赋能故事 ： 3年匠心“智”造，铸就华金证券上云梦

---

《赋能故事》编者按：从云计算到边缘计算，九州云始终相信“开源·赋能变革”。7年时间里，九州云不断突破和超越，用开源技术创造了一个又一个精彩的赋能故事。2019年10月，九州云《赋能故事》系列正式推出，咱们将用一个个经典的客户案例故事，为您展示不同的九州云产品、不同的九州云服务。***

曾几什么时候，股票是人们发财和一晚上暴富的手段，那时的人们用拷克箱来装实物股票，数目大的股民须要用麻袋装实物股票到交易所办理转让过户手续……

曾几什么时候，办理交易的人们须要到窗口排队，远远望去像极了一条条“长龙”，场面十分壮观，那时的交易工做须要大量的人力来完成……

曾几什么时候，中国的证券行业正处于熊市，那时电话委托、网上交易取代了传统的交易方式，券商的IT工程师们“快马加鞭”地奔走于各大城市，调研本身所在券商公司各地营业厅的交易以及系统运行状况，一轮又一轮扩容相应的IT系统……

而今，对于跃然云上的华金证券来讲，那样的日子已经一去不复返了。

华金证券股份有限公司（如下简称：“华金证券”）前身是设立于2000年9月的上海久联证券经纪有限责任公司，然后经历引进战投、增资扩股、股份改制等一系列事宜，2016年12月正式改名为华金证券。做为一家拥有全牌照的综合性证券公司，华金证券业务范围涵盖证券承销与保荐、证券资产管理、证券经纪、证券自营、另类投资等诸多领域。

目前，华金证券业务主要依托股票期权、沪港通、期货、私募、债券投资、新三板、投资银行等板块，重点围绕“三大引擎+两大支撑”，即：以固定收益、资产管理、投资银行为主导业务，以经纪（含融资融券）、研究销售为核心支撑业务，立足沪上金融制高点，依托珠海横琴区位、政策优点，欲经过创新与互联网金融的发展方向，走出一条多元化、国际化的道路，然而证券企业的创新之路并很差走。

“互联网+”带来的“焦虑” 用私有云“破局”

2016年先后，“互联网+”概念引起了全民狂欢。所谓“互联网+”就是“互联网+各个传统行业”，但这并非简单的相加，而是利用信息通讯技术以及互联网平台，让互联网与传统行业进行深度融合，创造新的发展生态。证券做为金融业的大龙头，天然也被推向了“互联网+”的风口，众多公司把一部分业务搬到了线上，例如网上开户、网上金融商场等，华金证券也在“互联网+”的浪潮下，不断利用最新技术升级产品和业务，从而提高用户体验。

然而，“互联网+”犹如硬币的正反两面，给用户带来良好体验的同时，对行业的技术架构也提出了新的要求：产品迭代愈来愈快、交易量峰值没法预测等挑战要求证券企业必须尽快利用IT技术提高自身信息化水平，这时候，云计算无疑是最佳选择。

为何说云计算是最优解？有数据显示，2016年先后，云计算逐步向以金融行业为表明的传统行业加速***，证券领域中应用私有云IaaS的企业逐年增多，加速系统上线、下降成本、提高运维效率是他们建设私有云的主要驱动力。

面对如此形势，华金证券结合自身业务特色，决定在上海小范围采用新型技术加速业务发展的思路下，开展内部私有云建设。在云计算飞速发展的当下，立体式的金融服务平台须要有一个强大的后端支撑平台，对于在金融投资数据服务领域快速发展的华金证券来讲更是如此。

私有云建设之路困难重重

当时，华金证券对国内外现有的云平台服务作了细致的测试和对比，涉及经济性、自主可控性、将来发展趋势等多个方面，对比以后最终选择采用OpenStack技术路线来构建私有云。华金证券但愿经过逐步上云的策略和开放的技术架构，建设有行业有特点的证券私有云，为集团内部提供一套完整且高效的金融IT服务能力。

私有云平台须要承载多个任务：为IT运维部门提供一整套完整的IT基础设施、基础IT资源管理系统，为IT开发人员和第三方解决方案厂商提供云平台标准接口，为内部业务人员和外部客户提供应用数据服务。整个云平台从架构上要符合云计算将来的建设标准，提供标准的对外接口和可扩展能力。对于华金证券来讲，要建设这样一个私有云平台是有必定难度的：

