2022年12月7日,“第六屆農(nóng)村中小金融機(jī)構(gòu)科技創(chuàng)新優(yōu)秀案例評選”榜單正式發(fā)布,易捷行云EasyStack參與建設(shè)的陜西農(nóng)信基于云原生架構(gòu)的全棧信創(chuàng)辦公系統(tǒng)(OA)項目建設(shè)獲評十大網(wǎng)絡(luò)影響力優(yōu)秀案例。
本次評選活動由農(nóng)信銀資金清算中心主辦、金科創(chuàng)新社承辦,共計收到來自全國農(nóng)信社、農(nóng)商行40家機(jī)構(gòu)、138個科技創(chuàng)新案例,內(nèi)容涉及基礎(chǔ)設(shè)施、運維管理、網(wǎng)絡(luò)安全、數(shù)據(jù)平臺、產(chǎn)品創(chuàng)新、數(shù)智應(yīng)用、安全可控及其他促進(jìn)農(nóng)村金融發(fā)展的科技創(chuàng)新項目。
一、項目背景
信息技術(shù)應(yīng)用創(chuàng)新(以下簡稱“信創(chuàng)”)是信息安全、網(wǎng)絡(luò)安全的基礎(chǔ),對于我國數(shù)字經(jīng)濟(jì)和信息安全均具有重大意義。金融行業(yè)作為關(guān)系國民經(jīng)濟(jì)命脈的重要行業(yè),其核心技術(shù)自主可控不但是國家安全的戰(zhàn)略要求,也是時代發(fā)展的必然趨勢。陜西農(nóng)信作為陜西地方金融行業(yè)主力軍,采用“自下而上的平臺化”工作策略(自基礎(chǔ)設(shè)施層進(jìn)行統(tǒng)一規(guī)劃,全行以平臺化的技術(shù)棧統(tǒng)一部署),率先建設(shè)以服務(wù)器、網(wǎng)絡(luò)、存儲、操作系統(tǒng)、分布式數(shù)據(jù)庫、中間件等信創(chuàng)軟硬件產(chǎn)品為支撐的信創(chuàng)云平臺,再以此為基礎(chǔ)對各類信息系統(tǒng)分批次進(jìn)行改造或新建,逐步增強(qiáng)自主可控能力。辦公系統(tǒng)(OA)作為我社首批全技術(shù)棧支持信創(chuàng)的信息系統(tǒng),有效提升了辦公系統(tǒng)的自主可控水平,并為后續(xù)信息系統(tǒng)信創(chuàng)改造和建設(shè)積累了經(jīng)驗。
二、項目方案
1.項目目標(biāo)
陜西農(nóng)信辦公系統(tǒng)建設(shè)過程分為三個階段,各階段建設(shè)目標(biāo)如下∶第一階段基于Springcloud+K8s+Devops云原生架構(gòu)進(jìn)行自主研發(fā),完成辦公系統(tǒng)全功能投產(chǎn)。第二階段是進(jìn)行全技術(shù)棧信創(chuàng)替換,提升自主可控水平,實現(xiàn)辦公系統(tǒng)的雙軌運行。第三階段是對桌面端使用的插件、流式軟件采用信創(chuàng)產(chǎn)品進(jìn)行替換,以兼容非信創(chuàng)終端的模式進(jìn)行單軌運行,并保證系統(tǒng)性能不降低、用戶體驗不下降,為全省用戶的日常辦公提供無差別的服務(wù)體驗。
2.系統(tǒng)架構(gòu)
本項目是以信創(chuàng)云平臺、數(shù)據(jù)庫等基礎(chǔ)軟件和流式軟件、版式軟件、電子簽章等應(yīng)用軟件為實施基礎(chǔ),基于行內(nèi)統(tǒng)一開發(fā)平臺和云原生架構(gòu)開展項目建設(shè)工作。在實施過程中融合我社數(shù)字化轉(zhuǎn)型“中臺化”理念,創(chuàng)新性引入文檔中臺,解決我社辦公系統(tǒng)單軌運行時面臨的需兼容多種PC操作系統(tǒng)的難題。改造前后對比示意圖及具體內(nèi)容如下∶
