一、项目背景及目标

随着金融科技和互联网的快速发展，金融业务相比于传统业务越来越呈现出访问量大、需求变化快等特点。如何支持创新型业务模式，支持业务系统的快速部署、弹性伸缩和持续交付，是银行系统研发与平台运维人员共同面临的难题。这些问题和需求主要包括：

1.面对互联网金融激烈的市场竞争，银行业务部门的需求变化越发频繁，且要求迅速响应和上线，使应用开发和运维过程中版本变更频繁、发布风险高，且对线上应用可用性的要求高，亟需实现版本发布的低风险自动灰度发布和故障自愈、自动化运维等功能。

2.应用系统涉及开发、测试、预上线和上线等多套系统环境，应用部署工作重复性高、工作量大、占用资源多，开发与运维协作难度高，需要建设从需求管理、代码构建、应用配置、业务部署到运维管理的一整套流程和支撑技术。

3.互联网应用访问并发量不确定性强，要求平台具备弹性伸缩能力，虽然系统资源分配上实现了虚拟化，但仍然面临硬件使用率相对较低、资源分配调度相对缓慢等问题。

4.在国家信息化战略的指引下，国产化替代正成为金融行业技术创新的核心方向。进一步加强信息科技的自主可控能力，提高业务系统的安全性和稳定性，将会是银行业下一步数字化转型的重点工作。

为适应业务未来发展，满足数字化转型需要，潍坊银行启动了全栈信创容器云平台的建设，进一步加快IT对业务需求变化的快速响应，满足业务快速开发和迭代的需求。采用标准化的容器技术和镜像输出能力，为开发测试生产提供一致性的环境。利用容器云的弹性伸缩、故障自愈等能力实现对互联网金融业务流量快速变化的支持。

二、创新点

1.高度自动化与智能化。容器云平台以K8S为核心，构建了一个高度自动化、智能伸缩的应用部署及运行环境。通过自动化的容器编排、调度和管理，可以极大地提高应用的部署效率和可靠性。同时，智能伸缩的能力可以根据业务需求自动调整资源分配，实现资源的最大化利用，保障业务系统的高可用性。

2.云原生技术的深入应用。容器云平台深入应用了云原生技术，如容器编排、微服务、持续集成/持续部署（CI/CD）等，为业务系统提供了更加灵活、高效、可靠的技术支撑能力，同时进一步提高了业务系统的敏捷研发、敏捷交付能力。

3.多租户与分布式架构。容器云平台采用多租户模式，可以支持多个用户或团队在同一平台上独立运行和管理自己的应用。这种模式可以充分利用云计算资源，提高资源利用率，降低运维成本。同时，分布式架构使得容器云平台能够支持大规模集群的调度和管理，满足企业级应用的复杂需求。

4.安全可靠与可观测性。容器云平台在安全性方面进行了全方位的设计和实现，包括访问控制、数据加密、漏洞扫描等安全措施，确保用户数据的安全性和隐私性。同时，平台提供了丰富的监控和日志管理功能，可以实时监控应用的运行状态和性能表现，及时发现并解决问题。

5.全栈信创架构。平台实现了从服务器、操作系统、数据库等方面的信创适配改造工作，部分关键组件采用自研技术，进一步提高平台的自主可控能力。

三、项目技术方案

容器云平台采用微服务架构、模块化的设计模式，系统功能全面，模块功能独立，可适应不同场景下的个性化使用需求，同时容器云平台具备良好的扩展性，通过第三方数据整合接口和门户，实现与第三方产品的灵活集成，基于全生命周期的设计理念，融入多维度、多视角、多功能管理能力。平台功能架构图如下：

容器云平台涉及到的主要技术架构包括：

1.高可用容灾架构。管理平台采用同城双活高可用集群模式，通过容器云多集群管理功能，实现跨中心的集群管理。

2.信创数据库适配。平台采用达梦数据库主备集群模式，主备实例及监视器跨数据中心部署，应用服务采用虚拟IP透明切换方式连接数据库，实现达梦数据库自动故障切换。

3.容器化技术。平台支持Docker等容器运行时环境，通过Kubernetes容器编排，实现容器集群的自动化部署、自动扩缩容、故障迁移、安全隔离等。

4.网络方案。平台提供了灵活的网络方案，支持Calico和Fabric网络模型。Fabric网络方案，具备高性能、固定IP、控制面数据面分离等特性，能够实现精细化网络管理。

5.多层级别的资源分配。集群级别，平台可以纳管多个集群，每个集群的节点、网络、存储可以相互隔离。分区级别，将一个集群拆分为多个分区，更加灵活的分配给租户和应用使用。租户级别，每个租户可以设置资源配额。应用级别，在租户中管理应用服务时，可以给每个应用服务设置资源配额。

6.系统安全。平台采用多维度安全设计，保证系统数据安全、网络安全、运行安全等要求。支持HTTPS安全协议访问、终端访问安全限制、Pod粒度的网络隔离和安全防护，支持租户、容器隔离。

