东莞证券信创私有云平台

随着互联网、云计算、大数据等新兴技术的普及应用，给传统证券企业带来诸多机遇和挑战，东莞证券结合自身发展路线，落实信息技术应用创新建设，自下而上打造了以信创要素为基础底座的私有云平台，有力支撑了我司业务系统上云，实现信创工作与公司数字化转型有机结合，促使高质量发展。

东莞证券信创私有云平台通过“一云多芯”能力融合了鲲鹏ARM架构和海光C86架构，按照“异构兼容、广泛适用、风险规避”的建设原则实现了计算、存储、网络资源的统一管理及调度。现阶段已实现办公系统、手机交易、智能账单等应用系统的全栈稳定运行，达到了信创化前后系统性能不降低、用户体验不下降，为用户提供无差别的服务体验的目标。

东莞证券信创私有云平台是基于开源技术构建的信创化云平台环境，从基础设施、平台软件、信息化安全软件、应用软件、专业技术服务等软硬件环境进行了全面适配，兼容国内主流信创基础软硬件产品，具备提供云计算的IaaS（基础设施即服务）服务能力。该平台自上线以来大幅提高了运维管理效率、资源交付效率，进一步提升了我司科技服务能力。该平台的落地进一步拓宽了东莞证券在云计算领域的应用场景，也为金融行业信息系统建设提供了实践案例。

东莞证券信创私有云平台从整体架构上分为三个层面，一是信创硬件基础设施，二是数字原生引擎，三是云开放平台。

信创硬件基础设施：云平台底座由信创服务器和信创网络设备构建，广泛支持业界各种主流信创芯片（飞腾、鲲鹏、海光等）、信创服务器、信创存储设备、信创网络设备、信创安全设备。

数字原生引擎：数字原生引擎是构建在Kubernetes上的稳定、安全的数据中心操作系统。其包含裸金属操作系统、分布式存储系统、自动化中心、身份与访问控制等关键基础设施服务。结合云开放平台，将整个数据中心中的硬件基础设施进行抽象，向上实现对多元异构算力的统一调度与管理。此外，数字原生引擎提供事件网格总线，将基础设施事件以API的方式提供给上层服务，反向提供服务与应用的统一调度。

云开放平台：云开发平台主要提供统一身份与访问管理、数字化产品与服务目录，支持SAML、OAuth等众多安全认证协议，通过全面整合API、SDK、开发者工具能力，从IaaS、PaaS、SaaS多层次全栈支撑信创应用、业务与生态的落地，使得信创生态应用与服务可以快速高效的融入产品，借助云的方式进行交付、升级和进化。

放眼未来，基于数字原生引擎的统一架构设计，东莞证券信创私有云平台可以实现IaaS、PaaS、SaaS全栈多云的按需扩展，随着业务、IT系统和组织架构的变化，可以随需应变、动态适应以满足东莞证券对云计算的需求。此外，一体化架构的另一个优势是在设计之初就有面向故障设计的理念，这使得信创私有云平台在研发之时的目标就是全面满足东证信息化业务在可用性、健壮性、安全和性能上的多种要求。

4.1. 遵循开源基础设施标准

Linux、OpenStack、Kubernetes 技术已经在数据中心中被大量使用，这些技术在独立使用的场景中往往难以满足当今业务的多样化需求。LOKI 架构（Linux OpenStack Kubernetes Infrastructure，开源基础设施标准）应运而生，通过 Linux、Kubernetes和 OpenStack 的结合，实现更健壮的架构、更大的可伸缩性和更优秀的自动化能力，虚拟化、编排、容器和开源云基础设施的完美结合，使得企业可以随时获益于开源技术，保持竞争优势，LOKI 未来将成为企业部署云基础设施的核心支撑。东莞证券信创云平台符合 LOKI 架构与标准，推动企业建设更加安全、高效、可持续的云基础设施。

