《大型金融数据中心网络架构设计课件.pptx》由会员分享,可在线阅读,更多相关《大型金融数据中心网络架构设计课件.pptx(37页珍藏版)》请在三一办公上搜索。
1、大型金融数据中心网络架构设计,金融电子化起步,1980-1990计算机替代手工操作引进小型机和微机承担后台和前台处理微机单兵作战,联网通存通兑,1990-2000全城联网电子票据交换通存通兑全国联网,全行数据集中,2000-2007数据大集中综合业务系统降低IT TCO强化风险控制以客户为中心,IT架构治理,2007 2015架构优化和安全风险关注服务与管理流程网上业务快速发展数据挖掘、风险管理,2016 互联网金融自主可控客户体验大数据分析产品及服务创新,信息化金融,我国金融业IT建设与发展回顾,中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿)稳步开展云计算应用,主动实施架构转
2、型探索构建私有云平台,采用成熟度高、开放性强的计算虚拟化、容器虚拟化、分布式存储、网络虚拟化 等技术,建立资源池,形成资源弹性供给、灵活调度和动态计量的私有云平台。,60%,75%,快速研发,持续创新,到“十三五”末期,面向互联网场景的重要信息系统全部迁移至云计算架构平台,其他系统迁移比例不低于60%,提高基础资源和应用部署的自动化水平,实现快速交付、动态调整、弹性部署,降低人工操作风险,自动化部署比例不低于75%,推进开发、测试、交付一体化建设,支撑产品迅速投放市场,信息科技“十三五”发展规划监管指导意见(征求意见稿),金融网络应用场景的划分,数据中心应用服务域(核心业务、多媒体、呼叫中心、
3、管理信息系统、办公系统、运维系统等业务系统),应用服务层,渠道接入层,企业边界服务域(网银、网站、外联、邮件、办公系统、办公互联网等业务系统),用户层,Intranet(分支机构、总行园区、数据中心园区),Internet,Extranet,分支机构用户ATM、VTM、POS、柜员终端 办公终端、业务中心终端等,数据中心用户运维用户、办公终端、开发测试用户,总行用户业务终端、办公终端、运维用户、开发测试用户,互联网用户网银用户(公、私)小企业用户(银企、现金管理等),外联用户合作伙伴、境外机构、离行设备(4G/3G/2G/PSTN),商业银行数据中心发展及未来的演进路线,第二十五条 银行业金融
4、机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。第三十八条 银行业金融机构应建立独立的测试环境,以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。,对网络功能分区、网络安全划分具有指引意义,DC 1.0:银行业信息系统风险监管(1),第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列
5、安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,其中应包括以下要求:(一)生产系统与开发系统、测试系统有效隔离。(二)生产系统与开发系统、测试系统的管理职能相分离。(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。(四)将完成开发和测试环境的程序或系统配置变更应用到生产系统时,应得到信息科技部门和业务
6、部门的联合批准,并对变更进行及时记录和定期复查。,对网络功能分区、网络安全划分具有指引意义,DC 1.0:银行业信息系统风险监管(2),DC 1.0:网络功能分区的需求,数据中心应满足应用服务域、用户接入域,存储服务域、管理服务域、多中心互联域等服务资源的构建,各功能组件通过网络服务总线互联为一个统一的架构。,DC 1.0:应用服务分区的目标,存储服务域,应用服务域,网络服务总线,管理服务域,用户接入服务,外联接入,业务互联网接入,办公互联网接入,内部用户接入,带内管理服务,带外管理,数据中心互联,广域网,Internet,Internet,广域网,园区网,第三方机构,存储服务域,应用服务域,
