信息化觀察網(wǎng)

上云，保險業(yè)發(fā)展的必然趨勢

近些年，金融科技蓬勃發(fā)展，保險行業(yè)作為金融領(lǐng)域的重要組成，云計算、大數(shù)據(jù)等關(guān)鍵技術(shù)正在深刻改變保險行業(yè)的生態(tài)，如何運(yùn)用新技術(shù)推動效率、促進(jìn)企業(yè)創(chuàng)新發(fā)展，成為保險企業(yè)未來的核心競爭力。目前，國內(nèi)已有諸多保險企業(yè)將云計算應(yīng)用于信息系統(tǒng)創(chuàng)新建設(shè)中。既有傳統(tǒng)保險企業(yè)積極開展私有云建設(shè)，又有新興互聯(lián)網(wǎng)保險企業(yè)全業(yè)務(wù)上行業(yè)云。

中國銀保監(jiān)（原中國保監(jiān)會）發(fā)布的《中國保險業(yè)發(fā)展“十三五”規(guī)劃綱要》中也明確指出要“推動云計算、大數(shù)據(jù)在保險行業(yè)的創(chuàng)新應(yīng)用，加快數(shù)據(jù)采集、整合和應(yīng)用分析”。

云計算是保險行業(yè)信息化發(fā)展變革的重要技術(shù)手段，保險行業(yè)全面上云，可以有效解決系統(tǒng)轉(zhuǎn)型過程中的痛點(diǎn)問題，加快保險機(jī)構(gòu)新一代IT系統(tǒng)構(gòu)建的步伐，促進(jìn)金融行業(yè)自身業(yè)務(wù)和服務(wù)水平的提升，實(shí)現(xiàn)創(chuàng)新發(fā)展。未來，會有更多的保險企業(yè)探索云計算，實(shí)現(xiàn)企業(yè)上云。

為積極遵循銀保監(jiān)提出的“十三五”規(guī)劃，結(jié)合IT的信息化建設(shè)現(xiàn)狀、用戶需求以及其整體的標(biāo)準(zhǔn)要求，中國人壽數(shù)據(jù)中心計劃穩(wěn)步、有序地推進(jìn)云建設(shè)，并選擇九州云作為合作伙伴共同打造基于OpenStack的生產(chǎn)云。

穩(wěn)步有序落地人壽數(shù)據(jù)中心生產(chǎn)云

中國人壽數(shù)據(jù)中心云平臺設(shè)計以國際主流IaaS技術(shù)OpenStack為核心，基于它提供的計算資源管理、存儲管理、網(wǎng)絡(luò)管理、鏡像管理、認(rèn)證管理、計量管理和其他模塊進(jìn)行優(yōu)化，結(jié)合分布式存儲Ceph，構(gòu)建一個面向未來的、易于橫向擴(kuò)展的、高可用的、不被廠商鎖定的彈性計算存儲云資源池。

本次實(shí)施基于社區(qū)版OpenStack并集成第三方SDN網(wǎng)絡(luò)設(shè)備及存儲設(shè)備搭建一個OpenStack私有云平臺。本平臺共三Region，Region One (傳統(tǒng)網(wǎng)絡(luò)區(qū))，Region two (華為SDN 區(qū))，Region Three(華三SDN區(qū))。

本項目主要為OpenStack云平臺提供虛擬機(jī)管理、存儲管理、網(wǎng)絡(luò)管理，為避免控制節(jié)點(diǎn)出現(xiàn)單點(diǎn)故障，故采用三物理節(jié)點(diǎn)做HA來提供控制區(qū)域的高可用性。OpenStack控制區(qū)域部署OpenStack控制端所需組件，各個組件均提供HA的能力。

各組件之間通過如下的邏輯關(guān)系構(gòu)成，控制節(jié)點(diǎn)部署所需的API、鏡像服務(wù)、數(shù)據(jù)庫服務(wù)、消息服務(wù)等所需的服務(wù)。采用HAProxy、Galera等集群技術(shù)構(gòu)建控制節(jié)點(diǎn)高可用，詳細(xì)如下圖所示，在應(yīng)用層形成高可用方案。

OpenStack計算區(qū)域由X86及刀片組成，使用KVM提供虛擬化能力。OVS為虛擬機(jī)提供vswitch，從而為靈活組網(wǎng)提供支撐。Libvirtd作為虛擬化管理API層，作為OpenStack nova-compute控制kvm的接入層。Nova-compute對集群節(jié)點(diǎn)進(jìn)行計算資源管理，neutron-ovs-agent對集群節(jié)點(diǎn)網(wǎng)絡(luò)進(jìn)行管理，Zabbix-agent提供監(jiān)控數(shù)據(jù)采集。