4.2. 极强的健壮性

数字原生引擎 采用微服务、分布式和多副本的机制，使云基础设施方案具备极强的健壮性。微服务具备独立运行的特点，消除了各服务模块之间的依赖性，云基础设施的各个组件可随时调整部署形态、弹性伸缩、动态更新，云基础设施也可以通过增加组件的方式扩展新服务，即使某个服务出现了故障，也不会影响到其他服务以及系统整体运转。有效降低了单点故障对系统整体的影响，提高了系统的整体可用性。

4.3. 渐进式规模化扩容能力

分布式的设计奠定了云基础设施平滑向大规模扩展的基础，云基础设施的控制平面不再是固化的资源需求、固化的分布组合，而是更加弹性和智能的形态。在云基础设施规模较小的情况下，可以将云基础设施控制平面的众多服务聚集起来，资源充分复用以减少对物理节点数量的开销，降低成本。当云基础设施规模逐渐壮大，成百上千台物理服务器时，可以针对性的将云基础设施控制平面服务分散承载于一定数量的物理节点，为云基础设施提供了性能强悍、稳定的控制平面。

4.4. 渐进式服务提升能力

东莞证券信创私有云平台遵循 LOKI 标准，结合自身企业应用的特点，实现可持续进化。通过自动化中心协同离线升级服务，实现了高度自动化，平滑无感，全栈全平面的进化能力。支持无需停机的持续扩容，支持云产品的离线获取与激活，实现从单一场景，到混合场景，再到全栈场景的服务能力持续进化。

4.5. 开放式 API

东莞证券信创私有云平台保持与开源生态完全兼容，通过云开放平台将开源生态软件 API全面整合，支撑多样业务应用的使用需要,并可与外围运维支撑系统进行无缝对接，避免重复建设。

4.6. 多元算力

东莞证券信创私有云平台通过云原生基础设施提供裸金属、安全容器、云原生虚拟化、云主机四种算力，满足应用改造的多样化资源需求。

4.7. 可持续升级

东莞证券信创私有云平台实现了无人化或低参与度完成系统所有升级、配置、固件升级等工作，帮助用户在可控前提下降低维护成本，高度自动化不仅仅提升效率，更关键的是避免人为参与可能带来的失误，使得信创云不再受限于软件版本的限制，实现云平台永续生命周期。

东莞证券信创私有云平台提供安全、稳定的私有云整体解决方案，助力东莞证券办公系统、一般业务系统和核心业务系统实现国产化“上云”，将全业务流程纳入到更为开放的云平台，利用云的弹性能力，实现了资源的按需申请，为证券领域特写场景和用户提供安全、可扩展的云资源，达到成本节约与业务快速上云的平衡。

