非常荣幸能够来到可信云的大会会场来做交流和分享,我带来的题目是“新阶段下的金融行业云服务实践”。招银金融云在三年组织的实践过程,以及现在新的阶段形势下面,就是开源技术以及云计算相应的计算存储网络,这些技术不断成熟,应用门槛不断下降,金融行业监管越来越严格,法律要求越来越规范的前提条件之下我们都有哪些行为,今天就给大家介绍这些内容。
按照全球情况来看包括IaaS、PaaS和SaaS仍然保持20%的增长,国内的公有云市场在2018年是有900亿的规模,而且国家整体增速也是保持在世界平均水平之上。金融云市场同样保持着高速增长,这是来自IDC的报告,可以看到2019年数值达到1500万,也就是15亿美刀的规模,等于100亿人民币,金融云市场差不多占据国内公有云市场的10%左右的体量。
其实金融云的概念正在不断延展,传统金融云服务的是银行自身的业务系统,现在我们看到银行在不停地迭代服务,更加扩展自己的场景。现在我们手机APP服务的都是生活场景,银行APP当中我也可以找到,优惠力度更大,薅羊毛已经成了一个实惠行为。因此不再是原来银行的简单业务系统,而是延展更多生活场景,或者是企业更多客户零售和对公客户不断增加的新的系统,这些新扩展的泛金融领域也会不断催生金融云、基础云的需求增长。
招银银创是2016年2月成立,去年我们有幸共同参与可信金融云服务标准的发布大会,我们是标准的编写者、实践者,也是首批认证单位。招银金融云在这三年的不断成长当中逐渐支撑起了越来越多的业务,包括超过1000万的MAU,因为我们要做零售之王。我们支撑了整个云行业的机构,包括总行的各个部门或者各大分行,我们对这些机构的支撑超过31家。此外我们协助开发的业务系统提供大于100亿的贡献,并且为金融同业以及行业重要的企业级客户参与相应的基础云提供,或者SaaS服务的开发,支撑了上百家行外客户。我们也有支撑特殊的FinTech项目,就是从思想的启蒙,逐渐从Idea阶段变成具体业务,现在这种业务已经转化成了一个公司,也是从我们内部逐渐创立起来的从思想到孵化再到实践的案例,因此金融云内部给银行自身带来的活力和变化是不可小觑的。
刚开始的时候金融云在做什么事情?招行奉行的是异地两大中心的架构,可能和传统两地三中心的思想不太一样。我们认为在上海和深圳两地提供的是对等的服务,也就是两个数据中心之间没有你高我高的级别。我们提供的云服务能够支撑金融机构所有的基础板块All Stack,包括我们非常熟悉的Linux和Windows,包括X86平台上面就有5个虚拟化机床。原来我们感觉只要把Oracle、MySQL拿下就包打天下了,现在我们发现不同的大数据库在不断出来,所以技术站对运维人员的服务能力来说要求越来越高,这些衍生出来的应用管理、安全管理、监控管理又变得非常复杂,这些技术站之间需要打通,也要看到业务全路径的流程,上面的业务管理和安全管理就要重新思考,那么对银行这种谨慎的金融机构来说就会带来非常大的挑战。
我们构建这种稳定基础架构的同时,还在提供六大产品线、二十几项产品。底层机房这种高稳定性的网络,包括数据中心专线或者互联网访问、双驱动的衔接,这些都是最新的能效。上层我们需要提供IaaS的可靠平台,计算存储网络等等。然后是容器平台,包括应用的编排和发布,这些能力都是属于更新式能力。现在云创所有应用发布都是基于容器化的开发和结合Cloud的应用,所以已经是在往Cloud Native模式不断引进。就像刚才提到的All Stack我们需要集成i-PaaS能力,安全和运维管理统一支撑起了整个金融云的服务能力。
讲完刚才说的各种硬件场景的措施,接下来讲一讲运维的时候该怎么做。因为任何风吹草动,业务部门或者用户就会打电话找你,所以4001电话的长期值守就必不可少。高度可用性之外还有7×24小时的各种实时保障,包括深度的安全检查和固定分析,这些都是金融云提供的相应服务。我们也要遵循相应的服务标准,比如业务培训性标准,或者是安全质量的标准等等,这些都是软实力的体现,结合前面的产品才能综合产生这样的云服务。
