數(shù)字化轉型的背景，和新冠疫情帶來的不確定因素，對金融機構中銀行和保險兩大機構的轉型，都是挑戰(zhàn)和機遇并存。

機遇在于：互聯(lián)網(wǎng)的開放性，新興技術的創(chuàng)新性，讓銀行和保險機構有機會通過差異化業(yè)務進行創(chuàng)新，并獲得更多的用戶的青睞；而挑戰(zhàn)在于：如何在穩(wěn)定傳統(tǒng)業(yè)務的同時，通過IT基礎架構創(chuàng)新走向業(yè)務創(chuàng)新，做到既穩(wěn)又快。事實上，在疫情之后，云服務相關產業(yè)迎來快速發(fā)展。中國信通院的數(shù)據(jù)顯示：2020年，我國經濟穩(wěn)步回升，云計算市場呈爆發(fā)式增長，云計算整體市場規(guī)模達2091億元，增速56.6%。

云計算市場的整體性增長，也帶動云服務在行業(yè)中的快速落地。工業(yè)和信息化部運行監(jiān)測協(xié)調局發(fā)布的2020年軟件和信息技術服務業(yè)統(tǒng)計公報顯示：2020年，云服務、大數(shù)據(jù)服務共實現(xiàn)收入4116億元，同比增長11.1%。

同時，以云原生技術為方向的行業(yè)云轉型也迫在眉睫。云原生技術的不斷迭代演進，讓云原生架構逐漸成為傳統(tǒng)銀行和保險業(yè)的 IT 架構選型方向。基于云原生技術建設，并開發(fā)適合自身的容器云平臺，實現(xiàn)傳統(tǒng)應用遷移上云和云原生改造，是轉型升級的重中之重。

1

容器云

在金融和保險行業(yè)的價值與意義

過去，傳統(tǒng)金融和保險業(yè)的基礎架構，通常是垂直式的，特點是體量大、部署慢、升級難，且擴展方式大多是基于硬件資源的縱向擴展。

隨著金融科技的興起，依托于移動互聯(lián)網(wǎng)，金融業(yè)要提供新的金融服務，保險業(yè)要走向新業(yè)務創(chuàng)新，都需要走向數(shù)字化變革。而從業(yè)務需要的不同，金融和保險行業(yè)，也表現(xiàn)出對容器云的不同需求。

首先，從銀行的角度?；ヂ?lián)網(wǎng)金融業(yè)務具備了較強的隨機性和瞬時流量，如網(wǎng)上銀行、手機銀行等新業(yè)務，帶來了客戶量的激增，在線交易業(yè)務訪問時間不再局限在白天，而是24小時都有業(yè)務處理需求，導致了數(shù)據(jù)中心的壓力倍增。

這時候，傳統(tǒng)垂直的縱向擴展能力不能滿足新業(yè)務的需要，再有傳統(tǒng)金融的IT系統(tǒng)割裂性較高，不利于業(yè)務線上化開展，這就需要云原生、微服務和彈性的可擴展能力支撐。而容器適用于多云環(huán)境，方便銀行將現(xiàn)有的異構系統(tǒng)資源，進行統(tǒng)一的管理。除此之外，從銀行的角度，建設金融容器云平臺，除了基于微服務架構的新業(yè)務創(chuàng)新提供容器化運行和管控平臺之外，還必須同時滿足金融行業(yè)嚴苛的監(jiān)管和安全要求。

其次，保險行業(yè)的新業(yè)務壓力，主要在于快速敏捷的開發(fā)出新的服務，也就是能夠快速推出更多的險種。因此對業(yè)務快速上線的要求比較高。而快速的產品開發(fā)和迭代，就需要IT系統(tǒng)支持分布式的開發(fā)場景，同時盡量避免對企業(yè)現(xiàn)有管理模式的沖擊，此外，線上業(yè)務的多樣化，帶來了海量的接入手段和業(yè)務的不確定性，這又要求保險企業(yè)的數(shù)據(jù)中心具備較大的彈性。容器云則是解決這些問題的“鑰匙”。

簡單地說，金融和保險業(yè)都會對新的業(yè)務創(chuàng)新有快速敏捷的需求，都需要通過容器云來承載新的業(yè)務，這是雙方的共同點。同時，兩大行業(yè)都可以借助于容器云的高效和可擴展等特點，以容器為代表的云原生技術能更大程度地發(fā)揮云計算的優(yōu)勢。而相比保險業(yè)，金融行業(yè)則對安全性和業(yè)務連續(xù)性有更高的要求。