圖1系統(tǒng)架構(gòu)
(1)運行平臺
陜西農(nóng)信辦公系統(tǒng)在信創(chuàng)云平臺運行,實現(xiàn)從芯片、服務(wù)器、云計算軟件、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)的全信創(chuàng)替代。其中l(wèi)aaS層全部采用信創(chuàng)芯片服務(wù)器、網(wǎng)絡(luò)設(shè)備和信創(chuàng)操作系統(tǒng),實現(xiàn)計算、存儲、網(wǎng)絡(luò)資源的統(tǒng)一整合編排;PaaS層部署容器及分布式數(shù)據(jù)庫,為應(yīng)用系統(tǒng)提供基礎(chǔ)的PaaS服務(wù)。云管平臺統(tǒng)一納管ARM架構(gòu)資源池和X86架構(gòu)資源池,實現(xiàn)基礎(chǔ)設(shè)施"一云多芯"和全棧化國產(chǎn)自主可控。
(2)應(yīng)用程序和數(shù)據(jù)庫
本項目采用統(tǒng)信瀏覽器和巨杉數(shù)據(jù)庫作為信創(chuàng)替代產(chǎn)品,改造過程中一方面對應(yīng)用程序中的前端展示組件、JS進(jìn)行兼容性開發(fā),以適配統(tǒng)信瀏覽器;另一方面對SQL 語法、執(zhí)行效率、外鍵進(jìn)行改造,以適配巨杉數(shù)據(jù)庫原生分布式內(nèi)核。
(3)版式軟件
將版式軟件替代為支持OFD標(biāo)準(zhǔn)的信創(chuàng)版本,主要改造內(nèi)容如下∶一是對服務(wù)器端的電子簽章、在線閱讀服務(wù)器版本進(jìn)行升級,支持在信創(chuàng)服務(wù)器上進(jìn)行安裝部署,并提供公文簽章、文檔格式轉(zhuǎn)換服務(wù);二是對PC端的閱讀器進(jìn)行升級,保證在信創(chuàng)和普通PC上均能夠?qū)崿F(xiàn)對OFD格式公文進(jìn)行閱覽。
(4)流式軟件
辦公系統(tǒng)投產(chǎn)前期通過第三方在線編輯插件調(diào)用PC端安裝的流式軟件(WPS/WORD)實現(xiàn)公文在線編輯。但此插件對部分老舊流式軟件版本兼容性較差,且需要用戶手動安裝,用戶體驗不佳。本項目摒棄第三方插件,改為直接調(diào)用部署在服務(wù)器端的文檔中臺在線編輯服務(wù)。通過集成文檔中臺提供在線編輯、套紅、清稿等服務(wù),實現(xiàn)對文檔進(jìn)行在線修改、查看批閱意見、套紅頭等公文處理功能。
(5)中間件
鑒于運行平臺已替換為信創(chuàng)云,故Web服務(wù)、應(yīng)用服務(wù)使用的中間件也需使用相應(yīng)信創(chuàng)產(chǎn)品進(jìn)行替代。辦公系統(tǒng)Springcloud中內(nèi)置的tomcat中間件在本次改造替換為普元Appserver,以保證能夠在信創(chuàng)操作系統(tǒng)中安裝部署。同時將WEB服務(wù)中間件Nginx修改為BES WebServer,實現(xiàn)負(fù)載均衡及反向代理服務(wù)。
3.業(yè)務(wù)功能
陜西農(nóng)信辦公系統(tǒng)主要包括門戶、公文管理、個人辦公、信息管理、知識管理及系統(tǒng)管理等七大模塊,具體功能如下所示∶
圖2功能架構(gòu)
