隨著云計算的不斷深入，證券行業(yè)對信息技術(shù)的研究和探索從原有的概念到實際應(yīng)用都取得了實質(zhì)性的發(fā)展，越來越多的證券公司開始考慮將傳統(tǒng)IT基礎(chǔ)設(shè)施遷移到私有云上，紛紛啟動云平臺建設(shè)項目。

　　從2017年開始，中山證券就啟動了以O(shè)penStack技術(shù)為基礎(chǔ)的生產(chǎn)云平臺建設(shè)，成為中國第一家在生產(chǎn)數(shù)據(jù)中心應(yīng)用OpenStack構(gòu)建私有云的證券公司。同時，在生產(chǎn)云建設(shè)中，中山證券采用了Neutron Availability Zone（Neutron AZ）技術(shù)，也成為中國金融行業(yè)內(nèi)首家采用Neutron AZ實現(xiàn)物理分區(qū)的企業(yè)。可以說，在嘗試創(chuàng)新技術(shù)方面，中山證券兩次開創(chuàng)了業(yè)界先河。

　　在建設(shè)金融私有云平臺的過程中，中山證券經(jīng)歷了慎重的技術(shù)選型，并且通過多輪測試考察，最終決定攜手易捷行云EasyStack利用ECS易捷行云企業(yè)云產(chǎn)品，共同打造中山證券私有云平臺。

　　項目建成后，中山證券成為全國金融行業(yè)中首家采用Neutron AZ實現(xiàn)物理分區(qū)的企業(yè)，使得該金融生產(chǎn)云平臺具備高可靠性、高可用性、高性能、架構(gòu)先進(jìn)等優(yōu)勢。

　　中山證券私有云平臺的建設(shè)充分考慮了合理化、規(guī)范化和科學(xué)化，以用戶需求和應(yīng)用實踐為先導(dǎo)、做到統(tǒng)一規(guī)劃、集中管控，在滿足用戶系統(tǒng)架構(gòu)設(shè)計需求和應(yīng)用部署對計算、存儲、網(wǎng)絡(luò)等資源功能和性能需求的前提下，通過資源的統(tǒng)一分配和部署，最大程度地提高資源的靈活性和利用率，并兼顧平臺可靠性，滿足應(yīng)用業(yè)務(wù)需求擴充與資源部署變更的發(fā)展需要。

　　中山證券在深圳及鳳崗兩個數(shù)據(jù)中心建設(shè)兩個私有云平臺，深圳數(shù)據(jù)中心建設(shè)內(nèi)容包括私有云平臺生產(chǎn)環(huán)境及測試環(huán)境；鳳崗數(shù)據(jù)中心建設(shè)內(nèi)容為私有云平臺生產(chǎn)環(huán)境。經(jīng)過一年多的運行，云平臺平穩(wěn)、高效、安全地滿足了中山證券現(xiàn)有業(yè)務(wù)的運行。

　　首先，為了支撐業(yè)務(wù)的高可用性，EasyStack 為中山證券私有云平臺選用了Multi-Region架構(gòu)，不同的Region采用物理隔離，具有不同的OpenStack控制、計算、網(wǎng)絡(luò)、存儲平面。通過共享一套認(rèn)證后端和圖形化界面，邏輯上構(gòu)成一朵生產(chǎn)云，實現(xiàn)對下屬不同Region的統(tǒng)一監(jiān)、管、控。

　　同時，配合集群化的應(yīng)用部署架構(gòu)，同一應(yīng)用組內(nèi)的不同云主機可以選擇部署在不同的Region資源池內(nèi)，以實現(xiàn)應(yīng)用的跨區(qū)域部署和服務(wù)，從而達(dá)到業(yè)務(wù)系統(tǒng)在多Region架構(gòu)下的分布式部署、統(tǒng)一管理的效果，以支撐業(yè)務(wù)跨區(qū)域的高可用架構(gòu)，進(jìn)一步提升云平臺和業(yè)務(wù)系統(tǒng)的整體高可用性。

