博時(shí)基金：云原生架構(gòu)下的統(tǒng)一云管平臺

博時(shí)基金管理有限公司（以下簡稱為“博時(shí)基金”）成立于1998年，是中國內(nèi)地首批成立的五家基金管理公司之一。博時(shí)基金總部位于深圳，在北京、上海等地設(shè)有分公司，同時(shí)擁有博時(shí)基金（國際）有限公司和博時(shí)資本管理有限公司兩家全資子公司。博時(shí)基金的經(jīng)營范圍包括基金募集、基金銷售、資產(chǎn)管理和中國證監(jiān)會許可的其他業(yè)務(wù)。

截至2020年6月30日，博時(shí)基金公司共管理224只公募基金，并受全國社會保障基金理事會委托管理部分社保基金，以及多個(gè)企業(yè)年金、職業(yè)年金及特定專戶，管理資產(chǎn)總規(guī)模逾12150億元人民幣，剔除貨幣基金與短期理財(cái)債券基金后，博時(shí)基金公募資產(chǎn)管理總規(guī)模逾3882億元人民幣。

自成立至今，博時(shí)基金一直將IT建設(shè)與運(yùn)營作為公司發(fā)展的重要組成部分，在行業(yè)內(nèi)率先實(shí)現(xiàn)了IT自主研發(fā)能力，逐步形成“業(yè)務(wù)IT化、IT業(yè)務(wù)化”的科技與業(yè)務(wù)深度融合的IT文化。在博時(shí)基金朝著綜合型、全能型的資產(chǎn)管理機(jī)構(gòu)邁進(jìn)的過程中，IT已成為實(shí)現(xiàn)企業(yè)數(shù)字化轉(zhuǎn)型的重要參與者與實(shí)施者。

近幾年，博時(shí)基金更加重視科技驅(qū)動力，大力發(fā)展互聯(lián)網(wǎng)金融，建立金融科技中心，持續(xù)推動企業(yè)的數(shù)字化轉(zhuǎn)型。同時(shí)，為了滿足業(yè)務(wù)發(fā)展的需求，博時(shí)基金圍繞著軟件定義數(shù)據(jù)中心采用超融合、SDN等方案，上線了針對微服務(wù)架構(gòu)升級的容器云平臺。

隨著IT規(guī)模的不斷擴(kuò)張，博時(shí)基金開始籌備建設(shè)統(tǒng)一的云管平臺，計(jì)劃實(shí)現(xiàn)異構(gòu)資源統(tǒng)一管理、多云資源敏捷交付、多云環(huán)境的安全合規(guī)、成本分析與管控等目標(biāo)。

挑戰(zhàn)：云原生架構(gòu)下IT資源管理和運(yùn)維安全

2018年12月，博時(shí)基金基于微服務(wù)、DevOps、容器云的新版基金銷售系統(tǒng)上線，這也是業(yè)內(nèi)首家正式上線的云原生核心應(yīng)用。基于云原生架構(gòu)，系統(tǒng)形成業(yè)務(wù)能力標(biāo)準(zhǔn)、運(yùn)行機(jī)制、服務(wù)方法論、配置管理、執(zhí)行系統(tǒng)以及運(yùn)營服務(wù)團(tuán)隊(duì)等構(gòu)成的體系生態(tài)，為業(yè)務(wù)提供快速集成產(chǎn)品的創(chuàng)新能力，同時(shí)也提高了多團(tuán)隊(duì)協(xié)作效率，運(yùn)維上更是具備大規(guī)模并發(fā)處理能力和快速彈性能力的系統(tǒng)，具有較高的技術(shù)和業(yè)務(wù)價(jià)值。

過去幾年，博時(shí)基金積極利用容器技術(shù)，將傳統(tǒng)IT架構(gòu)逐步轉(zhuǎn)向云原生架構(gòu)。但在這一進(jìn)程中，博時(shí)基金在IT資源管理和運(yùn)維安全等方面面臨著一系列的挑戰(zhàn)：

