利用容器技术 A10 Networks助力开放银行建设
时间:2019-02-24 12:08

  近几年,随着金融市场改革与金融科技兴起,国内不少银行积极探索,逐步向开放银行转型,打造“平台+生态”的新型商业模式。例如,浦发银行2018年7月向外发布了“API Bank”无界开放银行;建设银行也上线了开放银行管理平台,向外输出核心服务;招商银行开放用户和支付体系,通过API、H5等连接方式,实现金融和生活场景的连接。除此之外,工商银行、兴业银行、光大银行等也都在探索开放银行,但模式各有不同。因此,2018年也普遍被认为是“开放银行元年”,开放银行的“星星之火”已经燃起。

  未来,“场景在前,金融在后”的跨界生态圈将成为主流。不过,目前开放银行应用尚处于早期阶段,在建设的初期阶段,安全问题、可用性问题、稳定性问题等等诸多问题,是不容忽视且很重要的问题。对于这些问题,A10 Networks从IT基础架构的层面来思考,让这“星星之火”燃烧、蔓延得更稳一些。

  众所周知,开放银行将带来变化更迅猛的业务需求以及更多更复杂的业务场景,类似掌上银行、移动支付等基于互联网的金融服务已迅速崛起。而传统银行的IT基础架构,开发及运维模式已无法适应这种新业务模式的发展。其主要表现为:

  面对这些挑战,基于容器技术的微服务架构因其具有持续交付能力强、资源利用率高、连续高可用、灵活伸缩等特点,可以对开放银行的业务开展提供良好的支持。

  但问题又来了。当应用部署到生产环境并实现规模化时,如何实现微服务之间的有序、高效、安全的通信,做到服务的自动发现、实现服务的弹性伸缩?如何对南北向和东西向数据流进行可视化管理和提供安全保障?

  随着应用逐步转向基于微服务的体系结构,容器和Kubernetes使用都有强劲的增长,Kubernetes也成为了主要的容器编排器。根据信通院的《2018年金融行业云计算技术调查报告》显示,有14.91%的金融机构已经将容器技术投入生产环境;20.50%的金融机构用于测试环境。

  A10 Networks的安全服务网格(Secure Service Mesh)解决方案将容器的异构特性与Kubernetes所具有的横向扩容能力完美结合在一起,可以轻松应对诸如红包、秒杀等特殊场景。而它所具有的快速启动特点能够确保应用的连续性和高可用性。此外,利用数据流微分段技术和微服务隔离技术,A10Networks的解决方案可以很好地支持微服务之间的安全通信,在保证应用敏捷性的同时,又可保证数据的私密性与安全性。而用户只需专注于程序开发和应用编排,无须关心应用的监控、扩展、服务发现和分布式追踪等繁琐的事情。

  可以说,A10 Networks解决方案可以很好地满足开放银行对IT基础构架和研发运维方面的要求,并且目前是业界唯一一个正式商用的安全服务网格解决方案。总结说来,其助力实现了四个方面的价值:自动化的服务发现与弹性伸缩、微分段和东西向数据流安全、基于每个应用的可视化管理与控制、Open API集成。

  自动化的服务发现与弹性伸缩:Lightning ADC提供高级负载均衡功能,还支持SSL加解密、WAF、AntiDDoS等众多安全功能,可以为微服务构架提供强有力的安全保障。它以容器形式部署在Kubernetes的数据平面,而Harmony controller和Ingress controller则部署在控制层面,负责完成管理与控制功能。

  通过与Ingress Resource协同工作,Ingress控制器可以实现应用的自动创建。它还能创建负载均衡实例和基于内容的交换规则,配置应用交付和安全策略,并将应用附加到Lightning ADC集群中。Ingress Controller还监视应用服务容器,并通过Harmony Controller将任何更改通知lightning ADC,使其配置和基础设施始终保持同步。Lightning ADC还为微服务提供服务自动发现功能,从而减轻微服务的负担。

  微分段和东西向数据流安全:Lightning ADC可以对微服务之间的东西向流量进行拦截。一旦数据流经过Lightning ADC,就会对流量应用适当的安全策略。微分段使安全更加细化,它使微服务彼此隔离,并为每个微服务单独提供安全保护。访问策略是基于服务标签,解决了容器IP地址随时更改所带来的问题。

  在数据流离开节点边界时,会被SSL机制自动加密,并在目标节点上自动解密后再传输到微服务,从而保证了跨节点通信的安全性。

  基于每个应用的可视化管理与控制:在传统应用交付环境中,对应用层的数据流几乎没有可见性,从而难于收集故障排除所需的数据。A10 Lightning ADC实时收集各种应用信息,并将其推送到Harmony Controller进行分析,用户可以从中获得全面的应用洞察能力,以便于微调应用和基础设施,并实现快速的故障排除。同时还可以探测异常时间,及时发现安全隐患。用户可以自定义告警指标,并能通过电子邮件传输告警,以便快速采取行动。

  集中的应用管理简化运维强度和复杂度:在Kubernetes的弹性分布式环境中,单独管理应用交付实例是一个很大的挑战。Harmony controller 可以跨多环境对应用交付实例进行统一的配置和维护。Harmony Controller允许在逻辑应用级别定义配置,并智能地将其推送到相应的应用交付实例上去,从而降低因手工配置错误所带来的风险,提高配置效率。此外,所有的管理和分析功能都通过被称为Harmony API的REST API对外公开发布。

  Open API集成:开放银行的API分为三类,即内部API、伙伴API以及开放API。Harmony API可以作为内部API的一部分。通过开放的 Harmony API,A10的安全服务网格解决方案可以和众多的DevOps工具链(如Ansible、Chef、Jenkins)及编排系统进行集成,实现业务的快速部署、迭代和运维。同时,也可以为内部开发者提供应用的可视化管理数据,进行应用发展态势分析,从而助力开放银行的建设。

  开放银行是基于互联网生态链提供的金融服务,也被普遍认为是银行业发展的必然趋势。但转型的过程中,挑战也和机遇并存着。开放银行的建设无疑是一个系统性的大工程,需要监管机构、银行、科技企业、第三方互联网服务机构等等各方面的共同努力。A10 Networks也希望借助其在应用交付领域、智能和自动化网络安全领域的不断创新的技术和解决方案助力开放银行的建设进程。