一、客户金融云迁移背景
金融行业上云之困
在讲述袋鼠云这次的金融云迁移服务案例之前,首先需要和大家聊聊,金融行业独有的上云痛点和难点。
2016年7月,银监会向社会公开征求对《中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿)》的意见,其中把开展云计算应用作为金融机构主动实施架构转型的主要手段。
但是相比其他行业,金融行业对云计算平台的要求非常苛刻,服务金融行业的技术必须具备相当高的可靠性,以及针对业务和数据的安全性。
所以,尽管目前已有数家大型银行、证券、保险机构上云,但是众多金融企业对上云扔持观望态度。
根据和金融行业客户的沟通、交流,袋鼠云了解到:“金融企业暂时没有上云,并不代表他们不Care,相反他们非常想上云。对他们而言,上云已然成了金融企业跟上DT时代步伐最迫切、也最至关重要的一步,也只有这样,才能把交易,服务,连接,决策,分析,智能,核身,信任,体验等环节打通”,才能紧跟大数据、人工智能等最新的技术潮流,实现互联网转型,提升企业竞争力。
从公共云迁移到金融云
安全性、稳定性、数据0丢失,成客户关注核心
客户(注:袋鼠云严格保密客户相关信息,本文内容已脱敏)是一家专业的互联网金融机构,前期所有服务都运行在阿里云公共云上,近期国家对互联网金融机构颁发了新规,支撑互联网金融服务的云环境必须要符合等保四级标准;同时,用户的业务运行在经典网络环境下,相比于VPC网络环境,如果客户操作不当,服务器很容易存在被扫描入侵,病毒感染,数据勒索等诸多安全风险。
基于以上原因,为了符合国家规定,同时保护企业自身资产安全以及用户信息安全,客户便决定开启从公共云到金融云的迁徙之路。
阿里金融云
只为构建安全稳定的云上堡垒
阿里金融云按照人民银行和银监会的合规标准建设,满足了公安部云计算等级保护等四级的要求,作为为金融行业提供量身定制的云计算服务,具备低成本、高弹性、高可用、安全合规等特性。
阿里金融具体特性如下:
图一
二、金融云迁移,袋鼠云陪客户打场漂亮仗
攻坚第一战
云上网络环境,如何实现金融级别的安全性?
那就是为客户量身设计高度安全等级的金融云VPC网络。
用户当前网络环境痛点:
- 使用经典网络,如果网络规划与配置不严谨,相比于VPC网络环境,它存在的网络安全风险更高。
- 一种服务对应跑在单台ECS上,服务高可用无法保障;同时应用直接通过ECS的公网IP对外提供访问,使服务器直接暴露在公网,容易被攻击;
- ECS数量60+,服务器IP随机分配,无规律,难管理;
- 日常运维,开发直接通过服务器公网IP登录操作,无任何操作审计和访问控制;
- 经典网络环境下安全组策略需要配置4个方向的策略,配置管理复杂,容易出错;
我的天!这么多问题,不担心被网络安全管理部门贴小标签么?
当前网络环境存在的这些问题让客户很抓狂,客户急需解决这种混乱而不安全的局面,据此,袋鼠云云服务专家幽兰强烈建议在金融云上使用VPC网络,重新规划设计整个业务系统的网络架构。
如下:VPC网络架构图
图二
如上图,我们根据用户的当前业务场景,在金融云VPC环境下,自定义规划了一个较大的局域网,与经典网络相比,该网络设计具备以下一些优势:
- 入口访问方式统一,使用公网SLB对外提供业务访问,不对外暴露后端ECS。
- 公网出口统一,内部ECS需主动出公网访问第三方服务,使用NAT网关,对内部ECS统一进行地址转换,无需为每台ECS分配EIP同时使用共享带宽包,节约带宽成本。
- 网络环境完全隔离,VPC环境下各租户之间网络为二层隔离,相比于经典网络下的三层隔离更加安全可靠。
- IP网段可管理,VPC环境下,私网IP段完全自定义。可以像线下环境一样,我们可以根据服务器的职能划分web服务,APP服务,DB服务等对应的IP段。
- 运维入口统一,在VPC下划分一个“管控区”,在这个区域里面使用VPN服务,堡垒机服务。使用VPN打通网络连接,使用堡垒机对日常运维进行审计和控制,让VPC环境下所有的主机只有通过VPN,通过堡垒机才能登录,其他不规范的登录方式都被拒绝。
- 简化安全组策略,在ECS数量等同的情况下,经典网络的主机有四个方向(公网出/入,内网出/入)的策略配置,而VPC环境下只有两个方向(内网出/入)。同时我们通过上面的服务分类分组后,可以直接基于安全组之间进行策略开通,而不是基于主机之间来分配策略,这样安全组策略条数就会明显降低,管理更加简单。
如下图:
图三
攻坚第二战
云上金融服务,如何实现高可用?
