金融信创丨陕西农信基于云原生架构的全栈信创办公系统(OA)项目
2022年12月7日,“第六届农村中小 金融 机构 科技 创新优秀案例评选”榜单正式发布,易捷行云EasyStack参与建设的陕西农信基于云原生架构的全栈信创办公系统(OA)项目建设获评十大网络影响力优秀案例。
本次评选活动由农信银资金清算中心主办、金科创新社承办,共计收到来自全国农信社、农商行40家机构、138个科技创新案例,内容涉及基础设施、运维管理、网络安全、数据平台、产品创新、数智应用、安全可控及其他促进农村金融发展的科技创新项目。
一、项目背景
信息技术应用创新(以下简称“信创”)是信息安全、网络安全的基础,对于我国数字 经济 和信息安全均具有重大意义。金融行业作为关系国民经济命脉的重要行业,其核心技术自主可控不但是国家安全的战略要求,也是时代发展的必然趋势。陕西农信作为陕西地方金融行业主力军,采用“自下而上的平台化”工作策略(自基础设施层进行统一规划,全行以平台化的技术栈统一部署),率先建设以服务器、网络、存储、操作系统、分布式数据库、中间件等信创软硬件产品为支撑的信创云平台,再以此为基础对各类信息系统分批次进行改造或新建,逐步增强自主可控能力。办公系统(OA)作为我社首批全技术栈支持信创的信息系统,有效提升了办公系统的自主可控水平,并为后续信息系统信创改造和建设积累了经验。
二、项目方案
1.项目目标
陕西农信办公系统建设过程分为三个阶段,各阶段建设目标如下∶第一阶段基于Springcloud+K8s+Devops云原生架构进行自主研发,完成办公系统全功能投产。第二阶段是进行全技术栈信创替换,提升自主可控水平,实现办公系统的双轨运行。第三阶段是对桌面端使用的插件、流式软件采用信创产品进行替换,以兼容非信创终端的模式进行单轨运行,并保证系统性能不降低、用户体验不下降,为全省用户的日常办公提供无差别的服务体验。
2.系统架构
本项目是以信创云平台、数据库等基础软件和流式软件、版式软件、电子签章等应用软件为实施基础,基于行内统一开发平台和云原生架构开展项目建设工作。在实施过程中融合我社数字化转型“中台化”理念,创新性引入文档中台,解决我社办公系统单轨运行时面临的需兼容多种PC操作系统的难题。改造前后对比示意图及具体内容如下∶
图1系统架构
(1)运行平台
陕西农信办公系统在信创云平台运行,实现从芯片、服务器、云计算软件、网络设备、操作系统的全信创替代。其中laaS层全部采用信创芯片服务器、网络设备和信创操作系统,实现计算、存储、网络资源的统一整合编排;PaaS层部署容器及分布式数据库,为应用系统提供基础的PaaS服务。云管平台统一纳管ARM架构资源池和X86架构资源池,实现基础设施"一云多芯"和全栈化国产自主可控。
(2)应用程序和数据库
本项目采用统信浏览器和巨杉数据库作为信创替代产品,改造过程中一方面对应用程序中的前端展示组件、JS进行兼容性开发,以适配统信浏览器;另一方面对SQL 语法、执行效率、外键进行改造,以适配巨杉数据库原生分布式内核。
(3)版式软件
将版式软件替代为支持OFD标准的信创版本,主要改造内容如下∶一是对服务器端的电子签章、在线阅读服务器版本进行升级,支持在信创服务器上进行安装部署,并提供公文签章、文档格式转换服务;二是对PC端的阅读器进行升级,保证在信创和普通PC上均能够实现对OFD格式公文进行阅览。
(4)流式软件
办公系统投产前期通过第三方在线编辑插件调用PC端安装的流式软件(WPS/WORD)实现公文在线编辑。但此插件对部分老旧流式软件版本兼容性较差,且需要用户手动安装,用户体验不佳。本项目摒弃第三方插件,改为直接调用部署在服务器端的文档中台在线编辑服务。通过集成文档中台提供在线编辑、套红、清稿等服务,实现对文档进行在线修改、查看批阅意见、套红头等公文处理功能。
