陆金所,全称上海陆家嘴国际金融资产交易市场股份有限公司,是全球领先的互联网财富管理平台,平安集团旗下成员。陆金所致力于结合金融全球化发展与信息技术创新,以健全的风险管控体系为基础,为广大机构、企业与合格投资者等提供专业、高效、安全的综合性金融资产交易信息及咨询相关服务。作为全球领先的综合性线上财富管理平台,陆金所一直保持高速增长。2016年中国平安业绩报告显示,陆金所零售端交易量1.54万亿元,期末零售端资产管理规模达4383.79亿,继续保持行业领先地位。此外,2017年零售端通过手机移动端进行的交易占比超过97%。目前,陆金所平台注册用户已经超过3100万人。 


 

陆金所构建SDN框架 助力业务增长

乘着互联网金融的东风,陆金所不断探索互联网+”浪潮下的金融新发展,试图通过网络基础架构的创新,带动业务的迅猛发展。由于传统三层架构缺乏统一规划和管理,自动化不高;网络性能受网络结构层次和网络管理层次制约,性能指标难以优化与提高;扩容和维护成本高,灵活性不足,严重限制业务增长与发展。而传统大二层网络结构也存在弊端:网络节点会成为全环境的性能瓶颈;自动化程度不高,L4-7层服务大部分只支持虚拟或者软件解决方案,对硬件的支持不理想。

因此,陆金所应用思科ACIApplication Centric Infrastructure,应用为中心的基础设施)以及OpenStack,搭建了属于自己的SDN框架。SDN网络默认提供Anycast gateway功能,OpenStack透过开源GBP模型实现对SDN网络的驱动,通过Opflex协议实现VMMSDN硬件网络的整合,实现物理和虚拟化网络的一体化管理,另外,SDN的硬件Policy从硬件角度实现业务的东西向访问控制。

(图1:陆金所SDN网络架构)


陆金所SDN拥有以下技术特点:硬件SDN组网方案,实现物理和虚拟化网络一体化管理,vlan/vxlan网络一体化管理;L2/L3功能offload到物理网络,提升网络性能,网络高可靠性由硬件保障;全分布去中心化设计,Neutron网络节点功能打散到计算节点,可扩展更大规模;GBP Plugin实现方式,优化虚拟网络路径,极大降低网络延时,更好承载核心业务;GBP Plugin实现方式,由硬件实现业务资源访问控制,不再依赖iptable软实现;L4-7Plugin沿用物理实现方式,满足金融行业业务高并发性能要求;可支持NAT和路由两种模式。

 

ACIOpenStack

思科ACIOpenStack拥有无可比拟的优势。分布式可扩展的虚拟化网络包括了L2, anycast gateway, DHCP, metadata,同时它还适用分布式 NAT / Floating IP,具备可选的Group Policy or Neutron APILeafNode VXLAN隧道自动化,Vxlan隧道数据传输不再浪费CPU资源,数据可放置于物理网络中,节点内部本地转发,硬件性能提升排错功能贯穿物理和虚拟网络,对网络内的每个用户都能实施网络健康监控、原子计数以及容量规划。整合OverlayUnderlay,透过APIC实现对underlay网络的全面管理,可连接物理服务器或多虚拟化环境到overlay的网络。思科服务链功能支持L2/L3层服务的插入,针对第三方设备或GBP服务链提供设备包。基于租户网络隔离,基于policy的安全控制和本地策略虚拟化层执行保证了多租户的安全性。

(图2Neutron网络两种驱动方式)


基于组的策略Group-Based Policy (GBP)是一种OpenStackAPI架构,它提供了一种意图导向模式,能描述完全独立于底层基础架构应用需求。它能帮助应用开发者和基础架构团队跨越认知鸿沟,因为前者了解应用需求,而后者只专注于多种基础架构性能。目前,GBP是在Neutron进程空间中以服务插件的方式运行,拥有依赖映射,应用、安全、运营独立运行及网络服务链等重要性能特点。Neutron网络可有两种驱动模式,一是通过Neutron API 接口驱动,并由Neutron转换POLICYAPIC,兼容现有的ML2插件;二是GBP直接驱动模式,目前能够支持的多厂商驱动 包括Cisco, Nuage Networks, One Convergence

(图3GBP网络模型)


(图4:陆金所GBP业务模型)


陆金所基于sdn 的lbaas 和fwaas最佳实践动态展示:



想观看更清晰的陆金所最佳实践动态展示,请点击阅读原文

(下载iPhone或Android应用“经理人分享”,一个只为职业精英人群提供优质知识服务的分享平台。不做单纯的资讯推送,致力于成为你的私人智库。)

作者:佚名
来源:资深科技控