云计算技术金融应用技术规范.docx
《云计算技术金融应用技术规范.docx》由会员分享,可在线阅读,更多相关《云计算技术金融应用技术规范.docx(24页珍藏版)》请在冰点文库上搜索。
云计算技术金融应用技术规范
云计算技术金融应用规范
技术架构
Financialapplicationspecificationofcloudcomputingtechnology——Technicalarchitecture
目次
前言II
1范围1
2规范性引用文件1
3术语和定义1
4缩略语4
5概述4
6架构特性5
7架构体系6
I
JR/T0166—2018
前言
本标准是云计算技术金融应用系列标准之一,云计算技术金融应用系列标准包括:
——《云计算技术金融应用规范技术架构》;
——《云计算技术金融应用规范安全技术要求》;
——《云计算技术金融应用规范容灾》。
本标准按照GB/T1.1—2009给出的规则起草。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC180)归口。
本标准负责起草单位:
中国人民银行科技司、中国人民银行成都分行。
本标准参加起草单位:
网联清算有限公司、中国金融电子化公司、中国互联网金融协会、中国人民银行广州分行、中国人民银行西安分行、中国人民银行德阳市中心支行、北京中金国盛认证有限公司、北京移动金融产业联盟、中金金融认证中心有限公司、北京银联金卡科技有限公司、北京软件产品质量检测检验中心、财付通支付科技有限公司、蚂蚁金融服务集团、华为技术有限公司、阿里云计算有限公司、北京京东金融科技控股有限公司、北京XX网讯科技有限公司、新华三技术有限公司、兴业数字金融服务(上海)股份有限公司、亚马逊通技术服务(北京)有限公司、中国工商银行、中国农业银行、中国银行、中国建设银行、招商银行、中国光大银行、中国民生银行、兴业银行、平安银行、国泰君安证券股份有限公司、华泰证券股份有限公司、中国人寿保险(集团)公司、中国人民保险集团股份有限公司、中国银联股份有限公司。
本标准主要起草人:
李伟、李兴锋、强群力、邬向阳、张宏基、班廷伦、杨倩、聂丽琴、王力、王岚、郭林、胡达川、朱勇、周国林、辛路、杨彬、陈则栋、刘运、杨硕飞、吴永强、吴金海、符海芳、赵华、赵春华、高志民、张翰林、高强裔、李佐鸿、陈章龙、庄勇、孔令斌、白阳、蒋增增、钟琪、孔昊、于柳婍、张文涛、杜辉、侯大鹏、郑子洲、周伟然、居未伟、王超、李义高、胥少龙、来宾、陈永杰、王宇翔、陈晨、陈雪秀、曹伟、戴蕾、穆冬生、宋杰、瞿红来、张宪铎、王晓燕、李明凯、莫云飞、陈当阳、樊华、张峻华、金千里、张亮、刘刚、陈当阳、高坤、樊华、张峻华、杨俊、郝轶、罗子强、雷佳杰、张国泽、许涛、赵波、王绍斌、李国俊、王展、张荣典、王仕、杨德娜、种毓鑫、孔令俊、张寿元、张峻华、胡仲海、董亮、苏晗、高天游、金怡、王研娟、林春、闫莅。
II
JR/T0166—2018
云计算技术金融应用规范技术架构
1范围
本标准规定了金融领域云计算平台的技术架构要求,涵盖云计算的服务类别、部署模式、参与方、架构特性和架构体系等内容。
本标准适用于金融领域的云服务提供者、云服务使用者、云服务合作者等。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T32400—2015信息技术云计算概览与词汇GB50174—2017数据中心设计规范
JR/T0071—2012金融行业信息系统信息安全等级保护实施指引
JR/T0131—2015金融业信息系统机房动力系统规范
3术语和定义
下列术语和定义适用于本文件。
3.1
参与方party
一个或一组自然人或法人,无论该法人是否注册。
[GB/T32400—2015,定义3.1.6]
3.2
云计算cloudcomputing
一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。
注:
资源包括服务器、操作系统、网络、软件、应用和存储设备等。
[GB/T32400—2015,定义3.2.5]
3.3
云服务cloudservice
通过云计算已定义的接口提供的一种或多种能力。
[GB/T32400—2015,定义3.2.8]
3.4
云服务提供者cloudserviceprovider
1
JR/T0166—2018
提供云服务的参与方。
[GB/T32400—2015,定义3.2.15]
3.5
云服务使用者cloudserviceuser
