XX銀行國產(chǎn)化負(fù)載均衡改造項目

在業(yè)務(wù)全面上云及新業(yè)務(wù)云原生的大背景下,業(yè)務(wù)的流量分發(fā)、靈活的策略設(shè)置及全面的應(yīng)用性能監(jiān)控都面臨著相當(dāng)大的挑戰(zhàn),需要具備靈活擴(kuò)展性、高可靠性及全面定制化能力的產(chǎn)品來解決問題。

隨著XX銀行的業(yè)務(wù)發(fā)展,XX銀行數(shù)據(jù)中心整體網(wǎng)絡(luò)流量日益增大,同時業(yè)務(wù)部署涉及到多種云環(huán)境。隨著互聯(lián)網(wǎng)金融等新興業(yè)態(tài)的涌現(xiàn),XX銀行的IT架構(gòu)還必須滿足當(dāng)下高頻、小額、全時段的峰值交易沖擊,與此同時也需要滿足現(xiàn)在國產(chǎn)化的需求,這也推動著XX銀行將自身業(yè)務(wù)架構(gòu)體系進(jìn)行升級再造,實現(xiàn)業(yè)務(wù)應(yīng)用的“多活”、多云異構(gòu)部署、集中統(tǒng)一管理及全面國產(chǎn)化,從而充分利用自身底層計算資源,并保證業(yè)務(wù)的永續(xù)發(fā)展。在新的架構(gòu)中,XX銀行部署了矩尺服務(wù)器負(fù)載均衡設(shè)備,提升了應(yīng)用業(yè)務(wù)區(qū)的服務(wù)可用性。

一、實施背景

在業(yè)務(wù)全面上云及新業(yè)務(wù)云原生的大背景下,業(yè)務(wù)的流量分發(fā)、靈活的策略設(shè)置及全面的應(yīng)用性能監(jiān)控都面臨著相當(dāng)大的挑戰(zhàn),需要具備靈活擴(kuò)展性、高可靠性及全面定制化能力的產(chǎn)品來解決問題。

為適應(yīng)互聯(lián)網(wǎng)業(yè)務(wù)的快速增長,同時滿足銀行國產(chǎn)化改造的要求,保障銀行各業(yè)務(wù)安全穩(wěn)定不間斷運(yùn)行,提高市場競爭力,同時符合監(jiān)管機(jī)構(gòu)的相關(guān)要求,逐步完成應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施的國產(chǎn)化遷移,正在成為金融行業(yè)的共同選擇。

XX銀行數(shù)據(jù)中心內(nèi)包含多種云環(huán)境,管理起來日益復(fù)雜,需要一種可以統(tǒng)一管理多云環(huán)境下流量調(diào)度的負(fù)載均衡管理產(chǎn)品。

二、實施目標(biāo)

結(jié)合XX銀行已經(jīng)部署的矩尺N6-A2000 X02信創(chuàng)系列硬負(fù)載設(shè)備,在統(tǒng)一的管理面下為多云環(huán)境部署多個矩尺轉(zhuǎn)發(fā)引擎集群,解決用戶的以下問題:

●多云環(huán)境下簡化運(yùn)維體系:數(shù)據(jù)中心內(nèi)存在多種異構(gòu)云環(huán)境,目前都是單獨(dú)分開運(yùn)維,管理成本很高。同時還存在多部門各自維護(hù)著多家廠商的負(fù)載均衡設(shè)備,故障無法統(tǒng)一處理。

●逐步完成國產(chǎn)化改造:需要將負(fù)載均衡完成全鏈路國產(chǎn)化改造。

●實現(xiàn)流量的靈活、有效分發(fā):業(yè)務(wù)部門的流量分發(fā)需求日趨復(fù)雜,除了基于健康檢查保障業(yè)務(wù)連續(xù)性外,還需要矩尺負(fù)載均衡系統(tǒng)能夠處理諸如溫暖上線等新型流量分發(fā)特性。

●提升數(shù)據(jù)中心的安全性:互聯(lián)網(wǎng)整體安全性要求日益提高,負(fù)載均衡系統(tǒng)能夠在鏈路前端提前應(yīng)對WEB安全挑戰(zhàn)。

●性能提升:用戶能感知到應(yīng)用服務(wù)訪問速度提升。

●提升服務(wù)可用性:負(fù)載均衡集群在管理面和數(shù)據(jù)面上都實現(xiàn)99.99%的高可用性。

三、建設(shè)內(nèi)容

在滿足國產(chǎn)化的需求背景下,需要實現(xiàn)業(yè)務(wù)應(yīng)用及基礎(chǔ)設(shè)施的國產(chǎn)化改造,需要自主可控的負(fù)載均衡設(shè)備來完成業(yè)務(wù)的流量調(diào)度,當(dāng)服務(wù)器故障后,能根據(jù)策略合理的將每個連接快速分配給最合適的服務(wù)器,提升服務(wù)器的利用率,保證用戶訪問的快速穩(wěn)定性,同時具備很好的管理運(yùn)維能力。

