一、项目背景及目标

1.1项目背景

随着互联网技术发展，传统的IT架构存在资源利用率低、资源孤岛、部署周期长、资源无法弹性伸缩等问题，已经逐步不能满足特色互联网业务发展的需要。IaaS云包含计算、存储、网络、安全、负载均衡等IT资源池及管理门户，通过IaaS云可实现应用快速部署上线，资源灵活调整。近年来各大互联网公司纷纷建设公有云（如阿里云、腾讯云、百度云、天翼云、沃云等），金融机构也逐步向云方向过渡（建行云、平安云、兴业数金云、浙江农信行社金融云、广东农信中间业务平台云等），互联网业务发展以云为基础，是我社信息技术发展的需要。

福建农信各基层行社因自己地域、业务等发展需求，开发了大量的特色业务，建设特色业务系统需大量IT资源，目前有基层行社自建IT资源池、租用公有云资源及由省联社提供相关资源三种方式。现有大量特色业务系统部署于省联社互联网业务区，省联社统一提供计算、存储、网络资源服务，形成了省联社的共有业务与行社业务特色业务混合部署的局面，该架构存在以下弊端：

业务安全等级不同：基层行社特色业务一般为行社与第三方公司开发，开发标准与省联社业务系统有所差异，有些应用无法满足互联网业务安全要求，业务并存存在一定技术安全风险。

运维等级不同：共有业务为省联社运维，特色业务由基层行社乃至第三方服务商运维，混合运维无法满足监管运维安全要求。

快速弹性需求：特色业务从开发到上线时效性要求高，资源需根据业务量自动弹性扩展，我社目前IT资源分配模式不满足此要求。

系统安全需求：特色业务系统或与共有系统混合部署，或采用公有云资源部署，资源、系统、接口、数据的安全性和合规性面临挑战。

为解决上述问题，科技部经过了大量的技术交流与论证，IaaS云的资源隔离、资源快速分配、弹性扩展、安全运维等特点，与我社的特色业务需求高度吻合。为此计划建设福建农信行社服务云。

1.2项目目标

本项目旨在建设行社服务云，建设内容含SDN网络、计算、存储、云门户、云平台、负载均衡、安全，实现资源池统一高效管理及自动化、自服务，满足行社特色业务发展需要。提高省联社服务能力及资源使用效率，增强生产系统安全降低生产操作风险，满足监管安全合规性要求。

二、项目方案

福建农信已实现了存储和计算等资源的虚拟化，本项目拟在福建农信当前虚拟化建设基础上，搭建一套含计算（计算虚拟化利旧使用VMware、PowerVM虚拟化平台）、存储、网络、安全、负载等资源及资源统一管理的云门户的行社服务云平台，实现计算、存储、网络、安全、负载均衡等资源的按需、自动、自服务式、高效为行社提供服务。为达成此目标，项目分为福建农信行社服务云需求调研及方案制定与行社服务云建设两个阶段，建设行社服务云相关制度、规范及管理体系，并充分考虑福建农信行社服务云发展演进与福建农信发展战略相符合，行社服务云平台拥有相应的的扩展性、开放性及前瞻性。进行相关知识、理念传递。

2.1项目建设原则

行社服务云建设项目在建设过程中应遵循稳定性、安全性、规范性、开放性、易用性、兼容性、先进性、前瞻性、可扩展性、可审计性，高效性等原则。具体要求如下：

2.1.1稳定性

稳定性设计的目的是为了减少因系统故障而产生的系统停止运行时间，加快非计划性停止的情况下系统的恢复时间，减少系统升级维护而产生的计划性停机时间。因此系统应具有高可用性、连续性、和易维护性。高可用性指行社服务云平台可以通过自身或由所部署的基础架构提供的冗余或热切换功能，消除单一部件不可用对系统的影响。连续性指行社服务云平台可通过自身或业界通用的备份方案，以少的数据丢失量快速恢复系统运行，以保证服务的持续提供。易维护性指在行社服务云平台进行故障修复、版本升级、存量资源接管时，不影响行社服务云平台自身及云计算、存储等基础架构层虚拟化平台软硬件及虚拟化资源的使用。