(5)中间件
鉴于运行平台已替换为信创云,故Web服务、应用服务使用的中间件也需使用相应信创产品进行替代。办公系统Springcloud中内置的tomcat中间件在本次改造替换为普元Appserver,以保证能够在信创操作系统中安装部署。同时将WEB服务中间件Nginx修改为BES WebServer,实现负载均衡及反向代理服务。
3.业务功能
陕西农信办公系统主要包括门户、公文管理、个人办公、信息管理、知识管理及系统管理等七大模块,具体功能如下所示∶
图2功能架构
(1)门户∶包括省市县三级门户,各法人机构可根据自身需求配置门户需展示的栏目。主要栏目包括通知公告、内部动态、整改公示等,同时门户上还包括待办、已办提醒,应用中心等功能。
(2)公文管理∶包括待阅公文、收发文、签报、公文检索、公文配置等功能,实现对收文、发文的全流程支持。并支持按照不同的收发文类型、机构配置不同的审批流程。
(3)个人办公∶主要包括请假、会议预定、个人事项报备等功能,通过流程化管理对日常工作及内控管理进行规范。
(4)信息管理:包括对新闻、公告、通知、法规制度的发布管理功能。可实现对待发布信息进行编辑、审批,以及对已发布信息的查阅权限进行分级管理。
(5)知识管理∶可对有用知识进行上传,经栏目管理员审核后向指定人员分享。
(6)报表统计∶对接行内报表系统数据,以仪表盘、饼状图、柱状图等直观形式进行展现经营数据,为管理者提供决策数据,
(7)系统管理∶对办公系统进行配置管理,可对用户权限、审批流程、文档等参数进行配置。
4.部署架构
陕西农信办公系统基于行内信创云平台进行部署,部署架构如下图所示。
图3部署架构
办公系统采用前后端分离的模式进行部署。其中∶前端应用为用户提供操作界面和具体功能,采用BES WebServer作为中间件进行部署。业务微服务实现各类复杂处理逻辑,采用普元Appserver、东方通TongWeb中间件进行部署。数据库采用国产巨杉分布式数据库,数据打散在分布式节点间存储,以保证数据库高可用。前端应用、业务微服务和数据库均以集群方式部署,支持横向扩展,在物理资源使用接近瓶颈时,可通过扩容提升系统服务能力。
三、创新点
1.系统自主设计研发,可灵活选择技术路线
陕西农信办公系统基于行内统一开发平台和行内技术标准自主设计研发,系统功能可随业务发展持续进化,深度匹配陕西农信实际和发展要求。相比与采购业界成熟办公系统产品,自主研发的办公系统可完全按照我社选择的总体技术路线进行适配改造,有效避免了选择成熟产品时被动绑定技术路线的问题。
2.搭建信创文档中台,提升兼容性和用户体验
创新性引入文档中台,解决流式软件信创版和普通版相互独立,影响推广效率和客户体验问题。采用文档中台∶一是彻底解决了对老旧流式软件版本兼容差的问题,且用户无需再安装插件,提升了用户体验。二是文档中台能够同时兼容普通PC和信创PC,可较好适配信创终端逐步使用的演进过程。
3.全栈信创的云原生架构应用
本项目是我社对云原生架构进行全栈信创改造的首次尝试,在改造中对SpingCloud开源代码中的中间件、基础类库、配置文件、jdk进行较多升级替换,较好地了适配信创操作系统、中间件,使该架构最终能够在我社信创云上稳定运行。加上信创云平台已从laaS、PaaS层对底层芯片、网络设备、计算资源池进行信创改造,进而完成了基于云原生架构的全栈国产化改造技术落地,对同业具有较强的参考意义。
四、技术实现特点及优势
1.快捷的开发效率和高可用的系统架构
本项目以Springcloud+K8s+Devops研发,具有以下几方面特点∶一是该项目采用devops工具进行版本构建和自动化部署,减少人工参与环节,提升了研发效率。二是办公系统拆分成多个微服务,可按微服务承担的业务复杂度及重要性,有针对性的部署服务资源,提升资源利用率。三是采用私有云部署模式,云上的K8s管理平台可动态监控微服务运行情况,自动创建应用实例以便保证服务高可用。