首先是云平台的部署和扩展方面，华金证券将建设互联网金融业务云平台，如何经过该平台为金融行业提供互联网金融业务开展所需的软件服务、基础架构服务；

其次是定制化开发服务方面，如何缩短系统开发周期、实现产品的快速迭代，最大程度地知足市场需求和用户体验;

再次是计费计量方面，如何根据客户的使用量进行按需计费和计量，实现按需的弹性资源供给;

最后是高标准运维支持服务(SLA:99.99%)方面，如何确保各计算节点和控制节点在交易时段内整年累计达到99.99%的可用性。

除了面对上述困难以外，华金证券内部也缺少专业的技术人员，处理云平台平常运维管理中存在的问题。

基于九州云解决方案打造健壮的私有云平台

为了解决上述难题，华金证券找到了九州云。根据华金证券云平台的建设成本、开放架构以及所面临的难题，九州云为其提供了一套高效的解决方案：从物理层、虚拟化层、管理层、业务层、运维监控层和用户层面，以OpenStack核心组件为基础进行管理，经过分期建设的方式，帮助华金证券逐步构建私有云平台。

第一阶段采用 OpenStack 成熟的模块，把计算虚拟化、存储虚拟化进行统一管理，并结合开源的监控工具完成对整个私有云业务系统的监控。整个云平台从资源上经过OpenStack管理平台整合了原有的计算、存储、网络的管理，为华金证券的业务提供了标准的IaaS的API服务。经过九州云的Animbus服务门户，让管理员能够经过统一门户为企业IT管理人员提供自助服务。整个私有云平台在构建初期就考虑到平台的稳定性，云控制部分采用多节点、高可用的方式，总体解决方案遵循如下设计原则：

计算资源池：资源池架构标准化与充分整合以下降运维成本，提升资源池的运行保障效率，经过资源池的设计实现计算资源弹性化，缩短服务部署时间以提高业务竞争能力。从安全可靠、适应性、可扩展性、实用性、先进性、高效性、标准化、易管理的角度出发，经过业界领先的方法论和对金融行业应用业务的理解，并参照金融业界最佳实践经验来规划计算资源池。

存储资源池：根据金融业务的特色，存储资源池的设计须要从数据安全性、性能以及可扩展性进行设计，遵循架构灵活性、易管理、资源调配统一性和便捷性、数据保护性、存储层次化，多样性等原则。存储资源池的设计须要纳管传统商业存储（例如：SAN、NAS），同时须要在扩展性方面对软件定义、分布式存储做为业务的扩展，实现多种存储的统一设计和统一管理。

网络资源池：采用“先分层，后分区”的设计思路，根据不一样业务功能区域的隔离需求，整个网络系统按照总体业务流向划分为外联接入层、网络交换层、核心网络层、存储区域层。同时，为了更好的支持云平台的运行管理，将网络分为服务、业务、管理3个网络平面，经过层与平面结合造成7个区域，各业务区域之间实现网络逻辑隔离，有利于系统的拓展，也便于往后的运维管理，同时也为业务的拓展奠基基础，只需增长相应功能区域的设备就能够知足新业务的网络通信需求。

另外，证券企业有大量的业务系统须要和硬件的USB-KEY进行通信，在本方案中，须要把原有的USB-KEY的业务系统逐步迁移到整个私有云平台上。考虑到从此对USB-KEY的统一管理，在私有云平台控制节点上接入应用平台所须要的USB-KEY，经过IP网络挂载给私有云平台的虚拟机，从而提供基于KEY的安全认证。考虑到USB-KEY业务的连续性，在两个控制节点同时具有接入USB-KEY的能力，在必要的状况下，能够切换USB-KEY到备份节点。

在云平台运维方面，经过Zabbix+ELK的方式，从物理设备、基础OpenStack 服务、存储服务等多个维度对整个平台的监控情况作一个合理的评估，并经过Grafana为运维人员提供统一的监控展示平台。

