平安云解决方案专家刘成龙：平安云在金融行业的建设实践

2018年12月21日，第203期保险大讲堂暨纪念改革开放四十周年系列活动之云科技服务保险行业发展特别活动顺利举行，平安云解决方案专家刘成龙做了主题为平安云在金融行业的建设实践的主题演讲。

刘成龙 平安云解决方案专家

拥有超过13年的IT从业经验，曾供职于IBM、华为、HP、京东等国内外知名企业，历任虚拟化架构师、云计算解决方案架构师等职务。目前在平安科技云平台负责解决方案类产品规划相关工作。

在x86虚拟化、云计算解决方案（VMware、OpenStack）等方面有丰富的经验。

本文根据现场速录整理，未经本人审阅。

一、平安云概况

平安“金融+科技”战略非常重视企业内科技层次的贡献和整个科技的支撑。

1、平安战略

平安科技的建设是围绕着平安云平台开展，作为基础技术支撑平台，融合平安科技优势的生物识别、大数据风控、区块链、人工智能等相关科技，将平安云平台打造为集团的两大战略之一，搭建成整个平安集团服务的综合输出平台。

整个云平台的建设重任和发展重任是落在平安科技的身上，平安科技本身的竞争力主要集中在四大科技领域。

■平安云为依托。

■智能认知。

■人工智能。

■区块链。

2、平安云是集团两大战略之一

平安云诞生于平安集团，由平安科技自主研发的平安云已经建设为金融行业内最大的云平台，涵盖平安集团95%以上的业务公司，支撑80%的业务系统投产。并以金融为起点，深度服务于金融、医疗、智慧城市、房产、汽车五大生态圈。

2018年平安云基本上已经覆盖了平安集团五大生态圈的服务行业和领域，能够对外输出基于IaaS、PaaS、SaaS全栈式云服务。

3、分析师报告

过去几年，平安云陆续取得了一些行业内部荣誉，也引起了行业的关注，比如金融创新奖，TopDigital创新奖等。今年Forrester分析师将平安云列为一个非常有竞争力的破局者角色，在分析报告中，平安云在 “安全合规认证”、“技术支持和服务”、 “本地可用性”、“定价策略”、 “收入增速”5项细分标准评估中获得了评测内的最高分。

4、平安云生态

生态能力将是金融机构衡量云服务提供商整体能力的关键指标之一。云平台服务提供商要不仅可以提供最先进的技术，高质量的服务、最安全的保障，同时也需要能够为金融机构搭建一个丰富而动态的生态圈。在这个整体中，技术使用者和众多的技术提供者之间相互影响，相互促进、有机发展，既有丰富的科技要素，也有创新的需求场景。

平安云有能力为广大金融机构提供完整的生态系统。在平安云生态中，包含了15万家企业，拥有近3000个核心专利技术及300多个安全合规指标。目前平安云结合整个平安集团的战略，能对外输出五大生态环境。整个平安云目前的产品能够覆盖到IaaS层、通用PaaS层和整个SaaS层，能够提供这五大行业场景化的应用输出，也提供一些通用的PaaS组件，包括平安科技本身的优势技术：人脸识别、声纹识别等AI技术和大数据平台。IaaS、SaaS、PaaS平台能够提供专业化对外输出行业定制化方案。

平安云将数据隐私防护作为第一准则，拥有国际广泛认可的标准认证和安全合规能力，满足了行业内严苛的监管机构合规验证要求。为了支撑整个集团内外所有系统的稳定运行，不仅从资源层面，也从技术层面保证了整个平台服务的稳定。为了满足金融行业在IT治理与风险管理方面的要求，符合监管机构的规范，平安云推出了一系列满足规范和治理要求的制度与配套机制。平安云的业务架构和技术架构更好的满足了监管合规，最大限度保障了金融机构对业务连续性的严格要求。