使用云服务的参与方。
3.6
云服务合作者cloudservicepartner
支撑或协助云服务提供者活动、云服务使用者活动或者两者共同活动的参与方。
3.7
云服务审计者cloudserviceauditor
负责审计云服务的供应和使用的云服务参与方。
3.8
云计算平台cloudcomputingplatform
云服务提供者和云服务合作者提供的云计算基础设施及其上服务软件的集合。
3.9
私有云privatecloud
云服务仅被一个云服务使用者使用,且资源被该云服务使用者控制的一种云部署模式。
3.10
团体云communitycloud
云服务由一组特定的云服务使用者使用和共享,且资源被云服务提供者或使用者控制的一种云部署模式。
云服务提供者和使用者在监管政策、安全要求等方面相同或高度相似。
3.11
公有云publiccloud
云服务可被任意云服务使用者使用,且资源被云服务提供者控制的一种云部署模式。
3.12
混合云hybridcloud
包含两种及以上部署模式的云部署模式。
3.13
基础设施即服务infrastructureasaservice
为云服务使用者提供云能力类型中的基础设施能力类型的一种云服务类别。
3.14
平台即服务platformasaservice
为云服务使用者提供云能力类型中的平台能力类型的一种云服务类别。
2
JR/T0166—2018
3.15
软件即服务softwareasaservice
为云服务使用者提供云能力类型中的应用能力类型的一种云服务类别。
3.16
租户tenant
对一组物理和虚拟资源进行共享访问的一个或多个云服务使用者。
3.17
多租户multi-tenancy
通过对物理或虚拟资源的分配实现多个租户以及他们的计算和数据彼此隔离和不可访问。
[GB/T32400—2015,定义3.2.27]
3.18
物理机physicalmachine
是指相对于虚拟机的物理服务器,可为虚拟机提供硬件环境。
3.19
物理机服务physicalmachineservice
是指直接向云服务使用者提供物理机的服务。
3.20
虚拟机virtualmachine
是指通过各种虚拟化技术,为用户提供的与原有物理服务器相同的操作系统和应用程序运行环境的统称。
虚拟机通常使用物理服务器的资源,在用户看来它与物理服务器的使用方式完全相同。
3.21
虚拟机管理器hypervisor
管理物理机操作系统并控制客户操作系统与物理硬件之间指令流动的虚拟化组件。
3.22
容器container
是指通过操作系统虚拟化的技术,提供轻量且隔离的一组进程和资源的运行环境。
3.23
资源池resourcepool
一组物理资源或虚拟资源的集合,按照一定规则可从池中获取资源,也可释放资源并由资源池回收。
资源包括物理机、虚拟机、物理存储资源、虚拟存储资源、物理网络资源和虚拟网络资源等。
3.24
敏感数据sensitivedata
是指一旦泄露可能会对用户或金融机构造成损失的数据,包括但不限于:
3
JR/T0166—2018
a)用户敏感数据,如用户口令、密钥等;
b)系统敏感数据,如系统的密钥、关键的系统管理数据;
c)其他需要保密的敏感业务数据;
d)关键性的操作指令;
e)系统主要配置文件;
f)其他需要保密的数据。
[JR/T0071—2012,定义3.1]
4缩略语
下列缩略语适用于本文件。
ACL访问控制列表(AccessControlList)
CPU中央处理单元(CentralProcessingUnit)
DSaaS数据存储即服务(DataStorageasaService)
HTTP超文本传输协议(HypertextTransferProtocol)
I/O输入/输出(Input/Output)
IaaS基础设施即服务(InfrastructureasaService)
NaaS网络即服务(NetworkasaService)
PaaS平台即服务(PlatformasaService)
QoS服务质量(QualityofService)
SaaS软件即服务(SoftwareasaService)
SQL结构化查询语言(StructuredQueryLanguage)
TCP传输控制协议(TransmissionControlProtocol)
VPN虚拟专用网络(VirtualPrivateNetwork)
5概述
5.1服务类别
