9月1日,由工业和信息化部指导,中国信息通信研究院、中国通信标准化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在金融云分论坛上,中国信息通信研究院技术与标准研究所主任工程师,云计算开源产业联盟秘书长,数据中心联盟可信云服务工作组、云保险工作组组长栗蔚对可信金融云的研究进行了解读。
数据中心联盟可信云服务工作组、云保险工作组组长 栗蔚
以下是演讲全文:
之前金融行业的领导和专家都分享了从金融行业客户的角度上,他们在建设金融云还有使用金融云的一些体会。我的演讲可能是承上启下的作用,在我之后都是厂商的演讲。作为第三方来说,我本人从2012年开始研究云计算,主要跟厂商打交道比较多一点。我今天的演讲在金融行业的专家面前有一点班门弄斧,完全从所有公开的材料,包括我跟厂商交流了解到的一些情况,跟大家做前期研究的汇报。
刚拿到题目的时候,他们说想让我讲讲可信云在金融行业的应用。2014年开始研究金融行业的云计算以来,我认为这是特别广泛的概念。金融云的名词涵盖的东西特别多,要想都讲明白是一件比较困难,而且目前比较难做到的事情。通过研究目前的金融云可以分为几个细分的产业,银行业、保险业、证券业、互联网金融。我不知道保险业和证券业有没有相关的规定,我对银行业和互联网金融这两个细分的子行业有所了解。我们可以看到银行业在刚刚出台的十三五规划明确规定,如果用云计算要不是私有云,要不就是行业云。互联网金融不一定,P2P之类的。因为互联网金融是从互联网发展而来的,它做了一些金融业务,所以我们可以看到它现在很多互联网金融以公有云和行业云为主,私有云要不大的银行有私有云捎带把互联网金融的业务放在里面,如果从互联网发展过来的一些金融业务,就直接的可能会是公有云的服务,这在厂商了解到的很多。很多公有云的厂商,包括了阿里和UCloud都在做公有云的提供。它和银行业对云计算的要求不一样,不能笼统地谈金融云而是需要分开来谈。银监会在十三五里面对云计算有几方面,构建私有云平台,私有云平台鼓励使用计算虚拟化,容器虚拟化,开源的自控性更强的技术。探索金融的公共服务业行业云,希望能有金融行业的机构来承建中小规模的银行所使用的行业云,这在我了解中非常多。我们各省的一些成商行都在把自己的信息化系统放在各省的公共平台。我们的山东省中小城商行联盟负责山东省的一些城商行云计算平台的搭建,它们很早就已经有,包括我们的杭州农信的行业云,也是承载了中小农商行的云计算系统。从我的理解来讲,要不大行自己建私有云,采用可控性比较强的开源虚拟化,容器虚拟化技术。中小城商行使用这些行业云,这是一方面。第二方面我们可以看到鼓励开源技术在银行系统中的应用,一方面开源技术大大提升了银行自主可控的能力,因为开源我们都知道它的代码来源于开源,厂商把开源产品经过一些迭代升级成为商业化的产品,然后提供给银行的客户。银行的客户在我们的了解过程中,可以要求厂商再次开放,或者是提供一些支撑等等。对于开源的代码,不管是安全性还是自控性,都会更强一些,这是开源的鼓励。
在云计算的建设中,十三五也说需要推动大中银行使用云计算的标准,包括虚拟化层面的,技术层面的。服务质量和安全等等指标层面,从而建立可信的云计算环境。可信云计算环境恰巧我们之前一直在做可信云的研究,我们了解十三五对云计算的一些设想,再结合我们之前做的一些可信云的研究,我们去做研究。我们首先可以看一下,可信云从厂商的角度,虽然体现的是用户的需求,但更多的是对厂商进行评估,厂商的产品进行评估。我们可以看到目前厂商其实可以分为两大类,以公有云形式提供服务为主的厂商,阿里云、腾讯云等等。公有云可以再细分为两类,第一大类就是公共云,公共云就是阿里云这样的。托管云,曙光、宝信,也是提供服务的,但指向某一个单位或某一个垂直行业提供服务,这种云是专享,它跟私有云不一样,这是以服务形式提供为主的公有云的服务。私有云,厂商提供的是软硬件产品,让客户自己买了软硬件以后自己搭配。我们可以看到不同的云从厂商来看属性也是不一样的。刚才十三五说要不是私有云,要不就是行业云,私有云恰恰落在向私有云提供解决方案的厂商这里。
