“十二五”時(shí)期是我國保險業(yè)發(fā)展變化最大、綜合實(shí)力提升最快的時(shí)期,各保險機構改革創(chuàng )新全面突破,科學(xué)謀劃、多措并舉,各項工作穩步推進(jìn),整體建設卓有成效。“十三五”時(shí)期是我國全面建成小康社會(huì )決勝階段,是保險業(yè)從保險大國邁向保險強國的關(guān)鍵時(shí)期,也是加快發(fā)展現代保險業(yè)的關(guān)鍵時(shí)期,保險行業(yè)處于大有作為的重要戰略機遇期,但同時(shí)面臨諸多問(wèn)題和挑戰,需要各保險機構持續推進(jìn)行業(yè)改革創(chuàng )新,更好地支持經(jīng)濟社會(huì )建設,為服務(wù)國家治理體系和治理能力現代化作出更大貢獻。
天安財產(chǎn)保險股份有限公司(下文簡(jiǎn)稱(chēng)天安財險)是中國首家由企業(yè)出資組建的股份制商業(yè)保險公司和國內第四家財產(chǎn)保險公司。經(jīng)過(guò)近年來(lái)的快速發(fā)展,業(yè)務(wù)規模和機構建設快速發(fā)展,公司擁有33家分公司(含航運保險中心)、263家地市級中支公司及944家支公司級營(yíng)業(yè)網(wǎng)點(diǎn),經(jīng)營(yíng)區域覆蓋了除港澳臺、西藏、青海、寧夏及內蒙古以外的全國主要行政區域。目前,公司已形成了具有較強市場(chǎng)競爭力的產(chǎn)品體系。
隨著(zhù)信息化建設的高速發(fā)展,集團的業(yè)務(wù)系統越來(lái)越依賴(lài)數據中心的服務(wù)支撐,當前天安財險生產(chǎn)數據中心于08年在上海金橋建設,并在佛山構建數據冷備中心。由于公司集團化,業(yè)務(wù)快速發(fā)展,服務(wù)器、存儲、網(wǎng)絡(luò )設備不斷增加,當前生產(chǎn)數據中心面積、供電均面臨著(zhù)較大的挑戰,制約了創(chuàng )新業(yè)務(wù)系統的快速構建和部署,難以滿(mǎn)足未來(lái)業(yè)務(wù)不斷發(fā)展的需求,已成為制約集團業(yè)務(wù)快速發(fā)展的瓶頸,為了適應業(yè)務(wù)發(fā)展需求,集團公司于2016年開(kāi)始規劃在張江卡園新建云數據中心,并與現有金橋數據中心構建同城雙活架構。
雙活云數據中心建設目標
凡事預則立,不預則廢。集團公司在項目立項之前,就對國家政策導向認真學(xué)習,尤其是將《中國保險業(yè)發(fā)展十三五規劃綱要》作為公司發(fā)展規劃管理指引,并對當前技術(shù)發(fā)展趨勢深入研究,規劃在新一代IT架構設計中,重點(diǎn)關(guān)注產(chǎn)品創(chuàng )新、互聯(lián)網(wǎng)金融、云計算、大數據、分布式架構等熱點(diǎn)問(wèn)題與技術(shù)。規劃通過(guò)IT架構創(chuàng )新,推動(dòng)科技創(chuàng )新,滿(mǎn)足安全可控要求,最終實(shí)現科技引領(lǐng)業(yè)務(wù)轉型與發(fā)展的目標。
通過(guò)雙活云數據中心的建設,集團公司將在信息化建設方面達成以下具體技術(shù)目標,為業(yè)務(wù)轉型提供IT支撐:
- 基于兩地三中心建設,上海實(shí)現業(yè)務(wù)雙活服務(wù),實(shí)現三中心運維管理的一體化,大幅提升IT系統業(yè)務(wù)連續性能力,上海同城雙活數據中心滿(mǎn)足國際標準SHARE78災難恢復規范6級要求。
- 張江卡園數據中心采用微模塊等先進(jìn)技術(shù),構建具備模塊化、標準化、綠色節能、智能化等特點(diǎn)的行業(yè)領(lǐng)先的新一代數據中心。
- 基于云計算平臺,實(shí)現資源統一規劃、統一納管、按需申請、按使用分配和高效運維,實(shí)現資源的快速申請和應用的快速上線(xiàn),同時(shí)實(shí)現服務(wù)的靈活變更。
- 建設統一的安全體系,達到安全等保三級要求,實(shí)現完整的安全事件監控和審計,包括虛擬資源的安全,防御APT等攻擊,實(shí)現安全風(fēng)險可管可控。