7、网络服务总线,管理服务域,用户接入服务,外联接入,业务互联网接入,办公互联网接入,内部用户接入,带内管理服务,带外管理,数据中心互联,广域网,Internet,Internet,广域网,园区网,分支机构,异地灾备中心,DC 1.0:金融数据中心安全区的划分,数据中心网络分区从总体上可分成不同安全级别的四个安全区:非安全区、半安全区、安全区、核心安全区,不受控制的区域,如对Internet公众用户、外联第三方单位等提供服务的资源区域,企业的安全政策和标准无法强制执行,企业内部网到核心安全区、安全区的过渡区域,外部网络和企业内部网络之间的过渡区域,用于分割它们之间的直接联系,隐藏和保护内部资源,提
8、供企业内部重要程度一般的服务器和客户端的接入,安全级别较高,安全级别最高,包含了重要的应用服务器,提供关键的业务应用;包含企业网络管理、系统管理、安全管理、流程管理等管理功能相关的模块所集中的区域,具有很重要的意义,需要严格的安全策略;从外部网络到核心安全区域应通过半安全区进行转发,必须经过严格的安全控制,DC 1.0:数据中心安全域划分,互联网接入区,公众用户,VPN维护用户,VPN办公用户,合作伙伴,外联网接入区,合作伙伴,外联DMZ,专线,VPN网关办公,VPN网关维护,网银、手机银行电商DMZ,门户网站DMZ,员工上网DMZ,其他系统DMZ,入侵防护,防DDOS,防病毒网关,Inter
9、net,园区网,广域接入,OA,生产,其他,总部机构,同城及异地中心,分支机构,运维管理服务区,安全管理,流程管理,ECC,堡垒机,带外管理,其他,业务三区,办公应用,决策应用,其他,业务二区,非核心系统,业务一区,非安全区,半安全区,安全区,核心安全区,核心交换区,内联区,前置系统,核心业务区,核心业务系统,密钥管理平台,数据总线,渠道管理平台,会计处理平台,资金运营,中间业务,代理理财,重要业务区,决策支持系统,风险分析系统,管理网区,视频监控,视频会议系统,运维区,安全管理平台,网管系统,广域网接入区,省际骨干接入,互联网接入区,外联区,DMZ1,DMZ2,DMZ3,DMZ1,DMZ2,
10、办公管理区,资产管理系统,准生产区,准生产系统,测试区,测试系统,培训环境,数据中心互联,带外管理区,金融网,Internet,第三方接入,第三方接入,测试网,安全服务,安全服务,安全服务,安全服务,安全服务,安全服务,安全服务,安全服务,安全服务,安全服务,安全服务,互联网接入,外联接入,DC 1.0:XX银行数据中心网络架构,非安全区,半安全区,安全区,核心安全区,A08-18,A机房布局,A08-10,A08-09,A08-01,A07-18,A07-10,A07-09,A07-01,A06-08,A06-07,A05-16,A05-12,A05-09,A05-08,A05-07,A04
11、-08,A04-07,A03-10,A03-09,A03-01,A02-18,A02-10,A02-09,A02-01,A01-18,A01-10,A01-09,A01-01,A06-06,A06-05,A05-06,A05-05,A06-04,A06-03,A05-04,A05-03,A06-02,A06-01,A05-02,A05-01,机架服务器x5刀片机x3,机架服务器,小型机机柜,机架服务器,小型机机柜,小型机机柜,机架服务器,小型机机柜,机架服务器x5刀片机x3,机架服务器x5刀片机x3,机架服务器x5刀片机x3,机架服务器x5刀片机x3,机架服务器x5刀片机x3,机架服务器x5刀