在上述设计原则的指导下，华金证券IaaS基础支撑云平台总体高可用架构的设计以下图所示：

如上图，华金证券云平台底层基于计算存储融合的x86服务器以及网络交换设备的部署，经过虚拟化技术整合，基于超融合架构，实现计算资源池、存储资源池和网络资源池构建。超融合技术将x86服务器的本地存储资源聚集成统一的存储资源池，经过网络路径冗余、网络分平面设计、存储多副本、小IO聚合、自动负载均衡等高可用技术实现高可靠的云计算资源池建设；上层经过云资源管理平台建设实现用户管理、运维和运营管理、开发管理、安全管理、日志管理以及计费管理等功能。经过IAAS云平台提供的云主机或容器以支撑上层业务系统相关模块的部署和运行。

云平台计算资源：经过虚拟化管理软件实现资源池化，主要用于提供CPU、内存等计算资源以承载业务应用，基于硬件服务器自身的双电源、RAID卡等机制实现设备的高可用性。

云平台存储资源：IaaS云架构实现存储和计算资源的融合，即每台x86服务器既是计算节点，又是存储节点，经过分布式存储引擎将每台节点机本地不一样访问速率的硬盘融合成全局的存储资源池，用于存放云主机镜像以及业务数据等；经过分布式存储引擎构建的存储资源池具有分布式架构，经过软件定义方式实现分布式集群HA、分布式无状态机头、分布式智能Cache（冷热数据分离）及数据的多副本存取机制。

云平台网络资源：每台IaaS管理服务器和计算服务器的万兆和千兆网卡和外置的万兆以及千兆以太网交换机提供云平台的高冗余网络架构。

云平台管理：用于对云平台的资源池进行统一的调度和管理，以HA方式部署在管理节点服务器组成的集群上。云管理可对资源池中全部节点上的资源进行统一管理并提供web接口给管理员和用户，以实现访问门户的负载均衡和高可用。

全方位提升经济效益和业务效率

IaaS云平台上线以后，华金证券的研发测试系统、部分交易系统、办公系统逐步迁移到了该平台上。因为最初选择采用九州云提供的云平台解决方案，在过去3年多的时间里，IaaS云平台给华金证券带来了巨大的经济效益，与此同时，公司的业务效率也获得了全面提高：

资源使用率获得大幅度提高。以传统开发测试环境为例，服务器CPU使用率一般不足10%(业界平均)，而经过云平台虚拟化以及资源共享调配的手段能够将CPU使用率提升到60%以上，同时也提升了空间、能源的使用效率。

应用部署效率获得有效提高。在传统开发测试中，大量工做花费在基础设施供应上，而经过云平台自动化实现了自动供应，将原来数周的供应时间降为数分钟，极大提升了应用部署上线时间，减小工做量的同时，缩短了新业务上市周期，从而使得华金证券的业务在竞争中夺得先机。

解放人力，提高了单位人工生产力。因为云平台采纳了自动化方式，以机器替代了人工工做，从而提高了部分工做效率。另外，经过自助化方式的申请资源，至关于将许多基础设施工做“众包”给最终用户，不但减小了中间环节，还极大解放了运维人员的生产力，把他们从繁重的重复劳动中解放出来，投入到更加高附加值的工做中去，资源获得了合理配置。

IT管理水平获得大幅度提高。云平台经过统一自助门户管理资源，全部管理方法经过流程化手段固化，使得管理理念得以贯彻落实，下降了因为传统IT管理中存在的“灰色地带”而致使的资源浪费。此外，人员知识技能以自动化脚本的方式被重复使用，下降了企业的人力资源成本。因为云平台自带配置管理、告警、报表和仪表盘工具等，这为IT运维和管理辅助决策提供了现成的工具。

提高IT合规水平，下降了风险发生的几率。因为云平台采纳了自动化、流程化等辅助手段减小了人工操做，从而下降了因为人工失误带来的潜在风险。有了标准化流程保障，使得人为违规的可能性下降，再次下降了风险发生的几率，从而下降了企业所需承担风险的隐性成本。

现在，云计算已经成为证券机构“技术引领业务”转型中的推进者，华金证券上云的案例为其余证券机构上云提供了有效借鉴。在过去3年多的时间里，九州云在为华金证券提供服务的同时，也见证了其一步一脚印踏入云端的辛路历程。将来，九州云在不断进行技术创新的同时，把以往累积的丰富经验和能力输出给更多行业客户，最大限度地发挥自身价值，为更多行业赋能。