2.1.2安全性

行社服务云台须具有严谨周密的安全体系结构，可通过自身或者允许纳入我行基础架构安全体系，提供有效、全方位、多层次的安全机制，抵御可能产生的恶意攻击和病毒侵蚀，并且在运行安全、网络安全、客户端安全和应用系统安全等方面有合理可靠的策略。行社服务云平台采用加密的数据传输保证数据在网络链路中的安全，分权分域管理保证特定用户对系统的可控，提高安全性。

2.1.3规范性

行社服务云平台以自服务、自动化的方式向上层用户提供IT服务，必须能符合我行的运维规范（如命名规范、权限规范、参数规范），以保证对底层技术和规范不了解的用户进行自服务申请资源时的安全可控。

整个系统的各类软件、硬件均应符合行社服务云平台相关的标准规范接口，保证各系统有效对接，信息数据实时交换和共享；能够提供规范统一的数据接口和Restful API满足与各系统对接；代码采用标准化体系，代码管理、文档管理都采用规范化管理，能提供一个基本的系统管理平台和开发平台。

2.1.4易用性

系统应具有友好的用户监控、管理维护界面，操作简洁、高效，目录结构清晰，可配置程度、参数化程度高，方便维护和管理。

2.1.5兼容性

行社服务云平台需兼容各类计算、存储设备，以及相应的虚拟化技术（如PowerVM、VMware、OpenStack等）

2.1.6先进性

行社服务云平台建设应参照国际先进理念设计，结合福建农信实际，突出云计算的价值，通过按需自服务的方式，实现IT资源的自动化交付，及相应的资源、权限、规范管理。同时要求相应的产品、技术在市场和服务等方面处于领先地位，以达到保护投资和利于系统长期维护、升级的目的。

2.1.7前瞻性

高起点规划，高标准建设，高水平管理，充分把握银行业前端领域的发展趋势，满足系统上线后5年的业务发展需要。

2.1.8可扩展性

系统应支持硬件平台、支撑软件上的扩展能力；系统的设计容量能满足和支持未来业务发展的需要；系统设计遵循模块化、组件化、参数化设计原则，方便灵活，易于改造和扩展；能通过系统预留的升级接口独立地、平滑地进行升级，功能扩展不会明显影响整体系统效率。

2.1.9可审计性

记录所有在行社服务云平台内的自服务和管理配置操作，并支持灵活的过滤和查询以便稽查。

2.1.10高效性

系统结构合理、效率高、资源占用率低，避免过多的数据冗余。

2.2需求调研及方案制定

福建农信行社服务云需求调研及方案制定工作应用“金融私有云”的理念，符合福建农信IT架构管理框架，设计福建农信行社服务云建设方案，针对福建农信进行“金融私有云”培训和理念导入，应至少包含并不限于以下工作：

2.2.1建设现状

行社特色业务快速发展，我社现有服务方式已无法适应业务发展需求，为此建设行社服务云，行社服务云是我社新建分区，分区建设所需设备需要重新采购（计算资源在原计算、存储虚拟化架构基础上建设）。

2.2.2需求调研

通过材料收集、访谈、模板调研等，对行社服务云IT系统现状进行收集和梳理分析，包括并不限于基础架构（计算、存储、网络、安全、负载）现状、特色业务系统现状、运维管理现状、纳管现有计算存储资源、相关人员对行社服务云建设的理解、需求及未来规划等方面调研。

2.2.3调研分析

结合对人行、银监等国家有关部门相关政策、规划、标准，及福建农信相关政策规划的解读，分析调研成果。分析IT基础架构现状、应用系统现状、运营管理模式现状，根据调研结果从IT基础架构建设、业务、管理等方面入手，得出福建农信行社服务云3-5年内的网络需求、安全需求、负载需求容量需求、运维需求、运营需求、管理需求、功能需求、非功能性需求等，形成福建农信行社服务云蓝图，支撑指导后续规划设计。

2.2.4架构设计

根据需求和目标，规划设计福建农信行社服务云整体技术架构，并根据福建农信相关制度规定，制定相关架构体系、业务标准、管理体系、运营体系、运维体系、服务体系等。

2.2.5建设方案

结合福建农信需求，近期与中长期目标及目标，根据已梳理的需求与痛点提出行社服务云总体架构设计与相关设计方案，并提出未来3-5年架构演进路线图含技术选择、实现路线、资源需求、开展计划等。设计方案包括：计算资源池规划、存储资源池规划、网络资源池规划、安全资源、负载资源、云平台功能规划，云门户详细设计等。