5.1. 稳定健壮

平台面向企业级设计，以稳定作为核心设计原则，采用微服务多副本机制，提供管理连续性保障，主机高可用服务自动应对节点故障，确保业务连续性。

5.2. 安全合规

操作系统定期更新与安全加固保证基础安全，提供完善的备份与容灾方案保证数据安全，提供统一访问控制、资源隔离、网络安全等能力保证使用安全，满足等保密评要求。

5.3. 中立兼容

云平台兼容 x86、C86、Arm等多种CPU架构，企业可以按需规划，避免厂商锁定。

5.4. 多元算力

构建在数字原生引擎之上，提供多元算力资源池，可同时支撑云主机、裸金属主机、安全容器等，满足应用改造的多样化资源需求。  

5.5. 部署灵活，持续扩容

平台部署规模可按需弹性扩展，具备跨架构、跨区域、跨云的统一管理能力。

5.6. 极简运维

平台提供硬件、虚拟资源、服务多维度的监控与智能告警能力，快速定位故障，全平台服务可自愈，扩缩容节点一键完成，提供轻量高效的运维体验。

5.7. 持续进化

基于开源生态持续丰富产品能力，通过自动化中心可实现平滑无感升级，按需获取云产品，分钟级交付新产品与能力，支持从融合部署进化到超大规模云部署，助力业务持续创新。

应用场景一：互联网金融信创云

东莞证券信创私有云平台是以打造新一代金融全栈信创云平台为目标，通过打通多数据中心二层网络提供较高网络服务质量和业务连续性，提供多种不同类型分布式存储，满足不同SLA的存储服务要求。同时，通过完善的微服务治理平台和容器管理平台，提供各类互联网金融业务的分布式支撑，逐步实现此类互金和渠道业务的云原生应用重新建设或架构改造。结合新一代分布式数据库系统，在历史包袱较小的互联网核心建设过程中实现从传统集中式数据库的到新一代分布式数据库系统，进行云化转型迁移，以实现更大并发的稳定支撑和更灵活的横向扩展。

应用场景二：分布式核心系统云化部署

分布式核心系统云化部署方案以信创私有云平台为技术底座，基于平台分布式服务能力，可对公司核心业务系统进行垂直拆分，将传统核心业务系统拆分为多个独立子系统，并部署在云平台上，分布式核心系统基于云平台提供的微服务架构，通过服务网关将各子系统的微服务进行编排形成最终的对外交易服务。方案通过构建面向未来业务发展，以开放性、高容量、易扩展、成本可控、安全稳定的全新技术体系框架，推动我司IT基础架构平滑演进，达到业务弹性适配、应用快速部署、信息互通共享、系统分布扩展、负载灵活调度的目标。

应用场景三：信创系统解决方案

基于海光芯片的服务器、国产网络交换设备、国产分布式存储搭建信创云平台，并统一提供了VPC、存储，弹性计算和服务编排能力，结合信创中间件、信创操作系统等基础环境，可支持系统信创架构改造和部署，支撑不同用户群体的并发访问。

为响应国产化的要求，东莞证券引入信创云平台构建底层基础设施平台，采用混合芯片的思路搭建一云多芯信创私有云平台，将海光和鲲鹏统一纳入，结合业务需求和芯片特点，按需选用业务系统的载体，充分发挥C86和ARM的架构优势，将新架构数据库、新架构中间件、迁移适配套件等运行在合规基础设施之上，支撑东莞证券办公系统、手机交易系统、网上商城交易系统等信创应用云化部署。

该方案形成了一套可复制的完整信创云解决方案。通过实践证明，信创私有云平台全栈软件系统可以兼容适配国产化服务器、国产化芯片、国产化网络、国产化操作系统，国产化信创平台的全面取代已经有据可依，有路可循。此外，信创芯片虽然在各项指标上不断赶超，但稳定性和性能层面与国外主流芯片仍有一定差距，通过云的高可用与弹性伸缩能力可在一定程度上填补劣势，推动企业各类应用逐步采用国产化基础架构平台，实现各业务系统的安全、稳定。

本项目具备以下示范效果：

7.1．标准化

东莞证券信创私有云平台相关工作依据国家及金融业监管相关标准，遵循监管机构对金融领域云计算技术应用的安全技术要求，有效防范云平台风险，可为其他云平台的建设和运维实践提供参考依据。

7.2．中立化

考虑金融行业安全可信、监管合规要求，结合多技术路线并存之现状，东莞证券信创私有云平台选择了“兼容并包”、“兼而有之”的适配和部署模式，屏蔽底层差异，满足多路线资源兼容，支持在一个云平台内，以“一云多芯”融合鲲鹏、海光等芯片，通过信创私有云平台可在异构资源池之上构建资源统一编排与管理层，对异构资源做抽象设计，实现跨地域、异构资源的统一管理，并实现对于不同类型的解析、编排、调度和自动化部署等功能。 

7.3．一体化

考虑到应用系统广泛迁移上云的最终诉求，东莞证券信创私有云平台在中立化的基础上，还具备同时提供融合计算实例（云主机、裸金属主机、容器）的能力，以支撑不同业务上云需求。

7.4．规模化