“十二五”时期是我国保险业发展变化最大、综合实力提升最快的时期,各保险机构改革创新全面突破,科学谋划、多措并举,各项工作稳步推进,整体建设卓有成效。“十三五”时期是我国全面建成小康社会决胜阶段,是保险业从保险大国迈向保险强国的关键时期,也是加快发展现代保险业的关键时期,保险行业处于大有作为的重要战略机遇期,但同时面临诸多问题和挑战,需要各保险机构持续推进行业改革创新,更好地支持经济社会建设,为服务国家治理体系和治理能力现代化作出更大贡献。
天安财产保险股份有限公司(下文简称天安财险)是中国首家由企业出资组建的股份制商业保险公司和国内第四家财产保险公司。经过近年来的快速发展,业务规模和机构建设快速发展,公司拥有33家分公司(含航运保险中心)、263家地市级中支公司及944家支公司级营业网点,经营区域覆盖了除港澳台、西藏、青海、宁夏及内蒙古以外的全国主要行政区域。目前,公司已形成了具有较强市场竞争力的产品体系。
随着信息化建设的高速发展,集团的业务系统越来越依赖数据中心的服务支撑,当前天安财险生产数据中心于08年在上海金桥建设,并在佛山构建数据冷备中心。由于公司集团化,业务快速发展,服务器、存储、网络设备不断增加,当前生产数据中心面积、供电均面临着较大的挑战,制约了创新业务系统的快速构建和部署,难以满足未来业务不断发展的需求,已成为制约集团业务快速发展的瓶颈,为了适应业务发展需求,集团公司于2016年开始规划在张江卡园新建云数据中心,并与现有金桥数据中心构建同城双活架构。
双活云数据中心建设目标
凡事预则立,不预则废。集团公司在项目立项之前,就对国家政策导向认真学习,尤其是将《中国保险业发展十三五规划纲要》作为公司发展规划管理指引,并对当前技术发展趋势深入研究,规划在新一代IT架构设计中,重点关注产品创新、互联网金融、云计算、大数据、分布式架构等热点问题与技术。规划通过IT架构创新,推动科技创新,满足安全可控要求,最终实现科技引领业务转型与发展的目标。
通过双活云数据中心的建设,集团公司将在信息化建设方面达成以下具体技术目标,为业务转型提供IT支撑:
- 基于两地三中心建设,上海实现业务双活服务,实现三中心运维管理的一体化,大幅提升IT系统业务连续性能力,上海同城双活数据中心满足国际标准SHARE78灾难恢复规范6级要求。
- 张江卡园数据中心采用微模块等先进技术,构建具备模块化、标准化、绿色节能、智能化等特点的行业领先的新一代数据中心。
- 基于云计算平台,实现资源统一规划、统一纳管、按需申请、按使用分配和高效运维,实现资源的快速申请和应用的快速上线,同时实现服务的灵活变更。
- 建设统一的安全体系,达到安全等保三级要求,实现完整的安全事件监控和审计,包括虚拟资源的安全,防御APT等攻击,实现安全风险可管可控。
- 在应用层面,提供应用自动化编排和部署功能,提供版本管理、版本发布功能,满足应用快速部署快速上线的要求。提供应用监管管理功能,基于APM(应用性能管理)实现资源弹性供给。
- 提供完整的应用迁移保障,包含应用迁移改造、验证和回落的全套实施方案,确保应用迁移万无一失。
- 支持金融信息系统国产化趋势,实现自主、安全、可控。并通过本项目建设,实践云计算、大数据等技术,并储备相关技术人才,为集团公司未来科技能力输出提供支撑。
双活云数据中心设计架构
天安财险两地三中心总体设计架构如下图,其中张江数据中心为新建云数据中心,并对现有金桥数据中心进行云化改造,构建上海同城双活服务架构,上海与佛山构建两地三中心架构。
张江卡园云数据中心的总体技术架构规划为四横两纵,四横是指:基础设施服务层(IaaS)、数据服务层(DaaS)、平台服务层(PaaS)、应用软件服务层(SaaS);四纵是指:资源能力支撑体系、信息安全体系、管理体系和标准体系。
双活云数据中心建设内容
天安财险双活云数据中心系统建设从企业战略出发,依据业务战略和IT战略所确定的目标,设计企业级业务架构及IT架构。主要包括以下关键建设内容:
1. 两地三中心建设--同城双活,异地灾备
业务双活部署,通过波分光纤互联,当张江卡园数据中心发生数据中心级灾难或故障时,经过灾难恢复流程批准切换,支持分钟级将业务从张江卡园数据中心切换到金桥数据中心。
佛山灾备中心的角色不变,依然做数据级灾备,金桥与佛山的数据复制架构保持不变,张江卡园数据中心与佛山数据中心之间构建新的数据复制/备份机制,形成两地三中心的容灾架构,当上海业务中心发生地域级灾难时,佛山数据中心可以提供完整的数据级灾备支持。