- 在應用層面,提供應用自動(dòng)化編排和部署功能,提供版本管理、版本發(fā)布功能,滿(mǎn)足應用快速部署快速上線(xiàn)的要求。提供應用監管管理功能,基于A(yíng)PM(應用性能管理)實(shí)現資源彈性供給。
- 提供完整的應用遷移保障,包含應用遷移改造、驗證和回落的全套實(shí)施方案,確保應用遷移萬(wàn)無(wú)一失。
- 支持金融信息系統國產(chǎn)化趨勢,實(shí)現自主、安全、可控。并通過(guò)本項目建設,實(shí)踐云計算、大數據等技術(shù),并儲備相關(guān)技術(shù)人才,為集團公司未來(lái)科技能力輸出提供支撐。
雙活云數據中心設計架構
天安財險兩地三中心總體設計架構如下圖,其中張江數據中心為新建云數據中心,并對現有金橋數據中心進(jìn)行云化改造,構建上海同城雙活服務(wù)架構,上海與佛山構建兩地三中心架構。
張江卡園云數據中心的總體技術(shù)架構規劃為四橫兩縱,四橫是指:基礎設施服務(wù)層(IaaS)、數據服務(wù)層(DaaS)、平臺服務(wù)層(PaaS)、應用軟件服務(wù)層(SaaS);四縱是指:資源能力支撐體系、信息安全體系、管理體系和標準體系。
雙活云數據中心建設內容
天安財險雙活云數據中心系統建設從企業(yè)戰略出發(fā),依據業(yè)務(wù)戰略和IT戰略所確定的目標,設計企業(yè)級業(yè)務(wù)架構及IT架構。主要包括以下關(guān)鍵建設內容:
1. 兩地三中心建設--同城雙活,異地災備
業(yè)務(wù)雙活部署,通過(guò)波分光纖互聯(lián),當張江卡園數據中心發(fā)生數據中心級災難或故障時(shí),經(jīng)過(guò)災難恢復流程批準切換,支持分鐘級將業(yè)務(wù)從張江卡園數據中心切換到金橋數據中心。
佛山災備中心的角色不變,依然做數據級災備,金橋與佛山的數據復制架構保持不變,張江卡園數據中心與佛山數據中心之間構建新的數據復制/備份機制,形成兩地三中心的容災架構,當上海業(yè)務(wù)中心發(fā)生地域級災難時(shí),佛山數據中心可以提供完整的數據級災備支持。
利用GSLB、智能DNS、數據庫數據復制、存儲網(wǎng)關(guān)、智能應用管理等技術(shù),提供BS、CS等各種業(yè)務(wù)應用的雙活方案,并實(shí)現前端網(wǎng)絡(luò )、應用、數據層面的雙活。
為保障業(yè)務(wù)連續性,提供雙活應用的配置編排,提供雙活應用的自動(dòng)化部署、監控和演練。并針對雙活應用網(wǎng)絡(luò )進(jìn)行拓撲管理和應用監控,實(shí)時(shí)掌握雙活應用健康狀態(tài),支持一鍵完成雙活應用的演練和切換。
2. 張江綠色數據中心建設
數據中心的建設必須滿(mǎn)足當前各項需求應用,又面向未來(lái)快速增長(cháng)的發(fā)展需求,因此必須保障張江新建數據中心具備高質(zhì)量、高安全、可靠靈活、開(kāi)放等特性。同時(shí),在數據中心建設過(guò)程中,天安財險積極響應國家相關(guān)部門(mén)對數據中心降低能耗的號召,履行企業(yè)的社會(huì )責任,減少碳排放對環(huán)境的影響,致力于把此項目建設成綠色、高效的新型數據中心。
張江卡園新建數據中心采用熱通道封閉的微模塊解決方案,其制冷采用經(jīng)驗證的冷凍水行間空調方式,可以結合項目地點(diǎn)氣候特征,最大利用自然冷源。
模塊化IDC將IT機柜、空調系統、散熱系統、配電系統、監控系統、消防系統、安防系統、照明等封閉在一個(gè)模塊化箱體內;通過(guò)冷、熱通道隔離,形成有效氣流組織,滿(mǎn)足IT設備運行要求。
模塊內的機柜、空調、配電、氣滅、報警、安防、配線(xiàn)等均為一體化設計,采用全封閉結構,可達到IP66的防護等級。
3. 網(wǎng)絡(luò )&安全建設
數據中心網(wǎng)絡(luò )建設遵循以下原則:
- 穩定為王
數據中心產(chǎn)品和網(wǎng)絡(luò )以穩定可靠為第一訴求,關(guān)鍵設備和線(xiàn)路冗余部署。
- 最小改造原則
盡量減少對現有網(wǎng)絡(luò )的改動(dòng),保護現有投資,不影響現有數據中心運行的各應用系統。
