企業(yè)需要什么樣的云管平臺——金融行業(yè)案例分析

作為云計算領域的一個重要技術(shù)分支，在企業(yè)級IT服務體系里云管平臺已從傳統(tǒng)IT系統(tǒng)建設中脫胎而出，愈發(fā)博得企業(yè)客戶的關注。

那么何為云管平臺呢?來自國際最具權(quán)威的IT研究與顧問資訊公司Gartner的定義：云管平臺(Cloud Management Platform，CMP)是企業(yè)云戰(zhàn)略的一種產(chǎn)品形態(tài)，提供對公有云、私有云和混合云整合管理的產(chǎn)品。

由于所處行業(yè)、規(guī)模等因素影響，不同的企業(yè)在IT管理上都有著自己獨特的流程和特點，通過選取具有代表性的行業(yè)案例，我們可以歸納差異總結(jié)云管體系建設共性，而資金雄厚、IT基礎設施建設完備、看重系統(tǒng)安全規(guī)范性的金融行業(yè)銀行類企業(yè)就非常具有代表性。

企業(yè)云管訴求的普遍特性

自云計算問世以來，從陌生觀望到完全接受總會經(jīng)歷一個過程，而在此期間企業(yè)也會在試用不同云廠商的不用云產(chǎn)品，因此不可避免的會形成多云局面。綜合風險和安全的考量，在初具規(guī)模的企業(yè)中，多云不僅是公有云和公有云之間，也是公有云和私有云之間的混合式管理，在歷史的發(fā)展過程中由于已積累了不少云廠商的產(chǎn)品，在一個平臺內(nèi)能實現(xiàn)不同云廠商不同云產(chǎn)品的統(tǒng)一納管，是其基礎訴求。

此外，對于云資源全生命周期的管理也是企業(yè)的核心訴求之一。企業(yè)的IT人員往往分為兩類，一類是面向公司整體IT架構(gòu)基礎支撐的“系統(tǒng)管理員”，一類是隸屬于各個業(yè)務線且只為本業(yè)務線IT服務的“業(yè)務管理員”，我們以某大型商業(yè)銀行為例：

圖1：某大型商業(yè)銀行IT組織架構(gòu)

在該銀行的IT組織架構(gòu)中，架構(gòu)部與基礎運維組承擔了系統(tǒng)管理員的角色，它們負責云廠商的選型以及對云資源的基礎管理工作;同時，銀行內(nèi)部又存在上百個項目組，這些項目組承建具體的IT系統(tǒng)，如信用卡小程序、掌上銀行等等，這些項目組的IT人員則承擔了業(yè)務管理員的角色。

無論是公有云還是私有云廠商，他們提供的工具本質(zhì)上是為系統(tǒng)管理員服務，業(yè)務管理員在需要云資源時只能向系統(tǒng)管理員提出申請，這樣的管理環(huán)節(jié)中由于忽視了業(yè)務管理員的訴求，因此需要一個管理工具將云資源的申請、創(chuàng)建、釋放、銷毀等流程串聯(lián)起來，以實現(xiàn)“云資源全生命周期管理”。

圖2：云資源全生命周期管理

而為了實現(xiàn)對云資源的全生命周期管理，務必要擁有：自助式門戶、產(chǎn)品目錄管理、計費管理、訂單管理、工單中心、流程管理等功能模塊。

由此，我們可以總結(jié)出企業(yè)對于云管平臺的核心訴求。

圖3：企業(yè)對于云管平臺的核心訴求

當然，以上的總結(jié)是推理下的普遍特性，接下來，我們通過結(jié)合行云管家在金融行業(yè)所積累的大量銀行客戶案例，去深挖共性之下企業(yè)會需要什么樣的云管平臺。

　　行云管家：業(yè)界領先的第三方云管平臺

作為業(yè)界領先的第三方云管平臺，行云管家是國內(nèi)唯一一家以SaaS形態(tài)提供云管服務的廠商，目前已成功服務過10萬家的企業(yè)級用戶，行云管家為您提供針對多家云廠商、多種云資源的一站式管理解決方案，幫助我們的客戶：易上云、用好云、管好云。

4家銀行客戶案例詳述

案例一：某世界500強商業(yè)銀行

該銀行是國內(nèi)大型股份制商業(yè)銀行之一，世界500強企業(yè)之一，旗下科技部門下設架構(gòu)部、基礎運維組及100多個項目組，研發(fā)和運維人員均身處于嚴格的辦公內(nèi)網(wǎng)之中。

在使用云服務時，基于安全因素考量，該銀行客戶選擇了VPC網(wǎng)絡部署模式，由位于VPC內(nèi)的云主機對外提供相應的Web服務。

一方面是嚴格受限的辦公內(nèi)網(wǎng)，一方面是100多個項目組的云資源廣泛分布在AWS、阿里云之上，復雜網(wǎng)絡環(huán)境下的網(wǎng)絡互通不僅是個難題，如何保證各小組之間的數(shù)據(jù)隔離，也十分棘手。

