邮储银行数据中心网络架构变革与精细化运维挑战应对策略

hwyzw

    文/中国邮政储蓄银行数据中心 黄海、卢杰志、马成

    近年来，随着银行业务的发展，需求的多元化，特别是互联网业务的爆发式增长，对银行信息系统的敏捷扩展能力提出了更高的要求。银行基于云架构思维建设了新一代数据中心。 。邮储银行也在改造传统网络架构，构建面向多业务、支持多站点、多活数据中心的新型网络架构。在此过程中，网络运维能力也在同步建设、转型、提升。加大网络流量采集建设和可视化分析技术的应用，实时查看数据中心各类设备的网络性能、链路状态和业务系统运行状态，成为网络运行和维护的重要手段。维护。

    网络精细化运维面临的挑战及解决方案

    数据中心网络运维数据类型多样，网络运维监控工具和方法不断丰富。传统的基础网管监控工具通过SNMP获取网络设备硬件的运行状态、链路使用状态等，可以实现基础网络数据。源码运维监控。随着敏捷开发的广泛采用，新系统上线和应用变更的频率不断增加，网络设备和应用的数量不断增加，应用之间的访问关系和网络路径变得越来越复杂。对流量和原始数据包进行监控和深入分析的需求也变得越来越重要。特别是需要对网络数据包中的IP流量、TCP连接、网络延迟等进行精细化的网络监控和分析，以提高网络性能和服务质量。有针对性的精细化运维。运维视角从基础的硬件资源数据监控提升到全面的网络业务服务视角，运维体系建设也从常规的指标监控视角转变为全景业务可观测维度。

    为应对挑战，提高网络精细化运维水平，邮储银行数据中心探索网络流量采集与分析。它以网络镜像流量为基础数据源，利用流量分析技术来监控网络性能和服务质量。网络流量采集是通过部署采集设备TAP交换机来实现的。流量数据包经过处理和标记后，转发到流量分析设备进行实时分析。流量分析设备可以解析各种通用协议和业务协议，分析原始数据包的内容，获得网络层、传输层、应用层元数据等多个维度的完整信息，然后根据规则对这些信息进行分类。进行统计、多维度KPI计算、网络及应用性能评估、业务多细分关联对比分析等方面进行处理，实现网络状态、应用状态和业务状态的监控。当发现异常行为和安全事件时，可以及时掌握数据中心网络承载的业务流量特征，并相应优化和调整网络配置，及时解决网络故障风险和隐患，最终保证数据中心核心业务应用的稳定性。跑步。对于银行数据中心来说，提高网络流量采集和分析能力是深入进行网络分析、处理各种疑难问题、实现运维可视化、提升运维能力的不可或缺的手段。

    网络流量采集标准化建设

    采用交换机镜像技术构建独立于业务网络的流量采集网络。一直作为可视化运维的基础，统一采集原始流量数据。根据不同流量分析工具的需求，对网络流量进行去重、切片、脱敏、去除包头封装等操作，将分析工具常用的报文排序工作卸载到流量采集网络统一实施，提高了流量分析的效率。流量分析工具的分析效率。统一的流量采集网络，使得数据中心全网流量可视化，实现业务不中断的实时监控。可以随时添加新的分析工具来根据需要分析和监控网络。流量采集网络的建设可以让多种类型的分析工具轻松共享流量采集层面的数据，并且可以优化工具的部署和使用，节省成本。

   

    流量采集网络的设计采用“”架构，按照接入层、汇聚层、监控输出层三层结构进行部署，形成多个数据中心之间的标准化部署架构。在技​​术实现上，采用集群部署方式，实现TAP交换机的智能堆叠或虚拟化部署，接入层、汇聚层和监控层TAP交换机形成全连接、智能负载分流的冗余集群架构。对于同城数据中心之间的流量采集，采用波分设备互连跨中心Spine设备，跨数据中心建立集群，实现流量采集层和输出层的共享。流量采集网络部署架构如图所示。

    图 流量采集网络部署架构

    采用上述标准化方案构建邮储银行数据中心多中心话务采集网络后，话务采集可以实现：一是架构统一、配置简化、管理规范。流量采集网络采用集群技术，实现端口到端口的流量转发，简化配置和故障排除。其次，可扩展性高，设备的横向扩展更容易。 Leaf设备可以直接连接Spine设备加入集群。三是链路冗余和高可用，采用多Spine的方式部署。流量采集层到输出层的流量通过Spine进行负载转发，实现架构的高可用。