- 兼容性原則
在網(wǎng)絡(luò )協(xié)議和業(yè)務(wù)部署上要盡可能保持與現有網(wǎng)絡(luò )的兼容。
- 未來(lái)演進(jìn)
數據中心網(wǎng)絡(luò )要保持向未來(lái)持續演進(jìn)的能力,包括設備的平滑升級和向SDN演進(jìn)的能力。
整個(gè)數據中心按照功能進(jìn)行分區,主要分為出口網(wǎng)絡(luò )分區和業(yè)務(wù)網(wǎng)絡(luò )分區兩大類(lèi),分區之間采用防火墻進(jìn)行安全隔離。在Internet接入區,防火墻異構部署。業(yè)務(wù)分區采用三層網(wǎng)絡(luò )架構,功能區域之間由防火墻和ACL進(jìn)行訪(fǎng)問(wèn)控制,并在網(wǎng)絡(luò )的邊緣由防火墻進(jìn)行安全防護,關(guān)鍵業(yè)務(wù)區域(如Internet接入區/核心區)防火墻異構,在Internet接入區部署DDOS和上網(wǎng)行為管理設備,DMZ部署WAF進(jìn)行應用層的安全防護。
為保障業(yè)務(wù)在張江卡園數據中心與現有金橋之間雙活部署,利用數據中心間大二層網(wǎng)絡(luò )技術(shù)--VXLAN打通雙活數據中心網(wǎng)絡(luò )資源。通過(guò)大二層網(wǎng)絡(luò ),可以實(shí)現跨數據中心的集群、資源共享和故障探測。
4. 應用遷移保障
本項目中有大量的業(yè)務(wù)需要改造并遷移到張江新建云數據中心,而且業(yè)務(wù)的耦合性較強,因此在應用遷移中需要具備完善的實(shí)施步驟和應急機制。
項目團隊制定了系統化的遷移步驟,包括業(yè)務(wù)信息收集,評估分析,方案設計,遷移驗證,模擬遷移,試運行,驗收測試。并且在每個(gè)環(huán)節均做到文檔化,便于追溯。
同時(shí),項目團隊制定了可靠的應急處理措施,降低應用遷移的風(fēng)險。并構建了完善的回溯機制,一旦業(yè)務(wù)驗證出現問(wèn)題,立即能夠回退業(yè)務(wù),不影響業(yè)務(wù)。
5. 未來(lái)科技能力輸出
當前天安財險部分業(yè)務(wù)運行在阿里云,通過(guò)構建統一的云平臺,實(shí)現混合云架構,我們在應用層實(shí)現資源跨云調度,應用跨云動(dòng)態(tài)伸縮,數據跨云備份,業(yè)務(wù)容災等,在保證安全的情況下,實(shí)現更大范圍的資源動(dòng)態(tài)調度。為保證業(yè)務(wù)安全,未來(lái)的核心業(yè)務(wù)我們可以在私有云內擴展,而渠道行業(yè)應用等外圍業(yè)務(wù)我們可以動(dòng)態(tài)擴展到公有云。同時(shí),業(yè)務(wù)應用可以在私有云和公有云之間快速、平滑遷移,保障業(yè)務(wù)靈活性。
天安科技由現在天安財險的信息技術(shù)部轉入,是服務(wù)于天安財險及天安集團的子公司。成為子公司后財務(wù)獨立核算,未來(lái)規劃將為集團和其他金融公司提供IT服務(wù)。通過(guò)云數據中心建設,盤(pán)活現有資源,探索建立保險業(yè)金融公共服務(wù)行業(yè)云,形成公共基礎設施、公共接口、公共應用等一批技術(shù)公共服務(wù),提升金融技術(shù)公共服務(wù)能力。
未來(lái)規劃
面對中國經(jīng)濟的轉型和保險市場(chǎng)的快速發(fā)展,特別是在新“國十條”等政策強有力的支持下,天安財險繼續堅持“效益、管理、改革、創(chuàng )新”經(jīng)營(yíng)方針不動(dòng)搖,持續深化改革,增強公司實(shí)力。
未來(lái),天安財險將基于PaaS框架實(shí)現服務(wù)治理,全面實(shí)現DevOps開(kāi)發(fā)運維一體化架構,部署大數據、人工智能、區塊鏈創(chuàng )新應用,利用大數據平臺驅動(dòng)業(yè)務(wù)決策,實(shí)現互聯(lián)網(wǎng)金融架構轉型升級,全面提升公司管理水平和管理能力,把天安財險推向管理先進(jìn)、發(fā)展有力、朝氣蓬勃的新局面。
