Bank4.0 時代，“無科技不金融”已經成為業(yè)內共識。

　　Bank4.0 時代，“無科技不金融”已經成為業(yè)內共識。從2017 年中信銀行數據中心積極嘗試和探索網絡新技術，不斷研究云計算、云網絡、智能運維等相關技術與應用實踐，在2019 年率先成功上線新一代云平臺與安全可控智能云網絡，大幅度提升資源利用率和運營效率，并在 2019 年底，開啟以SDN 網絡架構為基礎、基于大數據和 AI技術的智能數據中心網絡的探索和實踐。

　　智能數據中心網絡建設背景

　　中信銀行全面啟動了云平臺建設工作，并在如下四個方面進行了大量工作。

　　云架構轉型 ：將傳統煙囪式基礎架構轉向分布式云架構，打造安全、敏捷、彈性、分布式兼顧的基礎平臺，支持業(yè)務系統快速擴容及業(yè)務創(chuàng)新，實現資源自主服務，簡化運維流程，將生產系統環(huán)境準備時間從周級縮短到小時級。

　　分行、子公司資源集約化管理 ：可以為分行、子公司提供云服務，資源集中管控，降低風險和管理成本，提高資源利用率。

　　信用卡中心的云核心 ：支撐卡中心的核心及外圍系統整體遷移到云平臺，支持信用卡業(yè)務快速擴容及創(chuàng)新，實現“千人千面”的智能營銷、智能風控和智能運營等。混合云的盈利模式 ：支持混合云的模式對外提供云服務，為 IT 從成本中心向利潤中心轉變提供基礎平臺。

　　根據中信銀行云平臺的整體規(guī)劃，基礎網絡應具備如下能力。

　　網絡架構的可用性：云網絡架構具有感知網絡流量路徑的時延、帶寬、丟包和網絡故障分鐘級可自愈的能力，支持網絡級、控制器級、設備級等多維度高可靠設計，滿足業(yè)務 7×24 運行的要求。

　　網絡架構的開放性 ：控制器網絡北向開放豐富的 API 接口，實現網絡資源靈活調度和編排能力，云平臺和云管平臺的賦能能夠結合業(yè)務需求實現網絡資源開通的自動化調度，能夠用業(yè)務語言開通網絡資源。

　　網絡架構的可信性 ：軟件和硬件具備安全開放創(chuàng)新逐步實現網絡芯片開放創(chuàng)新能力。

　　安全可控的整體網絡架構

　　中信銀行新一代安全可控智能云網絡架構，首次實現了控制層、轉發(fā)層和流量分析層從交換機到芯片、從服務器到數據庫、操作系統全部采用了安全可控的軟硬件進行搭建，交換機內置 AI 芯片實現了網絡流量智能采集與分析，SDN 管控平臺部署在國芯服務器、國產操作系統和國產數據庫，在確保整體架構自主可控的同時，實現自運維、自管理、自調優(yōu)，高性能計算能力足以支撐數據中心智能網絡中的 AI 和機器學習等技術 ；管控析平臺包括管理、控制功能和大數據智能分析組件，實現全生命周期自動化部署和智能運維， 同時支持 OpenStack、VMware 和Kubernetes 等異構資源池。

　　中信銀行新一代網絡架構核心思想之一是 SDN，通過將網絡控制與轉發(fā)解耦合，構建開放可編程的網絡體系結構。該架構包括控制層和轉發(fā)層 ：控制層是網絡的控制中心，負責網絡的配置與策略自動部署，控制層通過服務 API 接口跟中信云平臺對接，以滿足多應用直接編排網絡 ；轉發(fā)層完成數據報文的實際轉發(fā)，基于網絡上構建 overlay 轉發(fā)層。

　　網絡即服務：中信銀行新一代網絡架構，首先引入 SDN Overlay 技術，在網絡架構上采用大二層設計理念，通過 VxLAN 組網方式，將物理承載網絡與邏輯業(yè)務網絡分離，通過 SDN 控制器對網絡進行集中管理和自動化部署。

　　網絡靈活編排 ：SDN 方案實現了面向應用的網絡編排，基于不同業(yè)務組定義，實現不同業(yè)務組間的策略編排，當計算資源發(fā)生變更時，網絡策略自動遷移，無需人工參與。Fabric 網絡采用 Spine-Leaf 架構，通過 VxLAN 技術構建大二層網絡，分布式 VxLAN 組網架構，可以支持業(yè)務靈活擴展，流量轉發(fā)路徑最優(yōu)，消除了未知單播和廣播流量，極大增強了網絡可靠性和擴展性。VxLAN 業(yè)務網段的路由通過 BGP EVPN 打通，BGP EVPN 作為VxLAN 控制面，觸發(fā) VTEP 間自動建立VxLAN 隧道，實現 VxLAN 和非 VxLAN網絡的互通 ， 實現應用業(yè)務間高性能互訪、虛擬機靈活遷移、網絡資源自動適配。