云服务主要包括基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS),此外根据服务内容还可分为网络即服务(NaaS)、数据存储即服务(DSaaS)等具体服务类别。
IaaS提供计算、存储、网络等基础资源服务。
云服务使用者可通过管理平台、应用编程接口等使用、监控、管理云计算平台中的资源。
PaaS提供运行在云计算基础设施上的软件开发和运行平台服务。
云服务使用者可基于云计算平台提供的PaaS进行系统开发、测试、集成、部署、运行、维护等工作。
SaaS提供运行在云计算基础设施上的应用软件服务,如电子邮箱服务等。
5.2部署模式
金融领域云计算部署模式主要包括私有云、团体云以及由其组成的混合云等。
金融机构应秉持安全优先、对用户负责的原则,根据信息系统所承载业务的重要性和数据的敏感性、发生安全事件的危害程度等,充分评估可能存在的风险隐患,谨慎选用与业务系统相适应的部署模式。
金融机构应承担的安全责任不因使用云服务而免除或减轻。
5.3云服务参与方
4
JR/T0166—2018
云服务的参与方包括:
——云服务使用者。
——云服务提供者。
——云服务合作者。
如图1所示,云服务提供者为云服务使用者提供IaaS、PaaS、SaaS等类别的云服务,并负责云计算平台的建设、运营和管理;云服务使用者基于云服务提供者提供的云服务构建、运行、维护自身的应用系统,或直接使用可作为应用系统的云服务;云服务合作者为云服务提供者、云服务使用者提供支撑或协助。
云服务审计者是一种特殊的云服务合作者,应对云服务提供者、云服务使用者、其他云服务合作者进行独立审计。
图1云服务参与方视图
6架构特性
6.1高弹性
云计算平台应具备资源弹性伸缩能力。
在业务高峰期,云计算平台资源能够快速扩容支持大流量、高并发的金融交易场景;在业务低谷期,云计算平台资源能够合理收缩,避免资源过度配置。
6.2开放性
云计算平台应采用开放的架构体系,不与某个特定的云服务提供者绑定。
在云服务使用者中止或变更服务时,云计算平台应支持应用和数据在不同云计算平台间、用户信息系统与云计算平台间进行快速便捷迁移。
6.3互通性
云计算平台应支持通用、规范的通信接口,同一云计算平台内或不同云计算平台间的云服务应能够按需进行安全便捷信息交互。
6.4高可用性
云计算平台应具备软件、主机、存储、网络节点、数据中心等层面的高可用保障能力,能够从严重故障或错误中快速恢复,保障应用系统的连续正常运行,满足金融领域业务连续性要求。
6.5数据安全性
5
JR/T0166—2018
云计算平台应在架构层面保障端到端的数据安全,对用户数据进行全生命周期的严格保护,保证数据在产生、使用、传输和存储等过程中的完整性、可用性和保密性,避免数据的损坏、丢失和泄露。
7架构体系
7.1概述
云计算平台架构体系可以分为基础硬件设施与设备、资源抽象与控制、云服务、运维运营管理等部分,如图2所示。
——基础硬件设施与设备主要包括机房及其附属设施、计算设备、存储设备、网络设备和其他设备。
——资源抽象与控制主要包括计算资源池、存储资源池、网络资源池、资源管理和调度平台等。
——云服务主要包含IaaS、PaaS、SaaS等类型的服务。
——运维运营管理主要包括日常管理、资源监控、运维管理、自助服务和服务管理等。
图2云计算平台架构体系
7.2基础硬件设施与设备
7.2.1概述
基础硬件设施与设备是指机房等基础设施以及计算、存储、网络等设备,是云计算平台的物理基础。
云计算平台应使用安全可控、体系架构开放的硬件进行构建,保障安全性、可用性和可靠性。
7.2.2机房建设
机房在选址、建筑结构、供电、制冷、消防、布线、物理访问控制、防盗防破坏等方面应符合GB50174
—2017、JR/T0131—2015、JR/T0071—2012有关要求。
7.2.3网络设备
云计算平台网络主要包括数据中心内部网络和跨数据中心网络,具体要求如下:
——数据中心内部网络应采用高可靠、低时延、可扩展的网络架构。
——应支持按照计算、存储设备的通信需求,提供低时延处理和高并发接入。
——应支持按照管理粒度提供网络区域间的物理或逻辑隔离的功能。
7.2.4计算和存储设备
6
JR/T0166—2018
计算设备指提供计算能力的物理服务器,应支持纳入计算资源池进行管理。
存储设备类型分为集中式存储和分布式存储。
——集中式存储设备的具体要求如下:
•应采用高密度物理磁盘和高可用控制器;
•集中式存储架构应具备较高的I/O处理能力,支持存储扩展。
——分布式存储设备应支持将数据分散存储在不同的存储服务器中,支持存储服务器分布式扩展。