前面讲到客户在经典网络下很多应用服务都是运行在单可用区而且是单台ECS上,这种架构存在单点故障,同时没有容灾机制,对于金融行业来讲肯定是不符合规范的。为了解决这些架构问题,在金融云上我们必须考虑高可用与容灾机制,来提升服务的稳定性和可用性。
如下图:
图四
如上图所示,我们在金融云上将整个架构拆分成web服务层,APP服务层,数据服务层这样一个三层架构模式,每层都支持在线横向扩容,以便于应对后期业务的快速增长。为每种服务配置多台ECS服务器,将其分配到多可用区,这样保证了服务的高可用性,同时也具备服务同城容灾的机制;在数据库层,RDS数据库在金融云环境下默认具备同城容灾和高可用性,我们直接使用便可。通过上面的应用架构改造,彻底帮助客户解决了原有经典网络下存在的一系列痛点。
攻坚第三战
TB级海量数据,如何做到迁移0丢失?
- 经过前面的各种设计和规划后,接下来我们该怎样把公共云的这些业务系统,数据搬到金融云呢?
在阿里云上应用迁移,有两种方式,一种是使用镜像的方式,即将现有的应用服务做一次镜像,然后将该镜像迁移到金融云。另外一种是使用重建的方式,即在金融云环境下重新部署应用环境便可。
根据客户现有的情况不宜使用镜像方式迁移,因为ECS数量多,镜像容量太大,传输时间长;另外金融云应用服务架构发生变化,需要对源镜像进行很多修改。所以推荐使用重新部署会更方便快捷。
- 应用环境搭好了,客户的5TB+应用数据该如何迁移到金融云?
别担心,自有神器助你!
用户有5TB+的OSS数据也需要搬到金融云,幸好,阿里云提供了OSSimport神器来帮助我们,迁移流程如下:
图五
- 如上图所示,我们首先在金融云VPC下购买一台ECS(中转服务器)并关联EIP,
- 在ECS上,安装OSSimport工具,
- 在公共云和金融云上授权子账号权限,
- 在金融云上创建好bucket,
- 在OSSimport的任务配置文件中配置迁移的源和目标AK信息,源和目标bucket地址和名称,提交任务便可。
OSSimport工具会自动帮我们去核对源和目标数据是否一致(通过对比文件的大小,时间等meta信息和CRC校验结果来判断),将不一致的文件或传输失败的文件都详细的记录在log中,便于我们查看和重试。另外他还支持增量传输(通过Unix时间戳大小来设置),断点传输等功能。
OSSimport 工具支持的迁移场景远不只是阿里云之间的迁移,它还支持将百度云、腾讯云、青云、又拍云、线下IDC等环境下的数据迁移到阿里云OSS上。
- 借助DTS,500GB的DB数据迁移不再难
我们怎样将用户环境下超过500GB的RDS数据,并且同时有MySQL,MongoDB等多种类型数据库数据迁移到金融云?像这种大数据量的迁移,数据是否会丢失,以及源和目标库数据是否会不一致?数据迁移完成后我们又该怎样去校验?
功能强大的DTS法宝,帮我们解决了上述的诸多难题。它支持云上跨地域,跨云平台等场景,在不停数据库服务的情况下帮助用户快速、方便的实现各种数据源间的数据迁移工作。在迁移过程中DTS还会对数据进行一致性校验来保证数据的完整性。
数据库迁移流程如下图:
图六
上图为数据库的迁移流程,但如果是跨云平台的情况下,例如该用户就是从公共云到金融云的场景,DTS任务配置的时候就需要注意 “源库信息” 的选择,此处必须选择 “有公网IP的自建数据库” 否则迁移任务配置会失败,
如下图:
图七
数据库的迁移是一个很专业的活儿,既要有DTS法宝在手,也要有专业的DBA全程护航。这样才能在迁移过程中有坑填坑,有雷排雷。本次客户在做金融云迁移的过程中,袋鼠云DBA团队,全程现场护航,帮助用户解决各种数据库疑难杂症,得到客户的认可。“这场硬仗打得辛苦,但是赢得漂亮,袋鼠云的同学通宵了一夜,真是辛苦了”。
三、啃下硬骨头,金融云上无限可能
到此为止,金融云迁移的主要困难点(如何构建安全的网络环境,如何将应用数据,DB数据完整而无丢失的搬到云上)就都解决了,至于其他的一些工作,例如,ECS、SLB、RDS、OSS、CDN、DNS等这些产品怎么使用,都是比较容易的事情。
当然了,整个迁云过程中还是有很多的坑存在,如果把它想的太简单可能会碰壁。不过它也没有大家想象的那样复杂,袋鼠云和客户用生动真实的迁云实践案例证明,合理的规划和专业的技术保障是金融云平滑迁移的关键。
金融云的成功迁移,让该互联网金融客户能更好地保证自身用户信息安全、为用户提供更稳定的服务体验,同时,也为客户在云上做大数据、智能应用的探索提供了基础。
“指纹识别付款”、“刷脸支付”、“智能反欺诈系统”、“智能还款”...
得益于安全、便捷、低成本的云上服务和大数据、人工智能、区块链等新技术的应用,越来越多金融机构实现了金融模式创新。
在这个过程中,袋鼠云关注金融行业需求,期待和更多金融行业客户一起基于云计算和大数据带来的技术红利,探索更多可能性。袋鼠云相信,无论是企业,还是个人都能享受到技术变革给自身所带来的实惠与便利。
袋鼠云,开启您的数据智能时代
点击下载PDF文件,收藏案例慢慢看