企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

作為云計(jì)算領(lǐng)域的一個(gè)重要技術(shù)分支,在企業(yè)級(jí)IT服務(wù)體系里云管平臺(tái)已從傳統(tǒng)IT系統(tǒng)建設(shè)中脫胎而出,愈發(fā)博得企業(yè)客戶的關(guān)注。

那么何為云管平臺(tái)呢?來自國(guó)際最具權(quán)威的IT研究與顧問資訊公司Gartner的定義:云管平臺(tái)(Cloud Management Platform,CMP)是企業(yè)云戰(zhàn)略的一種產(chǎn)品形態(tài),提供對(duì)公有云、私有云和混合云整合管理的產(chǎn)品。

由于所處行業(yè)、規(guī)模等因素影響,不同的企業(yè)在IT管理上都有著自己獨(dú)特的流程和特點(diǎn),通過選取具有代表性的行業(yè)案例,我們可以歸納差異總結(jié)云管體系建設(shè)共性,而資金雄厚、IT基礎(chǔ)設(shè)施建設(shè)完備、看重系統(tǒng)安全規(guī)范性的金融行業(yè)銀行類企業(yè)就非常具有代表性。

企業(yè)云管訴求的普遍特性

自云計(jì)算問世以來,從陌生觀望到完全接受總會(huì)經(jīng)歷一個(gè)過程,而在此期間企業(yè)也會(huì)在試用不同云廠商的不用云產(chǎn)品,因此不可避免的會(huì)形成多云局面。綜合風(fēng)險(xiǎn)和安全的考量,在初具規(guī)模的企業(yè)中,多云不僅是公有云和公有云之間,也是公有云和私有云之間的混合式管理,在歷史的發(fā)展過程中由于已積累了不少云廠商的產(chǎn)品,在一個(gè)平臺(tái)內(nèi)能實(shí)現(xiàn)不同云廠商不同云產(chǎn)品的統(tǒng)一納管,是其基礎(chǔ)訴求。

此外,對(duì)于云資源全生命周期的管理也是企業(yè)的核心訴求之一。企業(yè)的IT人員往往分為兩類,一類是面向公司整體IT架構(gòu)基礎(chǔ)支撐的“系統(tǒng)管理員”,一類是隸屬于各個(gè)業(yè)務(wù)線且只為本業(yè)務(wù)線IT服務(wù)的“業(yè)務(wù)管理員”,我們以某大型商業(yè)銀行為例:

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖1:某大型商業(yè)銀行IT組織架構(gòu)

在該銀行的IT組織架構(gòu)中,架構(gòu)部與基礎(chǔ)運(yùn)維組承擔(dān)了系統(tǒng)管理員的角色,它們負(fù)責(zé)云廠商的選型以及對(duì)云資源的基礎(chǔ)管理工作;同時(shí),銀行內(nèi)部又存在上百個(gè)項(xiàng)目組,這些項(xiàng)目組承建具體的IT系統(tǒng),如信用卡小程序、掌上銀行等等,這些項(xiàng)目組的IT人員則承擔(dān)了業(yè)務(wù)管理員的角色。

無(wú)論是公有云還是私有云廠商,他們提供的工具本質(zhì)上是為系統(tǒng)管理員服務(wù),業(yè)務(wù)管理員在需要云資源時(shí)只能向系統(tǒng)管理員提出申請(qǐng),這樣的管理環(huán)節(jié)中由于忽視了業(yè)務(wù)管理員的訴求,因此需要一個(gè)管理工具將云資源的申請(qǐng)、創(chuàng)建、釋放、銷毀等流程串聯(lián)起來,以實(shí)現(xiàn)“云資源全生命周期管理”。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖2:云資源全生命周期管理

而為了實(shí)現(xiàn)對(duì)云資源的全生命周期管理,務(wù)必要擁有:自助式門戶、產(chǎn)品目錄管理、計(jì)費(fèi)管理、訂單管理、工單中心、流程管理等功能模塊。

由此,我們可以總結(jié)出企業(yè)對(duì)于云管平臺(tái)的核心訴求。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖3:企業(yè)對(duì)于云管平臺(tái)的核心訴求

當(dāng)然,以上的總結(jié)是推理下的普遍特性,接下來,我們通過結(jié)合行云管家在金融行業(yè)所積累的大量銀行客戶案例,去深挖共性之下企業(yè)會(huì)需要什么樣的云管平臺(tái)。

  行云管家:業(yè)界領(lǐng)先的第三方云管平臺(tái)

作為業(yè)界領(lǐng)先的第三方云管平臺(tái),行云管家是國(guó)內(nèi)唯一一家以SaaS形態(tài)提供云管服務(wù)的廠商,目前已成功服務(wù)過10萬(wàn)家的企業(yè)級(jí)用戶,行云管家為您提供針對(duì)多家云廠商、多種云資源的一站式管理解決方案,幫助我們的客戶:易上云、用好云、管好云。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