目前平安云已经获得了国内外7项权威认证，拥有国内第一张ISO27018认证，满足了集团内外、包括其他外资银行的监管需求，经受住了第三方严苛的审计，这证实了平安云在整个安全合规方面的实力。

5、产品发展路线

从产品角度看，平安云对外输出时与其它通用公有云厂商有些优势的地方，在用户拿到平安云提供的基础设施服务（IaaS）时就已经满足行业监管合规要求了。平安云一直秉承开源与自研结合的路线，研发了IaaS、PaaS及SaaS层的全套产品线。在产品研发过程中，始终遵循自主可控、安全稳定、可用可靠、开放兼容、先进易用和灵活扩展等设计理念，确保能为金融行业客户提供可靠、弹性、高效和集约的云计算服务。

用户只需关注本身在业务系统层次开发、设计，以及业务系统部署和运行层次符合监管需求，整个资源层面符合监管合规，所有系统运营的相关工作全部可以由平安云来负责，这是平安云与其它通用公有云之间的差别。

从再稳定和可用性角度来看，平安云目前在国内外已经有五大生态圈，达到11个可用区域，除香港外在大陆四个区域遍布主要城市节点。

机房的基础设施最低也都是T3+等级的机房。在华东区、华南区会有一些T2等级的机房，可以满足严苛的核心系统应用需求。

基础资源布局层面以外，平安云的产品除了在IaaS层面、计算、存储网络这些基础产品上的不断增强建造性、以及发展可用性之外，也在PaaS层面提供了些比较通用的产品组件，这些组件也是在平安集团内部进行严苛测试验证下使用的一些产品，以后会陆续对外发布。

比如平安云支持一些在行业里经常遇到的中间件，包含商用的中间件或开源中间件，平安科技本身会有一些优势科技产品，比如前面提到的人工智能方面、人脸识别、大数据平台、还包括一些应用层面的APM组件，开发管理的应用组件，陆续也会开放机器学习平台，比如函数计算等一些比较领先的技术平台。

6、平安云“3+1”模式

从专业服务角度来看，平安云面向集团内外部客户推出了灵活的“3+1”模式，“3+1”模式是从用户不同视角来看的。

从集团内部用户来看，从左边看分别是：内部云、公有云、专有云或行业专署云。为了满足行业用户对系统等级不同的安全和监管要求，一些核心系统会直接放在内部云，一些偏向互联网金融类的服务可以放到公有云或专有云区域里，平安云在支持五大生态系统时，会有一些智慧城市的服务和专区，也会有相应的金融云专区，可以满足不同等级的监管和合规要求。

从集团外部客户视角看，是私有云、专有云和公有云三个区域。

从技术角度或落地情况看，外部客户的私有云和集团内部客户的内部云是对等的，基本上覆盖行业云、公有云、私有云，这个混合的状态。

整个平安云的技术平台是基于主流的开源技术之上的，比如虚拟化层基于KVM，网络层也融合流行的OpenStack技术，截取它核心的网络组件，利用一些成熟的Redis之类组件进行二次开发，基本现在云平台技术属于平安云自研状态。

对外输出的私有云平台也附着在这套自研平台技术上，针对不同客户的不同需求进行优化和裁减。私有云平台可以进行不同等级的定制。

二、平安云金融行业的实践

这几年，金融行业里在平安云的建设过程中有些简单的实践，会对大家有借鉴作用。

这些实践主要包含三个部分：

1、灵活的交付模式，满足不同级别的监管合规。

不同于传统行业或互联网行业，对金融行业的合规和监管的要求很多。很多技术参数和指标都有很严格的限制，比如融灾数据安全这些都有非常严苛的标准。

由于平安云前期已经获取了行业的审批和相应的资质认证，经受了第三方审计，所以面向客户的不同需求可以通过灵活的方式来交付。

比如面向金融行业的核心业务系统，可以用私有云的方式去满足客户需求，对一些监管不很严苛的系统，比如互联网金融服务可以直接放在公有云上处理，这一部分与传统公有云服务没太大差别。