　　網絡自動部署 ：SDN 方案將網絡分為物理網絡 Underlay 和邏輯網絡 Overlay，均可以實現自動化部署。網絡自動化部署，可以減少網絡人員變更改端口相關配置的重復勞動，網絡人員更可聚焦網絡優(yōu)化等工作。通過自主研發(fā)的 Zero Touch Provisioning功能實現 Underlay網絡即插即用，當設備規(guī)劃完成后，無需到安裝現場對設備進行軟件調試，設備上電后即可被 SDN 控制器自動納管，自動加入到網絡 Fabric，完成 Underlay 網絡搭建 ；通過 SDN 控制器的拖拽式界面化操作實現 Overlay 網絡所見即所得的自動化部署， 通 過 VPC實現邏輯劃分，提供安全的網絡邊界防護，以及基于 VPC提供的一系列增值業(yè)務。

　　網絡智能部署和運維

　　數據中心網絡運維包括網絡規(guī)劃建設、安裝部署、業(yè)務發(fā)布與變更、日常運維監(jiān)控和網絡調優(yōu)等環(huán)節(jié)，SDN 架構解決了網絡安裝部署和業(yè)務發(fā)放自動化，還缺乏網絡規(guī)劃仿真、業(yè)務發(fā)放仿真校驗和網絡智能分析，在日常業(yè)務變更和運維過程中還會遇到各類網絡問題。如何才能讓SDN 網絡的管理運維變得更加簡捷與智能，實現網絡故障快速定位與恢復，中信銀行在 SDN 架構基礎上，基于意圖驅動網絡技術進行了嘗試和探索。

　　意圖驅動網絡不僅要求網絡具備高性能、大帶寬能力，網絡組件還要能實時提供相關的數據采集信息，借助 AI 和機器學習等技術進行有效分析，更好地掌握網絡的運行狀態(tài)，在故障發(fā)生前就能提前預知并提供相應的解決方案，網絡具有自我調整與優(yōu)化的能力。數據中心網絡演進劃分為手工配置、腳本執(zhí)行、SDN 自動化和智能運維四個階段，中信銀行數據中心智能網絡建設的最終目標是構建一套基于業(yè)務意圖和借助 AI 技術構建可自愈的網絡運維架構。

　　中信銀行通過意圖驅動網絡以及SDN 控制器相結合，在配置變更校驗、決策分析等場景起著重要的作用，實現了業(yè)務變更下發(fā)事前的仿真分析，驗證其可行性以及影響性，對 ACL、路由表項等資源占用分析，自動計算當前業(yè)務的資源消耗以及當前網絡的總體資源情況，并對業(yè)務意圖配置和當前配置進行沖突檢查，輔助操作人員進行影響分析以及決策。同時，事后仿真驗證可以對網絡新增配置參數進行檢查，自動驗證網絡的連通性和發(fā)現路由環(huán)路、路由黑洞等問題。同時，中信銀行通過 SDN 網絡的智能網絡分析組件，實現數據中心內部應用和網絡的關聯分析，故障快速感知與修復。該組件采用大數據和機器學習算法訓練網絡行為模型，呈現設備、隊列、端口的動態(tài)基線并主動監(jiān)測異常，實現光模塊等故障預測，轉被動運維為主動運維，網絡先于業(yè)務發(fā)現隱患。

　　通過新一代數據中心交換機的 AI 芯片能覆蓋控制報文和數據報文的全流檢測，基于 Telemetry 實時采集全量信息，快速感知網絡健康度，包括流量可視化、流量統計及流的時延和丟包等指標。在中信銀行的數據中心智能網絡中通過多維度實時評估網絡狀態(tài)，包括設備維度如物理器件運行狀態(tài)，網絡維度如互聯端口和隊列狀態(tài)，路由協議分析維度，業(yè)務網絡管理面和轉發(fā)面維度等。依托設備高性能 AI 芯片和分析器本地強大的 AI分析引擎，全面評估整網健康狀況，實時或定期發(fā)送網絡體檢報告，極大地提高巡檢效率，降低人力成本。

　　最后，通過故障根因分析引擎和基于AI 算法構建網絡知識圖譜，能夠實現故障的快速定位，特別是能夠識別業(yè)務偶發(fā)少量丟包等疑難類問題，可以快速故障回放定位，典型故障可做到 1 分鐘識別，3分鐘定位根因，通過與 SDN 控制器聯動自閉環(huán)處理，達到 5 分鐘快速恢復。

　　王一凡 郭旭龍

關注讀覽天下微信， 100萬篇深度好文， 等你來看……