多云部署的實現(xiàn)方式是管理節(jié)點(diǎn)和轉(zhuǎn)發(fā)引擎分離,保證整體流量架構(gòu)調(diào)度的穩(wěn)定性。具體建設(shè)內(nèi)容包含以下6點(diǎn):

●多云環(huán)境下的統(tǒng)一負(fù)載管理平臺

●利用矩尺負(fù)載自帶的管理平臺,集中管理不同數(shù)據(jù)中心內(nèi)的轉(zhuǎn)發(fā)引擎實例;

●支持在X86復(fù)雜指令集或者ARM64精簡指令集的主機(jī)上實時部署轉(zhuǎn)發(fā)引擎實例;

●對于第三方廠商的負(fù)載均衡,將在統(tǒng)一的接口(符合SNMP等標(biāo)準(zhǔn)協(xié)議)下實現(xiàn)統(tǒng)一的資產(chǎn)、告警管理;

●應(yīng)用業(yè)務(wù)的飛速發(fā)展,給業(yè)務(wù)應(yīng)用服務(wù)器構(gòu)成了很大的壓力;傳統(tǒng)服務(wù)器健康檢查方式比較單一,容易誤判,影響正常業(yè)務(wù)及辦公。矩尺負(fù)載均衡串接部署在業(yè)務(wù)服務(wù)器集群前端,通過多轉(zhuǎn)發(fā)引擎集群及用戶授權(quán)管理體系,可以為不同的業(yè)務(wù)部門、異構(gòu)的多云環(huán)境提供統(tǒng)一的管理平臺(下圖為脫敏示意圖)。

●通過操作事件、系統(tǒng)事件、異常、告警,結(jié)合指標(biāo)分析圖與拓?fù)鋱D,構(gòu)建應(yīng)用智能分析系統(tǒng),提升問題定位效率:

●操作事件,記錄管理員的操作行為

●系統(tǒng)事件,記錄系統(tǒng)本身產(chǎn)生的事件

●異常,將大于固定標(biāo)準(zhǔn)差的指標(biāo)及其時間序列記錄下來

●告警,指定動作后將事件、異常轉(zhuǎn)換為告警,并發(fā)送管理員或者通過API或者腳本第三方管理系統(tǒng)

●指標(biāo)分析圖:將多種指標(biāo)與上述事件、告警聯(lián)動在圖表中,快速向管理員展示故障原因。

●虛擬服務(wù)拓?fù)鋱D:一張動態(tài)交互圖顯示業(yè)務(wù)運(yùn)行全貌。

●部署拓?fù)鋱D:顯示包含硬負(fù)載、軟負(fù)載以及第三方納管節(jié)點(diǎn)的部署架構(gòu)運(yùn)行狀況。

●通過syslog、HTTP、gRPC、SNMP等協(xié)議對接第三方管理系統(tǒng),讓運(yùn)維人員可以更輕松地管理資產(chǎn)、日志、告警,降低運(yùn)維難度。

●實現(xiàn)負(fù)載均衡體系的信創(chuàng)國產(chǎn)化

●使用國產(chǎn)化CPU芯片及操作系統(tǒng)

●實現(xiàn)自主可控,在各個模塊良好兼容性的基礎(chǔ)上做到性能最大化

●滿足高可用性、高可靠性以及可擴(kuò)性的應(yīng)用需求

●定制化開發(fā)服務(wù),幫助用戶優(yōu)化應(yīng)用場景

●使用國密SM系列安全套件,提升數(shù)據(jù)安全性

●實現(xiàn)流量的靈活、有效分發(fā)

●在不同的負(fù)載轉(zhuǎn)發(fā)引擎上,根據(jù)需要實現(xiàn)單臂和雙臂的流量分發(fā)策略;

●混和使用ICMP、UDP、TCP(半連接及全連接)、HTTP、DNS、MYSQL等多種健康檢查策略,在必要時使用矩尺圖靈完備的自定義腳本(支持單引擎檢查十萬級服務(wù)器節(jié)點(diǎn)),完成更復(fù)雜的策略。

●使用分發(fā)策略與分發(fā)規(guī)則配置虛擬服務(wù)

●基于源地址段、URL、SNI、HOST、HEADER、COOKIE、Method等多種方式配置分發(fā)策略;