12、片机x3,A04-06,A04-05,A04-04,A04-03,A04-02,A04-01,A03-12,A03-11,A03-14,A03-13,A03-16,A03-15,A06-14,A06-13,A06-12,A06-11,A06-10,A06-09,铜缆,三相电存储区,三相电存储区,三相电存储区,空调侧,带库机柜,A04-13,A04-15,A04-14,A04-12,综合布线,综合布线,综合布线,综合布线,综合布线,综合布线,综合布线,扩展,B路DCX,DCX,扩展,A路DCX,DCX,新网银APP,新网银DB,新网银WEB,新网银WEB扩展,新网银APP,新网银DB,新网银AP
13、P扩展,新网银扩展,走廊侧,统一考核VMAX,DC 1.0:数据中心机房典型分配方式,DC 2.0:技术需求与规划要点,交换核心,管理监控区,ECC总控中心,运维管理服务,带外连接,带外管理网,管控中心,外网,Internet,园区网,生产办公接入区,生产业务后台区,内联隔离区,互联后台区,办公后台区,电话银行后台区,互联隔离二区,互联隔离一区,Internet,Internet,外联单位,外联单位,外联隔离区,企业边界,广域内联接入区,数据中心互联,托管业务区,NAS访问区,DC 2.0:XX银行北京数据中心逻辑架构,计算资源,内外联隔离资源池,办公管理资源池,互联业务资源池,服务器机房模块
14、,服务器机房模块,服务器机房模块,互联后台区,互联隔离一区,互联隔离二区,L3汇聚,L3汇聚,L3汇聚,办公服务区,管理服务区,L3汇聚,L3汇聚,二层网络,二层网络,生产后台资源池,生产后台区,L3汇聚,二层网络,外联隔离区,L3汇聚,内联隔离区,L3汇聚,二层网络,电话银行资源池,电话银行区,L3汇聚,二层网络,NAS资源池,NAS服务区,L3汇聚,二层网络,DC 2.0:XX银行同城数据中心服务资源池,CORE,互联业务服务群,生产业务后台,内联及外联服务群,办公及管理服务群,区域边界,区域汇聚,DC 2.0:互联业务服务群构建网络资源池,网络资源池,L2核心,接入设备,互联网隔离一区D
15、MZ,互联网隔离二区DMZ,互联网后台区,互联隔离一区网络边界,互联隔离二区网络边界,Internet,解决高密X86服务器部署的扩展能力需求,能过适应应用的大规模快速上线/调整。大量业务组件松耦合、可复用,资源化设计里面打破了传统竖井式的部署理念以一个机房为单位进行“资源化”的设计,使逻辑结构与物理布局松耦合,机房布局标准化。,资源化设计理念,Single Fabric架构使各类服务获得无差别的网络性能(转发跳数、收敛比等),可实现统一扩展、统一升级。更容易适应未来大规模分布式计算、分布式存储的应用模型,具有极高的可扩展能力物理架构上兼容未来Overlay、SDN技术,可平滑的进行过度。,S
16、ingle Fabric 架构,DC 2.0:“资源化”对应机房布局的改变,管理目标:以金融私有云数据中心概念为指引,进一步提升IT管理能力和管理水平,目前金融企业大部分业务系统属于分散、独立的竖井式部署。分散、不易量化的IT资源使用方式带来了部分资源闲置、浪费。需要利用资源池的方式,使数据中心的资源利用率得到有效提高。,提高资源利用率,目前对于新业务系统上线,大部分还处在手工安装部署方式,资源准备的时间较长。需要通过云计算的自动化部署特性,支撑业务的快速上线,及其它部门对资源的需求。,快速部署交付,大量的人工操作依赖于运维人员的经验和技能,由于技能不足和人工差错导致的问题势难避免。通过云计算
17、将分散在运维人员的经验、技能固化,并通过自动化的方式避免人工错误造成的损失。,提升自动化管理水平,调研评估,DC 3.0:构建金融私有云的管理目标,DC 3.0:构建金融私有云的运维目标,全堆栈的自动化,IT基础设施与物理资源的解耦,以应用为中心的数字化运营,资源池构建,验证测试云,开放平台云,全业务私有云,DC 3.0:金融数据中心拥抱私有云的策略,DC 3.0:通过IaaS就绪网络构建资源池,传统数据中心网络架构,资源池化的网络架构,Overlay Fabric,IaaS就绪的架构,传统数据中心,以高可用、高安全为最高原则,水平分区、垂直分层;根据业务分类,尽可能的详细划分网络子分区,以确