我们今天不讨论大的金融云,我们就讨论一个可以落地的银行业使用私有云,向私有云提供开源解决方案的厂商需要考察哪一些指标,给大家做一个参考。我们研究的对象是聚焦的目标,我们梳理了目前从银监会到人民银行对于银行业使用云计算或者信息化系统的要求。我们通读了所有的要求,我们可以看到银监会可能更侧重监管和管理,它把所有的软件产品包括云服务和云计算托管都统称为非驻场集中式外包。如果用了云计算以后,可能有的管理规定对它们审计的时候会有一些不太需要调整的地方。银行业关注信息等级保护,灾备有很多的标准,包括灾难恢复和中小金融机构灾备云、灾备云安全,灾备云服务。目前人行和银监会可供参考的就是这些,如果想完成刚才提的银行业私有云开源解决方案厂商的考察指标,可能需要借鉴更多的指标跟现有的金融行业的要求进行结合。可信云开源解决方案的评估指标,这是比较广泛的指标,我们再结合银行业的要求目前做了一些研究。这是我们自己梳理的,我们从我们的角度通过一些厂商大家梳理出的一些整体视图。我们跟客户有了解,客户唯一的希望可以研究的地方,这么多私有云的解决方案,到底能做什么。都来给我推销容器,你告诉我容器可以做什么。对于客户而言少就是多,所以急需知道开源是做哪一层的,容器好像PaaS也可以做替代虚拟化,还可以快速地应用,好像无所不能。开源也是大而全,存储计算和网络管理都可以。我们试图梳理一下,对不同的开源技术梳理。我们可以了解到其实KVM和XEN开源技术解决的是硬件的虚拟化,它实现硬件的快速交付。比如上线做测试,我得先购买服务器,但我有虚拟化以后服务器可以直接做测试。KVM和XEN实现了计算存储,尤其是计算得快速的交付。OpenStack对基础资源的管理,可以不需要自己布存储,不需要自己布网络。当然有的时候需要自己布一些SDN,所以现在OpenStack和SDN进行结合,这是网上的虚拟化管理。现在流行的趋势就是容器化OpenStack,容器刚出来的时候大家说它是替代虚拟化的方式, 利用PaaS比较多,但是我们可以发现容器大的价值是可以做一个标准化的竞相格式,原来大的优点是这样的。刚才我们兴业的专家也说了,也是用容器来做的开发测试运,它的好处是很多的小应用可以灵活上线。你做开发测试云以后,有的时候周期半年可以缩短为三个月。中英人寿说系统用容器可以实现快速交付,容器和OpenStack的开源解决方案给我们的金融行业,包括银行业带来的好处。
银监会把非驻场管理规定分几类,我们开源解决方案也是属于这几类当中。银监会之前发的十三五里面避免出现的,包括信息泄露,服务水平下降,业务中断,科技能力丧失。我们进行云计算信息活动的时候,要避免这些风险问题。为了避免这些风险,厂商的角度我们认为银行业如果提供私有云的资源管理类的云计算产品,我们觉得应该去考虑这些指标,才能达到可不可信。技术指标类,我们银行业如果想采购一个容器解决方案,或者OpenStack的解决方案,技术方面要求的指标大部分是可量化,可技术测试的。功能的完备性这是显而易见的,OpenStack必须得计算存储网络的管理还有虚拟化。容器没有聚焦,主要是以OpenStack为主写的指标。开源软件是纯开源的,大的诟病使用起来操作手册复杂,技术门槛高。如果没有完备的文档进行参考,会大大降低易用性,文档的完备性很重要,现在基于开源社区的哪一个版本,下一步升级到哪一个版本等等。高可用,国内的厂商都可以在高可用上达到比较好的水平,当我们的OpenStack解决方案某一个节点计算存储或者网络发生故障的时候可以秒级切换到不同的节点。开源代码是开放的,会有本身带的安全问题,每一个厂商都需要进行自己的安全加固,这个安全性也是比较重要的。安全如果加固了以后,完全可以避免一些漏洞。可控性,所有基于开源的商业解决方案,其实它是有权力不再开放,取决于客户。如果你做成商业版,因为会改很多的代码,如果我需要你开源,客户是有权利提出开源,但厂商可以不再开放,这只是一个指标而已,并不是说一定要再开放。互操作性,大家知道开源有一个好处,理论上应该操作性是可以的,基于相同的API。因为各个厂商由于把它做成商业版需要做很多的改动,其实我们可以看到现在有一个现象,开源的反而互操作性差。大家在做了商业版以后,要不像我们第三方做一个是不是API兼容的互操作性的认证,要不就是社区有认证,你可以做一个。