●基于既定的分發(fā)策略,通過帶優(yōu)先級的分發(fā)規(guī)則在虛擬服務(wù)內(nèi)定義多種流量處理方式,在多條分發(fā)規(guī)則同時滿足時基于優(yōu)先級進(jìn)行二次流量匹配。

●使用加權(quán)輪詢、最小連接、最快響應(yīng)、一致性哈希等多種負(fù)載均衡算法,有效應(yīng)對不同的業(yè)務(wù)場景

●在服務(wù)器池中開啟優(yōu)先級分組,將服務(wù)器節(jié)點(diǎn)規(guī)劃成多組,基于優(yōu)先級和最小可用節(jié)點(diǎn)數(shù)按組分發(fā)流量,實現(xiàn)比傳統(tǒng)負(fù)載均衡算法更復(fù)雜的容錯效果。

●使用會話保持策略完成多種業(yè)務(wù)場景,如OSI網(wǎng)絡(luò)層的源地址段、OSI表示層的SSL SessionID、OSI應(yīng)用層的URL、HEADER、COOKIE等實現(xiàn)會話保持功能。其中,對COOKIE類型將根據(jù)業(yè)務(wù)需要配置被動式、插入式、哈希等多種算法。對幾種關(guān)聯(lián)的虛擬服務(wù),可以配置共享相同的會話保持表。

●實現(xiàn)溫暖上線功能

●在服務(wù)器內(nèi)設(shè)恢復(fù)時間和溫暖時間,即新節(jié)點(diǎn)上線后,在恢復(fù)時間之后開始轉(zhuǎn)發(fā)流量,在溫暖時間內(nèi)流量恢復(fù)到它應(yīng)得的100%。

●提升web安全,通過客戶端、服務(wù)器SSL策略部署雙向SSL卸載、校驗,全局管理SSL證書,安全分發(fā),并在證書過期前由通知、告警等多種方式提醒管理員更換證書。同時在必要時開啟COOKIE加固、防盜鏈、請求權(quán)限驗證、限速、黑白名單等WAF功能,滿足業(yè)務(wù)的安全性需求。

●通過連接共享、HTTP緩存(可選擇內(nèi)存或者磁盤類型的緩存)、HTTP內(nèi)容壓縮等特性,提升服務(wù)的吞吐量,降低響應(yīng)時延和網(wǎng)絡(luò)帶寬消耗。

●實現(xiàn)矩尺負(fù)載系統(tǒng)的高可用部署

●通過n6-A2000系列設(shè)備的聚合網(wǎng)口管理,實現(xiàn)物理網(wǎng)口的高可用

●部署管理節(jié)點(diǎn)集群,實現(xiàn)管理面的高可用

●基于流量組,實現(xiàn)數(shù)據(jù)面上虛擬服務(wù)的高可用

●配置虛擬服務(wù)的可用實例數(shù)量范圍,實現(xiàn)轉(zhuǎn)發(fā)引擎的自動伸縮部署。

四、實施效果

通過上述實施步驟,矩尺負(fù)載系統(tǒng)實現(xiàn)了7*24小時的無故障穩(wěn)定運(yùn)行,大幅提升了服務(wù)擴(kuò)展性及可用性,其中矩尺調(diào)度系統(tǒng)有效避開各類故障主機(jī),并將故障通過對接腳本傳遞給第三方系統(tǒng),由運(yùn)維人員及時處理。而SSL及WAF策略也有效提升了數(shù)據(jù)中心的安全性。

XX銀行實現(xiàn)了負(fù)載均衡軟、硬設(shè)備的統(tǒng)一管理,通過精簡軟件包或者云鏡像快速部署管理節(jié)點(diǎn),再由組建好的管理集群實時向任意網(wǎng)絡(luò)可達(dá)的異構(gòu)節(jié)點(diǎn)部署轉(zhuǎn)發(fā)引擎。這些異構(gòu)節(jié)點(diǎn)支持各類虛擬化環(huán)境,支持國產(chǎn)化主機(jī),實現(xiàn)了從硬件、軟件到算法的全鏈路信創(chuàng)環(huán)境遷移。

通過多級運(yùn)維體系下的用戶授權(quán)、轉(zhuǎn)發(fā)引擎子集群管理,在滿足業(yè)務(wù)方的各類流量調(diào)度需求的情況下,通過統(tǒng)一的日志、告警管理縮短了問題定位時間,實現(xiàn)了多云管理。XX銀行運(yùn)維人員反饋,矩尺系統(tǒng)的操作界面簡單易用,充分考慮了網(wǎng)絡(luò)層、應(yīng)用層操作的差別,用集群自動化操作替代了傳統(tǒng)的人工運(yùn)維,有效降低了大集群環(huán)境的操作錯誤概率,提升了整體運(yùn)維效率。

THEEND

最新評論

更多
暫無評論