　　此外，如果Multi-Region中某個Region升級、擴容、縮容的同時，不會影響到其他Region的云平臺基礎(chǔ)架構(gòu)對外提供服務(wù)，而采用跨Region集群式部署架構(gòu)的應(yīng)用系統(tǒng)可以確保業(yè)務(wù)的可用性和連續(xù)性。未來，中山證券也可平滑沿用此架構(gòu)擴展至多個不同的數(shù)據(jù)中心，為實現(xiàn)多數(shù)據(jù)中心多活架構(gòu)打下基礎(chǔ)。

　　其次，中山證券私有云采用了Neutron AZ的方式實現(xiàn)網(wǎng)絡(luò)的物理分區(qū)，Neutron AZ能夠?qū)崿F(xiàn)區(qū)域內(nèi)各自的DHCP-agent，從而為AZ內(nèi)的虛擬機計算資源提供IP地址，同時AZ內(nèi)的DHCP-agent能夠?qū)崿F(xiàn)HA，從而實現(xiàn)DHCP-agent的高可用性。

　　最后，在存儲方面，EasyStack ECS易捷行云企業(yè)云采用了分布式存儲Ceph解決方案。Ceph存儲是完全對稱架構(gòu)，無主次之分，分布式存儲的物理節(jié)點可以在不停機的情況下動態(tài)增加和刪除，實現(xiàn)存儲容量和性能的動態(tài)擴展，“對稱”意味著各節(jié)點可以完全對等，能極大地降低系統(tǒng)維護(hù)成本，且無單點故障。從存儲角度保證數(shù)據(jù)的高可靠，提供可管理、多類型存儲、多種協(xié)議支持。

　　利用EasyStack ECS易捷行云企業(yè)云，中山證券實現(xiàn)了將深圳機房和東莞鳳崗兩地機房的兩朵云統(tǒng)一在一個云平臺中集中管理。

　　同時，Region內(nèi)部通過Zone的形式實現(xiàn)資源物理隔離和邏輯隔離，每個區(qū)域由單獨的計算節(jié)點組成Nova AZ，分別連接至獨立的交換機和防火墻，以實現(xiàn)業(yè)務(wù)物理網(wǎng)絡(luò)隔離，保障安全性，同時通過Neutron AZ為每個分區(qū)提供DHCP地址分配和metadata信息注入。

　　對于區(qū)域內(nèi)的集群業(yè)務(wù)，如MySQL集群，Web等集群通過使用Server Group的Anti-Affinity調(diào)度算法確保業(yè)務(wù)集群的Instances散落在不同的計算節(jié)點，保障服務(wù)持續(xù)高可用。

　　當(dāng)前，EasyStack ECS易捷行云企業(yè)云平臺已經(jīng)提供了控制、計算、存儲、網(wǎng)絡(luò)等OpenStack關(guān)鍵組件的在線擴展和升級能力，最大程度地保障了應(yīng)用系統(tǒng)對外持續(xù)提供服務(wù)的可用性，具備高度的可擴展性和可升級能力，便于中山證券云平臺系統(tǒng)日后的擴容和升級改造。

　　同時，中山證券云平臺在擴展方式上支持可預(yù)測的水平擴展和自動負(fù)載擴展。擴展節(jié)點后，該云平臺可根據(jù)集群中各個服務(wù)器節(jié)點的負(fù)載和容量使用情況來進(jìn)行負(fù)載均衡，從而避免某個節(jié)點負(fù)載過高的情況出現(xiàn)。

　　此外，結(jié)合EasyStack ECS易捷行云企業(yè)云平臺全冗余高可用架構(gòu)設(shè)計，以及虛擬機在線遷移能力，中山證券整個云平臺的關(guān)鍵組件和服務(wù)的小版本升級和大版本升級，可以采取有序分步的階段性升級改造方案，以確保業(yè)務(wù)運行的可持續(xù)性。