1. 在新的敏捷開發(fā)體系下，資源交付壓力大，異構(gòu)資源管理難度持續(xù)增加；

2. IT規(guī)模的快速發(fā)展對成本控制和精細(xì)化管理提出更高的要求；

3. 傳統(tǒng)的安全工具和管理方法已無法有效適應(yīng)新的云原生架構(gòu)。

基于架構(gòu)轉(zhuǎn)型和IT資源管理的復(fù)雜需求，博時(shí)基金計(jì)劃構(gòu)建基于容器云平臺上的統(tǒng)一云管平臺，以實(shí)現(xiàn)對私有云、容器云以及公有云在內(nèi)的多云資源進(jìn)行統(tǒng)一納管，向業(yè)務(wù)用戶提供敏捷的自服務(wù)和自動化交付能力。

同時(shí)，依托云管平臺增強(qiáng)博時(shí)基金對IT基礎(chǔ)設(shè)施資源的運(yùn)營分析能力，構(gòu)建靈活、完備、統(tǒng)一的的計(jì)費(fèi)系統(tǒng)；此外，博時(shí)基金還將通過云管平臺建設(shè)，整合已有各項(xiàng)安全方案和措施，進(jìn)一步提升安全合規(guī)水平，從而保障云原生架構(gòu)下的運(yùn)維安全。

實(shí)踐：落地云原生架構(gòu)下的云管平臺

博時(shí)基金云管平臺項(xiàng)目于2019年完成一期建設(shè)，已經(jīng)實(shí)現(xiàn)自助服務(wù)、運(yùn)營分析、計(jì)量計(jì)費(fèi)、容器管理、容器云納管等核心IT管理能力，為實(shí)現(xiàn)IT服務(wù)化轉(zhuǎn)型夯實(shí)了根基。

■ 運(yùn)維管理  云管平臺與博時(shí)基金的LDAP系統(tǒng)對接后實(shí)現(xiàn)單點(diǎn)登錄，并對接郵件系統(tǒng)實(shí)現(xiàn)通知功能。在此基礎(chǔ)上，平臺打造完成服務(wù)申請、審批、創(chuàng)建、變更、銷毀等全生命周期管理聯(lián)動，向用戶營造出友好服務(wù)體驗(yàn)。

■ 服務(wù)編排  云管平臺通過服務(wù)編排，整合模板部署、多版本鏡像映射、邏輯資源池定義等能力，通過產(chǎn)品服務(wù)目錄的形式提供給不同的業(yè)務(wù)部門使用。在服務(wù)目錄產(chǎn)品的申請流程中實(shí)現(xiàn)了可視化，可自定義主機(jī)名、IP地址、并行資源供給順序等，支持了后續(xù)的CPU、內(nèi)存熱插拔、網(wǎng)絡(luò)自定義變更等。

■ 與SDS和SDN的整合  云管平臺還對軟件定義的存儲和網(wǎng)絡(luò)體系進(jìn)行了整合，這是軟件定義數(shù)據(jù)中心非常關(guān)鍵的環(huán)節(jié)。通過專用接口對接后，在虛擬機(jī)創(chuàng)建時(shí)云管平臺能提供自定義的存儲策略，并根據(jù)需求和資源實(shí)際使用情況調(diào)整存儲方案，動態(tài)提升存儲使用率；軟件定義網(wǎng)絡(luò)方面，通過云管平臺進(jìn)行網(wǎng)絡(luò)配置統(tǒng)一下發(fā)，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)、軟件定義防火墻、軟件定義負(fù)載均衡等組件的聯(lián)動部署，從而完成軟件定義數(shù)據(jù)中心基礎(chǔ)環(huán)境建設(shè)的重要一環(huán)，構(gòu)建起穩(wěn)定、快速應(yīng)變的云原生基礎(chǔ)設(shè)施管理體系。

■ 運(yùn)營分析  云管平臺統(tǒng)計(jì)了多個(gè)數(shù)據(jù)中心的資源信息，大到整個(gè)集群、主機(jī)，小到各個(gè)虛機(jī)，對基礎(chǔ)資源容量實(shí)現(xiàn)多維度展示，支持自定義時(shí)間段的趨勢分析，并針對實(shí)例資源的超配或低配的情況進(jìn)行分析和優(yōu)化建議。

■ 計(jì)量計(jì)費(fèi)  云管平臺可以匹配不同資源池的不同計(jì)費(fèi)策略，支持對資源費(fèi)用情況的多維度統(tǒng)計(jì)分析，細(xì)化到不同部門、組別、個(gè)人，且提供大屏展示及資源統(tǒng)計(jì)報(bào)表。