圖4：某世界500強商業(yè)銀行云管架構(gòu)圖

面對這樣的問題，在行云管家中，我們將管理組件與連接組件進行了分離，負責“連接主機且創(chuàng)建主機會話”的功能模塊被抽象成可單獨部署的 “會話中轉(zhuǎn)服務”，通過部署多個會話中轉(zhuǎn)服務，即可實現(xiàn)每個VPC相互連通，以解決復雜網(wǎng)絡環(huán)境下的網(wǎng)絡互通問題。

圖5：某世界500強商業(yè)銀行內(nèi)網(wǎng)訪問云資源解決方案

此外，行云管家還提供多租戶隔離機制，可保證每個項目組均是一個獨立的租戶(暨團隊)，實現(xiàn)租戶與租戶之間的數(shù)據(jù)完全隔離，并通過工單流程實現(xiàn)各業(yè)務部門的業(yè)務協(xié)同，更重要的是，行云管家內(nèi)置了云堡壘機可為企業(yè)提供 “事前授權(quán)、事中監(jiān)管、事后審計”的安全運維、合規(guī)審計能力。

圖6：某世界500強商業(yè)銀行租戶隔離解決方案

案例二：中國某大型國有銀行總行

該銀行總行數(shù)據(jù)中心承擔著全行所有金融電子數(shù)據(jù)的生產(chǎn)運行、業(yè)務保障、數(shù)據(jù)管理、交易監(jiān)控以及門柜業(yè)務的后臺處理職能。

由于地理因素、網(wǎng)絡環(huán)境、安全規(guī)范的限制，在發(fā)生突發(fā)IT故障時，該銀行客戶各部門只能以各自集結(jié)點為主進行處置，難以統(tǒng)一集中、第一時間遠程接入業(yè)務環(huán)境開展應急處置工作。

圖7：中國某大型國有銀行總行應急平臺架構(gòu)圖

由此，行云管家為該銀行客戶搭建了一套統(tǒng)一應急響應平臺，通過此平臺的設備接入、會話協(xié)同、安全審計等特性，將多個數(shù)據(jù)中心、異地科技部門的設備和運維專家統(tǒng)一接入到平臺上來，利用行云管家Proxy技術(shù)無感知、無侵入的在本地網(wǎng)絡和平臺之間建立起一條安全、高效、可靠的網(wǎng)絡通道, 將所有分散在各地、不同類型不同廠商的設備統(tǒng)一納入平臺范圍，實現(xiàn)集中管控。

圖8：中國某大型國有銀行總行內(nèi)網(wǎng)訪問解決方案

基于角色模型實現(xiàn)最小權(quán)限控制，銀行各部門人員通過辦公網(wǎng)/互聯(lián)網(wǎng)絡實現(xiàn)遠程接入應急響應平臺，每個運維人員、每臺設備的操作權(quán)由指揮層統(tǒng)一調(diào)度和控制，遠在外地的技術(shù)專家還可借助行云管家提供的基于桌面會話分享的多路分發(fā)與協(xié)同解決方案，實時查看同步的遠程桌面，及時參與故障排查工作。

圖9：中國某大型國有銀行總行應急協(xié)同解決方案

案例三：中國六大銀行某銀行

從20世紀初開辦的儲金業(yè)務開始，至今已有百年歷史，通過建設大數(shù)據(jù)平臺對下一個百年意義重大，現(xiàn)今其大數(shù)據(jù)平臺下連接著數(shù)量眾多的各類型數(shù)據(jù)庫及主機資源。

面對數(shù)量眾多的IT資源，各方案廠商提供的管理工具卻無法實現(xiàn)統(tǒng)一管理，在銀保監(jiān)會的要求下，該銀行客戶急需一套大數(shù)據(jù)平臺數(shù)據(jù)操作安全管理系統(tǒng) ，以構(gòu)建自然數(shù)據(jù)安全操作審計屏障。

圖10：中國六大銀行某銀行大數(shù)據(jù)平臺數(shù)據(jù)操作安全管理系統(tǒng)

該銀行客戶通過部署行云管家，打造了自身的企業(yè)級IT運維中樞，承擔起用戶管理及運維數(shù)據(jù)資產(chǎn)的統(tǒng)一入口和中樞之職責，實現(xiàn)多來源用戶的接入及多重身份認證機制，并具備多種類型、多種來源設備的統(tǒng)一管理能力，如支持管理各類數(shù)據(jù)庫、主機等數(shù)據(jù)資產(chǎn)。

