利用容器技術(shù) A10 Networks助力開放銀行建設(shè)

A10 Networks大中華區(qū)首席技術(shù)官 徐立群

近幾年,隨著金融市場改革與金融科技興起,國內(nèi)不少銀行積極探索,逐步向開放銀行轉(zhuǎn)型,打造“平臺+生態(tài)”的新型商業(yè)模式。例如,浦發(fā)銀行2018年7月向外發(fā)布了“API Bank”無界開放銀行;建設(shè)銀行也上線了開放銀行管理平臺,向外輸出核心服務(wù);招商銀行開放用戶和支付體系,通過API、H5等連接方式,實(shí)現(xiàn)金融和生活場景的連接。除此之外,工商銀行、興業(yè)銀行、光大銀行等也都在探索開放銀行,但模式各有不同。因此,2018年也普遍被認(rèn)為是“開放銀行元年”,開放銀行的“星星之火”已經(jīng)燃起。

未來,“場景在前,金融在后”的跨界生態(tài)圈將成為主流。不過,目前開放銀行應(yīng)用尚處于早期階段,在建設(shè)的初期階段,安全問題、可用性問題、穩(wěn)定性問題等等諸多問題,是不容忽視且很重要的問題。對于這些問題,A10 Networks從IT基礎(chǔ)架構(gòu)的層面來思考,讓這“星星之火”燃燒、蔓延得更穩(wěn)一些。

傳統(tǒng)IT基礎(chǔ)架構(gòu)顯現(xiàn)出不足

眾所周知,開放銀行將帶來變化更迅猛的業(yè)務(wù)需求以及更多更復(fù)雜的業(yè)務(wù)場景,類似掌上銀行、移動支付等基于互聯(lián)網(wǎng)的金融服務(wù)已迅速崛起。而傳統(tǒng)銀行的IT基礎(chǔ)架構(gòu),開發(fā)及運(yùn)維模式已無法適應(yīng)這種新業(yè)務(wù)模式的發(fā)展。其主要表現(xiàn)為:

第一,傳統(tǒng)的IT基礎(chǔ)架構(gòu)使得項(xiàng)目投產(chǎn)上線的周期比較長,無法及時滿足互聯(lián)網(wǎng)時代客戶和業(yè)務(wù)的需求;

第二,傳統(tǒng)的基礎(chǔ)架構(gòu)和運(yùn)維方式很難應(yīng)對“紅包”、“秒殺”搶購等高并發(fā)的特殊場景。

第三,新產(chǎn)品和業(yè)務(wù)量的增加,將導(dǎo)致運(yùn)維成本的大幅提高。

部署基于容器技術(shù)的微服務(wù)架構(gòu)

面對這些挑戰(zhàn),基于容器技術(shù)的微服務(wù)架構(gòu)因其具有持續(xù)交付能力強(qiáng)、資源利用率高、連續(xù)高可用、靈活伸縮等特點(diǎn),可以對開放銀行的業(yè)務(wù)開展提供良好的支持。

但問題又來了。當(dāng)應(yīng)用部署到生產(chǎn)環(huán)境并實(shí)現(xiàn)規(guī)模化時,如何實(shí)現(xiàn)微服務(wù)之間的有序、高效、安全的通信,做到服務(wù)的自動發(fā)現(xiàn)、實(shí)現(xiàn)服務(wù)的彈性伸縮?如何對南北向和東西向數(shù)據(jù)流進(jìn)行可視化管理和提供安全保障?

A10 Networks助力應(yīng)對挑戰(zhàn)

隨著應(yīng)用逐步轉(zhuǎn)向基于微服務(wù)的體系結(jié)構(gòu),容器和Kubernetes使用都有強(qiáng)勁的增長,Kubernetes也成為了主要的容器編排器。根據(jù)信通院的《2018年金融行業(yè)云計(jì)算技術(shù)調(diào)查報(bào)告》顯示,有14.91%的金融機(jī)構(gòu)已經(jīng)將容器技術(shù)投入生產(chǎn)環(huán)境;20.50%的金融機(jī)構(gòu)用于測試環(huán)境。

A10 Networks的安全服務(wù)網(wǎng)格(Secure Service Mesh)解決方案將容器的異構(gòu)特性與Kubernetes所具有的橫向擴(kuò)容能力完美結(jié)合在一起,可以輕松應(yīng)對諸如紅包、秒殺等特殊場景。而它所具有的快速啟動特點(diǎn)能夠確保應(yīng)用的連續(xù)性和高可用性。此外,利用數(shù)據(jù)流微分段技術(shù)和微服務(wù)隔離技術(shù),A10Networks的解決方案可以很好地支持微服務(wù)之間的安全通信,在保證應(yīng)用敏捷性的同時,又可保證數(shù)據(jù)的私密性與安全性。而用戶只需專注于程序開發(fā)和應(yīng)用編排,無須關(guān)心應(yīng)用的監(jiān)控、擴(kuò)展、服務(wù)發(fā)現(xiàn)和分布式追蹤等繁瑣的事情。

可以說,A10 Networks解決方案可以很好地滿足開放銀行對IT基礎(chǔ)構(gòu)架和研發(fā)運(yùn)維方面的要求,并且目前是業(yè)界唯一一個正式商用的安全服務(wù)網(wǎng)格解決方案?？偨Y(jié)說來,其助力實(shí)現(xiàn)了四個方面的價值:自動化的服務(wù)發(fā)現(xiàn)與彈性伸縮、微分段和東西向數(shù)據(jù)流安全、基于每個應(yīng)用的可視化管理與控制、Open API集成。

