提升工作效率；后定期组织进行复盘回溯、识别问题点并组织优化改进，建立运维知识库沉淀运维知识；通过标准化的运维管理实现提高运维效率、提升服务质量、降低运维人力成本的目标。

八、经验总结

目前，省联社已经完成了互联网金融云平台建设工作，为信息化建设向云化转型奠定了坚实的基础。云平台具备高可用、高性能、高扩展性以及安全可控性的特点，能够满足省联社及其下属法人社的标准化资源服务需求，保证应用系统的稳定性和可靠性。同时，云平台的安全可控性也为省联社和法人社的信息安全提供了有效的保障，保护了机构和客户的数据和利益。

在云平台建设和运行过程中，建立了高效的运营运维管理体系，形成了应用上云的标准流程，为后续的运营维护及应用云化转型打下了良好的基础，积累了宝贵的经验。今后我行将继续推动云平台建设和应用上云工作的开展，为省联社的信息化转型提供持续的支持和服务。我们坚信，在全面落实规范和方法的指导下，互联网金融云将为省联社的发展和改革注入新的活力，实现业务的创新和提升，为客户提供更加优质的金融服务体验。