18、保安全访问控制策略的有效实施,提升安全防护的纵深;IT基础设施多层次异构,逻辑结构与物理结构1:1耦合;,应用系统的SOA组件化呈现出大量可拼装的应用、复用和通用业务组件,系统边界模糊,带来安全架构的变化;基于开发平台、计算资源类型进行分区成为主流趋势;应用推动云管理平台的建设,要求计算、网络、存储、安全能够进行业务编排和自动化交付,大Fabric架构和Controller的应用成为全IT基础架构的云服务交付的关键支撑,资源池化,IaaS就绪,计算资源向标准的开放平台转移,计算虚拟化技术的大量应用要求计算资源池灵活易扩展;网络资源池架构将相同安全等级的计算资源网络接入拉通,同时继承了分区架构的
19、资源组织模型和安全控制模型;,DC 3.0:对网络架构的需求,23,可视化、自定义,洞察、可运维,弹性、自动化,安全,基于图形界面实现IT基础架构的编排,网络性能分析、路径可探测,计算资源与网络拓扑、物理位置解耦,灵活可定义的的云安全服务,提高虚拟计算的交付效率,减少频繁人工配置提供无状态的网络策略部署,随需而动,提供安全资源池服务,按需部署提供任意服务器,任意机架,支持任意应用的部署,DC 3.0:对网络架构的需求,24,可视化、自定义,洞察、可运维,弹性、自动化,安全,基于图形界面实现IT基础架构的编排,网络性能分析、路径可探测,计算资源与网络拓扑、物理位置解耦,灵活可定义的的云安全服务,
20、提高虚拟计算的交付效率,减少频繁人工配置提供无状态的网络策略部署,随需而动,提供安全资源池服务,按需部署提供任意服务器,任意机架,支持任意应用的部署,DC 3.0:面向私有云的金融数据中心架构,核心交换机,核心生产业务区,。,TOR接入,服务器机房模块,。,服务器机房模块,机房汇聚,TOR接入,机房汇聚,。,。,生产开放资源池,办公公共资源池,管理区,ECC总控中心,管控中心,带外连接区,管理服务区,互联网区,Internet,Internet,外联单位,企业边界,外联区,园区网,带外管理网,DMZ,一区,DMZ,二区,DMZ,外联单位,测试区,测试中心,Internet,摆渡连接,开发测试,
21、运行测试,外联单位,核心承载连接,广域/城域接入,广域接入区,VXLAN Fabric,VXLAN Fabric,工行DC3.0网络架构,架构:自动化运维管理平台:实现业务流程自动化管理;Openstack云平台:实现计算资源、存储资源、网络资源的自动化交付;计算虚拟化(KVM、VMwera):实现计算资源虚拟化;存储虚拟化:分布式存储;网络虚拟化:Fabric架构、VXLAN SDN、NFV思路:目标:三个任意,任意服务器,任意基架,支持任意应用。态度:严谨的“准”生产环境验证,保障后续直接正式上线应用测试:确保可用性,IRF2,IRF2,SDN-125X,SDN-SRV,SDN-68-1,
22、H3C CLOUD,VCFC(SDN控制器),用户PORTAL,虚机资源池,安全资源池,Underlay网络(OSPF),ECMP,ECMP,静态路由,基础设施资源池,管理服务器区,招行传统网络,SDN网络采用独立的物理设备部署,与传统网络通过静态路由实现互通,避免了新老网络的相互干扰,IRF2,招行科兴园区SDN网络的物理拓扑,XXX清算中心私有云中心,28,架构:采用基于openstack的商业云平台、基于KVM的计算虚拟化、基于ceph的分布式存储、基于Overlay的SDN网络SDN网络部署S9800、S6800-2C、VCFC SDN控制器部署业务:共享门户类/共享网银业务、应用系统
