博时基金:云原生架构下的统一云管平台
博时基金管理有限公司(以下简称为“博时基金”)成立于1998年,是中国内地首批成立的五家基金管理公司之一。博时基金总部位于深圳,在北京、上海等地设有分公司,同时拥有博时基金(国际)有限公司和博时资本管理有限公司两家全资子公司。博时基金的经营范围包括基金募集、基金销售、资产管理和中国证监会许可的其他业务。
截至2020年6月30日,博时基金公司共管理224只公募基金,并受全国社会保障基金理事会委托管理部分社保基金,以及多个企业年金、职业年金及特定专户,管理资产总规模逾12150亿元人民币,剔除货币基金与短期理财债券基金后,博时基金公募资产管理总规模逾3882亿元人民币。
自成立至今,博时基金一直将IT建设与运营作为公司发展的重要组成部分,在行业内率先实现了IT自主研发能力,逐步形成“业务IT化、IT业务化”的科技与业务深度融合的IT文化。在博时基金朝着综合型、全能型的资产管理机构迈进的过程中,IT已成为实现企业数字化转型的重要参与者与实施者。
近几年,博时基金更加重视科技驱动力,大力发展互联网金融,建立金融科技中心,持续推动企业的数字化转型。同时,为了满足业务发展的需求,博时基金围绕着软件定义数据中心采用超融合、SDN等方案,上线了针对微服务架构升级的容器云平台。
随着IT规模的不断扩张,博时基金开始筹备建设统一的云管平台,计划实现异构资源统一管理、多云资源敏捷交付、多云环境的安全合规、成本分析与管控等目标。
挑战:云原生架构下IT资源管理和运维安全
2018年12月,博时基金基于微服务、DevOps、容器云的新版基金销售系统上线,这也是业内首家正式上线的云原生核心应用。基于云原生架构,系统形成业务能力标准、运行机制、服务方法论、配置管理、执行系统以及运营服务团队等构成的体系生态,为业务提供快速集成产品的创新能力,同时也提高了多团队协作效率,运维上更是具备大规模并发处理能力和快速弹性能力的系统,具有较高的技术和业务价值。
过去几年,博时基金积极利用容器技术,将传统IT架构逐步转向云原生架构。但在这一进程中,博时基金在IT资源管理和运维安全等方面面临着一系列的挑战:
1. 在新的敏捷开发体系下,资源交付压力大,异构资源管理难度持续增加;
2. IT规模的快速发展对成本控制和精细化管理提出更高的要求;
3. 传统的安全工具和管理方法已无法有效适应新的云原生架构。
基于架构转型和IT资源管理的复杂需求,博时基金计划构建基于容器云平台上的统一云管平台,以实现对私有云、容器云以及公有云在内的多云资源进行统一纳管,向业务用户提供敏捷的自服务和自动化交付能力。
同时,依托云管平台增强博时基金对IT基础设施资源的运营分析能力,构建灵活、完备、统一的的计费系统;此外,博时基金还将通过云管平台建设,整合已有各项安全方案和措施,进一步提升安全合规水平,从而保障云原生架构下的运维安全。
实践:落地云原生架构下的云管平台
博时基金云管平台项目于2019年完成一期建设,已经实现自助服务、运营分析、计量计费、容器管理、容器云纳管等核心IT管理能力,为实现IT服务化转型夯实了根基。
■ 运维管理 云管平台与博时基金的LDAP系统对接后实现单点登录,并对接邮件系统实现通知功能。在此基础上,平台打造完成服务申请、审批、创建、变更、销毁等全生命周期管理联动,向用户营造出友好服务体验。
■ 服务编排 云管平台通过服务编排,整合模板部署、多版本镜像映射、逻辑资源池定义等能力,通过产品服务目录的形式提供给不同的业务部门使用。在服务目录产品的申请流程中实现了可视化,可自定义主机名、IP地址、并行资源供给顺序等,支持了后续的CPU、内存热插拔、网络自定义变更等。
■ 与SDS和SDN的整合 云管平台还对软件定义的存储和网络体系进行了整合,这是软件定义数据中心非常关键的环节。通过专用接口对接后,在虚拟机创建时云管平台能提供自定义的存储策略,并根据需求和资源实际使用情况调整存储方案,动态提升存储使用率;软件定义网络方面,通过云管平台进行网络配置统一下发,实现虚拟网络、软件定义防火墙、软件定义负载均衡等组件的联动部署,从而完成软件定义数据中心基础环境建设的重要一环,构建起稳定、快速应变的云原生基础设施管理体系。
■ 运营分析 云管平台统计了多个数据中心的资源信息,大到整个集群、主机,小到各个虚机,对基础资源容量实现多维度展示,支持自定义时间段的趋势分析,并针对实例资源的超配或低配的情况进行分析和优化建议。
■ 计量计费 云管平台可以匹配不同资源池的不同计费策略,支持对资源费用情况的多维度统计分析,细化到不同部门、组别、个人,且提供大屏展示及资源统计报表。
■ 对接容器云 作为一个云原生架构下的云管平台,博时基金云管平台与OpenShift容器云平台进行对接,且集成容器云安全组件,为向容器迁移的生产业务应用和工作负载提供漏洞管理、安全可视化、运行保护及合规检查。
■ 对接公有云 基于云管平台,博时基金还对接了阿里云等公有云平台,梳理了申请流程,实现全面纳管存量资源。通过内部统一的审批流程,用户可以快速申请公有云资源,并且可在统一界面进行虚拟机资源开关机、配置变更、快照创建等操作。
收益:充分发挥云原生架构优势,加速业务创新
通过建设云原生架构下的云管平台,博时基金IT服务在自动化交付、费用优化、安全管理、DevOps等方面的能力均有显著提升:
■ 自动化交付虚拟化资源。通过云管平台统一服务门户,有效提升服务交付速度和交付质量,在解放运维人力的同时,有效支持企业级IT架构的升级和业务创新;
■ 实现多维度的费用分析和优化建议,有效进行IT资源的调配和管理。云管平台上线后,虚拟机规模快速增加,物理服务器数量有效减少,提效降本效果显著;
■ 通过接入堡垒机、虚拟机备份、容器安全管理等服务,实现了安全统一管理,简化了服务申请和使用的流程,同时提升了整体云原生架构的安全合规水平;
■ 构建云原生体系基础平台,推进DevOps敏捷交付。云管平台作为博时基金整个云原生架构体系的基础管理平台,结合现有的DevOps统一平台,进一步推进开发运维一体化。通过构建敏捷开放的统一服务平台,使博时基金的IT服务体系能够有效支撑业务的创新与发展,更快地响应业务需求,快速推出创新产品。
规划:深化容器云建设,拓展IT云原生体系服务化
在未来,博时基金计划进一步完成基于云管平台的无缝对接,不断扩展基础设施架构,实现对多种公有云和私有云平台的纳管,推进更为广泛的资源接入和自主服务化,以适应快速扩张的业务规模。
在云原生架构建设方面,博时基金将持续深化容器云的构建与运营,完善在Kubernetes原生容器云环境中从Day0规划、Day1部署、Day2变更环节的全生命周期管理能力。
另外,博时基金将围绕云管平台,对接更多的IT管理运维能力,实现负载均衡、漏洞扫描、域名证书等能力的全面服务化供给。同时,将加大推广云管平台的使用范围,结合移动OA平台,实现云资源交付、管理、运营等移动办公化需求。