利用容器技术 A10 Networks助力开放银行建设

本篇文章2729字，读完约7分钟

a10网络大中华区首席技术官许立群

近年来，随着金融市场改革和金融技术的兴起，国内许多银行积极探索并逐步转型为开放式银行，创造了“平台+生态”的新业务模式。例如，上海浦东发展银行于2018年7月推出了“api银行”无限开放银行；中国建设银行还推出了开放式银行管理平台，向外界输出核心服务；招商银行开放了用户和支付系统，通过api、h5等连接方式实现了金融与生活场景的连接。此外，中国工商银行、兴业银行和中国光大银行也在探索开放银行，但它们的模式不同。因此，2018年被普遍认为是“开银行的第一年”，而“开银行的火花”已经点燃。

未来，“先景后金融”的跨境生态圈将成为主流。然而，目前，开放式银行的应用还处于初级阶段。在建设的早期阶段，许多问题，如安全性、可用性、稳定性等，是不可忽视的，也是非常重要的。对于这些问题，a10网络从it基础设施的层面进行思考，以便这种“火花”能够燃烧并更稳定地传播。

传统的it基础设施显示出不足

众所周知，开放银行将带来更快速变化的业务需求和更复杂的业务场景。基于互联网的金融服务，如掌上银行和移动支付，增长迅速。然而，传统银行的it基础设施、开发和运营维护模式已经不能适应这种新业务模式的发展。其主要表现是:

首先，传统的it基础设施使项目长时间投入生产，不能及时满足互联网时代客户和企业的需求；

其次，传统的基础设施和运行维护方式难以应对“红包”、“秒杀”等高并发的特殊场景。

第三，新产品和业务量的增加将导致运营和维护成本的大幅增加。

基于容器技术部署微服务架构

面对这些挑战，基于容器技术的微服务架构以其强大的持续交付能力、高资源利用率、持续高可用性和灵活性，可以为开放银行的业务发展提供良好的支持。

但是问题又来了。当应用程序部署到生产环境中并扩展时，如何实现微服务之间有序、高效、安全的通信，实现服务的自动发现，实现服务的灵活扩展？如何直观地管理南北和东西数据流并提供安全性？

A10网络帮助应对挑战

随着应用程序逐渐转向基于微服务的体系结构，容器和kubernetes的使用大幅增加，kubernetes也成为了主要的容器设计者。信通技术研究所的《2018年金融行业云计算技术调查报告》显示，14.91%的金融机构已经将集装箱技术纳入生产环境；20.50%的金融机构用于测试环境。

A10网络公司的安全服务网格解决方案完美地结合了容器的异构特性和kubernetes的水平扩展能力，能够轻松应对特殊情况，如红包和尖峰。其快速启动功能可以确保应用程序的连续性和高可用性。此外，a10网络的解决方案采用数据流微分段技术和微服务隔离技术，能够很好地支持微服务之间的安全通信，在保证应用灵活性的同时保证数据的隐私性和安全性。然而，用户只需要关注程序开发和应用程序编排，而不需要关心繁琐的事情，如应用程序监控、扩展、服务发现和分布式跟踪。

可以说，a10网络解决方案能够很好地满足开放银行对It基础设施和R&D运营维护的要求，是目前业内唯一正式的商业安全服务网格解决方案。总之，它有助于实现四个价值:自动服务发现和弹性扩展、微分段和东西数据流安全、基于每个应用程序的可视化管理和控制以及开放api集成。

三个关键群体带来客户价值

a10网络安全服务网格解决方案由三个关键组组成:a10闪电adc、a10入口控制器和a10和谐控制器，为部署在kubernetes环境中的微服务提供高级应用负载平衡和流量管理功能，并集成安全、流量分析和透视功能。

自动服务发现和弹性可伸缩性:闪电adc提供先进的负载平衡功能，也支持许多安全功能，如ssl加密和解密，晶圆片，反毒等。，为微服务架构提供了强有力的安全保障。它以容器的形式部署在kubernetes的数据平面中，而和谐控制器和入口控制器部署在控制层，它们负责完成管理和控制功能。

通过与入口资源的合作，入口控制器可以实现应用程序的自动创建。它还可以创建负载平衡实例和基于内容的交换规则，配置应用程序交付和安全策略，并将应用程序连接到闪电adc集群。入口控制器还监控应用服务容器，并通过和声控制器通知lightning adc任何变化，以使其配置与基础设施保持同步。闪电adc还为微服务提供自动服务发现，从而减轻微服务的负担。

微分段和东西数据流安全:闪电adc可以拦截微服务之间的东西数据流。一旦数据流通过闪电adc，将对流量应用适当的安全策略。微观分割使安全性更加详细。它将微服务相互隔离，并为每个微服务提供安全保护。访问策略基于服务标签，解决了因随时更改容器ip地址而导致的问题。

当数据流离开节点边界时，将通过ssl机制自动加密，在目标节点自动解密，然后传输到微服务，从而保证跨节点通信的安全性。

所有这些过程都不需要被应用程序所关注，因此应用程序可以被快速迁移、部署和迭代。

基于每个应用程序的可视化管理和控制:在传统的应用程序交付环境中，几乎看不到应用层的数据流，这使得收集故障排除所需的数据变得困难。a10闪电adc实时收集各种应用信息，并将其推送到和声控制器进行分析，用户可以从中获得全面的应用洞察，从而微调应用和基础设施，实现快速故障排除。同时，它还可以检测异常时间，及时发现安全隐患。用户可以定制报警指示器，并可以通过电子邮件发送报警，以便快速采取行动。

集中式应用程序管理简化了操作和维护的强度和复杂性:在kubernetes灵活的分布式环境中，独立管理应用程序交付实例是一个巨大的挑战。和谐控制器可以跨多个环境统一配置和维护应用交付实例。和谐控制器允许在逻辑应用程序级别定义配置，并智能地将配置推送到相应的应用程序交付实例，从而降低手动配置错误造成的风险，提高配置效率。此外，所有的管理和分析功能都是通过rest api(和谐api)公开发布的。

开放api集成:开放银行api分为三类，即内部api、合作伙伴api和开放API。和谐api可以是内部api的一部分。通过开放和谐api，a10的安全服务网格解决方案可以与众多的devops工具链(如ansible、chef、jenkins)和编排系统集成，从而实现服务的快速部署、迭代、运行和维护。同时，还可以为内部开发人员提供可视化的应用管理数据，分析应用的发展趋势，从而有助于开放式银行的建设。

开放式银行是基于互联网生态链提供的金融服务，也是银行业发展的必然趋势。但在转型过程中，挑战和机遇并存。开放式银行的建设无疑是一项系统工程，需要监管机构、银行、科技企业、第三方互联网服务机构等各方的共同努力。A10网络公司还希望通过其在应用交付、智能和自动化网络安全领域的创新技术和解决方案来帮助银行开业。