四、项目过程管理

2021年4月至2021年11月，完成容器云平台产品交流、POC测试以及项目招标工作。

2021年12月，完成容器云基础平台搭建工作。

2022年，完成行内网贷管理平台、按揭E贷等多个系统部署至容器云平台。

2023年3月至2023年7月，我行与容器云平台厂商的专家技术团队进行多次交流，并对省内多家同业机构进行充分调研，在此基础上，详细制定我行全栈信创容器云平台升级改造建设方案。

2023年8月，完成全栈信创容器云平台项目招标工作。

2023年8月至2023年11月：完成全栈信创容器云平台信创适配改造、功能定制开发等工作，通过产品整体测试。

2023年11月，完成全栈信创容器云平台上线工作。

2023年12月，组织平台使用培训，协助多个应用系统上云。

五、运营情况

容器云平台自上线以来，共纳管主备数据中心4个业务集群，包括17个管理节点、32个业务节点，全部为私有化部署，为行内多个业务系统提供了高性能可伸缩的容器应用管理能力，支持企业级容器化应用的全生命周期管理。平台采用标准化的容器技术和镜像输出能力，为业务系统高效提供一致性的系统环境，解决了业务系统在开发、测试、生产等不同部署环境下发版时因环境不一致而造成的风险问题。各业务系统充分利用容器的弹性伸缩能力实现对业务流量快速变化的支持，容器的自动扩容能力可以很好地解决因业务访问量突增所带来的系统性能风险问题，提高了我行技术架构的支撑能力，加强了各业务系统的健壮性和稳定性。

通过建设容器云平台，助力我行最大程度地利用硬件资源，更加高效地进行系统运维管理，节约运维过程中投入的人力和精力，降低应用系统的环境复杂度和运维技术难度。面对未来应用架构微服务化设计、容器化部署的演进大趋势，容器云平台可以加快我行对已有应用微服务化改造的进度，也能为未来新的应用系统架构选型打好技术底座，进一步提高我行应用系统的可靠性、可扩展性，为我行业务快速发展提供坚实的技术保障。

六、项目成效

1.更高效的利用系统资源。容器对系统资源的利用率更高，无论是应用执行速度、内存损耗或文件存储速度，都要比传统虚拟机技术更高效。因此，相比虚拟机技术，一个相同配置的主机，利用容器技术往往可以运行更多数量的应用。

2.更快的启动时间。容器应用由于直接运行于宿主机内核，无需启动完整的操作系统，因此可以做到秒级、甚至毫秒级的启动，大大节省了应用开发、测试、部署的时间，提高应用交付效率。

3.一致的运行环境。在应用系统建设过程中由于开发、测试、生产环境的不一致，常常导致部分问题未在开发、测试中被发现。而容器的镜像确保了应用运行环境的一致性，从而规避了因环境不一致带来的问题。

4.持续交付和部署。通过平台的持续集成功能，可以帮助应用发布人员实现界面化一键式部署应用，涵盖上传应用包、自动制作镜像、推送镜像仓库、安全性检查、自动部署等环节，从而极大提升了应用发布效率，节省人力成本，加快应用迭代步伐。

5.降低运维技术难度。通过容器云平台可以帮助应用维护人员界面化管理应用的部署、日志查看、配置修改、版本迭代、监控告警等各个环节，同时容器的弹性伸缩能力可以完美应对业务高峰期，提高系统容灾性，减少了故障发生的概率和运维的技术难度。

七、经验总结

在潍坊银行全栈信创容器云平台的建设与推广过程中，我们通过加强需求分析、技术选型、架构设计、安全保障和用户培训等方面的工作，取得了显著的平台应用成效，也为未来相关项目的开展积累了宝贵经验。

1.明确项目目标和需求是项目成功的关键。在项目初期，通过深入分析行内业务发展的需求，明确了平台需要支持的业务系统类型和技术要求，进而能够针对性地设计技术架构和解决方案，确保项目能够满足实际需求。

2.选择合适的技术框架和工具是项目成功的重要因素。我们选择了以k8s为核心的容器编排技术，结合云原生技术栈，并针对信创技术栈进行充分的调研选型，构建了高效、可靠、灵活的容器云平台，能够快速响应业务需求，支持业务系统的快速部署、弹性伸缩和持续交付。

3.多租户和分布式架构的设计是平台可扩展性和灵活性的重要保障。通过多租户模式，平台实现了多个用户或团队在同一平台上独立运行和管理自己的应用，提高了资源利用率和运维效率。同时，分布式架构使得平台能够支持大规模集群的调度和管理，满足了企业级应用的复杂需求。

4.安全性和可观测性是平台稳定运行的关键。我们进一步强化了平台的安全设计，采取多种安全措施保障用户数据的安全性和隐私性。同时，平台提供了丰富的监控和日志管理功能，能够实时监控应用的运行状态和性能表现，及时发现并解决问题。

5.项目推广过程中，要注重与各业务系统项目组的协同联动。通过定期的项目需求对接和技术培训，让各项目组充分了解平台的功能和优势，提高了平台使用的积极性和熟练度。同时，在平台推广过程中积极收集用户反馈，不断优化平台功能和性能，提升用户体验。

未来潍坊银行将基于容器云平台持续完善“敏稳双态”IT架构体系，为未来新的应用系统架构选型打好技术底座，进一步提升敏捷研发和自动化运维能力，为业务的快速发展提供坚实的技术保障。