步步为营,兴业数金破解金融上云的运维与合规难题

SDN in China

2019年3月19日

案例分享

编者按:如今,云计算、大数据和人工智能等新兴技术的版图已逐渐扩展到金融领域,金融资源的配置效率和服务水平在金融数字化的进程中迅猛提升。而这一波技术浪潮,中国不仅没有缺席,还转而成为弄潮儿。Gartner日前发布的行业报告,将兴业数金「兴业银行控股子公司」写入金融行业应用案例。那么,兴业数金是如何解决金融云平台的运维与合规难题,走向金融科技应用前列的呢?

实际上,兴业银行在金融科技的浪潮中主动拥抱新技术,领先完成了网络和云平台选型,迈出了数字化转型的第一步。兴业数金很快发现传统的运维监控方式已经无法匹配云时代的技术架构。怎么办?只能迎头赶上,继续创新。于是,兴业数金引进了云杉DeepFlow®云网流量采集与分析平台,步步为营,应对转型后的新挑战。

第一步 | 可视化打开虚拟网络的“黑盒”

云计算、软件定义网络「SDN」等架构的引入为金融服务水平的进步奠定了基础,却也带来了管理和运维上的麻烦——从前,服务器集群组成一个业务系统,再配置交换机便完成了部署。这样的架构,使得出现问题时非常好定位。如今,在云环境中,因为虚拟网络的加入,整个系统成为了一个流量“黑盒”。在实际操作中,许多业务系统之间的调用都涉及虚拟机跟虚拟机之间的交互,而究竟哪段出现了问题,让运维人员难理头绪,原因在于虚拟机之间的流量关系是不可见的。这正是兴业数金所面临的“黑盒”难题。

%e5%9b%be%e7%89%871

DeepFlow®帮助兴业数金的第一步,便是通过全面的东西向流量排查,将流量关系直观呈现出来。由于DeepFlow®可以描绘虚拟网络中实际业务全链路端到端路径及每跳状态,呈现业务整体及组件画像,所以它能轻易地排查故障并进行可视化呈现。

第二步 | 回溯分析破解运维“迷局”

业务报障之后,运维团队主动复现问题,本是很平常的操作,但在金融领域,复现业务系统出现的问题,存在很大用户体验风险。而且,运维人员排查过程中可能无法复现故障,问题难以除很。这样的情况下,回溯分析就显得十分必要了。

%e5%9b%be%e7%89%872

DeepFlow®可以为云网环境提供基于流的多维度回溯分析。通过自定义流量关键字搜索,用户可以全景式重现指定时段相关网络的流量特征,为取证、排障等应用场景提供原始数据的支撑。当运维人员排查问题时,DeepFlow®可以以时间点为标签轻松抓出与此相关的一切网络信息,从而帮助运维人员迅速排查问题根源。

第三步 | 策略验证确保安全合规的“金字招牌”

随着互联网金融的发展、金融上云的推进,国家的监管力度也越来越大。不仅仅有《网络安全法》的出台,工信部、银监会也都推出了相应的部门法规。而这些政策缩紧反映在技术端,则表现为对基础设施越来越严苛的要求,尤其是审计的要求。

此外,金融上云给技术带来的新挑战是,传统环境下的策略在云端是否都需要一一跟随。为求保险,运维人员不敢轻易删除安全策略,只能在安全问题发生之后再去增补,导致安全策略愈积愈多。随着上云业务的逐渐增多,安全策略的配置也愈发复杂。大量的新增安全策略和变动也增加了网络设备的负担,影响了网络效率,最终降低业务的访问质量。而DeepFlow®从网络流量的视角出发,提供安全白名单策略验证的功能。通过学习云环境中的网络策略、采集并分析云环境中的网络流量,DeepFlow®能够对比真实发生的流量是否违背用户编写的网络策略,从而触发告警,确保生产系统的安全可靠。

%e5%9b%be%e7%89%873

利用DeepFlow®,工程师可以先把旧平台的策略导入,在新的平台上,再通过流量分析和白名单验证,观察是否存在安全风险。这样,不断验证策略是否生效、是否足以表达用户的安全意图,从而保证网络安全的万无一失。

第四步 | 全量采集做精细管理的“小能手”

金融机构的互联共享,带来了金融科技新的想象空间。以兴业数金为例,目前已有300多家中小银行接入服务。而兴业数金迫切需要解决的,则是如何以基础设施提供者的身份,通过精细化管理更好地为这些客户服务。DeepFlow®在这里显现的优势则是对数据的全量采集。首先,DeepFlow®是以租户的角度看待云平台的,因而能够清晰地看到一个租户、某一个业务,在某一个时间段内到底用了多少的流量。在此基础上,DeepFlow®还可以直接生成用量报表,帮助运营者提高服务水平。

实际上,现有按带宽、按总流量的粗放计量方式制约着平台方的精细化运营,无法及时回收虚拟机、带宽等资源,既造成网络资源的浪费,同时也降低企业投资回报率。而DeepFlow®基于全网流量采集能力的精细化运营和管理,及根据用户自定义的策略自动生成报表等人性化功能,恰好成为这一难题常见的突破口。

经过这四步的稳扎稳打,DeepFlow®大大提升了兴业数金的运营效率,排障时间缩短到分钟级;成本上,一套流量分析可以分发给不同平台、不同分析工具复用,大大节省成本;管理上,精细化运营让整个流程更清晰可控、井然有序。这还不是DeepFlow®的能力边界,比如业务画像,就是另一个创新的应用场景。基于数据采集,DeepFlow®可以做到业务的“自动发现”。

正是因为DeepFlow®的精细化管理和记录,在此基础上深入下去,就不难发现业务与服务的关联,进而从业务的角度帮助其主动学习。此外,DeepFlow®的扩展性也颇令人期待。后期,除了数据的全量采集,还可以根据业务流量,去优化整个网络。就这样一步一步,兴业数金在云杉DeepFlow®的助力下,稳扎稳打各个击破金融上云的网络难题,成就金融行业最佳应用案例之一。

想看更多行业案例?金融/电力/运营商/广电传媒/IDC。可前往下载中心进行查看。

本解决方案已入选由IT168和C114联合主办的“2018年度中国SDN、NFV优秀案例评选”活动,了解“2018年度中国SDN、NFV优秀案例评选”活动详情,为本方案投票可扫描下方二维码:

扫描直接前往投票页
扫描直接前往投票页

%e4%b8%ad%e7%be%8e%e8%ae%ba%e9%81%93%e7%be%a4

Related Posts

安全隔离、敏捷高效容器网络——打造中移金科电商业务承载基石

客户的网络架构是典型的两地三中心设计,每数据中心内部建设多个Region(安全域)。NSP-Controller(网络控制器)已完成对双数据中心所有现网网络设备的全量纳管,完成包括网络交换机、防火墙、负载均衡设备以及DNS等多种设备类型。目前纳管总服务器数量上千台,容器节点纳管数百台。通过部署三台NSP-Orchestrator(网络编排器)用于热备,当两地管理网络中断时,可切换至本地网络编排器进行本地管理,保持组网及管理能力的安全可控。

Read More

「直播回看」5GC和电信云构建云网络可观测性的必要性

“云原生可观测性分享会”第六期《5GC和电信云构建云网络可观测性的必要性》由云杉网络 售前解决方案专家 李飞演讲,针对5GC运维剖析为什么云网络可观测性是拉通5GC和网络云之间运维能力,讲解如何消除三层解耦的阻塞点,实现网络云和云上5GC业务高效、可靠的运行。

Read More