2.2.6方案评审

组织专家团队，根据福建农信内部流程进行方案评审。

2.3行社服务云建设

行社服务云包含：SDN网络资源池、安全资源池、负载均衡资源池、云门户管理、用户管理、流程及审批管理、网络管理、安全管理、负载管理、多租户管理、服务目录、应用蓝图、自动化部署及扩展、配置监控及管理、资源及容量管理、存量资源纳管、审计、监控报警、报表管理、大屏展示等功能模块，总体架构如下所示

三、系统架构特点及优势

行社服务云可分为云门户、云平台、云网络、云安全四个部分。

3.1云门户

3.1.1门户管理

支持自助服务平台，提供服务的概览页，支持展现普通用户当前账户下的资源概览，并支持展现组织管理员当前账户下所属组织的资源概览。持显示用户所拥有的资源详情，提供统一的图形化管理界面，支持普通用户的登陆、账号日常管理。提供服务云功能及信息全站检索功能。提供集中的用户管理功能，可供管理人员使用，分级维护所有的组织单位和人员信息，用户的组织架构可根据福建农信的组织架构进行自定义。 

支持多租户管理，可以通过设置租户方式对业务部门或项目所使用的底层资源进行逻辑或物理隔离，云门户租户可与SDN网络租户关联，租户名字可与SDN网络租户名字相同对应，支持对租户指定租户管理员，实现权力下放，租户内的工作由租户管理员完成。根据申请配置进行预分配并计量计费，针对不同租户生成不同维度的资源使用报表。提供租户配额管理，支持自定义的配额管理、计费管理；提供租户资源总量、已用资源和剩余资源的视图。

3.1.2服务交付

云门户为用户提供自助式服务门户，用户自服务门户是对用户提供简单友好的自服务界面，登录后用户可以对平台提供的产品进行浏览，提交订购与变更请求，对自己的服务实例进行查询、变更、操作、终止、监控、管理等。

根据福建农信实际情况制定服务目录，应用蓝图产品发布至服务目录，提供丰富的业务模型服务型模板，支持用户通过工单或资源申请流程获取云资源，包括并不限于虚拟机产品、虚拟磁盘产品、数据库产品、软件自动化部署服务、网络产品、安全产品、负载产品、计费服务，并可将所发布的服务指定到某个租户。用户根据发布产品申请资源，对所发布的服务产品可支持下线、修改、删除等，满足应用对资源和运行环境的需要。

3.1.3服务管理

支持流程配置，支持系统管理员自定义配置多级资源审批流程策略。用户在平台上的所有操作都留有日志，记录用户操作，并支持操作审计及导出，支持审计角色和用户管理。

可以查看整个云管平台所管理的物理、虚拟机、安装的软件、网络资源、安全资源、负载资源等等台账；支持从环境、地区等不同的维度查看资源使用情况但不限于CPU、内存、存储、网络、安全、负载等各种的资源；支持从资源池的维度查看资源池中物理CPU、内存、存储、网络资源、负载资源、安全资源容量容量情况；且支持自定义基础信息显示列；单个虚拟机详情页面可以查看监控状态，且支持详情页面导出单台虚拟机监控信息；报表支持PDF和Excel格式导出。

提供计费功能，支持云门户上所有资源按量和按时计费。提供计费账单按月查询功能、计费详情报表导出功能。

3.1.4门户运维

实现用户服务申请订单进行审批、查询、筛选，并提供查看订单审批流程跟踪。支持所有系统软硬件资源使用状况、可用性和性能监控，可定义策略以触发资源预警，提供监控数据接口，支持批量创建监控对象，支持监控集成至福建农信统一监控平台。自动采集云平台相关软硬件配置信息，实现所纳管的系统软硬件配置管理，获取服务器、存储、操作系统、云平台等系统软硬件的配置信息，支持业务系统、虚拟资源及IT基础软硬件的关联性管理、展示及自动发现。

为运营管理员和运维人员提供系统运行过程中各类资源和各项指标的统一监控和统计分析，支持对各类资源的KPI性能指标（如CPU使用率，内存使用率等）按设定监控时间查询表并支持报表导出，所采集的监控数据统一存储在配置数据库中，通过处理分析，提供多种维度报表，报表主要包括业务报表、资源报表、连接故障报表等使其了解整个系统平台中运营情况以及资源的使用情况、运行情况。

