本文根据上海联合产权交易所网络信息部总经理刘晓军在深信服创新技术论坛上的演讲整理
首先我介绍一下上海联合产权交易所,可能对在座的大多数朋友来讲,它是一个很陌生,很特殊的一个行业。联交所是经上海市人民政府批准设立的综合性的产权交易服务机构,主要做物权、摘要、股权知识产权等交易服务为一体的专业化市场平台。
上海联合产权交易所公开发布了十大交易服务平台,随着业务的扩展和发展现在的情况发生了变化,经营的交易品种实际上还是比较多,在以往的信息化的建设的过程当中,实际上都是在这些交易平台酝酿规划的时候分别为他们开发了业务系统,按照传统架构的思路,买上了一堆服务器,支撑这些平台的运转。这样的一种情况在2014年开始,我个人认为是已经走到了头,数据之间是不能互联互通的,是非常典型的一个架构烟囱式的架构。当时在办公大楼底楼位置隔出来做一个机房,买了大概10多个机柜,由于疏于打理,隔着大玻璃往里面看,布线也不整齐,有损形象。
这样数据中心的架构事实上也对业务产生了影响。比如说不同交易品种之间的投资人信息是不能共享的,同一个转让方,因为转让不同的品种,所有的基础资料都要重新提交一遍,在系统里面不能共享。这样的数据中心不仅面积限制了扩容,割裂了系统联系,还给业务的运营带来很大的麻烦。
由此我们考虑如何规划下一代的交易系统,首先想到的是软件,但是在运行之前就需要有一个很稳固的基础架构,现有的技术架构如何支撑?如果只是这样一堆的服务器,肯定不能满足未来的发展。
紧接着开始了方案论证,第一个方案也是一个比较传统的方案,就是做服务器虚拟化。为了做这件事情,2014年下半年我们已经购买了一些授权,也买了服务器,在这个上面做了一些实验,当时效果也还可以,如果我们没有对下一代交易系统或者交易所下一步的发展没有编制一个比较大的设想和规划的时候,这样的方案确实很稳妥,也有足够的技术人员来支撑方案的保障落地。
但问题是从2015年开始,我们思考谋划创新转型,升级发展。从业务发展的趋势来看,这样的一个架构确实不能支持交易所未来三年的发展战略,甚至于连it部门未来三年的发展也支持不了。
2015年年底我们了解到,有了基于超融合构建的企业级的数据中心这样一个方案。当时我们想这样一个新的方案,而且并没有太多的人在使用落地,我们是不是有机会结合业务逐渐发展的过程去尝试一下呢?于是我们就组织了自己的团队的员工,寻找当时各种各样的凯发登录的解决方案,其实也包括深信服的凯发登录的解决方案,拿过来进行不断的试用和评测。
评测之后我们也召开了两次专家评审会,对这个方案进行了评测和试用。我说这个全面可能有点过分,因为当时我们测试的时候,确实也不能很全面,所以事后当我们这个数据中心提交正式环境运行的时候,超融合的数据中心方案确实事后的表现给我有一些比较惊喜的表现。我们评审先后召开了两次的专家评审会和内部评审会,我们外部的专家有来自国企的,有外企的,有主管机关包括国资委,经信委,也有境外的专家,也有学院派的专家,目的是力求公平公正,希望稀释专家个人品牌和评审偏好。并希望不要再开始的时候进行厂商绑定。希望有更高的品质,更高的灵活的自由度。
后来深信服提供产品试用的时候是按照纯软件的方案提供测试的,总的来讲在测试环节里面其实各家都非常的顺利,固然最后的方案是通过公开招投标达成的,但当时我个人认为比较倾向深信服的凯发登录的解决方案,最看重的一点就是将安全融合到整个超融合的凯发登录的解决方案里面去了。
这个方案节省了整个数据中心机架的位置,布线更加容易,运维更加简单,且融合了安全,整个在部署和后期运维上的确简单、易用、省心,这个确实是非常吸引我的地方。
通过专家评审以后开始了项目实施。从去年的年底开始的,到今年的3月份左右所有的部署实施都已经完毕了。之后召开了专家的评审会,一直到6月份的时候完成验收。部署完了之后有深信服的设备,有华为的交换机,有惠普x86的服务器,还有堡垒机等等。数据中心建设完了以后,马上面临的问题是安全建设。在这个数据中心建设的时候我们没有过多的考虑安全方面的问题,当时在准备这个方案的时候我们已经知晓《网络安全法》很快要实施了,将对交易所有很大的影响。所以我们把安全所有的东西从数据中心里面剥离出来,只留了基本的防火墙和堡垒机等等,其他的东西在后面做系统的考虑。