2

混合計算

釋放金融容器云的最大價值

對銀行來說，搭建容器云，在業(yè)務快速迭代能力建設的基礎上，業(yè)務的安全性和可靠性同樣重要。因此，保障安全性、可用性和可靠性的金融云基礎設施，就成為了容器金融云的基石，以保證容器云的使用安全可控、體系架構開放的硬件進行構建。

銀行建設好金融容器云平臺后，將全面推動業(yè)務系統(tǒng)上云。在此背景下，鑒于上云規(guī)模不斷擴大，以及不同業(yè)務系統(tǒng)的工作負載特性不同，對金融容器云平臺的基礎設施算力、存儲、網(wǎng)絡和安全需求也不盡相同。

如某大型股份制銀行，面向互聯(lián)網(wǎng)客戶的手機銀行、網(wǎng)上銀行，在極端嚴苛的業(yè)務壓力下也須始終保持順暢的產品服務體驗，這要求基礎設施提供并發(fā)處理高的算力、低時延的網(wǎng)絡和內存加速的高IO讀寫支持。而大數(shù)據(jù)處理和AI人工智能的業(yè)務場景，要求基礎設施提供高帶寬網(wǎng)絡、批處理調度和大容量低成本的存儲支持。

早期數(shù)據(jù)中心主流的基礎設施，是以使用軟件+CPU的方式來執(zhí)行其功能或服務，存在一些典型的如性能和經濟性的問題。所以該銀行在容器云平臺的落地實施的過程中，考慮到了英特爾的混合計算架構。

英特爾通過搭配不同的制程、封裝技術，以及針對不同的計算工作負載搭配合適的緩存、內存以及連接，在混合架構下發(fā)布了多種不同類型的計算產品如IPU，可以將基礎設施功能都轉移到IPU上，從而釋放CPU的最大算力，幫助企業(yè)降低成本、提高 CPU性能。

目前，英特爾混合計算架構，作為高性能CPU+高性能硬件加速單元的組合，代表了當前云數(shù)據(jù)中心的主要架構思路。英特爾面向數(shù)據(jù)中心的下一代至強新產品，將演進為Sapphire Rapids 微架構，對金融容器云的基礎設施升級提供助力。

據(jù)了解，該銀行的金融容器云平臺啟用基于 Vmware VCF+第三代英特爾? 至強? 可擴展平臺的新基礎設施，一方面獲得了穩(wěn)定可靠的計算、存儲、網(wǎng)絡資源池，能夠聚焦在云服務、業(yè)務應用層進行創(chuàng)新; 另一方面，也達成了基礎設施技術棧的歸一化、資源池的規(guī)?；?、資源調度的全局化、不同工作負載的混部化的規(guī)劃目標。上云 2 年多，已經承載了 300 多個業(yè)務應用系統(tǒng)，規(guī)模超過 20 多萬個容器實例，成效斐然。

3

保險容器云

實現(xiàn)平臺整體交付效能提升

對保險公司來說，容器云部署對其數(shù)字化轉型和新技術研究有重要意義。例如企業(yè)級 PaaS 平臺能力、高效開發(fā)運維能力和DevOps 能力，保證了業(yè)務的彈性伸縮、物理機直接部署和應用的敏捷開發(fā)等。

相比銀行業(yè)，保險業(yè)的容器云建設起步稍晚，但因為有很多金融業(yè)的標桿案例，所以保險業(yè)的容器云選型有了更多可參照的方案。

某國內著名保險公司，將容器云作為下一代數(shù)字化轉型的核心，從2019年開始調研選型。最終選擇了基于 Kubernetes 的企業(yè)級 PaaS解決方案，用來在容器中搭建、部署以及運行應用程序。

從基礎架構層面保險公司的容器云對物理機的要求很高，因此非常關注裸金屬服務器的應用。和虛擬化服務器相比，裸金屬服務器極大地規(guī)避了虛擬化服務器的性能損失 以及嘈雜鄰居效應。裸金屬服務器就是物理服務器，同時又和云服務結合，實現(xiàn)了云計算的彈性，因此是一種硬件和軟件結合的產物。同時，裸金屬部署也是一種趨勢的容器部署方案，有更好性能，更能充分發(fā)揮容器技術優(yōu)勢。