平台提供完整的、可分析的记录，日志分级清晰，方便查找错误和问题；能够提供详细有效的系统运行和用户使用日志，便于对故障、事件和错误等进行分析和定位，方便事件处理和解决；同时提供各种日志的备份、清理、查询等功能。

3.1.5外部集成

具备一定的流程管理能力，能够支持和我社ITSM系统集成，对接审批流程，实现流程整合，可与其它流程系统（结合福建农信流程平台）进行对接，按照福建农信审批流程对接设计。

3.2云平台

3.2.1计算资源纳管

支持对不同的云平台设定不同的资源池（包括HMC或PowerVC、OpenStack、VMware以及X86裸机），支持对资源池管理列表进行增删改查等操作。

3.2.2存储资源集成

支持对存量存储的管理，能够对现存的存储和光纤交换机进行管理，实现存储卷的划分、卷的扩容和删除、配置Zoning和服务器映射配置。

3.2.3防火墙纳管

支持防火墙纳管，支持云平台自动下发防火墙配置。云平台纳管防护墙内容丰富，配置防火墙选项丰富。用户可按需申请，防火墙模块可集成至应用蓝图。

3.2.4负载均衡纳管

支持纳管F5负载均衡，配置可自动下发至F5,支持F5资源纳入应用蓝图中发布产品。

3.2.5 SDN网络纳管

支持云平台与SDN对接，云管可纳管网络，对接内容丰富，提供各平台对接接口参数，同时提供云管平台已实现纳管SDN功能列表。

3.2.6存量资源纳管

通过云平台界面可以在线接管客户已有的IT基础资源，包括计算、存储、网络等信息，接管过程业务系统不中断，并支持批量接管，对已纳管的资源进行云化管理。

3.3云网络

本ACI设计方案满足福建农信对行社服务云建设的需求，具体通过以下实现：

ACI由APIC控制器、SPINE核心、LEAF接入组成，可以满足新一代数据中心对性能横向扩展的需求；

ACI架构支持VXLAN等技术，实现ID，policy，Location以及vlan的解耦和敏捷部署以提高网络交付效率；

采用Nexus9K交换机，接入带宽为10/25G自适应，骨干带宽为40/100G自适应，满足大数据的传输；

采用leaf-spine架构使网络扁平化，消除网络生成树等传统慢收敛技术，降低转发延时；

采分布式网关技术，以优路径转发数据，传统网络必须经过核心三层网关转发；

通过APIC控制器对整个行社服务云网络设备进行统一管理和监控，提高网络运维效率；

兼容传统数据中心互联，满足虚拟化平台等各种服务器迁移技术需求（二层透传，IP/VLAN技术转换等）；

利用ACI技术，将租户按各行社进行划分，实现租户间的逻辑隔离；

APIC控制器可提供网络南北向API，兼容行社云平台；

3.4云安全

3.4.1病毒防护

支持一般性病毒木马、宏病毒、敲诈勒索软件病毒、注册表病毒、间谍软件、僵尸远程软件等特定恶意文件的查杀，病毒库可在线和离线更新。病毒库更新不影响业务连续性，提供周期更新病毒库。支持对压缩、加密、加壳后的病毒木马进行深度识别和查杀。

3.4.2恶意代码防范

支持对后门、木马、蠕虫、webshell等恶意代码的静态检测和行为检测，并对检测出的恶意代码进行控制隔离，同时记录完整日志供后续问题溯源分析。支持在线和离线更新防护恶意代码版本和恶意代码库。支持云主机安装防恶意代码软件。

3.4.3入侵防御

支持入侵检测功能，可针对出入虚拟机的流量进行检测识别，防御网络攻击及入侵行为；支持拒绝服务类、缓冲区溢出类、木马后门网络攻击类、Web攻击类、恶意网络扫描类、恶意提权类等攻击进行检测防御，但不限于此。

3.4.4数据库审计

支持数据库审计，提供全功能数据库审计功能：

3.4.5云堡垒机

支持云堡垒机安装部署，支持身份鉴别、访问控制、安全审计等功能。

3.4.6系统加固

支持系统加固，补丁系统漏洞自动修复功能，补丁服务器可自动更新，检查未加固系统，手动或者自动根据缺陷修复系统漏洞。

3.4.7安全服务模板

根据等保要求推荐不同级别的安全服务模板，如等级保护二级模板，等级保护三级模板等，在租户虚机建立时提供选择并自动完成关联和部署。

3.4.8综合漏洞扫描

支持分析扫描应用系统、网络设备、数据库、服务器等（但不限于此）信息安全系统漏洞，生成漏洞扫描报告，报告支持漏洞信息，漏洞严重等级程度，解决方案等，报告支持多种格式如PDF、Excel等。