通過該項目建設(shè)，中國人壽數(shù)據(jù)中心成功構(gòu)建OpenStack私有云平臺，方案涉及的主要技術(shù)亮點(diǎn)有：

計算與存儲的分布式架構(gòu)：采取將計算與存儲的分布式架構(gòu)，實(shí)現(xiàn)類似Google數(shù)據(jù)中心的，實(shí)現(xiàn)可線性橫向擴(kuò)展的分布式云計算資源池；

軟件定義計算：基于優(yōu)化過的開源虛擬化平臺，增加熱遷移和高可用等高級功能，整合自動化物理節(jié)點(diǎn)部署和應(yīng)用部署自動化，實(shí)現(xiàn)計算資源的軟件定義?？梢詫?shí)現(xiàn)多虛擬化平臺的整合，避免廠商鎖定；

軟件定義網(wǎng)絡(luò)：通過OpenStack Neutron和OVS以及異構(gòu)網(wǎng)絡(luò)硬件設(shè)備的整合，實(shí)現(xiàn)控制平面和轉(zhuǎn)發(fā)平面的分離，建立軟件定義網(wǎng)絡(luò)環(huán)境；

軟件定義存儲：通過OpenStack實(shí)現(xiàn)異構(gòu)存儲的統(tǒng)一，底層部署分布式存儲和商用存儲并暴露接口，實(shí)現(xiàn)存儲的靈活調(diào)度和按需分配，并通過分布式存儲搭建冗余備份環(huán)境，實(shí)現(xiàn)軟件定義存儲環(huán)境；

安全組功能：云平臺提供了針對云主機(jī)的安全組功能，使用安全組功能對云主機(jī)權(quán)限進(jìn)行管理，防止租戶主機(jī)非授權(quán)訪問。Security Group通過對Linux Bridge的端口進(jìn)行IPtables過濾達(dá)到對云主機(jī)的安全防護(hù)。安全組實(shí)現(xiàn)了四層的防護(hù)功能，能夠針對不同的協(xié)議如UDP、TCP、ICMP，針對不同端口如80、22、3306、3389等，不同的來源IP范圍；

監(jiān)控功能：在監(jiān)控方面基于統(tǒng)一、集中的管理體系，統(tǒng)一的數(shù)據(jù)處理和展現(xiàn)，統(tǒng)一的告警平臺。統(tǒng)一的數(shù)據(jù)處理和展現(xiàn)，消除各個監(jiān)控工具之間各自為政、系統(tǒng)管理員在各個界面間頻繁切換的情況，擺脫舊監(jiān)控工具的數(shù)據(jù)和事件的現(xiàn)狀，統(tǒng)一在新的監(jiān)控平臺中實(shí)現(xiàn)，并通過統(tǒng)一的展現(xiàn)界面進(jìn)行展現(xiàn)。統(tǒng)一的告警平臺，將所有告警納入監(jiān)控管理監(jiān)控平臺，并通過短信、郵件和桌面客戶端統(tǒng)一告警。

人壽數(shù)據(jù)中心上云，云安全是關(guān)鍵

就保險行業(yè)而言，上云安全、合規(guī)是十分關(guān)鍵的。在互聯(lián)網(wǎng)轉(zhuǎn)型的影響下，保險行業(yè)大多數(shù)創(chuàng)新業(yè)務(wù)直接連接互聯(lián)網(wǎng)或跨安全域工作，面臨著非法接入、網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、web應(yīng)用保護(hù)、僵尸木馬、DDoS攻擊等各種安全問題，并且其底層和其上的系統(tǒng)軟件可能存在的安全漏洞將影響到整個平臺系統(tǒng)的安全，攻擊者在利用漏洞入侵到平臺之后，可以對整個平臺內(nèi)部的資源進(jìn)行各種破壞，從而導(dǎo)致系統(tǒng)不可用，或者數(shù)據(jù)丟失、數(shù)據(jù)泄露……云安全是云計算發(fā)揮產(chǎn)能的原則性條件。

因此，為保險行業(yè)構(gòu)建立體、全面的云安全保障體系十分必要，中國人壽數(shù)據(jù)中心自然也不例外。云平臺通過編排調(diào)用現(xiàn)有內(nèi)/外網(wǎng)云數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)備、防火墻、IPS組建網(wǎng)絡(luò)安全，通過流量引導(dǎo)以編排的形式為各種應(yīng)用場景自定義不同的安全機(jī)制。

應(yīng)用三副本、糾刪碼存儲方案，采用分布式架構(gòu)，中國人壽數(shù)據(jù)中心可實(shí)現(xiàn)除本地應(yīng)用的實(shí)際保護(hù)機(jī)制外同時實(shí)現(xiàn)異地周期快照、數(shù)據(jù)回滾、多云同步能力，保障數(shù)據(jù)安全，實(shí)現(xiàn)10個9的數(shù)據(jù)保障性。同時，云應(yīng)用可彈性伸縮，實(shí)現(xiàn)自動化運(yùn)維、自動化遷移能力，配合高可用架構(gòu)、負(fù)載均衡集群，打造RTO=0的應(yīng)用安全。

