张景良,任职于江苏省农村信用社联合社信息科技部,资深网络管理员,熟知网络相关知识,有多年银行数据中心网络管理经验,负责过IPv6改造、全省网络扁平化等大型网络项目,现主要负责互联网云平台与核心网络的运维。
背景江苏农信响应银监会“十三五”规划指导意见要求,期望通过私有云+行业云的金融云建设,搭建既满足自用又行业共享的云平台,帮助减轻农商行在基础IT环境维护方面的压力,借助省会的人才科技等优势,高质高效地开展资源池的维护统一的云服务,使各地农商行的科技部门能将更多精力投入到行内业务部门的支持和当地的办公运营设备的维护管理上,达到整合资源,降本增效的目的。
为了更好地满足云业务的快速化部署,资源集中管理的需求。我们拟依托互联网金融平台和全省门户网站上收两个项目来建设省联社的互联网云平台SDN网络,探索SDN技术在省联社云平台中的应用发展。
需求分析互联网金融和网站上收两个项目都要与互联网连接。需要符合监管机构的规范和要求。
人行规范:《网上银行系统信息安全通用规范》(JR/T—)。在网上银行系统的描述中,应根据应用系统、客户对象、数据敏感程度等划分安全域。(5.4节)
外部区域:网上银行的用户,利用网上银行客户端,通过互联网、移动通信网络、其他开放性公众或专用网络访问网上银行业务系统;
安全区域一:网上银行访问子网,主要提供客户的Web访问;
安全区域二:网上银行业务系统,主要进行网上银行的业务处理;
银行内部系统:银行处理系统,主要进行银行内部的数据处理。
银监会:商业银行信息科技风险现场检查手册
应在网络边界对公共网络出口、与第三方机构网络联接出口、DMZ区域部署防火墙等访问控制设备,启用访问控制功能;应合理配置防火墙等网络安全设备,根据实际业务需求,制定合理的安全策略;应对不同逻辑安全域之间的互相访问进行有效控制,合理配置访问控制列表(ACL)。
根据文件要求与总体规划,本次云平台SDN建设需满足以下要求:
、满足监管机构的区域隔离要求,进行多区域划分;
2、提供高性能的网络环境,满足万兆高速传输需求;
3、配置支持SDN技术的网络设备,满足未来业务扩展需求;
4、新增设备要支持虚拟化,通过逻辑隔离,复用设备,减少设备投入;
5、尽可能利旧现有的网络设备。
技术路线传统的网络规划设计依据高可靠思路,形成了冗余复杂的网状网结构,结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势,是通用设计规则。云平台的大规模运营,给传统网络架构和传统应用部署都带来了挑战,新一代网络支撑这种巨型的计算服务,不论是技术革新还是架构变化,都需要服务于云计算的核心要求,动态、弹性、灵活,并实现网络部署的简捷化。
具体来说传统网络面临的挑战主要有以下三点:
、传统网络的复杂性在实际的运维中,管理人员承担了极其繁冗的工作量;
2、云平台下多虚拟机部署在同一台物理服务器上运行,服务器端口流量大幅提升,对网络性能提出更高要求;
3、云平台中,虚拟机在物理服务器之间进行迁移,为了避免虚拟机迁移后路由的震荡和修改网络规划,迁移只在在二层域进行,因此云平台需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。
通过分析云计算对传统网络基础架构带来的挑战,我们可以从两个方面来应对。一是通过构建高性能、高可靠的网络,从而满足云计算给网络带来的压力;二是通过构建虚拟化网络来满足云计算中由于虚拟机部署、迁移、以及安全策略实施对网络提出的灵活性、安全性的要求。
为满足云计算的业务要求,统一的基础网络要素必然包括:高性能交换、虚拟化应用、透明化交换。
方案设计、业务现状
按照功能类型省联社对外的互联网业务系统可以分为两类:
网银交易类,包含网上银行、手机银行、