(1)門戶∶包括省市縣三級門戶,各法人機(jī)構(gòu)可根據(jù)自身需求配置門戶需展示的欄目。主要欄目包括通知公告、內(nèi)部動態(tài)、整改公示等,同時門戶上還包括待辦、已辦提醒,應(yīng)用中心等功能。
(2)公文管理∶包括待閱公文、收發(fā)文、簽報、公文檢索、公文配置等功能,實現(xiàn)對收文、發(fā)文的全流程支持。并支持按照不同的收發(fā)文類型、機(jī)構(gòu)配置不同的審批流程。
(3)個人辦公∶主要包括請假、會議預(yù)定、個人事項報備等功能,通過流程化管理對日常工作及內(nèi)控管理進(jìn)行規(guī)范。
(4)信息管理:包括對新聞、公告、通知、法規(guī)制度的發(fā)布管理功能。可實現(xiàn)對待發(fā)布信息進(jìn)行編輯、審批,以及對已發(fā)布信息的查閱權(quán)限進(jìn)行分級管理。
(5)知識管理∶可對有用知識進(jìn)行上傳,經(jīng)欄目管理員審核后向指定人員分享。
(6)報表統(tǒng)計∶對接行內(nèi)報表系統(tǒng)數(shù)據(jù),以儀表盤、餅狀圖、柱狀圖等直觀形式進(jìn)行展現(xiàn)經(jīng)營數(shù)據(jù),為管理者提供決策數(shù)據(jù),
(7)系統(tǒng)管理∶對辦公系統(tǒng)進(jìn)行配置管理,可對用戶權(quán)限、審批流程、文檔等參數(shù)進(jìn)行配置。
4.部署架構(gòu)
陜西農(nóng)信辦公系統(tǒng)基于行內(nèi)信創(chuàng)云平臺進(jìn)行部署,部署架構(gòu)如下圖所示。
圖3部署架構(gòu)
辦公系統(tǒng)采用前后端分離的模式進(jìn)行部署。其中∶前端應(yīng)用為用戶提供操作界面和具體功能,采用BES WebServer作為中間件進(jìn)行部署。業(yè)務(wù)微服務(wù)實現(xiàn)各類復(fù)雜處理邏輯,采用普元Appserver、東方通TongWeb中間件進(jìn)行部署。數(shù)據(jù)庫采用國產(chǎn)巨杉分布式數(shù)據(jù)庫,數(shù)據(jù)打散在分布式節(jié)點間存儲,以保證數(shù)據(jù)庫高可用。前端應(yīng)用、業(yè)務(wù)微服務(wù)和數(shù)據(jù)庫均以集群方式部署,支持橫向擴(kuò)展,在物理資源使用接近瓶頸時,可通過擴(kuò)容提升系統(tǒng)服務(wù)能力。
三、創(chuàng)新點
1.系統(tǒng)自主設(shè)計研發(fā),可靈活選擇技術(shù)路線
陜西農(nóng)信辦公系統(tǒng)基于行內(nèi)統(tǒng)一開發(fā)平臺和行內(nèi)技術(shù)標(biāo)準(zhǔn)自主設(shè)計研發(fā),系統(tǒng)功能可隨業(yè)務(wù)發(fā)展持續(xù)進(jìn)化,深度匹配陜西農(nóng)信實際和發(fā)展要求。相比與采購業(yè)界成熟辦公系統(tǒng)產(chǎn)品,自主研發(fā)的辦公系統(tǒng)可完全按照我社選擇的總體技術(shù)路線進(jìn)行適配改造,有效避免了選擇成熟產(chǎn)品時被動綁定技術(shù)路線的問題。
2.搭建信創(chuàng)文檔中臺,提升兼容性和用戶體驗
創(chuàng)新性引入文檔中臺,解決流式軟件信創(chuàng)版和普通版相互獨立,影響推廣效率和客戶體驗問題。采用文檔中臺∶一是徹底解決了對老舊流式軟件版本兼容差的問題,且用戶無需再安裝插件,提升了用戶體驗。二是文檔中臺能夠同時兼容普通PC和信創(chuàng)PC,可較好適配信創(chuàng)終端逐步使用的演進(jìn)過程。