23、性能分析类业务、远程学习系统,2006年5月29日,经中国人民银行批准,由全国30家省级农村信用联社、农商银行及深圳农村商业银行(以下统称农村合作金融机构)共同发起,农信银资金清算中心有限责任公司(简称农信银资金清算中心)在北京正式成立。,主要经营范围:全国农信、农商清算业务农信共享灾备业务农信共享网银、共享门户业务主要服务对象:全国农村信用社、农村信用联社、农村合作银行、农村商业银行及其他地方性金融机构。,金融数据中心,大型金融机构数据中心的规模实践,关键系统核心伙伴的选择,金融数据中心,建行南湖生产中心(全业务生产中心,近70%份额)工商网银生产中心(国内最大网银交易系统,安全防护)中行上
24、海灾备中心(独立承建中行上海数据中心网络)邮储银行生产中心(同城双中心和异地灾备,近80%份额)民生银行生产中心(同城双活主节点,40%份额)中国人寿生产中心(保险行业最大数据中心,50%份额)太平洋保险生产中心(最大规模异构组网,50%份额)中国金融期货交易所(高频交易系统深度应用,30%份额)中国银联数据中心(独立承建最大银行间卡业务数据中心),大型金融数据中心,面向私有云和SDN的新一代架构落地,32,面向应用的自动化,DC 3.0,!,Overlay网络架构服务链面向应用的自动化,网络池,计算池,存储池,Controler,交付APP,终端APP,大数据APP,监控APP,通过Over
25、lay+SDN Controller架构构建人保北方数据中心,建设面向自动化的DC新架构,构建私有云架构验证中心,实现资源整体调度和自动化交付的全面验证,华三通信VXLAN网络架构和NFV产品服务于招商银行新一代数据中心架构验证平台,广东、苏州中行部署华三 SDN 网络架构,承载分行核心生产业务,是金融行业首个SDN 网络架构的落地实践,IT管理系统的自主可控,33,全行范围的IT治理系统,H3C通信承建了邮储银行生产数据中心、同城灾备中心、异地灾备中心、以及全国一级骨干网的四套IT管理平台,并承建了31省分行IT管理系统,实现了总行、分行两个管理平面的分级管理。H3C还承建了邮储银行全国网点
26、安全生产监控网、开发中心、数据中心测试网等IT管理系统。,关注运维流程体系和自动化,金融IT运维流程系统长期被国外厂商占据,华三通信中标天津农商行运维流程和自动化平台的咨询和建设,结合ITIL标准进行流程构建,结合天津农商行的个性化需求,针对运维流程、CMDB、自动化管理提供产品解决方案和研发级战略开发合作。,为金融用户提供深度安全防护,关注交易安全的深度防护系统,中国工商银行网上银行的业务量约占全年交易额的70%,对安全性和可靠性的要求为业界最高。H3C IPS 在工商银行网上银行系统承担着全国最大网银系统的安全防护重任,任何一笔交易的数据流都需要经过深度检测。,国产化防火墙首选品牌,H3C
27、防火墙整体安全解决方案服务于中国农业银行,作为农业银行国产化防火墙两家入围厂商之一,防火墙产品规模部署于农行数据中心内及网银业务系统,全行防火墙产品累计销售数百台。,下一代防火墙助力邮储银行数据中心,H3C通信下一代防火墙规模部署邮储银行数据中心,用于数据中心内业务分区间安全防护,丰富的下一代防火墙特性用于网银业务的深度安全防护。,大数据网络架构服务于大型银行,35,结构化,非结构化,两类主流大数据平台,采用Spine-Leaf的组网模型,商用平台:EMC Greenplum企业大数据商用版DB软件包开源平台:HaDoop平台软件,适应大数据业务特点,流量模型主要以东西流量主,全三层互联组网,
28、所有数据流只做三层ECMP hash策略结构相对简单,容易理解运维风险相对小、兼容性好,建设金融平台化核心广域骨干网,36,两地三中心,核心承载网,平台化虚拟化、层次化核心承载网,网络架构,大集中,互联互通,证联网:作为证券行业第一张全国骨干网,由证监会总体协调,九家行业核心单位(深圳证券交易所、上海期货交易所、大连商品交易所、郑州商品交易所、中国金融期货交易所、中国期货保证金监控中心公司、上海证券通信有限责任公司、深圳证券通信有限公司、中证信息技术服务有限责任公司)共同承建。整个网络有3个核心节点和6个骨干节点作为核心骨干网,将接入所有证券行业核心机构、券商、基金、期货公司,以及几十家大型银行。,
