2019年12月15日，螞蟻金服研究員兼系統(tǒng)部負(fù)責(zé)人何征宇在OS2ATC 2019上分享了螞蟻在金融級(jí)系統(tǒng)軟件上的實(shí)踐經(jīng)驗(yàn)，以及對(duì)開(kāi)源協(xié)作的理念和做法。以下為演講整理：

　　我今天想和大家分享一下我在螞蟻的一些工作，以及在金融級(jí)系統(tǒng)軟件中需開(kāi)源協(xié)作的探索和實(shí)踐。

　　金融行業(yè)實(shí)際上是一個(gè)非常注重科技的行業(yè)，因?yàn)榧夹g(shù)的價(jià)值可以得到很直觀的展現(xiàn)，然后它是非常注重極致，非常追求技術(shù)的先進(jìn)性的，技術(shù)上的先進(jìn)性可以很快的轉(zhuǎn)化為業(yè)務(wù)的領(lǐng)先性。

　　螞蟻金服作為國(guó)內(nèi)金融企業(yè)的領(lǐng)頭羊，對(duì)于技術(shù)的追求是永無(wú)止境的。螞蟻的夢(mèng)想是服務(wù)20億的消費(fèi)者，1億的全球小微經(jīng)營(yíng)者，這是一個(gè)非常大的愿景，而我們相信只有不斷發(fā)展的技術(shù)才能讓這些不可能成為可能。例如我們的310貸款能力，就是建立在一流的金融級(jí)大規(guī)模數(shù)據(jù)智能的技術(shù)能力之上的。

　　那么我們系統(tǒng)軟件的挑戰(zhàn)和做軟件的壓力是什么?如果用一句話來(lái)總結(jié)的話，就是在海量數(shù)據(jù)壓力下的服務(wù)連續(xù)性保障和資損風(fēng)險(xiǎn)監(jiān)控。首先是要達(dá)到一個(gè)非常高的可用率，這個(gè)跟我們常說(shuō)高可用系統(tǒng)，例如電信級(jí)系統(tǒng)不一樣，這個(gè)后面除了5個(gè)9之外，還有金融機(jī)構(gòu)非常嚴(yán)格的一些要求，比如100%保證資金安全，這是螞蟻金服一直在追求的能力。

　　螞蟻金服與系統(tǒng)軟件

　　螞蟻金服也確實(shí)在各個(gè)系統(tǒng)軟件的方向上追求極致。首先從數(shù)據(jù)庫(kù)的角度來(lái)講，OceanBase在TPC-C評(píng)測(cè)中打破了Oracle多年的壟斷，這一結(jié)果是OceanBase團(tuán)隊(duì)創(chuàng)新的實(shí)現(xiàn)了分布式關(guān)系數(shù)據(jù)庫(kù)，并且得到了專業(yè)評(píng)審員的認(rèn)可。其次是安全計(jì)算，我們參與了Occlum可信執(zhí)行環(huán)境開(kāi)源項(xiàng)目，并且與清華展開(kāi)學(xué)術(shù)合作，相關(guān)文章已經(jīng)被ASPLOS收錄，也參與制定國(guó)內(nèi)第一個(gè)安全計(jì)算的標(biāo)準(zhǔn)。然后是云原生方向上，我們自研了SOFAMesh并率先通過(guò)今年的雙十一進(jìn)行了大規(guī)模的驗(yàn)證。最后是安全容器技術(shù)，我們的Kata Containers是OpenStack頂級(jí)開(kāi)放基礎(chǔ)設(shè)施項(xiàng)目。

　　接下來(lái)我想講一些我們的觀點(diǎn)。我一直覺(jué)得，系統(tǒng)軟件是一個(gè)手段，它并不是一個(gè)目的，因?yàn)槲覀円欢ㄒ闱宄氖俏覀兿到y(tǒng)軟件到底是在做什么。右邊這個(gè)圖很有意思，這是一個(gè)樓梯，但是這個(gè)樓梯是沒(méi)法使用的，如果我們做系統(tǒng)軟件是為了做而做，有可能做出來(lái)就是像這個(gè)樓梯一樣，目標(biāo)達(dá)到了，但是沒(méi)有任何價(jià)值。