刚才我们讲的是过去三年都在不停地往这个方向努力,不停增强我们的能力,现在我们的市场、我们的客户、我们的行业部门面临着什么样的场景?很多应用场景、生活场景现在都被第三方逐渐替代,但是可以在外部形成闭环,客户的服务和体验也要不断提升,用惯了外部的以后,发现点开一个银行的应用都要十秒钟,打开一个链接需要三秒钟,本来客户还可以接受,但是现在有了新的互联网的习惯就难以容忍,年轻客户也会更多地往互联网平台使用,存款和理财的成本都要提高,还有理财和资管业务的第三方争夺,银行不同网点的应用率被线上的取代率提升,四大行的网点数量都在下降。
面临这样的问题,各家银行的CIO都在想些什么?首先要看现在IT信息系统能不能支撑我们的业务,我们的业务能不能面对刚才提到的这些挑战?作为防守方,需要对我的业务系统、IT系统能力有一个清晰的认识,也要从原来这些规模系统变成这么多的系统,包括方方面面的合作,安全合规能不能做好,使用的云服务能不能达到这样的要求。其次就是发展的稳定,银行还是倾向于使用智能型的、被市场检验过的系统,不会贸然地把一个新的系统直接上去。人员体系就是使用自己团队的保障,云服务供应商的团队怎样衔接和保障。需要进行成本优化,原来的投资模式是不是会有所转变,怎样做到更加快速地控制成本。最后就是效率,应用如何能够进行快速迭代。
我们需要给CIO提供的能力都是哪些?首先设施需要足够先进,运作又是能够方便用户的使用,帮助用户更加高效地提升运维效率,也要能够做好成本控制,用户使用的时候可以发现原先银行内部的资源利用率是偏低的,按需使用或者灵活使用的时候成本会进一步下降。最后就是安全服务,现在针对国家大背景的安全态势,我们的安全如何去做?云上和行内的安全边界在哪里?到底应该在云上安置哪些东西?这些都是需要运营提供的服务能力。
云创的产品建设不仅有金融基础能力,同时还有很多应用改造,推出业务云向租赁这些场景发展,因为我们提供的IT服务能力都是和信息沟通,但是现在大量需求来自业务部门,业务部门再到IT,然后再和云服务去聊,一层一层过渡以后,真正产生交付的产品给到业务部门,业务部门发现你的东西和我想要的不一样,云创提供大数据的智能分析,直接切入到业务部门,比如零售部门对客户各种标签、识别、营销的效率效果的分析,客户直接变成业务部门,就是业务部门直接拿来使用,这样的话进一步能够拓宽业务下面的市场,后面还有移动互联网云提供偏上层SaaS的服务,这些都是数据中心管理,也是在座的耳熟能详的工具。
资质和能力的建设当然是必不可少的,包括各种安全合规,每年要做的审计,还有CDN、IDC和互联网互联互通的服务资质证书,这些都是对外服务的根本,如果选择的服务商没有这些证书,随时有可能被国家取缔,因此要选择拥有这样一个合规资质的企业。
怎样做一个先进的云?这些是Google和Facebook的技术基站,有没有看过这张图的?你们觉得这两家企业思考问题的时候和我们有什么不一样?国内可能会说存储使用了什么技术和软件,谁和谁互联互通等等,经常会有非常详细的架构图,看到就知道这是工程师画出来的,而看这些国际顶尖企业会进一步地抽象,底层的系统都是分布式的Schedule和Classic,业务抽象起来其实就是彼此之间的资源协商和调度,然后就是Data Storage,各种数据怎么存放,最上面的就是数据的处理,银行的本质就是把数据存储下来,就是来做Data Processing,可以感觉到这是更高层面的抽象,也是科学家做的,我们是做工程师做的事情,所以在做全应用、全流程的体系,底层的机器人模式自动化的调度,包括上面的数据库应用都在不断地对标顶尖互联网企业的思考。
