【SDN茶话会】上海站总结：金融企业的上云实践

2018年6月28日下午，由云杉网络主办的“SDN茶话会”在上汽上海文化广场的十二间·山举行。众所周知企业上云难、金融上云更难。上海是全国金融中心，金融行业作为上云的排头兵，自然云集了各路网络豪杰。本次活动我们邀请了甜橙金融、兴业数金以及中国银联的三位“茶博士”与云杉网络一起，分享金融企业上云的实践之路。

SDN在金融云网络的价值之自动化运维

▌云网上的故障有啥不一样？

金融行业上云有一半的因素来自“十三五”规划和监管政策。面临的挑战自不必说，没有先行者的经验可以参考，因此该踩的坑一个都不会少。以兴业数金为例，数金云在上海有3个数据中心，数金云的网络被划分为4个区域，数据中心的网络采用SDN集中控制——所有流表均通过控制器下发，形成了由上而下烟囱式的管理模式。

由于SDN的灵活性和细粒度，复杂度的问题随之而来，对数金云来说，网络运维的工作量不但没有降低反而增加许多。数金云的网络环境在业内也很少见。比如按照监管的要求物理防火墙是不可或缺的设备，但数金云内部虚拟防火墙的规则下发和物理防火墙的规则下发是不一样，甚至规则条目数存在最大1024的限制。通常的POC测试关注的对象是网络带宽等参数，因此很难发现此类瓶颈。

另外，数金云还面临扩容的问题，由于SDN的技术变化太快、受制于厂商的技术方案，运维人员不得不进行停机扩容。然而，最头疼的问题在于云上的故障与传统的故障现象不一样，比如Ceph性能降低的表象是延迟大，但你无法断言这是网络的问题还是I/O的问题。在缺乏有效监控手段的时候，网络团队往往成了背锅侠。

▌上云之后最大的工作是排障和沟通

甜橙金融的业务架构变迁可以说是金融企业上云的一个缩影，其网络由传统三层架构+X86服务器，最终走向了SOA的架构。在这个过程中，传统的网络问题不断地在云网络中复现，例如生成树的问题、脑裂的问题、VxLAN的问题等。随着业务的发展以及业务之间的频繁交互，网络更多地参与到了计算过程中来。

一个业务如果延迟几十毫秒，客户就能很明显地感知到。当业务部门终于意识到，唯有运维能对生产的可用性做保障时，业务上线流程的标准化工作才开始转交到运维手中，运维终于不再依赖“重启、重装、换电脑”三件宝，而是梳理业务和网络，优化流程、制定规范。经过努力，甜橙金融已经做到系统升级服务不中断、用户无感知，平台服务可用率、运维可用率大幅提升，单机处理能力和支付宝、微信等水平一致。以业务割接为例，甜橙金融可以在8小时内完成70T数据的异地割接，以前要先耗时3天做好负载均衡才能开始业务割接。经过梳理，平台内多达5W条的网络策略，现在缩减到1W条。在上云、上SDN的过程中，最大工作量是排障、是和业务的沟通。

SDN在金融云网络的价值之网络闭环

▌探索Telemetry的可行性

随着市场的发展，无论是传统金融机构还是新型互联网金融巨头，金融科技已经成为各机构发展的新趋势。目前，国内已有6家银行（民生、建行、招行、兴业、光大、平安）先后设立了科技子公司。但金融监管要求资金支付交易能“断直连”，中国银联既要面对监管的要求，又要满足其2020年IT建设规划指标。在高起点、高定位、参考业界最佳实践、成体系构建技术框架的指导纲领下，中国银联开始积极探索Telemetry在构建云计算智能网络中的可行性。

在构建智能云网监控的过程中，对网络流量和网络信息的采集和处理至关重要。INT「In-band Network Telemetry」实现了网络设备主动推送状态信息的能力，具有更强的时效性，INT「In-band Network Telemetry」在云网环境中的应用有望给监控运维带来突破性的改变。

在业务架构方面，分布式、模块化、微服务的设计使得网络数据能够在更多的维度进行展现。而海量数据则进一步推动了新型算法和采集技术的发展。在网络技术方面，可编程交换芯片与可编程交换机的发展带动了以P4为代表的开源技术的突飞猛进，其中报文级的可视化被誉为实现云网镜像、智能监控的明星功能。

▌让云网络可见、可知、可查、可管、可控更可靠

由于业务上云、上SDN之后，网络的架构变了，数据中心网络流量出现了“二八”反转，业务交付的模式由原来的静态规划变成了动态伸缩，云网络的运维成了棘手问题。如前文所述，“成功网络都一样、摔跟头的各不同。”我们不妨看看业界已有的最佳实践是如何建设的。

金融云的要求稳定、安全、合规。现有的主流解决方案表明，要想满足这些需求，首先要构建一个网络数据监控平台，从而实现网络数据可采集、关键信息可提取；然后通过大数据和机器学习的技术对采集到的网络数据进行挖掘分析，借助分析能力实现云网络的可见、可知、可查、可管；根据分析的结果对网络进行必要的优化调整，最终走向网络智能化。

从数据源采集到分析引擎挖掘，云杉网络实现了对网络数据洞察，从而指导业务的决策控制。基于上述方案，云杉网络DeepFlow®在金融行业中实现了流量可视化、业务画像、安全诊断、业务优化、安全审计、运营决策（计量/资源分配）等场景的应用落地，帮助金融客户解决了快速排障、精确计量计费、异常网络流量分析、安全白名单等难题。

小提示

扫描下方二维码观看SDN茶话会直播回放，同时，还可以下载演讲嘉宾PPT。了解DeepFlow产品，请进入公众号菜单栏，下载白皮书和案例。