數(shù)字化轉(zhuǎn)型的背景，和新冠疫情帶來的不確定因素，對(duì)金融機(jī)構(gòu)中銀行和保險(xiǎn)兩大機(jī)構(gòu)的轉(zhuǎn)型，都是挑戰(zhàn)和機(jī)遇并存。

機(jī)遇在于：互聯(lián)網(wǎng)的開放性，新興技術(shù)的創(chuàng)新性，讓銀行和保險(xiǎn)機(jī)構(gòu)有機(jī)會(huì)通過差異化業(yè)務(wù)進(jìn)行創(chuàng)新，并獲得更多的用戶的青睞；而挑戰(zhàn)在于：如何在穩(wěn)定傳統(tǒng)業(yè)務(wù)的同時(shí)，通過IT基礎(chǔ)架構(gòu)創(chuàng)新走向業(yè)務(wù)創(chuàng)新，做到既穩(wěn)又快。事實(shí)上，在疫情之后，云服務(wù)相關(guān)產(chǎn)業(yè)迎來快速發(fā)展。中國(guó)信通院的數(shù)據(jù)顯示：2020年，我國(guó)經(jīng)濟(jì)穩(wěn)步回升，云計(jì)算市場(chǎng)呈爆發(fā)式增長(zhǎng)，云計(jì)算整體市場(chǎng)規(guī)模達(dá)2091億元，增速56.6%。

云計(jì)算市場(chǎng)的整體性增長(zhǎng)，也帶動(dòng)云服務(wù)在行業(yè)中的快速落地。工業(yè)和信息化部運(yùn)行監(jiān)測(cè)協(xié)調(diào)局發(fā)布的2020年軟件和信息技術(shù)服務(wù)業(yè)統(tǒng)計(jì)公報(bào)顯示：2020年，云服務(wù)、大數(shù)據(jù)服務(wù)共實(shí)現(xiàn)收入4116億元，同比增長(zhǎng)11.1%。

同時(shí)，以云原生技術(shù)為方向的行業(yè)云轉(zhuǎn)型也迫在眉睫。云原生技術(shù)的不斷迭代演進(jìn)，讓云原生架構(gòu)逐漸成為傳統(tǒng)銀行和保險(xiǎn)業(yè)的 IT 架構(gòu)選型方向?；谠圃夹g(shù)建設(shè)，并開發(fā)適合自身的容器云平臺(tái)，實(shí)現(xiàn)傳統(tǒng)應(yīng)用遷移上云和云原生改造，是轉(zhuǎn)型升級(jí)的重中之重。

1

容器云

在金融和保險(xiǎn)行業(yè)的價(jià)值與意義

過去，傳統(tǒng)金融和保險(xiǎn)業(yè)的基礎(chǔ)架構(gòu)，通常是垂直式的，特點(diǎn)是體量大、部署慢、升級(jí)難，且擴(kuò)展方式大多是基于硬件資源的縱向擴(kuò)展。

隨著金融科技的興起，依托于移動(dòng)互聯(lián)網(wǎng)，金融業(yè)要提供新的金融服務(wù)，保險(xiǎn)業(yè)要走向新業(yè)務(wù)創(chuàng)新，都需要走向數(shù)字化變革。而從業(yè)務(wù)需要的不同，金融和保險(xiǎn)行業(yè)，也表現(xiàn)出對(duì)容器云的不同需求。

首先，從銀行的角度?；ヂ?lián)網(wǎng)金融業(yè)務(wù)具備了較強(qiáng)的隨機(jī)性和瞬時(shí)流量，如網(wǎng)上銀行、手機(jī)銀行等新業(yè)務(wù)，帶來了客戶量的激增，在線交易業(yè)務(wù)訪問時(shí)間不再局限在白天，而是24小時(shí)都有業(yè)務(wù)處理需求，導(dǎo)致了數(shù)據(jù)中心的壓力倍增。

這時(shí)候，傳統(tǒng)垂直的縱向擴(kuò)展能力不能滿足新業(yè)務(wù)的需要，再有傳統(tǒng)金融的IT系統(tǒng)割裂性較高，不利于業(yè)務(wù)線上化開展，這就需要云原生、微服務(wù)和彈性的可擴(kuò)展能力支撐。而容器適用于多云環(huán)境，方便銀行將現(xiàn)有的異構(gòu)系統(tǒng)資源，進(jìn)行統(tǒng)一的管理。除此之外，從銀行的角度，建設(shè)金融容器云平臺(tái)，除了基于微服務(wù)架構(gòu)的新業(yè)務(wù)創(chuàng)新提供容器化運(yùn)行和管控平臺(tái)之外，還必須同時(shí)滿足金融行業(yè)嚴(yán)苛的監(jiān)管和安全要求。