运维功能的完备,我们银行在采购管理类云计算产品的时候,运维功能是很重要的。其实我们拿过去是用的也不是再去调代码,运维包括资源监控和故障管理,日志和权限都是最基本的。OpenStack有模块的,但很多厂商用OpenStack的时候还是会和另外的一些运维产品进行结合。应用迁移能力,银行做需求有的时候说已有的系统应用在哪一个地方先迁到你的测试验证平台上,所以厂商一定也需要有应用迁移的能力,帮助银行业把这个迁过来,保证客户不锁定在你的平台。资源调配能力,这是云计算的特性,云计算大的特性就是硬件的快速交配。你必须得支持虚拟机的配置,存储缩减和网络缩减,以及资源池的缩减。对应的性能更加重要,后面我们会跟大家分享这个指标,我们对其它厂商的测试结果。我们同时起一百台的机器,如下用了云还得起一个小时不太理解,基本这个产品就不行。虚拟机包括存储和批量的创建的性能能力,对厂商来说考察一个厂商的产品优劣,这是非常重要的。
运维和服务培训类,我们利用了开源的产品更加重要,因为开源是OpenStack更新的特别快,半年一个版本,漏洞的修复和升级等等。厂商是开源解决方案,需要定期的上门跟你运维升级。因为开源技术门槛很高,OpenStack对客户来讲目前使用起来不是那么易用性强。开源独有的商业模式是客户培训,买产品外带客户培训,这是非常重要的服务。
厂商跟银行业提供产品的时候,双方签订服务协议,服务协议考察产品周期和系统故障,上报响应的时间,你给我的产品有故障多久响应,系统的设计,社区版本的系统设计。运维服务类,是不是7×24小时的服务,包括培训服务和运维协助,以及应用迁移等等。权益保障,持续服务的时间,你的能力,别今天卖给了我产品明天就倒闭。服务的范围和费用,以及用户条款,我们认为这几个都应该是厂商向用户进行披露,并且明确告知的。
安全指标类,OpenStack本身不是特别强,有安全简单的基本模块,但不是特别强。我们有两种模式,我们的厂商会跟独立的安全厂商合作,360等等,提供整体的解决方案,要求OpenStack厂商和安全厂商的模块配合在一起,不能说安装了你的杀毒影响了虚拟机的进程。比如安装了安全模块以后,结果影响了本身OpenStack的产品,所以这也要求安全厂商跟我们的OpenStack解决方案之间会有一个契合,它们的匹配测试等等。我们觉得云计算厂商应该有专门的安全协调员和银行业进行对接,数据安全防护。审计是未来非常重要的安全产品环节,需要做到虚拟化这一层的审计功能。
以前我们银行业买解决方案的时候都是以国外为主,也不是不想买国内的,国内产业链不完整向谁买。开源有一个好处,极大的促进了国内云计算解决方案商的成长和创新。很多的企业都是利用开源可以快速地成长起来,并且已经可以提供不亚于国外技术的产品。所有的运维系统和高可用,这些厂商开源解决方案基本都可以达到。互操作性,要不你有官方的OpenStack社区的认证,要不通过我们的API认证也是可以,基本都是通过的。安全代码扫描,开源有一些自己的安全漏洞,但也是可以修复的。资源调配的能力都是可以实现的,包括现在最关注的异构虚拟化的能力。要想更加繁荣的发展,更多元化的发展,你首先需要兼容现在的。创建虚拟机还是存储,还是批量的创建虚拟机,我们的厂商表现基本接近,不会说像我说的差几分钟,基本都是在以秒的差距。创建虚拟机还有存储和批量方面,比较好的区间象限都差在零点几秒,我们是给一个区间,目前国内厂商可以达到的比较好的区间,包括中等的。
以上就是我的分享,谢谢。
热门专题
