工商银行：基于SDN技术探索与实践

工商银行：基于SDN技术探索与实践
Wednesday, May 2, 2018
9:03 PM

工商银行：基于SDN技术探索与实践

2018-05-02金融时代网

关注一下，更多精彩等着你！
关注一下，更多精彩等着你！

　　一、行业发展历程与技术发展趋势
　　(一)行业发展历程
金融数据中心网络技术架构与行业安全、合规等特色性要求紧密结合，是金融数据中心显著区别与其他行业数据中心的关键领域，是金融数据中心建设中的核心。中国金融数据中心网络建设的历程与金融行业近三十年信息化过程密不可分，总结归纳金融数据中心网络的发展主要经历了三个阶段：
第一阶段：专网专用阶段。该阶段是采用特有的网络协议来对专用设备进行连通，如IBM的专有网络协议SNA对其大型机与中型机的支持;
第二阶段：基于IP协议，分层分区。在本阶段采用了更为开放通用的IP技术协议，不再受制于某个厂商，组网更加灵活。此外，本阶段中虽然各金融机构的网络架构跟随应用系统的发展而变化，但一般会出于应用分层及安全的要求，遵循“垂直分层、水平分区”的理念。
第三阶段：大规模共享接入。技术上更为开放，网络虚拟化与SDN等技术开始在金融行业应用。在继承安全区域保护机制下，采用“总线型、模块化”架构，中国的金融数据中心网络结构趋于一致，并且普遍采用网络虚拟化共享接入的技术方案，对新的云计算环境下对网络的灵活、弹性等要求进行有效应对。
　(二)技术发展趋势
　　近年来，随着金融数据中心云化的加速，金融云作为最新的基础设施形态开始被行业认同并接纳。但在金融云环境下，传统网络技术架构受到了挑战：
一方面虚拟化思想的出现，颠覆了原有的数据中心网络模型，使得传统网络技术已不足以适配云环境下产生的新场景，如虚拟机的出现要求网络颗粒度从物理机细化到了虚拟机级别;
另一方面面向互联网的金融创新业务的快速发展，也会对网络的性能、弹性等特性提出更高的要求。
　　所以未来金融数据中心网络技术必将进行变革式的创新发展，我们认为未来发展趋势主要包括以下三点：
　　1、面向互联网新兴业务的敏捷网络, 即未来金融云网络能够高效满足互联网方式下金融创新应用的多样化需求。
　　一是网络资源的快速提供与开通，以支撑应用的快速投产;
　　二是强化细粒度的网络策略管控能力，在应用需求的频繁变化的情况下，网络能够进行灵活地变更调整;
　　三是网络可兼容多样化的资源类型接入，以融合网络方式实现虚拟机、容器、物理机不同资源的统一接入。
　　2、面向数据中心资源动态变化的弹性网络，即在大流量挑战下保证网络的平稳运行。
　　一是金融云规模巨大，承载业务系统众多，要求网络必须具备足够的容量与健壮性，比如如何解决网络规模快速增长情况下存在广播风暴的风险;
　　二、在营销活动等访问量暴增的情况下，网络能够根据应用重要性与链路情况实现对流量的智能调度，保证核心业务平稳运行;
　　三则是在计算资源不充足的情况下，网络能够连通分布在不同物理位置的计算资源池，打破由于物理区域隔离所造成的资源容量限制。
　　3、面向数字化智能化运维模式的网络，即在网络运维压力暴增的情况下，能够做到先于业务发现网络问题。
　　一方面，金融行业数据中心规模不断扩张，网络终端数量与网络模型复杂度都呈几何式增长，必须采用高效、出错率低自动化运维代替传统的手工方式;
另一方面，在金融云的新常态下，网络运维模式需要形成闭环来提升自身价值，通过对流量数据的采集分析，实现对网络的问题预测、排障、优化，甚至做到对网络攻击的规避，提升整体网络的稳定性。
软件定义网络(SDN)技术通过分布式架构理念，将网络中数据平面与控制平面相分离，从而实现了网络流量的灵活控制，为核心网络及应用的创新提供了良好的平台，其与金融云网络发展趋势相契合，是实现金融云网络服务的有效支撑技术。
二、以金融云为载体的创新网络需求