其次，保險(xiǎn)行業(yè)的新業(yè)務(wù)壓力，主要在于快速敏捷的開發(fā)出新的服務(wù)，也就是能夠快速推出更多的險(xiǎn)種。因此對(duì)業(yè)務(wù)快速上線的要求比較高。而快速的產(chǎn)品開發(fā)和迭代，就需要IT系統(tǒng)支持分布式的開發(fā)場(chǎng)景，同時(shí)盡量避免對(duì)企業(yè)現(xiàn)有管理模式的沖擊，此外，線上業(yè)務(wù)的多樣化，帶來了海量的接入手段和業(yè)務(wù)的不確定性，這又要求保險(xiǎn)企業(yè)的數(shù)據(jù)中心具備較大的彈性。容器云則是解決這些問題的“鑰匙”。

簡(jiǎn)單地說，金融和保險(xiǎn)業(yè)都會(huì)對(duì)新的業(yè)務(wù)創(chuàng)新有快速敏捷的需求，都需要通過容器云來承載新的業(yè)務(wù)，這是雙方的共同點(diǎn)。同時(shí)，兩大行業(yè)都可以借助于容器云的高效和可擴(kuò)展等特點(diǎn)，以容器為代表的云原生技術(shù)能更大程度地發(fā)揮云計(jì)算的優(yōu)勢(shì)。而相比保險(xiǎn)業(yè)，金融行業(yè)則對(duì)安全性和業(yè)務(wù)連續(xù)性有更高的要求。

2

混合計(jì)算

釋放金融容器云的最大價(jià)值

對(duì)銀行來說，搭建容器云，在業(yè)務(wù)快速迭代能力建設(shè)的基礎(chǔ)上，業(yè)務(wù)的安全性和可靠性同樣重要。因此，保障安全性、可用性和可靠性的金融云基礎(chǔ)設(shè)施，就成為了容器金融云的基石，以保證容器云的使用安全可控、體系架構(gòu)開放的硬件進(jìn)行構(gòu)建。

銀行建設(shè)好金融容器云平臺(tái)后，將全面推動(dòng)業(yè)務(wù)系統(tǒng)上云。在此背景下，鑒于上云規(guī)模不斷擴(kuò)大，以及不同業(yè)務(wù)系統(tǒng)的工作負(fù)載特性不同，對(duì)金融容器云平臺(tái)的基礎(chǔ)設(shè)施算力、存儲(chǔ)、網(wǎng)絡(luò)和安全需求也不盡相同。

如某大型股份制銀行，面向互聯(lián)網(wǎng)客戶的手機(jī)銀行、網(wǎng)上銀行，在極端嚴(yán)苛的業(yè)務(wù)壓力下也須始終保持順暢的產(chǎn)品服務(wù)體驗(yàn)，這要求基礎(chǔ)設(shè)施提供并發(fā)處理高的算力、低時(shí)延的網(wǎng)絡(luò)和內(nèi)存加速的高IO讀寫支持。而大數(shù)據(jù)處理和AI人工智能的業(yè)務(wù)場(chǎng)景，要求基礎(chǔ)設(shè)施提供高帶寬網(wǎng)絡(luò)、批處理調(diào)度和大容量低成本的存儲(chǔ)支持。

早期數(shù)據(jù)中心主流的基礎(chǔ)設(shè)施，是以使用軟件+CPU的方式來執(zhí)行其功能或服務(wù)，存在一些典型的如性能和經(jīng)濟(jì)性的問題。所以該銀行在容器云平臺(tái)的落地實(shí)施的過程中，考慮到了英特爾的混合計(jì)算架構(gòu)。

英特爾通過搭配不同的制程、封裝技術(shù)，以及針對(duì)不同的計(jì)算工作負(fù)載搭配合適的緩存、內(nèi)存以及連接，在混合架構(gòu)下發(fā)布了多種不同類型的計(jì)算產(chǎn)品如IPU，可以將基礎(chǔ)設(shè)施功能都轉(zhuǎn)移到IPU上，從而釋放CPU的最大算力，幫助企業(yè)降低成本、提高 CPU性能。

目前，英特爾混合計(jì)算架構(gòu)，作為高性能CPU+高性能硬件加速單元的組合，代表了當(dāng)前云數(shù)據(jù)中心的主要架構(gòu)思路。英特爾面向數(shù)據(jù)中心的下一代至強(qiáng)新產(chǎn)品，將演進(jìn)為Sapphire Rapids 微架構(gòu)，對(duì)金融容器云的基礎(chǔ)設(shè)施升級(jí)提供助力。