　　任何一個(gè)基礎(chǔ)軟件、系統(tǒng)軟件，比如一個(gè)新的操作系統(tǒng)，一般來(lái)說(shuō)都是花銷(xiāo)巨大的，而且軟件寫(xiě)出來(lái)總有一天會(huì)淘汰的。我們到底做什么樣的系統(tǒng)軟件?我相信一定是為了解決什么問(wèn)題而做，這是我們系統(tǒng)工程師最需要考慮的事情。

　　接下來(lái)，我想結(jié)合我自己的一些經(jīng)歷，分享一下我們是如何思考和利用系統(tǒng)軟件解決問(wèn)題的。

　　第一個(gè)案例是大家正在做的容器化所帶來(lái)的問(wèn)題。在云原生大趨勢(shì)下，大家正在將IT系統(tǒng)遷移到容器里，例如從OpenStack遷移到Kubernetes，這里實(shí)際上有一個(gè)很大的問(wèn)題，也就是從虛擬機(jī)遷移到容器時(shí)，我們系統(tǒng)的隔離性，不管是從安全還是性能方面來(lái)說(shuō)，都是有下降的。

　　螞蟻金服正在做的安全容器，就是為了解決容器的隔離性問(wèn)題，它的原理也很好理解。傳統(tǒng)容器的隔離性其實(shí)是依賴linux本身，包括cgroup和namespace等技術(shù)，但是應(yīng)用還是直接通過(guò)系統(tǒng)調(diào)用訪問(wèn)內(nèi)核。安全容器做了一個(gè)中間層，利用新的內(nèi)核，hypervisor等等技術(shù)，讓系統(tǒng)調(diào)用可以不用依賴底層的linux，而安全容器自身對(duì)linux的依賴是完全已知和固定的，而且小到可以做非常詳細(xì)的審計(jì)，從而極大的降低主機(jī)被攻破的風(fēng)險(xiǎn)。

　　安全容器可以有效的保護(hù)主機(jī)，但是，金融業(yè)務(wù)本身仍然需要更強(qiáng)的隔離保護(hù)。

　　所幸的是，最近興起的機(jī)密計(jì)算(Confidential Computing)技術(shù)能夠非常有效保護(hù)應(yīng)用程序。它的本質(zhì)其實(shí)上就是在大家手機(jī)里應(yīng)用非常廣泛的TEE技術(shù)，但是隨著Intel SGX這樣的技術(shù)的發(fā)展，讓每一臺(tái)服務(wù)器支持TEE都成為可能。

　　TEE，現(xiàn)在一般也稱為Enclave，可以進(jìn)行運(yùn)行時(shí)的雙向防護(hù)。簡(jiǎn)單說(shuō)，應(yīng)用程序用它的話，可以不相信底層的OS等軟件。但是在 Enclave 技術(shù)目前存在一些問(wèn)題，阻礙了它在實(shí)際生產(chǎn)環(huán)境中的應(yīng)用，包括：

　　第一，需要改寫(xiě)應(yīng)用，因?yàn)榭尚艌?zhí)行環(huán)境里面沒(méi)有內(nèi)核和基礎(chǔ)庫(kù)，所以沒(méi)法把應(yīng)用直接在 Enclave 中執(zhí)行;

　　第二，需要分割應(yīng)用，需要把業(yè)務(wù)程序劃分為 Enclave 內(nèi)和 Enclave 外的部分;

　　第三，未集群化，與客戶端場(chǎng)景不同，Enclave 中的應(yīng)用如何 failover，容災(zāi)也是阻止其在數(shù)據(jù)中心中大規(guī)模使用的一個(gè)原因。