　　基于上述金融云网络的发展趋势，结合金融业务面向互联网的挑战，我们认为未来金融云网络需求可总结为高安全、高敏捷、高性能、高可用、高弹性与高可管理：
　　高安全，金融业务的特殊性对承载网络的第一要求即为保证数据的安全性，因此金融云网络必须具备能够抵御系统外部攻击，保证数据完备性与私密性的能力;
　　高敏捷，实现业务快速上线，面对应用的变化达到资源的按需变更，通过新技术应用打破因重安全而舍效率的困局，在云计算新环境下安全与高效并重;
　　高性能，面对秒杀等新业务场景等的极限服务能力，实现时延和带宽等关键指标的跨越式提升，同时注重资源的高效利用，用尽可能少的资源实现最大的性能服务。
　　高可用，网络架构持续稳定影响金融数据中心全局服务能力，网络架构需要基于稳定可靠的技术构建，使网络服务具备724小时业务连续性服务的能力;
　高弹性，一是内部弹性强化，打破竖井式架构中网络区域成为限制资源共享的壁垒，实现网络资源池整合与灵活共享与隔离，二是外部弹性兼容，支持新老架构并存，从而使原有网络可以平滑过渡到新架构;
　高可管理，一是实现管理的体系的简化，支持多品牌的融合管理，二是实现管理自动化与智能化，提供端到端的业务可视和故障快速定位、排查能力，使日常运维从大量人工维护的高工作量解放出来;
　三、工商银行SDN技术探索与实践
工商银行于2014年启动了IT架构转型，旨在利用分布式框架、云计算、大数据等新技术手段，构建面向未来业务发展的全新技术体系，促进全行业务向数字化转型。作为IT架构转型的重要组成部分，工商银行于2016年完成全行新一代全球网络规划。
截至目前，全新的数据中心SDN网络和覆盖首批11家分行的广域骨干网SD-WAN已相继落地。新网络的成功投运标志着工行成为国内首家在数据中心核心网络和广域骨干网同时大规模应用SDN技术的大型金融机构。
(一)新一代网络变革思路
业务与技术双双驱动网络升级。随着工商银行综合化、国际化、互联网金融创新等战略的逐步推进，集团并购、组织架构调整、IT应用架构调整越来越频繁，对基础网络架构提出了更高要求。同时，大数据、云计算、人工智能等技术及应用的快速革新也需要网络层面提供强力支撑。
传统网络在承载新业务、支撑新技术应用方面逐渐显得捉襟见肘，主要原因是传统网络以产品和功能为中心，在服务能力方面存在不足。
　　一是网络资源池化能力不足，不能很好地支撑计算资源池化部署，在一定程度上造成计算、存储和机房场地资源的碎片化。
　　二是新业务上线时的网络部署变更更多地依赖手工配置，流程长，操作复杂。
　　三是应用、系统、网络相对割裂，端到端的可视度和排障能力不足。这些传统网络的弱点制约了新业务、新技术的发展需求。网络变革已是大势所趋。
2006年，美国斯坦福大学的Clean Slate课题组提出一种新型网络创新架构——软件定义网络(SDN)。近几年，随着全球各知名网络厂商陆续推出支持SDN的网络产品，SDN进入加速发展阶段，并成为新一代网络遵循的核心理念和技术。
经过充分研究和评估，工商银行的研究团队确信，SDN能够较好地满足银行业务创新发展与各类新技术应用对网络的需求，将是下一代网络创新和变革的核心技术。
　　(二)SDN实践历程和阶段成果
工商银行从2013年起便将SDN技术应用纳入长期跟踪研究范围。2014年，工商银行开始与合作网络厂商围绕SDN落地应用事宜开展联合创新工作，就SDN网络的设计目标、新网络特征、实施范围等进行论证。在研究初期，SDN技术并没有成熟可照搬的应用案例，工商银行与合作厂商不断探索，寻求一条更契合银行IT整体架构的SDN实践之路。从启动研究规划、方案设计到方案验证，历经两年多的技术积累，2016年12月，新一代全球网络设计方案正式通过行内架构评审会评审。2017年，工商银行顺利完成新一代数据中心网络建设和覆盖部分分行的一级骨干网改造(见图2)。