刚才讲的是基础设施的管理,现在上升到应用层面的管理,包括底层的Blueprint、Orchestration和Running。蓝图当中我们要做规范化的定义,包括业务模式和网络模式,语言包的开发模式,或者是监控的指标到底都有哪些,SLI、SLO的标准到底是什么,还有日志和相应的能力。这些需要在初期进行定义,通过这样的蓝图和整体的模式,可以把我们的整个应用管理起来,应用真正上线的时候就在运行态当中管理这些应用。
为了敏捷高效,我们不断推动DEVOPS流程,包括业务管理和创新,这些都是来自于真正的业务驱动,我们不停地优化这样的工具链,也是有数据性的服务,可以给我们的研发效率提升20%,资源申请效率为零,资源节约超过90%,而且有比较详尽的流程验证和性能传输的模式。这套东西应用于小的场景,也就是几千个流水线等等,要是行里2万多个流水线来跑的话可能还要更大的集群系统。
我们需要帮助客户不断优化成本,原来的自建到托管,传统虚拟化到云化,固定使用或者性能容量的模式走到弹性伸缩,也就是说通过云化的服务把所有服务全部初始都定下来,形成一个比较可用的框架,用户省去了后续的技术选型和商务谈判的环节,因为这些环节都非常耗时间,银行每次采购让技术落地的话半年或者大半年就过去了。
如何做到一个安全云?现在我们面对的就是一场安全网络战争,过去战争的时候可以看到敌人,现在我们完全不清楚,要是没有在边界做好防御的话,黑客进来攻击我们都完全不知情。最近上海大会上Linux的负责人提到现在系统爆发出来的漏洞,CBD平均修复时间要多久大家清楚吗?2006年到2018年的统计数据是100天,也就是说黑客攻击你,拿到这种漏洞以后平均要等100天才能修复,最长的漏洞等待了3600多天,所以有些漏洞开源到开发就会觉得这个东西是跟我的理念相违背的,不会根据金融机构的实际情况来做,用户不改的话,我们需要在其它层面来做相应的防护。
这些防护包括各种信息安全工具以及相应的流程等等,包括统一的日志、策略的收紧、安全的部署,通过这种通用化的安全手段防范和避免单一的,或者局部技术站短期内的技术风险无法修复的问题,我们自己一定要有招能够控制这种边界,而且可以看到欧盟已经出台非常严格的GDPR规定,公安部严打公民信息泄露,之前公民信息的严重程度非常高,随便花几百块钱就可以在网上买到任何一个人的轨迹行踪数据,那些欠债收款的人都会购买这些服务,吃饭的时候就可以找到那个人,所以银行金融机构数据更要保证安全。
接下来就是Cooperation合作和连接,单独一个云很难发挥良好的规模效应,我们希望和其它的银行或者金融机构来做基础设施连接,通过连接的形式进一步扩大边界,原来的私有云内容当中的资源可以作为一定的行业云或者其它服务的输出使用,通过这样一种形式的划定提升更多可用区域的部署,也能够支撑整个云环境。我们还会把更多的服务进行相应的组合,把更多的服务能力支撑各家银行上传的业务系统,包括风控、客服等等。
比较麻烦的是,管理云就是要把BSS和OSS能力做好,云创刚开始做的是帐单,现在就是统一的身份认证以及管理工具界面的跳转和限制,然后就是BSS怎样在业务层面流转服务的能力,客户上来以后看到有哪些服务,下单、订单、产生帐单、开票和回款等等都在后台商管系统得到组合,通过这样的商管系统,我们的合作伙伴把各自的服务挂载到这样一个商管平台,方便其他客户直接购买,不仅是技术侧,也通过商务侧的形式形成差异化的竞争能力。
刚才讲的都是我们的实践,我们也在不断走出网点,之后我们也会进行线上运营,通过大数据形成智能分析,并且对客户形成个性化的推荐,同时把信息实时、安全地在公开线上进行交互,确保不会泄露,通过这样的APP不断提升用户的粘性和使用率,持续运营观察数据的变化,看一看哪些新兴产业产生新的需求等等,一切银行运作都会在这样一个APP产生后端大量的买点数据,不断获取并且产生新的可能性。
展望未来,我们希望通过科技连接招行和招行的客户,创造出更多给客户服务的场景,利用这些客户服务服务招行客户,从而打造更佳的客户体验,通过生态、营销、协同和人才四大战略推动我们的市场规模不断增大,作为金融云理念的真正实践者。