3.全棧信創(chuàng)的云原生架構(gòu)應(yīng)用
本項目是我社對云原生架構(gòu)進(jìn)行全棧信創(chuàng)改造的首次嘗試,在改造中對SpingCloud開源代碼中的中間件、基礎(chǔ)類庫、配置文件、jdk進(jìn)行較多升級替換,較好地了適配信創(chuàng)操作系統(tǒng)、中間件,使該架構(gòu)最終能夠在我社信創(chuàng)云上穩(wěn)定運行。加上信創(chuàng)云平臺已從laaS、PaaS層對底層芯片、網(wǎng)絡(luò)設(shè)備、計算資源池進(jìn)行信創(chuàng)改造,進(jìn)而完成了基于云原生架構(gòu)的全棧國產(chǎn)化改造技術(shù)落地,對同業(yè)具有較強(qiáng)的參考意義。
四、技術(shù)實現(xiàn)特點及優(yōu)勢
1.快捷的開發(fā)效率和高可用的系統(tǒng)架構(gòu)
本項目以Springcloud+K8s+Devops研發(fā),具有以下幾方面特點∶一是該項目采用devops工具進(jìn)行版本構(gòu)建和自動化部署,減少人工參與環(huán)節(jié),提升了研發(fā)效率。二是辦公系統(tǒng)拆分成多個微服務(wù),可按微服務(wù)承擔(dān)的業(yè)務(wù)復(fù)雜度及重要性,有針對性的部署服務(wù)資源,提升資源利用率。三是采用私有云部署模式,云上的K8s管理平臺可動態(tài)監(jiān)控微服務(wù)運行情況,自動創(chuàng)建應(yīng)用實例以便保證服務(wù)高可用。
2.多模融合的敏感信息保護(hù)技術(shù)應(yīng)用
本項目采用多種措施防止文檔被非法調(diào)取。一是將文檔存儲于文檔中臺服務(wù)端,保證文檔預(yù)覽不落地,解決用戶PC或移動設(shè)備緩存數(shù)據(jù)可能被非法竊取的問題;二是對接行內(nèi)數(shù)據(jù)防泄漏平臺,增加文件下載加密、文檔水印等防護(hù)措施,確保文件在安全環(huán)境中查看瀏覽;三是對接行內(nèi)密碼平臺及統(tǒng)一認(rèn)證平臺,采用國密算法對報文、密碼進(jìn)行加密,并在登錄環(huán)節(jié)使用多重認(rèn)證防護(hù),提升賬戶安全性。
五、項目過程管理
本項目經(jīng)歷可行性分析、總體方案設(shè)計、實施、雙軌運行、單軌運行幾個階段,各階段主要工作內(nèi)容如下∶
(1)可行性分析階段
啟動技術(shù)可行性研究,搭建測試環(huán)境,對產(chǎn)品、技術(shù)路線等進(jìn)行可行性驗證。
(2)總體方案設(shè)計階段
依據(jù)技術(shù)驗證結(jié)果與系統(tǒng)現(xiàn)狀,確定項目建設(shè)目標(biāo),明確適配改造范圍,確認(rèn)技術(shù)路線,完成總體方案設(shè)計。
(3)實施階段
對系統(tǒng)進(jìn)行適配開發(fā)改造,并在改造完成后對系統(tǒng)的兼容性、穩(wěn)定性、易用性、功能、性能等進(jìn)行測試。
(4)雙軌運行階段
明確上線方案與應(yīng)急措施,完成信創(chuàng)版本投產(chǎn),并與已有非信創(chuàng)版本雙軌運行。在此階段信創(chuàng)終端訪問信創(chuàng)版本、普通終端訪問非信創(chuàng)版本,兩個版本共用信創(chuàng)數(shù)據(jù)庫。
(5)單軌運行階段
引入文檔中臺,結(jié)合雙軌運行的問題,完成辦公系統(tǒng)改造,實現(xiàn)辦公系統(tǒng)全棧信創(chuàng)單軌運行。
六、運營情況