據(jù)了解，該銀行的金融容器云平臺(tái)啟用基于 Vmware VCF+第三代英特爾? 至強(qiáng)? 可擴(kuò)展平臺(tái)的新基礎(chǔ)設(shè)施，一方面獲得了穩(wěn)定可靠的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源池，能夠聚焦在云服務(wù)、業(yè)務(wù)應(yīng)用層進(jìn)行創(chuàng)新; 另一方面，也達(dá)成了基礎(chǔ)設(shè)施技術(shù)棧的歸一化、資源池的規(guī)?；①Y源調(diào)度的全局化、不同工作負(fù)載的混部化的規(guī)劃目標(biāo)。上云 2 年多，已經(jīng)承載了 300 多個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)，規(guī)模超過 20 多萬個(gè)容器實(shí)例，成效斐然。

3

保險(xiǎn)容器云

實(shí)現(xiàn)平臺(tái)整體交付效能提升

對(duì)保險(xiǎn)公司來說，容器云部署對(duì)其數(shù)字化轉(zhuǎn)型和新技術(shù)研究有重要意義。例如企業(yè)級(jí) PaaS 平臺(tái)能力、高效開發(fā)運(yùn)維能力和DevOps 能力，保證了業(yè)務(wù)的彈性伸縮、物理機(jī)直接部署和應(yīng)用的敏捷開發(fā)等。

相比銀行業(yè)，保險(xiǎn)業(yè)的容器云建設(shè)起步稍晚，但因?yàn)橛泻芏嘟鹑跇I(yè)的標(biāo)桿案例，所以保險(xiǎn)業(yè)的容器云選型有了更多可參照的方案。

某國(guó)內(nèi)著名保險(xiǎn)公司，將容器云作為下一代數(shù)字化轉(zhuǎn)型的核心，從2019年開始調(diào)研選型。最終選擇了基于 Kubernetes 的企業(yè)級(jí) PaaS解決方案，用來在容器中搭建、部署以及運(yùn)行應(yīng)用程序。

從基礎(chǔ)架構(gòu)層面保險(xiǎn)公司的容器云對(duì)物理機(jī)的要求很高，因此非常關(guān)注裸金屬服務(wù)器的應(yīng)用。和虛擬化服務(wù)器相比，裸金屬服務(wù)器極大地規(guī)避了虛擬化服務(wù)器的性能損失 以及嘈雜鄰居效應(yīng)。裸金屬服務(wù)器就是物理服務(wù)器，同時(shí)又和云服務(wù)結(jié)合，實(shí)現(xiàn)了云計(jì)算的彈性，因此是一種硬件和軟件結(jié)合的產(chǎn)物。同時(shí)，裸金屬部署也是一種趨勢(shì)的容器部署方案，有更好性能，更能充分發(fā)揮容器技術(shù)優(yōu)勢(shì)。

英特爾也曾定義裸金屬即服務(wù)：“裸”，即要求它本身可以提供物理機(jī)級(jí)別的性能和安全隔離；“即服務(wù)”則意味著它還能實(shí)現(xiàn)物理機(jī)體驗(yàn)、以及基于云的資源管理和調(diào)配能力的高度融合。

該保險(xiǎn)公司的容器云平臺(tái)最終選擇裸金屬服務(wù)器部署?；A(chǔ)設(shè)施選型時(shí)，出于對(duì)生態(tài)系統(tǒng)的高要求，該保險(xiǎn)公司，選擇了英特爾? 至強(qiáng)? 可擴(kuò)展處理器架構(gòu)，其廣泛的可用性為客戶提供了支持其全球關(guān)鍵業(yè)務(wù)應(yīng)程序所需的一致性和可靠性。

最終，該保險(xiǎn)公司在基礎(chǔ)架構(gòu)層面，選擇裸金屬部署，可以避免損耗提高資源的利用率，提升ROI ，同時(shí)通過英特爾? 至強(qiáng)? 可擴(kuò)展處理器、英特爾? 傲騰? 持久內(nèi)存等技術(shù)，更高效地利用硬件級(jí)別的創(chuàng)新，加速計(jì)算、降低延遲，實(shí)現(xiàn) PaaS 平臺(tái)整體交付效能大大提升。

4

讓加密計(jì)算走向“可信計(jì)算”

