平安云丘子隽：专注于金融行业的云——平安云

以下为演讲实录：（以下内容根据现场速记整理，未经发言嘉宾确认，仅供参考，谢绝转载。）

丘子隽：大家上午好。接下来20分钟，我跟大家介绍一下，平安，我们在做云的时候，我们在网络上的一些实践。我们先说一下我们做整个事情的目标。我们中间，因为今天的大会是SDN和NFV为主题的，我后来介绍，我们介绍云，实际上我们云里面肯定也用到这两个东西，在介绍之前我有必要跟大家说明一下，我们动机，以及我们的目标。我们的目标简单来说，最重要的就是说，目标要在SDN或者NFV上面，构建我们的生产业务，这是我们最终的目标。

平安云，相比于其他的云，比如说AWS，阿里云，这些前辈，我们的特点是什么呢？平安云最大的特点是，我们是做垂直领域的云计算。也就是说我们专注于金融的行业。那我们的特点的话，归结来说就是5个。第一个就是，我们在金融行业非常的专业，这也是平安20几年来专注于金融，一开始是保险，到现在综合金融，一步步构建起来的经验。第二个就是说我们希望为我们的金融客户提供更多的增值服务。因为平安在金融领域，他在金融IP领域有很多很多不管是合规，还是说跟其他合作伙伴互联方面的经验。所以我们的客户来了之后实际上可以直接利用到我们的经验，有一些增值。同时还可以在我们的平台上跟其他的客户去互通。第三个就是可靠，因为金融的可靠性呢，它会比规模可能比规模更重要，之前在技术架构分析的时候，很多人分析可靠性，规模的关系，金融行业可靠排在第一优先级的。

第四个是安全，也就是说在金融行业，它有专门的一些行业的规范，这个网络架构不能随意的搭建，它是一个比较多限制的。最后一个就是合规。实际上和之前的安全合规，他是一个统称的概念，这个合规是由三行一会统一制定的这么一个行业的规范。也就是说我们平安云，要围绕这5个特性，去一步步的打磨具体的技术。

我们把这些目标，最终落地下来，就变成我们设计的一个指标。设计的指标简单来说就是，这三大块。每一块里面，有一部分，有三个的具体的，我们要考虑的东西。第一个多租户，我们设计的网络服务，他一定是多租户的网络，为了实现多租户我们必须引入网络虚拟化。同时不同租户之间我们还需要让他互相访问，所以这个特点实际上是和现在，我一开始提到的那些公有云最大的共同，我们的租户除了隔离之外，它还有很多互相访问的需求。

最后一个就是，DCI，我们也提供了这种多地域的这种虚拟网络的服务，有的他会部署在不同的地域，不同地域之间还是有些互联的，为了让这些互联更加的便捷，更加的快，所以一定是要有这种DCI的服务在里头。

第二个大的设计指标就是解耦。解耦有很多，实际上为了后面的拓展性。我们解耦，我们把这些东西，给他分解开来。一个是AN（英）的网络。我们有一个专门（英）的网络设计，第二个是OB（英）我有一个区别an（英），这两个方面的网络服务能够进行迭代的演进，这是解耦。

第三个就是扩展性。包括规模的扩展性，功能的扩展性，以及对不同底层供应商品牌的扩展性。这是我们介绍完设计指标，我们就来看一下，我们的物理架构。因为我是了十年的网攻，所以我画的图有比较强的网攻特点，这个图我画的信息量比较大一点，我们这里介绍了，这个图里面包括在不同地域部署我的网络。在每个地域内，我网络是怎么构成，以及自动化是怎么做的？这是其中一个地域，通过中间的外部网络连接到下面要主讲的这个地域，主讲的地域，我们是按照多可用区的方法来设计的，这里面介绍了两个可用区，就是AZ1和AZ2，他们两个是完全相等的。AZ1和AZ2，通过CXP的网络区域联系起来。CXP的全称就是（英）一开始提到我们租户，不但要隔离，还要互通，互通就是通过这个CXP来实现的。每个可用去内部我们设计了f（英），我们可能用SPN，也可能不用SPN，资源池里面我们会做分布式的防火墙，做东西向的网络控制，还有一些是没有做虚拟化的集群。比如说一些数据库，或者是大数据。第三个集群是我们的NFV集群，用来我们的虚拟防火墙，这是NFV的集群。同时我们还提供了专门的DCI的区域，DCI的区域是网络设备构建的，他可以在不同地域之间，给他用于自动的连起来。

对于每一个地域我们会有一个流量分析的平台，去做这种基础的流量的统计。其次我们想做更高级一点的，针对用户的需要，可以把一部分流量，通过SDN的tep（英）挖出来。这是我们流量分析平台，他是带外的分析平台。他的部署不会影响到任何网络。