根據(jù)信創(chuàng)要求和技術(shù)預(yù)研結(jié)果,辦公系統(tǒng)確定了改造范圍和信創(chuàng)替代產(chǎn)品選型,并于2022年8月完成應(yīng)用程序、中間件、數(shù)據(jù)庫、瀏覽器等全信創(chuàng)技術(shù)棧改造和上線。截止目前系統(tǒng)累計登錄用戶120萬人次,累計發(fā)生交易30余萬筆,接口響應(yīng)時間在300ms內(nèi),服務(wù)成功率99.99%,應(yīng)用服務(wù)器CPU使用率在7%~15%之間,數(shù)據(jù)庫服務(wù)器CPU使用率在10%左右,系統(tǒng)各項資源使用情況良好。
七、項目成效
1.自主可控能力顯著提高
在辦公系統(tǒng)全棧信創(chuàng)改造過程中,對信創(chuàng)數(shù)據(jù)庫、中間件、云平臺的性能、接口以及與同類非信創(chuàng)產(chǎn)品的差異性有了深入的理解與掌握,為開發(fā)及運維團(tuán)隊積累了寶貴經(jīng)驗,實現(xiàn)了關(guān)鍵基礎(chǔ)設(shè)施的自主可控。信創(chuàng)改造完成后,所有數(shù)據(jù)全部運行在國產(chǎn)服務(wù)器、中間線、網(wǎng)絡(luò)設(shè)備之上,有效保障了信息安全。
2.系統(tǒng)性能與用戶體驗較大改善
辦公系統(tǒng)的數(shù)據(jù)庫、中間件、操作系統(tǒng)、版式軟件、流式軟件替換為相應(yīng)信創(chuàng)產(chǎn)品后,進(jìn)行了嚴(yán)格的性能測試,所有性能指標(biāo)較非信創(chuàng)版本均未降低,反而部分指標(biāo)有所提升。同時,在結(jié)束雙軌運行時,只需將用戶的登錄地址指向調(diào)整即可完成單軌切換,并且在功能、頁面布局方面均無差異,保證整個切換過程用戶無感知,最大限度確保了切換的平滑性。
3.以兼容模式適配信創(chuàng)終端逐步推廣
辦公系統(tǒng)通過文檔中臺解決終端信創(chuàng)和非信創(chuàng)的兼容性問題,一方面用戶無需安裝插件和辦公軟件,即可使用信創(chuàng)辦公系統(tǒng)的所有功能,未給用戶帶來冗余的操作體驗;另一方面解決終端與系統(tǒng)單向綁定問題,加快推進(jìn)信創(chuàng)辦公電腦的應(yīng)用,推廣成本壓力和用戶體驗問題得到有效解決。
八、經(jīng)驗總結(jié)
基于云原生架構(gòu)的全棧信創(chuàng)辦公系統(tǒng)(OA)項目按照“自主可控、安全高效”的原則實施改造工作。項目以開源技術(shù)、國產(chǎn)化軟硬件設(shè)施為基礎(chǔ),以陜西農(nóng)信自身開發(fā)平臺、分布式技術(shù)和云原生架構(gòu)為依托,采用多種新技術(shù)、新工藝,實現(xiàn)了辦公系統(tǒng)的自主可控,有效改善了用戶體驗和性能指標(biāo)。
通過本次辦公系統(tǒng)(OA)全棧信創(chuàng)改造,為后續(xù)信創(chuàng)相關(guān)項目建設(shè)積累了以下幾點經(jīng)驗:一是信創(chuàng)云平臺應(yīng)具備兼容多條技術(shù)路線的能力,并對上層應(yīng)用屏蔽差異,使上層應(yīng)用聚焦自身改造。二是關(guān)注用戶體驗,不因信創(chuàng)改造導(dǎo)致業(yè)務(wù)功能出現(xiàn)顯著差異,影響操作體驗。三是關(guān)注不同數(shù)據(jù)庫間的語法差異,避免引發(fā)功能異常或執(zhí)行效率下降。