2.多模融合的敏感信息保护技术应用
本项目采用多种措施防止文档被非法调取。一是将文档存储于文档中台服务端,保证文档预览不落地,解决用户PC或移动设备缓存数据可能被非法窃取的问题;二是对接行内数据防泄漏平台,增加文件下载加密、文档水印等防护措施,确保文件在安全环境中查看浏览;三是对接行内密码平台及统一认证平台,采用国密算法对报文、密码进行加密,并在登录环节使用多重认证防护,提升账户安全性。
五、项目过程管理
本项目经历可行性分析、总体方案设计、实施、双轨运行、单轨运行几个阶段,各阶段主要工作内容如下∶
(1)可行性分析阶段
启动技术可行性研究,搭建测试环境,对产品、技术路线等进行可行性验证。
(2)总体方案设计阶段
依据技术验证结果与系统现状,确定项目建设目标,明确适配改造范围,确认技术路线,完成总体方案设计。
(3)实施阶段
对系统进行适配开发改造,并在改造完成后对系统的兼容性、稳定性、易用性、功能、性能等进行测试。
(4)双轨运行阶段
明确上线方案与应急措施,完成信创版本投产,并与已有非信创版本双轨运行。在此阶段信创终端访问信创版本、普通终端访问非信创版本,两个版本共用信创数据库。
(5)单轨运行阶段
引入文档中台,结合双轨运行的问题,完成办公系统改造,实现办公系统全栈信创单轨运行。
六、运营情况
根据信创要求和技术预研结果,办公系统确定了改造范围和信创替代产品选型,并于2022年8月完成应用程序、中间件、数据库、浏览器等全信创技术栈改造和上线。截止目前系统累计登录用户120万人次,累计发生交易30余万笔,接口响应时间在300ms内,服务成功率99.99%,应用服务器CPU使用率在7%~15%之间,数据库服务器CPU使用率在10%左右,系统各项资源使用情况良好。
七、项目成效
1.自主可控能力显著提高
在办公系统全栈信创改造过程中,对信创数据库、中间件、云平台的性能、接口以及与同类非信创产品的差异性有了深入的理解与掌握,为开发及运维团队积累了宝贵经验,实现了关键基础设施的自主可控。信创改造完成后,所有数据全部运行在国产服务器、中间线、网络设备之上,有效保障了信息安全。
2.系统性能与用户体验较大改善
办公系统的数据库、中间件、操作系统、版式软件、流式软件替换为相应信创产品后,进行了严格的性能测试,所有性能指标较非信创版本均未降低,反而部分指标有所提升。同时,在结束双轨运行时,只需将用户的登录地址指向调整即可完成单轨切换,并且在功能、页面布局方面均无差异,保证整个切换过程用户无感知,最大限度确保了切换的平滑性。
3.以兼容模式适配信创终端逐步推广
办公系统通过文档中台解决终端信创和非信创的兼容性问题,一方面用户无需安装插件和办公软件,即可使用信创办公系统的所有功能,未给用户带来冗余的操作体验;另一方面解决终端与系统单向绑定问题,加快推进信创办公电脑的应用,推广成本压力和用户体验问题得到有效解决。
八、经验总结
基于云原生架构的全栈信创办公系统(OA)项目按照“自主可控、安全高效”的原则实施改造工作。项目以开源技术、国产化软硬件设施为基础,以陕西农信自身开发平台、分布式技术和云原生架构为依托,采用多种新技术、新工艺,实现了办公系统的自主可控,有效改善了用户体验和性能指标。
通过本次办公系统(OA)全栈信创改造,为后续信创相关项目建设积累了以下几点经验:一是信创云平台应具备兼容多条技术路线的能力,并对上层应用屏蔽差异,使上层应用聚焦自身改造。二是关注用户体验,不因信创改造导致业务功能出现显著差异,影响操作体验。三是关注不同数据库间的语法差异,避免引发功能异常或执行效率下降。