7.3资源抽象与控制
7.3.1概述
资源抽象与控制是实现基础硬件设施与设备服务化的基础,包括计算资源池、存储资源池、网络资源池,以及资源管理和调度平台,并为云服务和运维运营管理提供支撑。
7.3.2计算资源池
计算资源的管理主要包括物理机管理和虚拟机管理两大类。
所有计算资源应按照资源池进行管理,计算虚拟化技术和计算资源管理是构建计算资源池的重要基础。
计算虚拟化技术能够利用虚拟化软件从计算资源池中虚拟出一台或多台虚拟机。
虚拟化软件的功能要求如下:
——应支持单物理服务器上多虚拟机管理与配置。
——应支持不同虚拟机之间资源逻辑隔离。
——应支持虚拟机对CPU和内存等资源的使用进行QoS配置。
——应支持设置CPU和内存使用的上限和下限。
——应支持动态调整虚拟机CPU、内存的配置,满足业务运行需求。
计算资源管理将各类计算资源统一管理并提供服务。
计算资源管理的功能要求如下:
——应支持计算资源池化,提供可动态调整的CPU、内存、I/O设备等资源。
——应支持物理机和虚拟机的生命周期管理。
——应支持镜像的生命周期管理。
——应支持虚拟机的克隆、快照和备份管理。
——应支持按网络结构、资源池规划、管理粒度、资源种类等灵活划分资源池。
——应支持计算资源灵活调配的功能。
——应支持根据资源使用情况自动伸缩资源。
——应支持运行状态下的虚拟机动态迁移,并维持业务正常运行。
——应支持屏蔽相同架构类型下不同硬件的实现差异。
——应支持虚拟机的故障恢复功能。
7.3.3存储资源池
7.3.3.1概述
存储资源池由存储资源管理和存储系统两部分组成,如图3所示。
7
JR/T0166—2018
图3存储资源池
7.3.3.2存储资源管理
存储资源管理负责存储系统资源的管理,其功能要求如下:
——应支持按存储资源类型实现资源池的分类管理和调度。
——应支持提供多种I/O性能的存储资源。
——应支持存储资源灵活调配的功能。
——应支持通过精简配置等功能提升存储资源利用率。
——宜支持多种存储系统的统一管理。
7.3.3.3存储系统
存储系统的通用功能要求如下:
——应支持高可扩展性,支持数据的存储和读写。
——应支持故障自动侦测、故障隔离和数据迁移,避免单点故障风险。
——应具备可靠的数据存储保护能力。
——应支持存储系统在线扩容和自动数据平衡。
存储系统包含存储数据层、存储抽象层和存储接口层。
存储数据层是云计算存储系统的最底层,是数据存储的载体,可基于集中式存储或分布式存储构建。
其功能要求如下:
——应支持硬盘、存储服务器、磁盘阵列等存储资源。
——应支持存储容量按需扩容。
——应支持屏蔽相同架构类型下不同硬件的实现差异。
存储抽象层为上层应用提供存储资源的抽象,包括但不限于块存储、文件存储和对象存储等。
存储接口层提供块存储接口、文件存储接口和对象存储接口等存储系统与外部的接口,应支持高速可靠的数据传输。
8
JR/T0166—2018
7.3.4网络资源池
7.3.4.1概述
网络资源池是将网络设备进行逻辑抽象和集中管理形成的资源池,由基础物理网络、虚拟网络和网络资源管理等部分组成,其中基础物理网络到虚拟网络的抽象通过网络虚拟化技术实现。
网络资源池的层次划分如图4所示。
图4网络资源池
7.3.4.2基础物理网络
基础物理网络是云计算平台网络资源池的底层基础,包括物理交换机、物理路由器、VPN网络、负载均衡系统等。
基础物理网络的架构要求如下:
——应保证主要网络设备和通信线路冗余。
——网络设备业务处理能力应满足业务高峰期需要。
——应支持多条物理链路之间互为备份。
——应支持多条物理链路之间对流量进行负载分担。
——宜支持跨设备配置链路备份,可将不同设备上的物理以太网端口配置成一个聚合端口。
——采用控制与转发分离架构时应同时支持网络转发平面和控制平面的高可用性。
VPN网络在广域网中建立安全可靠、稳定的隧道连接,以保障信息传输安全,用于实现云计算平台内部网络的拓展,保障租户接入云计算平台内部网络的连接安全。
VPN网络的功能要求如下:
——应支持可靠的身份认证,支持传输数据加密技术,能够有效隐藏云计算平台内部网络拓扑结构。
——宜支持通过数据压缩等技术实现网络加速。
负载均衡(可通过硬件或软件实现)包括服务器负载均衡和全局负载均衡。
服务器负载均衡由负载均衡服务器将业务流量按一定策略分配到多台部署相同业务的服务器上。
服务器负载均衡的功能要求如下:
——应采用冗余架构,避免单点故障。
——应提供传输层(如TCP协议)或应用层(如HTTP协议)的负载均衡。
