专访李峰：行进中的平安金融云

从去年以来，行业云成为国内外云厂商突破传统行业的重点，通过为行业定制云服务，满足行业的特殊需求和合规要求，来让企事业单位放心上云。在这当中，金融云是各厂商的关注焦点，在过去一年里取得了很大的进展。平安云作为近来异军突起的一家云厂商，也提供了金融业服务。12 月 20 日，平安集团 SMART 科技大会在上海举行，借此机会，InfoQ 采访了平安云产品专家李峰，向他请教了平安金融云的特点以及研发重点。

InfoQ： 您目前负责什么工作？

李峰：我最近几年的经历主要在分布式数据库和云计算的领域。目前的岗位是平安云技术研发部的产品专家，主要的职责是尝试挖掘、发现重点行业对云的差异化的需求，进而对垂直产品线的规划、发展形成帮助和牵引的作用。

InfoQ： 金融云相对于一般公有云新有什么特点？

李峰：相对于一般公有云，金融云在监管、合规、安全、可靠、隔离等方面都有差异。比如要满足一行两会的监管要求；要满足各类行业规范；要通过金融专区提供面向金融行业特定用户的资源隔离等。

金融云首先是行业云（或团体云），在计算、存储、网络等方面除了逻辑隔离，很多情况下还需要物理隔离。同时金融云在可用性、可靠性的要求也更加明确和严格，各个层级都需要满足容灾的要求，在数据加密、数据销毁等方面相对于一般公有云也需要更多的考虑。

InfoQ： 金融云在技术的合规上有哪些要求？

李峰：监管部门对金融云技术上的合规性有明确要求，涵盖技术架构、安全、容灾等每个方面。

技术架构方面包括对基础硬件设备与设施的要求，对计算虚拟化技术的要求，对计算、存储、网络资源隔离、扩展能力、可用性、可靠性、负载均衡等能力的要求等。

容灾方面划分了不同的容灾等级，每个等级提出了明确的技术指标，同时在数据备份、数据处理、网络能力、运维能力等方面也有具体的技术要求。比如 5 级容灾对数据备份的要求：同城和异地至少各有一个副本；至少有一个副本是同步复制，保证数据一致；完全的数据备份至少每天一次并且处于异地。

安全方面明确涵盖从上到下的每一个领域：基础硬件安全、资源抽象与控制安全、应用安全、数据安全、中间件安全、数据库安全等。每一个领域又有详细的划分，比如基础硬件安全包括网络安全，网络安全又针对架构安全、访问控制、安全审计、入侵防范、恶意代码防范等每一个环节有具体要求。

InfoQ： 平安金融云建设是从什么时候开始的，经历了哪些里程碑？

李峰：平安的金融云在几年前就启动建设了。2013 年平安金融云立项；2014 年第一个保险系统上云；2015 年实现两地三中心的布局，外部金融机构入云，成为当年十大优秀云计算案例；2017 年实现多地多中心，成为国内规模最大、应用最广金融云，涵盖平安集团 95%业务子公司、生产系统 80%上云；2018 年香港、新加坡布局，实现 IAAS+PAAS+SAAS 全栈云服务。

InfoQ： 目前平安金融云的客户有哪些，金融云具备哪些能力和特性？

李峰：平安云在金融行业的用户主要主要分为三大类：

第一类是平安集团内部各业务公司，它们是平安云推进集团开放平台战略的核心客户；

第二类是平安金融生态系统中的合作伙伴；

第三类用户是集团外部客户，尤其是中小金融机构。

另外，平安云还与内部各个业务开发部门合作，通过建设各种金融能力开放平台的方式，即业务云服务的方式为集团外部金融机构服务。

我认为平安云的特性是：“安全、可靠、专业”，这是我们不断追求的目标，目前我们已经取得的成绩包括：

• 安全合规方面：满足 60+合规要求，通过 9 项国内外权威云认证；

• 稳定可靠：多地多中心节点的最高金融安全级别数据中心；利用创新的高可用架构和自动化运维平台为用户提供可靠的基础设施服务，打造可信赖的云计算平台；集团对我们也有全年无重大故障的硬性要求；

• 专业服务：基于平安集团 30 年场景经验积累，深入理解行业需求 。

InfoQ： 目前平安金融云使用的技术栈是什么？包括哪些主要技术？

李峰：平安云最早选用的是 CloudStack，在发展过程中融入了 OpenStack 的一些模块，又有大量自己的定制，逐渐形成了自己的框架 PAStack（平安 Stack）。

平安云最初的目标虽然是服务集团的内部云，但是在一开始就做了两个决定，这些决定在现在看来非常正确：

• 一是用公有云的技术架构来做内部云；

• 二是技术架构由平安云的技术团队自主控制。

平安云的技术架构基于松耦合、高可用、高可靠、安全隔离等几个设计目标。在总体技术架构自主可控的基础上，不同的功能模块松耦合。某一个具体的功能模块可以是自研，可以是开源产品，也可以是商用产品，由负责该模块的团队根据实际情况选择。

比如我们的云平台中包括基于 Docker 和 K8S 的容器服务、基于 Open Falcon 的监控技术、基于 Ceph 的分布式存储等、自研的自动化部署引擎、自研的 CMDB 等。平安云在数据中心布局、网络、存储、计算等多个层级充分考虑了故障域隔离、冗余设计等因素，支持并鼓励用户跨可用区部署自己的业务。

InfoQ： 未来平安金融云在功能和技术演进上有什么规划？

李峰：未来在功能上，平安云会在业务属性上加强突破，尤其是在 PAAS 层和 SAAS 层。我们会将云计算基础服、大数据、AI、物联网、区块链进行有机整合，建立从底层技术到上层应用的端到端云生态，通过一站式门户在云端向用户开放更多的产品和服务。现在云门户上已经有 80+云产品，未来不仅是平安科技内部的产品，平安集团内部的更多应用与服务也会被纳入云市场，通过 API 开放给用户。在技术上，我们会关注逐渐兴起的 Serverless 的计算模式，关注 FaaS、容器、微服务等相关方向。

InfoQ：感谢您接受我们的采访。