针对一些外围金融类系统可以放到行业专署区域内，这一部分是满足于行业监管机构需求的。

在整个金融云的建设过程中，最重要的是保障整个系统平台安全。目前平安云的安全产品基本已经科技全方位覆盖了，包含最外围的身份验证和访问控制，还有入侵检测、审计、分析检测等部分，以及应用安全，主机安全、网络安全等常规产品。

由于金融行业本身的特殊性须要对数据的安全和隐私保护有非常严苛的管控。这是平安云花了大力气去做的事情。

2、全链路的数据加密

数据保护主要涉及到数据的分级。比如数据哪些可能会涉密，哪些是不需要严苛保护的一般数据。数据传输也会对分级明确的隐私数据或一些生命数据有严格的要求，在传输过程中须要进行加密。

本身数据传输分成两个阶段：

阶段1：在客户和云平台之间的传输。

阶段2：在云平台内部的传输，数据在整个云平台上存储，对整个管控加密。

上图所示，从技术角度来看，整个数据加密的过程分成四个不同方面。

2.1用户侧

一般的应用都会考虑，比如一些比较隐秘的数据在本地加密，加密过后直接把密文数据放到云上或存到某个云服务里，这个比较容易做到。也可以脱离云平台本身。

对云来说，本身就是加密后的数据。不论在外部互联网上或者通过数据中心间的专线连接进行传输时都是密文数据，这就比较安全。

2.2外部传输

外部传输主要是在用户和云平台之间的传输通道，通常有两类通道：

第一类：直接经过互联网传输。

第二类：打造混合云。在混合云上须要通过数据中心之间的专线连接，比如跟运营商之间用专线连接或互联网的远程控制连接，把数据中心之间点对点打通。

这种情况下，远程控制或专线连接本身可以加密，所以这个传输通道很安全，但有些云服务是直接面向互联网提供服务，比如典型的对象存储服务，这部分存储在外部传输时常用手段是加密协议。比如HPPTS，是云平台固有的产品，较容易加密

另外一类产品是用户自荐服务，基于云平台现有成熟产品去建设新产品，比如在云主机上自建业务系统。这个层面除了进行HPPTS加密或TLS加密之外，用户更多是考虑如何符合监管要求，以及提升加密等级和密钥管理。

2.3云服务商侧

很多厂商在做云服务侧内部传输时，基于性能考虑通常会去掉加密，但对金融行业或监管严苛的行业，这本身对导致数据泄漏。

比如用户在云主机或成熟的云服务中建立业务系统，对外传输时可以通过负载均衡或者外部IT，这时直接可以用HPPTS协议对外传输。但外部云产品之间的传输，比如负载均衡到云主机这块的传输，很可能就会基于性能考虑，直接在负载均衡这一侧把HPPTS性能卸载掉，这种方式对外部传输仍然是加密的，但对内部传输来说就是明文传输，这是一个非常大的风险点。

假设负载均衡被攻破或被某种方式绕过，就可以直接获取内部传输的明文。所以云产品会有加密协议透传的问题。

平安云负载均衡传输时，外部通道是HPPTS加密，内部传输到云主机一侧也要采用加密，从整个产品角度要支持这种透传。

还有一个例子，很多产品或用户在做数据保护时容易忽视在云主机本地磁盘或物理机服务。用物理机时，本地磁盘这侧默认是明文传输，尤其是云主机在用分布式云硬盘这个阶段是通过产品内网传输的。

这时虽然产品之间支持服务器端加密，存储的数据是加密的，但在操作系统传输过程中的数据却是明文的。

如果用某种方式，破解到操作系统后，这个数据可以明文获取。所以从产品层面或从技术层面要支持操作层面的加密，如何把密钥输进操作系统内部？如何让用户自行控制密钥？这一级别在平安云产品中经过了非常严苛的考验和层层生产环境验证。

