开源云在金融行业的应用——以深证云为例丨TF成立大会演讲实录

本文整理自“TF中文社区成立暨第一次全员大会”上的演讲，点击下载幻灯片文档。https://tungstenfabric.org.cn/assets/uploads/files/financial-case-ztcloud.pdf

深证通金融云研发中心总助张鹏

各位上午好！我是来自深证通的张鹏。很荣幸能有机会和你们分享一下开源云在金融行业的应用。
首先介绍一下深证云的状况，咱们公司是深圳证券通讯有限公司，成立于1993年，主要为深圳的证券市场提供行情、交易，还有清算的通讯服务，同时也为中国的金融证券机构提供综合IT服务。

从2013年开始，随着云计算浪潮的兴起，咱们就着手搭建行业云，主要为中国的金融证券行业提供云服务，咱们的四项基本原则叫作开放、中立、专业、合规。

开放主要是咱们去拥抱开源的技术路线，去打造一个开放的生态；中立是指公司具备行业公信力，做为独立的第三方，保持业务的中立性；专业是指咱们20多年的金融证券IT服务经验，就专一于这个行业；合规是指咱们符合证监会等监管机构的规定，同时利用专业的服务去帮助咱们云上的客户作业务合规。

咱们主要是基于开源的技术体系，使用了你们熟悉的OpenStack，计算虚拟化用的KVM，而后分布式存储用Ceph，SDN也用到了TungstenFabric。如今咱们正在基于K8S去作相关的容器云服务的研发。上面BSS业务支撑系统，还有CMP的多云管理，OpenAPI，数据调用接口，都是基于Java的框架自研开发的。

通过这六年多的发展，咱们逐渐基于开源的技术体系打造了一个稳定安全的基础设施平台，同时联合了恒生，金证等ISV，共同为咱们的云租户提供相关的产品服务，主要是包括IT基础资源外包，灾备开发测试，行情云等。

社群包括不少客户，给你们举三个应用场景的例子。

第一个例子是核心监管机构，好比中国证券基金业协会，你们若是报名考试证券从业资格证的时候，访问的考试系统就位于深证云上。

第二个例子是券商，如今你们用手机浏览股市行情，看股市的曲线，不少券商把行情系统上到咱们的深证云，由于深证云具备全国各地的数据中心节点，便于他们的用户去就近接入。

第三个例子是一些公募和私募的基金，主要这几年新筹的公募和私募，他们为了缩短申请牌照的周期，就会选择云服务，利用咱们公司专业的云服务，快速取得牌照。

深证云做为行业云，与腾讯云、阿里云这些公有云相比，有什么特色呢？我也想谈三个方面。

第一点，就是云租户除了在本身的VPC以内拥有传统的云主机、云盘、云网络等，还能够申请物理机，以及专业存储。由于在金融证券IT行业，不少核心系统其实仍是跑在Oracle上面，去IOE仍是须要一个过程。

第二点，深证云具备专业的网络结构优点，云租户上了咱们深证云以后，能够很快地接入行业网络，链接到核心机构，好比说链接到深交所、上交所，还有证联网。

第三点，咱们会同深信服、绿盟、360这些安全厂商合做，同他们共建安全资源池的方案，便于云租户继续使用他们熟悉的云安全产品，只不过这个产品是以虚拟机的形式存在的。

最近一两年，咱们也推出了私有云的解决方案，私有云主要是为客户提供一个专属的机柜，作到自然的物理隔离，而后基于客户的需求，定制化他们的硬件方案，还有网络方案。

而后私有云也给你们举两个场景。到2020年，央行要取消外资的证券基金期货持股比的限制，如今一些外资基金与咱们联系，他们对私有云这种模式很是感兴趣，由于能够作到定制化，他们就可使用熟悉的安全设备、网络设备，用他们本身的架构。

还有就是灾备。2019年证监会发布了《中国金融证券经营机构信息技术管理办法》，里面对经营机构的灾备能力做了明确的要求。如今券商还有基金公司也对私有云的方案比较有兴趣，由于他们能够基于私有云作同城或异地的灾备。

通过这六年的发展，咱们逐渐造成了全国布局、就近服务的行业云计算中心。既有咱们本身的数据中心,也有租用的，好比说运营商的廊坊、重庆、苏州的机房，如今服务器有数千台。

其中，最大的一个TF网络SDN节点，就是位于咱们中国证券期货业南方信息技术中心，使用TF的SDN网络方案。

下面请Mirantis中国区GM Eugene Huang来介绍一下具体的技术架构。

Mirantis中国区总经理黄子铀

谢谢张总，我是Mirantis的黄子铀，一直在美国硅谷那边工做，大概也差很少20年了。很高兴为你们分享Mirantis跟深证通的合做。

从2012年成立起，Mirantis就一直在开源社区里作贡献，2013年进入OpenStack，2014年开始跟Juniper有紧密的合做，并选择了他们的Contrail方案，也就是如今的Tungsten Fabric。