3.4.9 APT功能

支持高级可持续威胁攻击防护，支持溯源分析，包含但不限于此，攻击者IP、攻击手段、攻击过程、攻击获取信息。

3.4.10安全资源池分析

支持单独呈现出安全资源池的使用情况和健康状态，支持导出报表，报表内容可自定义。

3.4.11安全服务告警

安全服务主机出现非计划停止服务时，弹出告警，并分析原因，支持导出报表，记录失效时间和问题。

3.4.12防病毒分析

支持病毒趋势、病毒种类、病毒排名等日志的分析呈现，支持导出报表，报表内容可自定义。

3.4.13系统加固

支持系统补丁修复情况分析，支持导出报表，报表内容可自定义。

3.4.14日志管理

平台支持记录日志，记录日志类型丰富，支持发送至第三方日志服务器。

3.4.15问题溯源分析

系统支持告警问题回溯分析，内容包含数据包、告警行为、解决方案等，但不限于此。

3.4.16云网安全分析

云网安全分析采集虚拟机的流量进行流量可视化分析和威胁检测

四、创新点

4.1 SDN网络

随着云计算技术的发展，满足不同类型租户的需求并为不同租户实现安全隔离，成为传统网络部署的难题，云计算场景要求的业务快速变更部署，网络弹性拓展的能力在传统网络中难以解决。行社服务云采用SDN方案的业务网络，基于overlay技术实现租户间网络隔离，保障租户间信息安全，同时SDN网络业务灵活部署的特点，满足了行社租户业务快速上线的需求。

4.2云安全平台

云安全管理平台是基于云安全资源池构建的、可弹性扩展的综合云安全防护平台。基于NFV技术，实现安全服务资源池化，以数据驱动为核心，深入云计算内部，全面覆盖了云环境中的网络层、主机层、应用层、数据层防护，同时满足云环境下安全即服务的特点，快速部署、安全可靠、专业服务的安全需求。

五、项目过程管理

2021年1月至3月需求分析、架构设计、方案评审；

2021年4月至7月测试环境实施；

2021年8月至9月试运行环境实施；

2021年9月辖内三家行社租户试运行；

2021年12月正式上线。

六、运营情况

福建农信行社服务云自2021年12月正式上线以来，仍处在快速发展阶段,目前已累计为23家辖内行社租户的28套业务系统提供高效安全的自助化云服务，包含云主机、防火墙、负载均衡、DNS、SSL加解密等云资源200余项，用户量17万，平台上所运行业务系统日均交易量达6000笔。

七、项目成效

该项目的开始试运行后，福建农信各基层行社可以按需自服务，实现IT资源的自动化交付，及相应的资源、权限、规范管理。审批流程更加透明，资源部署时间也由原来的7天缩短到5分钟，当前产生的经济价值（参考公有云计费方式）约157万元。并且，通过统一业务安全等级与开发标准，在一定程度上保证了资源、系统、接口、数据的安全性和合规性，降低生产操作风险。

如漳州农商银行铺子，是漳州农商行线上积分平台，入驻漳州农商行引入的商店与客户，漳州农商银行可以为其客户提供更加精准服务。在行社服务云系统上线前，漳州农商行需自行购买搭建IT资源、网络、安全等全套环境，在此环境上仅部署少数几套特色业务，成本高、耗时长且资源利用率低。行社服务云系统上线后，漳州农商行的特色业务通过自服务方式申请资源，快速部署，截止当前运行一年费用仅需6.5万元。

八、经验总结

福建农信通过对行社服务云的打造，实现了行社特色业务在软硬件层面的巨大提升。硬件层面在极大提升了服务器、存储、网络资源使用效率的前提下实现了行社租户对于资源申请的自动化、自服务和自管理；软件层面通过SDN的租户网络隔离和云安全平台对租户网络安全的统一管理，在资源、系统、接口、数据的安全性和合规性上向前迈进了一大步。在此基础上，我们将持续推进行社服务云的需求响应和自动化流程建设，提高省联社服务能力及资源使用效率，实现资源池统一高效管理及自动化、自服务，满足行社特色业务发展需要。