我们再来看一下自动化的方面，我们最核心的东西，我们叫NSP，就是在这个位置，NSP的全称叫网络服务平台。这里面我们用的是openst（英），对接我们自己开发的NFV。这个NSP北向连接到我们的云平台，对云平台提供各种N（英）服务。进行对接厂家的控制器或者直接是物理设备。厂家的控制器，他会通过他自己的openfolw以及设备的控制，这个就是我们整个平安云在构建过程中，物理上的结构，是跟一开始我们的设计指标是吻合的。在这个物理（英）上我们打造出了我们的逻辑服务，这个逻辑服务就是刚才说的吻合，ov（英）恩是我们租户自己能看到的，对于我们的租户来说，他看到的是这种网络，我们把这种网络服务就叫VPC，大家比较熟悉了，就是虚拟专有云，那每个VPC是一个框，他可以创建自己专有的网络，在这个网络里他可以根据自己的规模的需求挂载SM（英），分配给他下面的计算资源，包括他自己的LV，或者他的VOL（英），每个虚拟机他有一个专有的路由器，北向网络。通过北向网络就到虚拟的防火墙，再到外部的网络。这里面专门提到了一个就是说，黄色的这个租户，他可以通过DCI连接到他在另外一个地方的VPC，所以这个原理我觉得，各大云，基本上差不多，只不过是说，我在我们的VPC服务里面介绍的会更加模式化一点，就没有太多灵活性的东西，因为金融监管，它监管的要求就决定了这个网络差不多就这个样，不太可能有更多的变化。这是租户能看到的网络。

接下来再来看一下我们的演进路线，我们的VPC一共是有三代。现在VPC1.0，或者1.X这个版本已经上幼儿园了，他用的是VLan，所以这里面没有什么控制器，但是我们现在引入了N（英）做自动化，我们进展还很不错，大概我们招了几个新员工，大概花了两个月时间就搞定了。

第二个是新生儿，刚出生不到一周岁的VPC2.X，这里面用了L3的（英）所以这里面有SDN的东西在里头，我们在主机上面做的（英），我们有控制器来做VPC的自动化。我们在现在，自己在开发这种负载均衡的服务，我们叫LVX，负载均衡。同时我们也在考虑把解决方案LV1引入进去。这是新生儿。还有一个是马上要出生，叫VPC3.X，我们结合了前两代小孩一些待优化的地方，我们做了更好的设计，我们根据芯片，交换机芯片的各种发展，同时我们弱化了控制器，我们实际上这里面用到的控制器，基本上变成了自动化的执行者，他不一定做非常多的控制器的事情。自动化我们一开始设计，（英）是从3.X，最初设计的时候就已经考虑进去了。同时NMV控制北向流量，原来是一个（英），现在基本上变成一个必选的方案。同时我们也在考虑把DBDK进入到我们的集群里面去，所以这个就是我们VPC三代的一个演进的路线。

接下来介绍一下我们自动化编排系统，叫NSP，这实际上是我们整个云服务非常核心的一个地方，所有的服务，不管多少代，都是通过这个NSP对外进行暴露的。所以对于整个云的服务来说，网络做的怎么样实际上就看NSP做的怎么样。这个NSP它会通过我们的N（英）这个框架下面做各种包装，我们包装成这几类，大家如果对Ob（英）很熟悉的话，应该会非常的亲切，就是这个N（ 英），这几个都是（英）里面非常熟悉的字眼。同时我们还会拓展一些安全，服务质量，去暴露。南向的话，就可以对接不同厂家的控制器，这边就不一一介绍了。这些不同厂家控制的东西，包括负载均衡的，虚拟防火墙，DCI的服务，VPC的服务。最下面的就是不同版本的F（英）。最旁边我们也构建了一个自动的网管的公介平台，网管只是说我们网络人员比较关心的一部分。包括流量的分析，我们这个大的运维平台，有一个分支专门对网络进行控制的，这是我们的NFV。

再来介绍一下我们的团队构成。一共有三部分，第一个测试，第二个是网工，第三个是码农队伍，这三部分人员基本上把我们这一大摊子事情很好的运行起来。而且我们可以按照这个路线很迭代下去。
我们建设的成果，我们建设成果目前在三个地方部署了我们的云，就是深圳、上海和北京。我们上面的应用就包括一大堆平安系的应用，大家可以在安卓的市场或者苹果的市场去看一下，可能会受到很多多同质。这上面很多运行在我们的平台上，比如说陆金所，再比如说好字辈的好多都部署在我们的平安云上面。第二个是外部金融机构，平安云上面承载了十几家中小银行，今年预计可以达到一百家。同时第三部分就是和平安有合作的一些金融资讯的平台，他们提供各种证券股票分析的服务。所以总体来说我们的客户主要是这些。

不同地方，我们通过我们的这种中间的骨干网络，也在构建DCI的东西。最后就是说，我们平安的口号希望大家能够记住，“在金融领域有一朵叫平安的云”，谢谢大家！