利用GSLB、智能DNS、数据库数据复制、存储网关、智能应用管理等技术,提供BS、CS等各种业务应用的双活方案,并实现前端网络、应用、数据层面的双活。
为保障业务连续性,提供双活应用的配置编排,提供双活应用的自动化部署、监控和演练。并针对双活应用网络进行拓扑管理和应用监控,实时掌握双活应用健康状态,支持一键完成双活应用的演练和切换。
2. 张江绿色数据中心建设
数据中心的建设必须满足当前各项需求应用,又面向未来快速增长的发展需求,因此必须保障张江新建数据中心具备高质量、高安全、可靠灵活、开放等特性。同时,在数据中心建设过程中,天安财险积极响应国家相关部门对数据中心降低能耗的号召,履行企业的社会责任,减少碳排放对环境的影响,致力于把此项目建设成绿色、高效的新型数据中心。
张江卡园新建数据中心采用热通道封闭的微模块解决方案,其制冷采用经验证的冷冻水行间空调方式,可以结合项目地点气候特征,最大利用自然冷源。
模块化IDC将IT机柜、空调系统、散热系统、配电系统、监控系统、消防系统、安防系统、照明等封闭在一个模块化箱体内;通过冷、热通道隔离,形成有效气流组织,满足IT设备运行要求。
模块内的机柜、空调、配电、气灭、报警、安防、配线等均为一体化设计,采用全封闭结构,可达到IP66的防护等级。
3. 网络&安全建设
数据中心网络建设遵循以下原则:
- 稳定为王
数据中心产品和网络以稳定可靠为第一诉求,关键设备和线路冗余部署。
- 最小改造原则
尽量减少对现有网络的改动,保护现有投资,不影响现有数据中心运行的各应用系统。
- 兼容性原则
在网络协议和业务部署上要尽可能保持与现有网络的兼容。
- 未来演进
数据中心网络要保持向未来持续演进的能力,包括设备的平滑升级和向SDN演进的能力。
整个数据中心按照功能进行分区,主要分为出口网络分区和业务网络分区两大类,分区之间采用防火墙进行安全隔离。在Internet接入区,防火墙异构部署。业务分区采用三层网络架构,功能区域之间由防火墙和ACL进行访问控制,并在网络的边缘由防火墙进行安全防护,关键业务区域(如Internet接入区/核心区)防火墙异构,在Internet接入区部署DDOS和上网行为管理设备,DMZ部署WAF进行应用层的安全防护。
为保障业务在张江卡园数据中心与现有金桥之间双活部署,利用数据中心间大二层网络技术--VXLAN打通双活数据中心网络资源。通过大二层网络,可以实现跨数据中心的集群、资源共享和故障探测。
4. 应用迁移保障
本项目中有大量的业务需要改造并迁移到张江新建云数据中心,而且业务的耦合性较强,因此在应用迁移中需要具备完善的实施步骤和应急机制。
项目团队制定了系统化的迁移步骤,包括业务信息收集,评估分析,方案设计,迁移验证,模拟迁移,试运行,验收测试。并且在每个环节均做到文档化,便于追溯。
同时,项目团队制定了可靠的应急处理措施,降低应用迁移的风险。并构建了完善的回溯机制,一旦业务验证出现问题,立即能够回退业务,不影响业务。
5. 未来科技能力输出
当前天安财险部分业务运行在阿里云,通过构建统一的云平台,实现混合云架构,我们在应用层实现资源跨云调度,应用跨云动态伸缩,数据跨云备份,业务容灾等,在保证安全的情况下,实现更大范围的资源动态调度。为保证业务安全,未来的核心业务我们可以在私有云内扩展,而渠道行业应用等外围业务我们可以动态扩展到公有云。同时,业务应用可以在私有云和公有云之间快速、平滑迁移,保障业务灵活性。
天安科技由现在天安财险的信息技术部转入,是服务于天安财险及天安集团的子公司。成为子公司后财务独立核算,未来规划将为集团和其他金融公司提供IT服务。通过云数据中心建设,盘活现有资源,探索建立保险业金融公共服务行业云,形成公共基础设施、公共接口、公共应用等一批技术公共服务,提升金融技术公共服务能力。
未来规划
面对中国经济的转型和保险市场的快速发展,特别是在新“国十条”等政策强有力的支持下,天安财险继续坚持“效益、管理、改革、创新”经营方针不动摇,持续深化改革,增强公司实力。
未来,天安财险将基于PaaS框架实现服务治理,全面实现DevOps开发运维一体化架构,部署大数据、人工智能、区块链创新应用,利用大数据平台驱动业务决策,实现互联网金融架构转型升级,全面提升公司管理水平和管理能力,把天安财险推向管理先进、发展有力、朝气蓬勃的新局面。