三個關(guān)鍵組帶來客戶價值

A10 Networks安全服務(wù)網(wǎng)格解決方案包含三個關(guān)鍵組:A10 Lightning ADC、A10 Ingress Controller和A10 Harmony Controller,為部署在Kubernetes環(huán)境中的微服務(wù)提供了先進(jìn)的應(yīng)用負(fù)載均衡和流量管理能力,集成安全性、流量分析和透視能力。

Ÿ自動化的服務(wù)發(fā)現(xiàn)與彈性伸縮:Lightning ADC提供高級負(fù)載均衡功能,還支持SSL加解密、WAF、AntiDDoS等眾多安全功能,可以為微服務(wù)構(gòu)架提供強(qiáng)有力的安全保障。它以容器形式部署在Kubernetes的數(shù)據(jù)平面,而Harmony controller和Ingress controller則部署在控制層面,負(fù)責(zé)完成管理與控制功能。

通過與Ingress Resource協(xié)同工作,Ingress控制器可以實(shí)現(xiàn)應(yīng)用的自動創(chuàng)建。它還能創(chuàng)建負(fù)載均衡實(shí)例和基于內(nèi)容的交換規(guī)則,配置應(yīng)用交付和安全策略,并將應(yīng)用附加到Lightning ADC集群中。Ingress Controller還監(jiān)視應(yīng)用服務(wù)容器,并通過Harmony Controller將任何更改通知lightning ADC,使其配置和基礎(chǔ)設(shè)施始終保持同步。Lightning ADC還為微服務(wù)提供服務(wù)自動發(fā)現(xiàn)功能,從而減輕微服務(wù)的負(fù)擔(dān)。

Ÿ微分段和東西向數(shù)據(jù)流安全:Lightning ADC可以對微服務(wù)之間的東西向流量進(jìn)行攔截。一旦數(shù)據(jù)流經(jīng)過Lightning ADC,就會對流量應(yīng)用適當(dāng)?shù)陌踩呗?。微分段使安全更加?xì)化,它使微服務(wù)彼此隔離,并為每個微服務(wù)單獨(dú)提供安全保護(hù)。訪問策略是基于服務(wù)標(biāo)簽,解決了容器IP地址隨時更改所帶來的問題。

在數(shù)據(jù)流離開節(jié)點(diǎn)邊界時,會被SSL機(jī)制自動加密,并在目標(biāo)節(jié)點(diǎn)上自動解密后再傳輸?shù)轿⒎?wù),從而保證了跨節(jié)點(diǎn)通信的安全性。

所有這些處理無需應(yīng)用程序關(guān)心,從而可以實(shí)現(xiàn)應(yīng)用的快速遷移、部署與迭代。

Ÿ基于每個應(yīng)用的可視化管理與控制:在傳統(tǒng)應(yīng)用交付環(huán)境中,對應(yīng)用層的數(shù)據(jù)流幾乎沒有可見性,從而難于收集故障排除所需的數(shù)據(jù)。A10 Lightning ADC實(shí)時收集各種應(yīng)用信息,并將其推送到Harmony Controller進(jìn)行分析,用戶可以從中獲得全面的應(yīng)用洞察能力,以便于微調(diào)應(yīng)用和基礎(chǔ)設(shè)施,并實(shí)現(xiàn)快速的故障排除。同時還可以探測異常時間,及時發(fā)現(xiàn)安全隱患。用戶可以自定義告警指標(biāo),并能通過電子郵件傳輸告警,以便快速采取行動。

Ÿ集中的應(yīng)用管理簡化運(yùn)維強(qiáng)度和復(fù)雜度:在Kubernetes的彈性分布式環(huán)境中,單獨(dú)管理應(yīng)用交付實(shí)例是一個很大的挑戰(zhàn)。Harmony controller 可以跨多環(huán)境對應(yīng)用交付實(shí)例進(jìn)行統(tǒng)一的配置和維護(hù)。Harmony Controller允許在邏輯應(yīng)用級別定義配置,并智能地將其推送到相應(yīng)的應(yīng)用交付實(shí)例上去,從而降低因手工配置錯誤所帶來的風(fēng)險,提高配置效率。此外,所有的管理和分析功能都通過被稱為Harmony API的REST API對外公開發(fā)布。

ŸOpen API集成:開放銀行的API分為三類,即內(nèi)部API、伙伴API以及開放API。Harmony API可以作為內(nèi)部API的一部分。通過開放的 Harmony API,A10的安全服務(wù)網(wǎng)格解決方案可以和眾多的DevOps工具鏈(如Ansible、Chef、Jenkins)及編排系統(tǒng)進(jìn)行集成,實(shí)現(xiàn)業(yè)務(wù)的快速部署、迭代和運(yùn)維。同時,也可以為內(nèi)部開發(fā)者提供應(yīng)用的可視化管理數(shù)據(jù),進(jìn)行應(yīng)用發(fā)展態(tài)勢分析,從而助力開放銀行的建設(shè)。

開放銀行是基于互聯(lián)網(wǎng)生態(tài)鏈提供的金融服務(wù),也被普遍認(rèn)為是銀行業(yè)發(fā)展的必然趨勢。但轉(zhuǎn)型的過程中,挑戰(zhàn)也和機(jī)遇并存著。開放銀行的建設(shè)無疑是一個系統(tǒng)性的大工程,需要監(jiān)管機(jī)構(gòu)、銀行、科技企業(yè)、第三方互聯(lián)網(wǎng)服務(wù)機(jī)構(gòu)等等各方面的共同努力。A10 Networks也希望借助其在應(yīng)用交付領(lǐng)域、智能和自動化網(wǎng)絡(luò)安全領(lǐng)域的不斷創(chuàng)新的技術(shù)和解決方案助力開放銀行的建設(shè)進(jìn)程。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。