金融行业的IaaS参考架构如下图所示。和公有云不同,金融行业私有云首先要满足内部业务部门的服务需求,在长时间内会存在分布式和集中式技术混合使用的场景。
在做架构设计的时候,需要尽量兼顾现有的运营体系和主流产品。比如计算资源池内只考虑X86虚拟机和物理机,不再考虑小型机,原因是X86物理机已经逐渐开始大规模替代小型机。存储方面,现有的分布式存储技术在功能、性能、容灾方面距离传统SAN存储还有差距,因此还不能放弃。网络方面,虚拟软件网元也会和硬件网元长期并存。
金融机构现有的运营支撑系统已经长期稳定运行了很长时间,在做云计算架构设计的时候需要尽量考虑融合。对于不适用于云计算的部分,可以采取优化升级的方式,达到云计算的适配要求。比如传统的审计系统都是管理员手工配置,在云计算环境里就需要通过软件定义的方式可以实现,也即审计配置的功能应该通过API暴露出来,并嵌入到资源申请的流程里。
此外,云计算是面向多租户提供服务的,经典云计算里,租户对于自己的资源有所有管理权限,比如对云主机的启动、停止、删除等。这对于一些金融机构的基础资源管理体系形成了挑战。比如很多金融机构的服务器(包含操作系统)是由专门的服务器管理员负责,这个管理员面向所有的业务系统,各业务系统的应用管理人员只有普通应用账户的权限。这样做能够有效提升效率和安全性,但是对于云计算的多租户服务体系来说就需要做一定的改变。这种情况下,服务器管理员应该转变为计算资源池管理人员,云主机的使用对象为应用管理人员,也即多租户的对象。和经典云主机的使用方式不同,为了避免应用管理人员误操作影响主机的可用性,应该对租户的权限做更严格的限制,不允许租户删除、停止主机,也不允许租户使用root权限。