安全可靠的私有云是網(wǎng)絡(luò)+應(yīng)用+數(shù)據(jù)的系統(tǒng)性安全。為保障業(yè)務(wù)連續(xù)及高可用保護(hù)，九州云為中國人壽數(shù)據(jù)中心提供秒級連續(xù)數(shù)據(jù)保護(hù)、多副本數(shù)據(jù)存儲、系統(tǒng)架構(gòu)高可用、自動伸縮、負(fù)載均衡群集，保障云軟件系統(tǒng)的高可用性、云部署的高可用性?；诜植际酱鎯夹g(shù)，保障業(yè)務(wù)數(shù)據(jù)存儲多副本保存，并根據(jù)業(yè)務(wù)場景提供跨機(jī)柜的數(shù)據(jù)容災(zāi)提供99.9999999%的數(shù)據(jù)可靠性，同時可根據(jù)監(jiān)控策略監(jiān)聽并發(fā)現(xiàn)故障后端主機(jī)自動隔離。

毋庸置疑，云技術(shù)正為保險企業(yè)創(chuàng)造大量新商機(jī)，但隨之也出現(xiàn)了許多新的安全風(fēng)險，憑借專業(yè)的技術(shù)和安全防護(hù)手段，九州云致力于為中國人壽數(shù)據(jù)中心提供更加安全的上云之路。

云平臺助力業(yè)務(wù)創(chuàng)新

云計算的應(yīng)用必將不斷深入保險業(yè)，對保險業(yè)諸多方面建設(shè)產(chǎn)生越來越大的影響。讓云計算在保險業(yè)更加發(fā)力，提升行業(yè)管理能力，提升行業(yè)科技創(chuàng)新能力，提升行業(yè)服務(wù)社會經(jīng)濟(jì)能力，是保險發(fā)展的需要及必然趨勢。中國人壽數(shù)據(jù)中心通過“云化”創(chuàng)新，將會有更廣闊的用武之地，將會實(shí)現(xiàn)以下顯著的效果：

越來越多地發(fā)揮云平臺作用：通過平臺即服務(wù)與業(yè)務(wù)流程即服務(wù)，中國人壽數(shù)據(jù)中心可實(shí)現(xiàn)新渠道開發(fā)、新設(shè)備應(yīng)用、新業(yè)務(wù)伙伴合作等。大力運(yùn)用云平臺，將極大提高中國人壽數(shù)據(jù)中心快速反應(yīng)能力和敏捷性、主動性，使保險企業(yè)能夠跨越創(chuàng)新障礙，克服諸如新技術(shù)應(yīng)用開發(fā)、條款要求、業(yè)務(wù)部署等各方面的挑戰(zhàn)。

增強(qiáng)云服務(wù)技術(shù)實(shí)力和基礎(chǔ)設(shè)施：中國人壽數(shù)據(jù)中心將持續(xù)增強(qiáng)云服務(wù)技術(shù)實(shí)力和基礎(chǔ)設(shè)施，充分收集和利用實(shí)時數(shù)據(jù)，以此為基礎(chǔ)建立全新的產(chǎn)品與服務(wù)系列，整合業(yè)務(wù)流程的不同環(huán)節(jié)，提升產(chǎn)品定價與風(fēng)險管理等內(nèi)在能力，深度融合銀行、證券、汽車企業(yè)、醫(yī)院等外部合作伙伴。

形成數(shù)據(jù)服務(wù)產(chǎn)業(yè)化：中國人壽數(shù)據(jù)中心通過云計算數(shù)據(jù)平臺獲得的數(shù)據(jù)迅速增加，其各個業(yè)務(wù)部門需要履行、協(xié)調(diào)好數(shù)據(jù)從生成到傳輸?shù)呢?zé)任，提高數(shù)據(jù)管理效率。并且其需要全面了解數(shù)據(jù)供求狀況，準(zhǔn)確判斷數(shù)據(jù)價值，創(chuàng)建數(shù)據(jù)供應(yīng)鏈，形成數(shù)據(jù)服務(wù)產(chǎn)業(yè)化。

提高業(yè)務(wù)敏捷性：云技術(shù)把分析法即服務(wù)提供給中國人壽數(shù)據(jù)中心，幫助其重新審視其核心業(yè)務(wù)、重新劃分核心與非核心業(yè)務(wù)，并將助力簡化其核心業(yè)務(wù)架構(gòu)，提高業(yè)務(wù)敏捷性。

更好的規(guī)避新的安全風(fēng)險：云技術(shù)在為保險企業(yè)創(chuàng)造大量新商機(jī)的同時，也會出現(xiàn)許多新的安全風(fēng)險，尤其在移動交易中，中國人壽數(shù)據(jù)中心對設(shè)備、應(yīng)用和操作系統(tǒng)的控制更為關(guān)注，并更好的規(guī)避安全風(fēng)險。