■ 對接容器云  作為一個(gè)云原生架構(gòu)下的云管平臺，博時(shí)基金云管平臺與OpenShift容器云平臺進(jìn)行對接，且集成容器云安全組件，為向容器遷移的生產(chǎn)業(yè)務(wù)應(yīng)用和工作負(fù)載提供漏洞管理、安全可視化、運(yùn)行保護(hù)及合規(guī)檢查。

■ 對接公有云  基于云管平臺，博時(shí)基金還對接了阿里云等公有云平臺，梳理了申請流程，實(shí)現(xiàn)全面納管存量資源。通過內(nèi)部統(tǒng)一的審批流程，用戶可以快速申請公有云資源，并且可在統(tǒng)一界面進(jìn)行虛擬機(jī)資源開關(guān)機(jī)、配置變更、快照創(chuàng)建等操作。

收益：充分發(fā)揮云原生架構(gòu)優(yōu)勢，加速業(yè)務(wù)創(chuàng)新

通過建設(shè)云原生架構(gòu)下的云管平臺，博時(shí)基金IT服務(wù)在自動化交付、費(fèi)用優(yōu)化、安全管理、DevOps等方面的能力均有顯著提升：

■ 自動化交付虛擬化資源。通過云管平臺統(tǒng)一服務(wù)門戶，有效提升服務(wù)交付速度和交付質(zhì)量，在解放運(yùn)維人力的同時(shí)，有效支持企業(yè)級IT架構(gòu)的升級和業(yè)務(wù)創(chuàng)新；

■ 實(shí)現(xiàn)多維度的費(fèi)用分析和優(yōu)化建議，有效進(jìn)行IT資源的調(diào)配和管理。云管平臺上線后，虛擬機(jī)規(guī)模快速增加，物理服務(wù)器數(shù)量有效減少，提效降本效果顯著；

■ 通過接入堡壘機(jī)、虛擬機(jī)備份、容器安全管理等服務(wù)，實(shí)現(xiàn)了安全統(tǒng)一管理，簡化了服務(wù)申請和使用的流程，同時(shí)提升了整體云原生架構(gòu)的安全合規(guī)水平；

■ 構(gòu)建云原生體系基礎(chǔ)平臺，推進(jìn)DevOps敏捷交付。云管平臺作為博時(shí)基金整個(gè)云原生架構(gòu)體系的基礎(chǔ)管理平臺，結(jié)合現(xiàn)有的DevOps統(tǒng)一平臺，進(jìn)一步推進(jìn)開發(fā)運(yùn)維一體化。通過構(gòu)建敏捷開放的統(tǒng)一服務(wù)平臺，使博時(shí)基金的IT服務(wù)體系能夠有效支撐業(yè)務(wù)的創(chuàng)新與發(fā)展，更快地響應(yīng)業(yè)務(wù)需求，快速推出創(chuàng)新產(chǎn)品。

規(guī)劃：深化容器云建設(shè)，拓展IT云原生體系服務(wù)化

在未來，博時(shí)基金計(jì)劃進(jìn)一步完成基于云管平臺的無縫對接，不斷擴(kuò)展基礎(chǔ)設(shè)施架構(gòu)，實(shí)現(xiàn)對多種公有云和私有云平臺的納管，推進(jìn)更為廣泛的資源接入和自主服務(wù)化，以適應(yīng)快速擴(kuò)張的業(yè)務(wù)規(guī)模。

在云原生架構(gòu)建設(shè)方面，博時(shí)基金將持續(xù)深化容器云的構(gòu)建與運(yùn)營，完善在Kubernetes原生容器云環(huán)境中從Day0規(guī)劃、Day1部署、Day2變更環(huán)節(jié)的全生命周期管理能力。

另外，博時(shí)基金將圍繞云管平臺，對接更多的IT管理運(yùn)維能力，實(shí)現(xiàn)負(fù)載均衡、漏洞掃描、域名證書等能力的全面服務(wù)化供給。同時(shí)，將加大推廣云管平臺的使用范圍，結(jié)合移動OA平臺，實(shí)現(xiàn)云資源交付、管理、運(yùn)營等移動辦公化需求。