圖11：中國六大銀行某銀行IT運維中樞解決方案

在運維安全審計這塊，行云管家以“黑匣子”的形式，從旁路對運維操作進行日志記錄，不影響運維操作，且其審計日志記錄不可刪除、不可篡改，實現(xiàn)運維操作的可回溯、可追蹤。

借助行云管家，該銀行客戶還獲得了自定義安全策略能力，通過創(chuàng)建主機運維策略組與關聯(lián)設備進行關聯(lián)，就能實現(xiàn)對關聯(lián)主機上所執(zhí)行的高危指令進行自定義處理，通過數(shù)據(jù)庫訪問方案實現(xiàn)SQL語句的審批，并由工單流程批量放行，事后可通過“錄像/指令”雙重審計的形式進行精準高效的運維審計。

圖12：中國六大銀行某銀行運維安全審計解決方案

案例四：某世界500強商業(yè)銀行

該銀行是中國12家全國性股份制商業(yè)銀行之一，世界500強商業(yè)銀行之一，近年來其IT架構(gòu)正向多云、混合云方向轉(zhuǎn)變。

作為體制最為靈活的大型商業(yè)銀行，該銀行客戶很早就將大量的IT系統(tǒng)遷移至以AWS和阿里云為主的公有云環(huán)境，并有近百個IT系統(tǒng)搭建在此之上，銀行云管平臺負責對公有云資源的管理工作，企業(yè)AD域負責銀行內(nèi)部所有系統(tǒng)的用戶認證與鑒權(quán)。

出于金融監(jiān)管的安全性要求，原有的云管體系離安全、合規(guī)、高效的目標仍有差距，在原有的管理體系之外還需一套符合云原生特性的云堡壘機，并能與云管平臺、企業(yè)AD域緊密貼合，在實現(xiàn)個性化需求的同時，還能符合運維安全審計的標準規(guī)范。

圖13：某世界500強商業(yè)銀行安全運維審計架構(gòu)圖

在基于DevOps的理念下，該銀行客戶每天都有大量主機動態(tài)的創(chuàng)建與銷毀，因此也面臨著3個問題：

1)主機的動態(tài)變化信息如何自動同步到云堡壘機中?

2)一旦主機資源發(fā)生變化，如何能以用戶的業(yè)務視角查看主機列表?

3)結(jié)合企業(yè)AD域，當主機資源發(fā)生動態(tài)變化時如何與堡壘機自動更新用戶與主機資源之間的權(quán)限分配信息?

通過上線行云管家，該客戶的問題得到了很好的解決。

基于行云管家提供的30大項共計600多個OpenAPI，該銀行客戶編寫并部署了“云監(jiān)聽守候服務”，能夠監(jiān)聽主機變化并通過API將主機信息同步到云堡壘機中，所有一切均自動化執(zhí)行，用戶無需手動維護主機的動態(tài)變化。

行云管家云堡壘機支持按分組視圖展示主機列表，在行云管家管理界面用戶可自定義分組節(jié)點，如按網(wǎng)絡、按標簽、按分組等，也可通過OpenAPI動態(tài)維護，從而實現(xiàn)讓用戶以自己的業(yè)務視角展現(xiàn)主機列表。

圖14：某世界500強商業(yè)銀行自定義主機列表分組展示

通過在行云管家中配置AD域/LDAP服務作為用戶認證服務器，配置成功后，即可實現(xiàn)行云管家用戶體系與AD域/LDAP服務的自動同步，而用戶的認證與鑒權(quán)也會通過AD域/LDAP服務完成。

圖15：某世界500強商業(yè)銀行AD域授權(quán)同步解決方案

同時行云管家提供了主機資源授權(quán)的OpenAPI，該銀行客戶在“云監(jiān)聽守候服務”中，根據(jù)自己的業(yè)務邏輯，通過此API動態(tài)維護主機的授權(quán)信息，自動完成當主機資源發(fā)生動態(tài)變化時做到動態(tài)授權(quán)。

圖16：某世界500強商業(yè)銀行堡壘機解決方案

　　企業(yè)云管訴求提煉

最后，通過以上客戶案例的分析，我們其實不難發(fā)現(xiàn)企業(yè)對于云管平臺的一些訴求。

即，多云、混合云管理之下，實現(xiàn)對多家云廠商多種云計算資源的集中管理，從多云納管、云資源全生命周期、等保運維合規(guī)審計、租戶隔離自助式門戶、自動化運維、監(jiān)控與告警、成本管控、OpenAPI開放能力等多個維度提供統(tǒng)一運維管控。

對企業(yè)而言，只需一個控制臺，即可整合操作多個公有云、多個私有云 、混合云以及各種異構(gòu)資源，從而進行靈活的資源管理與運維。

圖17：行云管家云管平臺系統(tǒng)架構(gòu)圖

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）