金融是強(qiáng)監(jiān)管行業(yè)，安全性始終是一個(gè)重要的挑戰(zhàn)。

在某金融機(jī)構(gòu)的實(shí)際業(yè)務(wù)場(chǎng)景中，小微商戶的風(fēng)險(xiǎn)評(píng)估問題已成為制約銀行業(yè)發(fā)展的一個(gè)主要障礙，同時(shí)由于數(shù)據(jù)隱私安全保護(hù)的要求，跨企業(yè)的數(shù)據(jù)合作受到限制。而運(yùn)用聯(lián)邦學(xué)習(xí)技術(shù)，可以探索多方數(shù)據(jù)融合效果以及聯(lián)邦學(xué)習(xí)算法的可行性，并對(duì)小微企業(yè)進(jìn)行多維度評(píng)價(jià)，優(yōu)化企業(yè)風(fēng)險(xiǎn)授信模型。

機(jī)密計(jì)算可以通過在本地安全可信執(zhí)行環(huán)境下對(duì)兩方或多方數(shù)據(jù)進(jìn)行非加密狀態(tài)的模型訓(xùn)練，提高聯(lián)邦學(xué)習(xí)的運(yùn)算效率。該機(jī)構(gòu)需要驗(yàn)證機(jī)密計(jì)算，尤其是在容器云環(huán)境下，在聯(lián)邦學(xué)習(xí)場(chǎng)景下的實(shí)際落地可以提升聯(lián)邦建模的效率，同時(shí)又不降低數(shù)據(jù)的安全性。

為此該機(jī)構(gòu)在容器云平臺(tái)實(shí)現(xiàn)了針對(duì)隱私計(jì)算產(chǎn)品的部署和驗(yàn)證工作，主要包括了聯(lián)邦學(xué)習(xí)相關(guān)產(chǎn)品的驗(yàn)證，以及基于英特爾? 軟件防護(hù)擴(kuò)展（英特爾? SGX ）技術(shù)的 TEE 方案。

簡(jiǎn)單的說，隱私計(jì)算的一個(gè)實(shí)現(xiàn)方向是硬件安全技術(shù)，即機(jī)密計(jì)算 TEE 。TEE 是基于硬件方案實(shí)現(xiàn)，是計(jì)算設(shè)備主處理器上的一個(gè)安全區(qū)域，它可以保證加載到 TEE 內(nèi)部的代碼和數(shù)據(jù)的安全性、機(jī)密性以及完整性，正是這些機(jī)制使得可信計(jì)算成為可能。

英特爾? SGX技術(shù)則很好地滿足了 TEE 需要的功能，包括遠(yuǎn)程認(rèn)證、抗軟件攻擊、抗物理攻擊、低權(quán)限等幾個(gè)方面。

該金融機(jī)構(gòu)在 英特爾? SGX的支持下，通過 sgx-device-plugin 的技術(shù)，將機(jī)密計(jì)算正式引入到容器云平臺(tái)中，豐富了隱私計(jì)算的適應(yīng)場(chǎng)景。

5

小結(jié)

我們從金融和保險(xiǎn)對(duì)容器云的部署，以及成果，可以得出幾個(gè)結(jié)論：

第一，受到內(nèi)外部環(huán)境的壓力，數(shù)字化轉(zhuǎn)型已迫在眉睫，而容器云則是云原生技術(shù)當(dāng)中，能夠?yàn)槠髽I(yè)帶來價(jià)值最大化的必選項(xiàng)。

第二，支撐容器云部署的必然是其背后的基礎(chǔ)架構(gòu)，容器云其實(shí)對(duì)基礎(chǔ)架構(gòu)升級(jí)也提出了很多要求，如可靠性、安全性和敏捷性。那么英特爾的第三代英特爾? 至強(qiáng)? 可擴(kuò)展平臺(tái)的處理器、英特爾? 傲騰? 持久內(nèi)存等新基礎(chǔ)設(shè)施和英特爾? SGX等技術(shù)，以及混合計(jì)算和裸金屬即服務(wù)的理念方法論，都為金融和保險(xiǎn)行業(yè)的數(shù)字化提供了充沛的動(dòng)力。

第三，容器云作為一個(gè)新鮮事物，因?yàn)槠涓淖兞塑浖桓兜哪Ｊ?，在金融和保險(xiǎn)業(yè)也有很多認(rèn)知障礙，尤其是關(guān)鍵業(yè)務(wù)容器化決策時(shí)，對(duì)整體架構(gòu)設(shè)計(jì)會(huì)更為審慎，而優(yōu)異的基礎(chǔ)設(shè)施表現(xiàn)，也可以幫助這些企業(yè)打消疑慮，穩(wěn)步邁向容器云。