　　所以說(shuō)現(xiàn)在基于TEE的應(yīng)用特別難做，基本上現(xiàn)在做的就是純運(yùn)算的一些東西，因?yàn)镮O都解決不了。這里就引出來(lái)我們的第二個(gè)案例，也就是我們?yōu)槭裁匆鯫cclum。

　　Occlum是我們今年聚焦攻關(guān)的一個(gè)Enclave LibOS，現(xiàn)在在世界上來(lái)說(shuō)應(yīng)該是最先進(jìn)的一個(gè)，使用它可以1分鐘內(nèi)將Tensorflow Lite移植到Enclave里面。這里我想說(shuō)明的是，我們不是為了做系統(tǒng)而做系統(tǒng)，我們做系統(tǒng)是為了螞蟻的業(yè)務(wù)例如共享智能，區(qū)塊鏈等能夠更好，更快的拿到機(jī)密計(jì)算這一新技術(shù)的紅利。

　　螞蟻金服與開(kāi)源

　　我們講開(kāi)源，像上面提到的系統(tǒng)軟件一樣，開(kāi)源也是一種手段，不是目的。這里給大家分享一些我們的思考。

　　首先給大家科普加拉帕戈斯綜合癥，這個(gè)其實(shí)可以對(duì)應(yīng)到我們的系統(tǒng)軟件，如果我們的系統(tǒng)軟件從頭到尾都是閉門(mén)造車(chē)，那么它一定會(huì)根據(jù)當(dāng)時(shí)的現(xiàn)狀加入妥協(xié)的部分，并且這種妥協(xié)會(huì)越來(lái)越多，最后面對(duì)開(kāi)源開(kāi)放的系統(tǒng)軟件是沒(méi)有競(jìng)爭(zhēng)力的。

　　所以我覺(jué)得，開(kāi)放的生態(tài)是系統(tǒng)軟件保持長(zhǎng)久活力的關(guān)鍵。上面的圖片里面，左邊是在水族館里面的殺人鯨，它們的背鰭永遠(yuǎn)是彎著的，顯得無(wú)精打采，右邊是在開(kāi)放水域的鯨魚(yú)，它們的背鰭就是直的。所以，系統(tǒng)的生態(tài)是很重要的。我不想看到的是，不管是因?yàn)閲?guó)家的政策也好，或者什么別的因素也好，我們就在小池塘里面互相吃來(lái)吃去的，最后一個(gè)大鯊魚(yú)過(guò)來(lái)全部被干掉了。

　　從螞蟻金服的角度來(lái)看，我們一定要保持開(kāi)放，也希望有非常多的良性競(jìng)爭(zhēng)。中國(guó)的武俠一定是有少林和武當(dāng)?shù)模绻际且粋€(gè)流派那就不行了，百花齊放，百家爭(zhēng)鳴的狀態(tài)才是最好的。

　　最后總結(jié)一下螞蟻金服系統(tǒng)軟件的發(fā)展思路，首先它必須滿足業(yè)務(wù)競(jìng)爭(zhēng)的需求，然后我們會(huì)和頂尖學(xué)術(shù)機(jī)構(gòu)一起合作創(chuàng)新，并且積極參與開(kāi)源社區(qū)，承擔(dān)應(yīng)有的社會(huì)責(zé)任。

　　值得一提的是，螞蟻金服系統(tǒng)軟件上的學(xué)術(shù)合作也比較廣泛。我們和國(guó)內(nèi)外的專家學(xué)者，包括清華大學(xué)，上海交通大學(xué)，浙江大學(xué)，UC Berkeley都有合作項(xiàng)目，也拿到了不錯(cuò)的成果，例如上面提到的Occlum項(xiàng)目就是跟清華陳渝老師合作的。在這里，我想帶出我這次分享最重要的目的，也就是非常希望和在座的各位學(xué)術(shù)界和開(kāi)源屆的同行能有更多的交流和溝通，達(dá)成更多的合作，謝謝大家。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。