Mirantis的客户主要有运营商，包括美国AT&T，还有印度、澳大利亚的运营商等，还有就是和苹果电脑、大众汽车等合做，在一些场景中提供服务。

为何要选择开源的云架构？由于它是自主可控的，拥有丰富的生态。上层有BigData、DBaaS、Containers、PaaS、CMP等。中间是咱们提供的，当时只是OpenStack跟裸机，如今也支持Kubernetes。下层也有不少不一样的合做方，能够任意选择不一样的基础设施。

当时跟深证通一块儿创建的那朵云，是基于Fuel的产品去部署和运维的，还有包含一些LMA的toolchain；另外也包含了HighAvailability；网络是选择了Open Contrail（TungstenFabric）；存储是分布式的用Ceph，也对接商业版本的SAN；Wordload包括Murano和Sahara。

那为何要选择Contrail呢？当时咱们的网络专家把市场里全部的SDN都作了一些调查，用那些条件去选型。各方面评估后，咱们以为Contrail是当时稳定性和可用性最好的一个SDN，它支持高可用，能够横向扩展，功能丰富，Service Chaining、NetworkPolicy也都是咱们一些大客户须要的场景。开源，而且是软件的方案，也没有供应商的锁定。特别是对于运营商，这是一个很大的痛点，也知足了当时深证通的应用场景。

咱们的Underlay网络架构的设计。有IP-CLOS的架构，OSPF做为Underlay网络的路由协议，ECMP来实现可用链路的复载均衡等。

存储方面咱们是用了Cinder backend就是多存储，分红不一样的资源池。有SAS的pool用Ceph来实现，大部分就都解决了。还有一些高性能的，咱们就选用了SSD的pool。咱们也对接了一个SAN的Storage pool去解决一些商业场景。
接下来请杨雨介绍一下具体的应用场景。

Tungsten Fabric中文社区技术人员表明杨雨

介绍一下我本身，我是TF社区的技术表明，作社区的推广和运营，包括咱们中文社区的筹建。

刚才提到证券云行业的监管要求，证监会但愿券商的IT基础设施是有灾备的。那么咱们从深证通考虑，提出有灾备云的服务，那么在网络这个层面，就须要一个SDN的方案能支撑多云互联。深证通灾备云目前在东莞凤岗的证券基金行业南方数据中心有一个主集群，北京也部署了一个灾备的集群，造成了一个灾备云的方案，也是经过Contrail来实现多云互联的。

具体它是怎么实现的？主要是基于Contrail的一个底层技术，就是咱们熟知的MPLS 。首先咱们能够看到，客户的一个网络，它是能够跨两个数据中心的。那么他只须要把他的租户的网络，相应的的VRF的RT，和咱们另一个数据中心的VRF的RT作相应的路由交互，就能够实现二层或者三层的L2 或者L3 的交互，实现整个的租户网络的打通。与运营商的MPLS骨干网络也是自然兼容，这是Contrail的优点，也是一个典型的应用场景。

另一块比较大的应用场景，就是物理机VLAN和VXLAN的互联。刚才张总也提到，在金融行业如今有大量的Oracle应用，对磁盘的IO性能要求是比较高的，如今大部分Oracle的服务器都是跑在物理机上。咱们的租户在云里面，怎么再把云的一个虚拟网络和租户的一个物理网络，作到统一的租户体验的管理，以及统一的隔离？其实在TungstenFabric里面就有相应方案，之前咱们用的是OVSDB的方案，如今有E*** VXLAN的方案。

原来的OVSDB的方案，它能够经过一个支持OVSDB的交换机，把物理机的VLAN在交换机上做VXLAN的转换，有L2的一个bridge，实现了云租户网络的一个虚机和物理机的一个二层通讯，这样也确保整个物理机也是有网络的隔离性，而且和网络的虚机，是一个彻底连通的场景。如今这个场景也有大量的应用在深证通里面，大概有一百台物理机的数据库节点经过TF实现了和虚拟机的二来提供这样的一个场景服务。

最后一点就是灵活的网络接入。相对于其余的公有云平台，深证通的网络其实有更多的要求，它须要和深交所、上交所、证联网和金融数据交换平台作互联互通。同时做为金融云的租户，他也有接入云和他本身的私有云之间互联的需求，包括专线的接入，或者是三层***的接入。甚至租户也须要经过互联网提供相应的互联网服务，TF经过MPLS ***的技术来提供一个很好的、灵活的接入选择方案。

同时还有一点，能够看到咱们会和深交所和上交所接入，其实在金融行业里面还会有一个比较特殊的场景，就是经过组播支持高频的Level 2行情数据的场景，其实当时咱们在作技术选型的时候，也是看到TF支持组播在SDN虚拟网络里面的传输。

谢谢你们！

关注微信：TF中文社区