对传统业务系统应用会有应用文件存储的问题。比如NAS共享很多，NTFS传输本身也是明文传输，这种情况要考虑对NTFS的传输通道进行加密，比如通过SSL加密通道，或者本身windows的共享协议默认是明文。最新版3.0也可支持加密。

2.4在具体云产品上或者存储环节加密，这一部分从产品直接支持服务器端加密，对用户来说是透明的，用户只需要去定制符合自己需求的密钥即可。

3、同城三层高可用。

金融行业跟传统的互联网行业有差别，传统的互联网行业的应用多数都是无状态，符合云衍生的标准即可，所以它在设计时，可用性会高些，对失败率的容忍度会高些。

但在金融行业，这方面对基础架构会有要求。比如从云的角度可以提供多个可用区，应用部署时可以跨可用区实现同层贮备。

所以，平安云在设计时，在底层设计增加了一层可用域，这一层设计主要是涉及到数个机柜或成排的机柜，会用到相同的供电或散热等。这样会把故障点隔离到可用域层面，单个系统的可用性不会受到影响，性能的影响会降低到最小范围。

最后一层可以落到具体的机柜或服务器级，这种切断可以避免单点硬件故障对业务系统的影响，这个层面主要通过资源调度算法实现。

如果没有调度算法优化，有会出现业务系统部署了十个，但有八个或七个在同一个机柜上。这种情况会出现比较极端的局域点故障，对整个系统可用性影响并不是很大。但如果没有做调度优化就有可能出现极端情况，由于局部供电、机柜的影响会造成整个系统的不可用，被迫发生这种同层热备的切换，这是对同层高可用有要求的系统层面来考量的。

如果在底层算法做过优化后，就可以把所有事例尽可能分散到不同机柜里，即使在同一个机柜中，也可以尽可能分散到不同物理机上。会出现更高等级可用性系统，比如两地三中心或多地多中心的部署，要在这些数据中心之间提供高性能的互连网络。

4、跨地域容灾

除了基础资源层外，我们在产品或服务层提供了一些跨可用去冗余的功能，或异步复制功能。对象存储的异步复制在本地同层实现了高可用之后，数据就可以异步复制到另外的区域。

比如在华东区部署了同层的高可用，将灾备站在异步数据同步到华南区或华中区，这种情况就是跨地域的高可用，可以用来实现两地三中心的传统高可用的系统。再结合数据库服务等其他产品，可以支持异地的灾备或数据异步传输，这种情况可以进一步简化整个业务层面系统的设计。

在整个系统建设过程中，即使产品层面或基础设施层面都满足两地三中心或多地多中心的可靠性需求，但在整个系统的调度层面还会有故障感知问题，如果某一个区域发生了故障，如何能尽快让故障不对整个系统可用性产生影响？目前比较有效的是通过Global DNS的方式（智能的DNS负载），在一定时期内通过对可用区内状态查询、连通状态判断可以自动调整DNS记录，直接去掉故障，让整个DNS记录中保持的都是实际可用区域。

这个DNS服务本身还可以实现负载分担的状态。如果设计的系统是多地多中心多活的情况，可以根据客户端IP访问的状态，就地分散到离客户最近的数据中心节点上，这就是多活的状态。

在金融行业的应用中，传统的两地三中心状态相对多些，业务调度的功能主要在主中心，只有在故障发生切换时，才会调度到其它备用中心。

除了基础IaaS层的常规产品，在平安内部已经验证过一些微服务框架，以后CaaS服务也会陆续往公有云上去推。本身从服务框架会考虑同层双活的设计，以后会陆续推出两地三中心、多地多中心多活的场景。

还有容器，容器在金融行业的生产环节应用会比互联网行业慢一些。平安开发这个应用服务在内部验证时，本身就考虑跨地域高可用的性能。容器服务框架在设计资源调度和多地域多活情况下，在整个调度层面、部署层面已经做了考量，后续会以CaaS服务或PaaS服务平台对外推广。