——应支持弹性扩展,可与虚拟机配合提供系统的弹性扩展。
全局负载均衡通过在多数据中心部署相同业务应用的方式提供服务。
全局负载均衡的功能要求如
下:
9
JR/T0166—2018
——应支持负载均衡设备间配置同步。
——应支持根据策略将业务流量分配到多数据中心。
——宜支持多种全局负载均衡调度算法,包括随机访问和优先级访问。
——宜支持多种应用健康检测方式,通过健康检测检查业务服务器和服务端口的可用性,优先选用服务器和服务端口满足健康检测要求的站点。
云计算平台与运营商网络的连接要求如下:
——应采用多线路设计,避免单点故障。
——应具备故障快速恢复能力。
——应支持数据中心出口流量优化,自动均衡各个出口流量利用率。
——宜支持基于时延、带宽等链路特点选择特定路径。
——宜支持流量管控,可区分广域网络中的非正常业务流量。
7.3.4.3虚拟网络
云计算平台使用网络虚拟化的技术将物理网络抽象成若干可以分配给云服务使用者使用的VPC
(VirtualPrivateCloud)。
虚拟网络是指这些VPC的合集。
云服务使用者可根据业务需求定义自己的VPC,包括定义网络拓扑、创建路由、创建虚拟交换机、创建子网、定义ACL等。
虚拟网络的功能要求如下:
——应支持为不同的租户构建独立的虚拟网络,租户间的网络隔离。
——应支持根据业务需求实现同一租户或不同租户VPC之间的互通。
——应支持虚拟网络和物理网络之间的三层交换。
7.3.4.4网络虚拟化
利用网络虚拟化可在一个物理网络上模拟出多个虚拟网络。
网络虚拟化包括网卡的虚拟化,物理网络设备的虚拟化,租户网络的虚拟化,以及网络功能虚拟化。
网络虚拟化的功能要求如下:
——应支持将物理网络设备虚拟化为逻辑网络设备使用。
——应支持挂载和卸载虚拟机网卡。
——应支持端口镜像,满足远程运维和故障分析需求。
——应支持分布式虚拟交换机功能。
——应支持虚拟机和物理网卡直通功能,提升虚拟机网络性能。
——应支持通过隧道封装技术为租户构建独立隔离的虚拟网络。
——宜支持网络功能虚拟化,在物理机上提供网络功能。
7.3.4.5网络资源管理
网络资源管理将物理和虚拟网络资源形成资源池进行统一管理调度。
网络资源管理的功能要求如
下:
——应采取冗余架构等措施,避免网络资源管理节点的单点故障。
——宜支持对不同厂商网络设备的管理和配置自动下发,包括子网、网关、路由等参数的配置。
7.3.5资源管理和调度平台
资源管理和调度平台能够接收服务资源请求,实现对资源的调度分配。
资源管理和调度平台的功能要求如下:
——应支持对计算、存储、网络资源的统一管理。
——应对不同租户的计算、存储、网络资源在性能和访问上进行隔离。
——应支持资源协同管理,能够按需整合计算、存储、网络资源。
10
JR/T0166—2018
——应支持资源负载自动感知,可根据负载情况灵活调配资源。
——应支持自动检测故障和系统热点,保证业务稳定可靠运行。
——应支持多数据中心资源的统一管理。
——应支持资源管理和调度平台的高可用。
——宜支持多种虚拟化技术的统一管理。
——宜支持虚拟化资源和物理资源的转换。
7.4云服务
7.4.1概述
云服务层按照应用场景需要将IT资源、平台、应用等一种或多种功能封装成不同的云服务提供给云服务使用者,可分为基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)等服务类别。
IaaS包括但不限于虚拟机服务、物理机服务、存储服务、负载均衡服务、内容分发网络服务、VPC服务、网络连接服务、域名服务等。
PaaS包括但不限于数据库服务、容器服务、中间件服务、分布式数据处理服务等。
SaaS包括行业类SaaS和通用类SaaS等。
云服务的层次划分如图5所示。
云计算平台在提供相应服务时应满足本规范的要求,但并不要求云计算平台提供以上全部服务。
图5云服务的层次划分
7.4.2IaaS
7.4.2.1虚拟机服务
虚拟机服务是指云服务提供者向云服务使用者提供面向操作系统的计算服务。
虚拟机服务的功能要求如下:
11
JR/T0166—2018
——应具备虚拟机全生命周期管理功能,支持对虚拟机进行创建、删除、回收、暂停、恢复、关闭、重启等操作。
——应支持不同类型的操作系统和存储设备。
——应支持创建自定义CPU、内存、网络、磁盘等属性的虚拟机。
——应支持对运行或停止状态的虚拟机生成快照,并提供快照回滚功能。
——应支持计算能力的垂直伸缩,如CPU和内存的
升级会员 