　(三)新一代网络的主要特征
工商银行新一代网络遵循和采用SDN理念及技术，以虚拟化、服务化、智能化和开放化为核心特征，以提高IT资源组织效率、支撑业务应用快速部署、提升用户访问体验、确保网络安全可控为目标全面进行重构。
综合新网络各项特征，我们将新一代网络命名为AstroNet1.0。Astro意为“宇宙”，借此表明新网络的空间广度(全球化、综合化)和时间长度(持续演进)，1.0代表全新一代(见图3)。

新一代网络AstroNet1.0按照网络编排层、控制层、转发层的设计层次，重构网络系统，网络转发层全面实现虚拟化，依托控制层增强网络服务化能力，协同编排层实现网络运维智能化管理，同步提升网络安全防护水平。在网络编排层，借助智能运维平台(含云平台/网管)实现上层流程的统一编排，提供网络服务目录;在网络控制层，通过SDN控制器构建软件定义的核心，对编排层提供网络服务能力及智能化管理能力;在网络转发层(包括数据中心、广域网和端侧网络)，通过虚拟化支撑多业务网络数据转发(见图4)。

随着数据中心和一级骨干网SDN的投运，目前工商银行已在数据中心实现云网融合，并规模上线包括核心互联网金融业务在内的7个关键业务，通过采用虚拟化技术构建大规模内外网资源池，大幅提升业务上线速度和运维效率。
　（四）SDN云网架构，给工行带来哪些好处?
　　1、极大提升了网络架构的可靠性和扩展性

新一代SDN Fabric架构底层Underlay网络采用三层路由组网，消除了传统二层广播风暴影响应用业务正常运行的故障场景，同时针对Fabric Overlay二层网络部署智能二层防环技术，可快速排查和定位广播报文、未知单播报文等导致流量异常的问题。
　2、配置自动化，加快新业务上线速度

新网络方案实现应用自动化部署，网络服务自动编排，计算和网络资源就绪缩短到分钟级别，针对突发业务扩容诉求，计算和网络资源也可灵活弹性伸缩。以前叫网络调试、配置，现在有了高大上的名字，网络服务编排。
　　3、运维可视化，提升运维效率

新网络架构不仅提升了网络可靠性和可扩展性，也简化了网络运维。通过“应用-逻辑-物理”三级网络拓扑可视，助力故障快速定位。替换传统工单模式，减少一线人员变更修改网络配置的复杂流程，网络人员可更多聚焦网络优化和自动化运维等工作。
　　4、IT资源池化，提升资源利用率

新网络在数据中心局域网层面采用VXLAN(Virtual Extensible LAN)+EVPN(Ethernet Virtual Private Network)构建大规模Fabric计算资源池，单个Fabric可承载4000台以上物理机。
依托EVPN技术实现多个逻辑网络分区资源的灵活调整，提升计算资源和网络接入资源的利用率。
　　5、多平面、虚拟化，业务承载更加安全可靠

新网络在骨干网层面采用多平面路由设计，降低了数据中心网络和广域网的耦合度，也提升了广域网的可用性。通过MPLS VPN技术实现一级骨干网的虚拟化，把生产、测试以及各子公司在逻辑上分成不同的VPN，实现逻辑隔离，简化安全管理。行内的不同业务(主机灾备、平台灾备、Intranet、Extranet、Internet)统一承载，充分利用基础通信资源。
*　　6、开放路由协议提升网络扩展能力、升级通信线路提升网络承载能力

新网络将原来的骨干网采用的封闭路由协议改为开放的标准协议，提升了网络的扩展性，支持多厂商产品异构部署。同步采用分层分域开放架构标准：SDN控制器提供API，支持上层应用驱动按需调度网络业务，网元设备开放API支持SDN控制器按需配置和调度。
同时，新的一级骨干网使用了MSTP线路替换了老旧的ATM线路，支持带宽平滑升级，设计容量大幅提升，数据中心间单路通讯带宽可平滑扩展到10GE，一级分行到数据中心间的单路带宽可平滑扩展到1GE。新骨干网可灵活地支持向多地多中心的广域网平滑演进。
目前，工商银行已经在数据中心和一级骨干网成功实践SDN方案，后续将稳步推进新一代网络落地实施工作。同时，SDN尚属全新技术领域，当前仍处于快速发展阶段，需在网络建设和使用过程中不断探索总结。SDN解决方案的落地应用既是工商银行面向未来IT架构变革的一项重大突破，也是金融行业在跨代网络转型领域的一次创新和探索。SDN的成功应用必将助力银行数字化建设和转型，为银行各项业务发展增添新的动力。
（来源：互联网）

阅读原文
已使用 OneNote 创建。