英特爾也曾定義裸金屬即服務：“裸”，即要求它本身可以提供物理機級別的性能和安全隔離；“即服務”則意味著它還能實現(xiàn)物理機體驗、以及基于云的資源管理和調配能力的高度融合。

該保險公司的容器云平臺最終選擇裸金屬服務器部署?；A設施選型時，出于對生態(tài)系統(tǒng)的高要求，該保險公司，選擇了英特爾? 至強? 可擴展處理器架構，其廣泛的可用性為客戶提供了支持其全球關鍵業(yè)務應程序所需的一致性和可靠性。

最終，該保險公司在基礎架構層面，選擇裸金屬部署，可以避免損耗提高資源的利用率，提升ROI ，同時通過英特爾? 至強? 可擴展處理器、英特爾? 傲騰? 持久內存等技術，更高效地利用硬件級別的創(chuàng)新，加速計算、降低延遲，實現(xiàn) PaaS 平臺整體交付效能大大提升。

4

讓加密計算走向“可信計算”

金融是強監(jiān)管行業(yè)，安全性始終是一個重要的挑戰(zhàn)。

在某金融機構的實際業(yè)務場景中，小微商戶的風險評估問題已成為制約銀行業(yè)發(fā)展的一個主要障礙，同時由于數(shù)據(jù)隱私安全保護的要求，跨企業(yè)的數(shù)據(jù)合作受到限制。而運用聯(lián)邦學習技術，可以探索多方數(shù)據(jù)融合效果以及聯(lián)邦學習算法的可行性，并對小微企業(yè)進行多維度評價，優(yōu)化企業(yè)風險授信模型。

機密計算可以通過在本地安全可信執(zhí)行環(huán)境下對兩方或多方數(shù)據(jù)進行非加密狀態(tài)的模型訓練，提高聯(lián)邦學習的運算效率。該機構需要驗證機密計算，尤其是在容器云環(huán)境下，在聯(lián)邦學習場景下的實際落地可以提升聯(lián)邦建模的效率，同時又不降低數(shù)據(jù)的安全性。

為此該機構在容器云平臺實現(xiàn)了針對隱私計算產品的部署和驗證工作，主要包括了聯(lián)邦學習相關產品的驗證，以及基于英特爾? 軟件防護擴展（英特爾? SGX ）技術的 TEE 方案。

簡單的說，隱私計算的一個實現(xiàn)方向是硬件安全技術，即機密計算 TEE 。TEE 是基于硬件方案實現(xiàn)，是計算設備主處理器上的一個安全區(qū)域，它可以保證加載到 TEE 內部的代碼和數(shù)據(jù)的安全性、機密性以及完整性，正是這些機制使得可信計算成為可能。

英特爾? SGX技術則很好地滿足了 TEE 需要的功能，包括遠程認證、抗軟件攻擊、抗物理攻擊、低權限等幾個方面。

該金融機構在 英特爾? SGX的支持下，通過 sgx-device-plugin 的技術，將機密計算正式引入到容器云平臺中，豐富了隱私計算的適應場景。

5

小結

我們從金融和保險對容器云的部署，以及成果，可以得出幾個結論：

第一，受到內外部環(huán)境的壓力，數(shù)字化轉型已迫在眉睫，而容器云則是云原生技術當中，能夠為企業(yè)帶來價值最大化的必選項。

第二，支撐容器云部署的必然是其背后的基礎架構，容器云其實對基礎架構升級也提出了很多要求，如可靠性、安全性和敏捷性。那么英特爾的第三代英特爾? 至強? 可擴展平臺的處理器、英特爾? 傲騰? 持久內存等新基礎設施和英特爾? SGX等技術，以及混合計算和裸金屬即服務的理念方法論，都為金融和保險行業(yè)的數(shù)字化提供了充沛的動力。

第三，容器云作為一個新鮮事物，因為其改變了軟件交付的模式，在金融和保險業(yè)也有很多認知障礙，尤其是關鍵業(yè)務容器化決策時，對整體架構設計會更為審慎，而優(yōu)異的基礎設施表現(xiàn)，也可以幫助這些企業(yè)打消疑慮，穩(wěn)步邁向容器云。