这个数据系统上线以后我们往数据中心迁移各种各样的东西,先从官方网站,oa,边缘应用往里面迁移,迁移的时候非常顺利,后来开始迁移业务系统,也非常的顺利。这个就是前面提及的,实际部署阶段带给我的惊喜,我们在基本没有应用系统的厂商修改代码等等这样一些工作的前提下。自己的团队从老数据中心往新数据中心一步一步迁移,都是自己团队慢慢摸索部署出来的。通过这样的迁移,不仅是验证了数据中心整个方案的可靠、可用,而且也锻炼了技术团队能够胜任未来的管理工作。
这两张图是截自真实生产系统的集群,基本上都实现了大部分业务系统的迁移。现在云平台的建设工作仍然在路上,前面提及的数据中心是1号数据中心,已经通过了最终的验收,下个月2号数据中心将考虑建设,形成两地三中心里面同城互相的灾备。
目前绝大部分的系统已经迁入超融合的环境,但是接下来还要对数据中心进行全面的测试,测试目的是要向全国碳排放数据中心提供云服务,也向部分产权交易机构提供云服务,向下属各类交易平台提供云服务。
最后一步我们希望为联交所的it团队向市场化运营进行转型,同时响应上海市国资委的要求,逐步在企业集团里面形成信息化大集中的战略,交易机构下述平台的交易系统信息系统集中到数据中心上来。也希望能够为全国的产权交易机构区域集中提供区域的数据支撑。
数据中心建设完成后,安全怎么办? 《网络安全法》在7月1日颁布以后我们组织大家进行研判和学习,跟上海市网信办和网安经信委,国资委进行沟通,通过法律的实施我们非常方便的完成等保三级安全认证建设所需要的立项工作。所有的建设资金也已经全部保障到位,下一步我们正在进行的是对整个安全的建设的项目进行专家论证。
有一句话我非常的认同,要从互联网的视角建立情报和外部威胁联动的能力,在内部要进行持续的监测与相应,形成内部自适应的能力,在边界部署下一代防火墙,防范外部入侵威胁。之前忽略了对安全的建设,以为买上一两台防火墙,把防火墙做成双机热备就完了,其实不是这样的。在前段时间病毒威胁发生时,我们也请了包括深信服在内的三家安全厂商对整个机房里面做了安全扫描,才发现对安全不够重视,从扫描出来的结果来看,每天都有少量的流量往东欧或者是其他的国家送。
对比建筑安全标准来看,现在所有交付使用的办公楼必定都会有消防喷淋设备,否则无法验收。消防喷淋设备可能几十年都不会喷一回,但是依旧要花大价钱去建。安全也是一样的道理。
我们在思考如何在下一代产权交易系统全面建设的前期,就把安全的东西全部建好落地。既满足了法律法规的要求,也给自己带来了安全的保障。这些是深信服的片子,我们比较认同他们的观点,特别是对于后面网安全可视能力的展示。
1号数据中心在浦东的周浦镇,我们的工作场地在普陀区,从办公场地赶往数据中心,一切顺利的话开车大概需要一个小时左右。我的数据中心在那运行,一切的东西对我来讲是封闭的,如果没有对于整个信息系统运行状态的监控的话,那就只能在浦东周浦租一套民房,安排一个员工值守,那是一件非常不划算的事情。所以希望所有给我们提供基础设施,包括核心业务系统的厂商配合我们完成整个信息系统的动态实时感知项目的建设,深信服这个理念是我非常认同的,我们希望安全的供应商能够未来把我们系统里面整个信息系统关于安全的状态呈现出来。
提到设备选购不要用太多的品牌,否则后续维护工作量太大。我们会在未来的建设里面选用两到三家厂商为主的产品,世界上没有绝对的安全,至少通过这个来增强增加做坏事的人入侵系统的成本,通过两家左右的厂商互相形成一个备份。
最后一个观点,产品没有百分之百没有问题的产品,这样的产品是找不到的,无论谁家都有一定的问题,但是我非常看重的是厂家的服务意识、服务态度、服务能力这三个方面。通常来讲,我希望先看到每个厂商服务意识、态度、能力,我们也确实感受到这块真正是能弥补产品的缺陷或者弥补在方案设计预算有限的情况下碰到的困难。感谢大家。