    网络流量分析实践与应用

    网络流量分析在邮储银行数据中心的实践和应用主要分为两个阶段。

    第一阶段是部署流量分析设备，构建网络流量分析系统。通过将网络交换机流量镜像输出到流量采集网络，按需提供聚合、复制、过滤、标签等统一处理和标准化输出给流量分析系统，实现网络的采集、存储、分析和展示交通。本阶段主要实现网络流量统计和应用展示，逐步实现覆盖骨干网、互联网、数据中心网络等多个重要网络领域的流量分析功能，为我行日常网络运维、新业务上线、年度运营等提供支撑。 -端决算/双十一重保等场景、线路运力规划报告提供及时有效的保障。

    网络流量分析系统在我行的使用场景中有两个重要的应用。一种场景是通过Tap交换机为每个访问的镜像流量添加不同的VLAN标签。当网络分析设备采集探针收到来自流量采集网络的流量时，可以通过识别Vlan标签来区分流量的来源，这对于日常故障排除很有用。它在分析中起着明显的作用。可以快速定位网络问题的故障点，判断网络是否存在丢包以及具体丢包点。另一个重要场景是我行数据中心骨干网络完成SRv6技术改造，实现更高效的网络传输和带宽使用。网络流量分析系统可以准确识别SRv6流量并分析内部业务IP信息，并提供SRv6类型、剩余跳数等，实现骨干网流量的可视化分析。同时还可以通过SRv6数据识别区分不同区域或功能区域的流量，实现对骨干网络线路更加精细化的监控和管理。

   

    第二阶段是以网络流量分析系统为工具，通过对网络流量的原始数据包进行深入分析，实现对IP流量、TCP连接数、网络延迟等网络服务质量的详细监控和分析。希望能够与应用系统更加紧密的结合。紧密集成并提供有用的网络分析功能和围绕业务运营的数据。

    为此，我们进行了多项研究和技术创新，不断拓展网络流量分析应用场景，持续提升运维能力。

    一是研究业务系统中单一交易路径的跟踪分析。采用“网络+应用”智能关联全流程分析技术对单笔业务交易进行追踪，即通过交易流水号等业务标识对单笔交易进行关联追踪，自动显示所经过的网络路径单个交易，并显示每笔交易。网络节点根据交易的TCP连接、网络延迟、处理时间等精细指标，对整个交易环节进行关联分析，自动评估各节点的运行状态，快速定位单笔交易中导致异常的关键节点。交易。通过研究测试，可以实现基于流水号、卡号等交易特征的关联，跨数据中心对单笔交易进行全路径评估分析，提升网络精细化运维能力。

    二是试点创新网络会话级全路径关联跟踪分析。从网络原始数据包出发，借鉴技术思路，利用智能标签关联和会话算法技术，对网络原始数据包进行标准化和统一，实现更快的数据传输和极高的数据处理性能，提高网络的性能。流量分析系统进行技术更新和优化，实现网络会话级关联跟踪分析。经过试点测试，业务系统关键网络节点的流量通过七层交易流进行解码，其他节点通过四层解码进行解码，可以实现性能和功能的平衡。同时与具体业务系统松耦合，可以与交易流程分离。可以实现业务系统全路径的网络会话级关联跟踪分析，通用性更强。除了路径会话跟踪外，还可以进行流式直播会话分析和多维度统计分析，具有更强的网络会话分析能力。

    总结与展望

    在网络架构改革创新过程中，邮储银行持续注重提升网络精细化运维能力。网络流量采集网络建设已初具规模，多中心标准化部署。网络流量分析技术和工具的应用已逐渐细化到网络数据包层面。与网络会话和业务交易相关的流量分析已被积极探索，并已成为网络配置优化和调整，以及在复杂网络环境中快速准确排除故障的有力工具。随着数据中心规模不断扩大，承载越来越多的应用，面临越来越多的挑战。下一步研究将重点关注云平台虚拟机流量采集分析、云网一体化架构下的流量分析等，不断优化创新，保障全行业务稳定运行。