iThome
三年前,玉山金控以云原生技术、微服务架构打造的核心系统正式上线,打下科技发展和数位转型的关键基础工程。玉山的目标是达到端对端的数位化,不只在顾客端以数位方式完成服务,银行内部作业也尽量数位化,让同样的人力可以服务更多顾客。要迈向这个愿景,上云正是玉山加速金融创新的关键之一。
上云能加速数位发展,但上错云的成本可能多7倍
「上云好处是更快、更敏捷,」玉山金控暨玉山银行资讯长谢万礼指出,金融业藉上云,能加速金融创新,当新技术出现,可以快速实验新资源,不需要经过传统的采购准备,能直接在云端找到平台或空间来实验,快速验证效果。
例如,有些云端业者提供套装的AI模组,能更快速上云,就越能快速尝试这些AI技术。上云也有助增加营运韧性,采用云端进行异地备援,来确保营运持续性,也同时减少硬体设备的需求。
但是,上云的计价方式复杂,三大公云业者提供的服务各有长处,还需考虑服务水准问题,若上错云,成本恐怕会让人跌破眼镜。玉山金控董事长黄男州就曾分享自家经验:「上对云,成本少个零,但上错云,成本可能多七倍。」
从成本效益角度,哪些系统适合上云?系统交易量和交易频率变动度是玉山金控上云两项重要评估点。以交易量来说,将交易量低的系统搬迁上云,可能会花费许多不合效益的成本。谢万礼解释,上云除了会根据使用量计价,也会根据使用时长计价,等于迁上云的当下,就得开始算成本,并且,企业还须负担基本费用,因此,「交易量很低,平均每笔交易的成本就会非常高。」谢万礼说道。
此外,系统上云后的服务水准,未必能达到与上云前相同的标准。对金融业而言,系统要求的服务水准比一般产业更高,特定系统甚至须达到服务不中断。玉山金控经过一年上云观察后发现,系统上云后,服务水准很难和在地端达到同样标准,一旦发生问题,衍生的费用也是一大开销。因此,「想要高服务水准,地端也许是比较好的选择。」谢万礼坦言。
不过,针对特定情况,采用混合云的管理方式,有助企业即时应变,同时也可以节省硬体资源开销。例如,某些系统的交易频率变动大,当系统爆量时,就能藉云端进行调度。谢万礼说明,企业若全以地端部署交易频率变动大的系统,平时就得准备最高资源应付系统爆量,反之,采混合云方式部署,平时仅需以适量的硬体设备支援,特定时间再以云端进行调度。如此一来,才能有效运用云端资源,适当平衡成本。
将系统全部上云,虽能快速采用新技术来即时扩充,却可能导致成本超标,顾此失彼。因此,混合云,是谢万礼点出金融上云适合采用的架构,「一般跟银行业务相关的系统,采取云地之间的整合。」不过,混合云的管理模式也是一大课题,例如,系统架构能否快速在云地端间切换使用,就成为重要关键。
玉山金控暨玉山银行资讯长谢万礼强调,混合云会是银行业未来发展的重要架构。摄影/洪政伟
做好架构准备:系统应往PaaS或IaaS的架构设计
在金融上云中,移转机制是一项重要议题。金融机构委外修正办法就特别规范,金融机构的内部委外办法中,需订定与受委托机构终止委托的移转机制,确保能顺利移转至其他受委托机构,或移回自行处理。
因此,企业在选用云端时,单一系统多半会考虑两家供应商,针对供应商的长处适时使用。不过,若企业选用云端业者提供的SaaS服务,则容易因技术绑定而难以移转。因此,谢万礼认为,系统应往适合PaaS或IaaS服务的架构设计,较能替换供应商来运用。例如,云原生架构的系统,就能够选择IaaS或PaaS的服务,并在多家供应商间替换。
看准快速部署的能力,玉山银行早在2016年起,就开始打造云原生技术、微服务架构的新核心系统,并在2020年正式启用。谢万礼表示,过去主管机关对上云的管制较严,要将系统直接上云的沟通成本较高,因此,玉山选择先做好硬体资源管理,采用私有云的模式运作,为日后上云做足准备。如今到了上云松绑的时刻,主管机关相对开放, 「我觉得这是一个很好的时机,就可以移转过来。」谢万礼说道。
目前,包含核心系统和关键业务系统,玉山约七成以上系统已具备上公有云的准备。玉山正在制定内部的云端治理框架,评估适合上云的系统,及系统适合采用云端资源的时间等。
建立上云机制:不以单一系统上云进行成本效益评估
玉山上云准备可分为两步骤,先订定治理框架,再进行成本效益评估。谢万礼解释,若只以个案方式规画,难以顾及成本的平衡、资安风险和发展策略。今年底,玉山预计订妥上云治理框架,最快明年陆续展开上云计划。
针对治理框架,玉山将董事会设为云端治理的最高决策单位,负责制定云端治理政策,重点包含,云端服务安全管控原则、治理规范及程序、组织与权责等,各权责单位将会依董事会订定的云端治理政策分层负责推动执行。
有了治理框架,下一个重点就是成本评估。对比过去管理地端,谢万礼认为,评估上云不能以单一系统计算成本,而要以长期且多个系统来估算整体持有成本(TCO)。一来,网路流量基本费和转换费都属高成本,二来,只要涉及混合云模式,就需额外负担移转和资安成本。因此,他认为,可针对一年、三年或五年内需上云的系统,来估算整体成本,以进行适当评估。
不过,玉山评估现阶段累积的资料还不够齐全,除了云端租赁成本,还有储存空间、网路传输和资安成本都须纳入计算,资料繁杂,难以估算出精确成本。谢万礼解释:「假设一年投资10亿元,有100套系统使用,每一套系统到底要分摊多少,就是一个挑战。」因此,玉山现行的成本评估机制是以长期规画作为主要制定方向。
未来,玉山将先以一套员工每日都会使用,且峰值明显的行内服务系统作为试验,验证云端平台服务在安全、维运、自动化、资源管理、治理、合规性、工具和帐户结构等领域设计是否完善,之后再依系统上云的合适性逐步扩大实施。其中,敏捷与韧性是玉山评估优先上云的重点,例如透过云端AI工具快速推出应用服务,或验证资讯服务备援上云,以因应突发状况。
此外,云端服务可靠度(SRE)也是玉山今年的IT重点。玉山将在日常维运中善用IaC(基础架构程式码化),也优先于容器平台导入,以增加开发团队的工作效率,提升测试及营运环境的一致性和可靠性,增强系统软体实施的安全性和弹性扩展基础架构。
谢万礼解释,以IaC部建私有云容器平台,能将任务自动化,提供开发团队自助化的申请服务,包括环境配置、批次任务、基础设施管理等,借此降低人工作业时间,提升工作效率。此外,藉工具来管理程式码、基础架构环境的重要数据,可以降低环境差异引起的问题。而将安全性政策自动化套入容器管理平台中,能更快速、安全地实施系统软体的周期性版本升级,降低潜在漏洞风险,且所有变更都能被记录追踪,有助于安全审查及合规性要求。最后,应用IaC也能快速扩展基础架构,以应对流量增长的情况,依据实际需求动态调整资源,降低软体与云端服务的订阅成本。
「上云是一种全新的管理跟使用模式。 」谢万礼强调,金融上云不只是评估能否上云,或多少系统上云。金融业需要思考调整应用系统设计,让系统适时使用云端资源,而不是一股气砸下所有成本。「上云前,还得完成许多基本功。」