4家銀行客戶案例詳述

案例一:某世界500強(qiáng)商業(yè)銀行

該銀行是國(guó)內(nèi)大型股份制商業(yè)銀行之一,世界500強(qiáng)企業(yè)之一,旗下科技部門下設(shè)架構(gòu)部、基礎(chǔ)運(yùn)維組及100多個(gè)項(xiàng)目組,研發(fā)和運(yùn)維人員均身處于嚴(yán)格的辦公內(nèi)網(wǎng)之中。

在使用云服務(wù)時(shí),基于安全因素考量,該銀行客戶選擇了VPC網(wǎng)絡(luò)部署模式,由位于VPC內(nèi)的云主機(jī)對(duì)外提供相應(yīng)的Web服務(wù)。

一方面是嚴(yán)格受限的辦公內(nèi)網(wǎng),一方面是100多個(gè)項(xiàng)目組的云資源廣泛分布在AWS、阿里云之上,復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)互通不僅是個(gè)難題,如何保證各小組之間的數(shù)據(jù)隔離,也十分棘手。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖4:某世界500強(qiáng)商業(yè)銀行云管架構(gòu)圖

面對(duì)這樣的問題,在行云管家中,我們將管理組件與連接組件進(jìn)行了分離,負(fù)責(zé)“連接主機(jī)且創(chuàng)建主機(jī)會(huì)話”的功能模塊被抽象成可單獨(dú)部署的 “會(huì)話中轉(zhuǎn)服務(wù)”,通過部署多個(gè)會(huì)話中轉(zhuǎn)服務(wù),即可實(shí)現(xiàn)每個(gè)VPC相互連通,以解決復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)互通問題。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖5:某世界500強(qiáng)商業(yè)銀行內(nèi)網(wǎng)訪問云資源解決方案

此外,行云管家還提供多租戶隔離機(jī)制,可保證每個(gè)項(xiàng)目組均是一個(gè)獨(dú)立的租戶(暨團(tuán)隊(duì)),實(shí)現(xiàn)租戶與租戶之間的數(shù)據(jù)完全隔離,并通過工單流程實(shí)現(xiàn)各業(yè)務(wù)部門的業(yè)務(wù)協(xié)同,更重要的是,行云管家內(nèi)置了云堡壘機(jī)可為企業(yè)提供 “事前授權(quán)、事中監(jiān)管、事后審計(jì)”的安全運(yùn)維、合規(guī)審計(jì)能力。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖6:某世界500強(qiáng)商業(yè)銀行租戶隔離解決方案

案例二:中國(guó)某大型國(guó)有銀行總行

該銀行總行數(shù)據(jù)中心承擔(dān)著全行所有金融電子數(shù)據(jù)的生產(chǎn)運(yùn)行、業(yè)務(wù)保障、數(shù)據(jù)管理、交易監(jiān)控以及門柜業(yè)務(wù)的后臺(tái)處理職能。

由于地理因素、網(wǎng)絡(luò)環(huán)境、安全規(guī)范的限制,在發(fā)生突發(fā)IT故障時(shí),該銀行客戶各部門只能以各自集結(jié)點(diǎn)為主進(jìn)行處置,難以統(tǒng)一集中、第一時(shí)間遠(yuǎn)程接入業(yè)務(wù)環(huán)境開展應(yīng)急處置工作。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖7:中國(guó)某大型國(guó)有銀行總行應(yīng)急平臺(tái)架構(gòu)圖

由此,行云管家為該銀行客戶搭建了一套統(tǒng)一應(yīng)急響應(yīng)平臺(tái),通過此平臺(tái)的設(shè)備接入、會(huì)話協(xié)同、安全審計(jì)等特性,將多個(gè)數(shù)據(jù)中心、異地科技部門的設(shè)備和運(yùn)維專家統(tǒng)一接入到平臺(tái)上來,利用行云管家Proxy技術(shù)無(wú)感知、無(wú)侵入的在本地網(wǎng)絡(luò)和平臺(tái)之間建立起一條安全、高效、可靠的網(wǎng)絡(luò)通道, 將所有分散在各地、不同類型不同廠商的設(shè)備統(tǒng)一納入平臺(tái)范圍,實(shí)現(xiàn)集中管控。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖8:中國(guó)某大型國(guó)有銀行總行內(nèi)網(wǎng)訪問解決方案

基于角色模型實(shí)現(xiàn)最小權(quán)限控制,銀行各部門人員通過辦公網(wǎng)/互聯(lián)網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程接入應(yīng)急響應(yīng)平臺(tái),每個(gè)運(yùn)維人員、每臺(tái)設(shè)備的操作權(quán)由指揮層統(tǒng)一調(diào)度和控制,遠(yuǎn)在外地的技術(shù)專家還可借助行云管家提供的基于桌面會(huì)話分享的多路分發(fā)與協(xié)同解決方案,實(shí)時(shí)查看同步的遠(yuǎn)程桌面,及時(shí)參與故障排查工作。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖9:中國(guó)某大型國(guó)有銀行總行應(yīng)急協(xié)同解決方案

案例三:中國(guó)六大銀行某銀行

從20世紀(jì)初開辦的儲(chǔ)金業(yè)務(wù)開始,至今已有百年歷史,通過建設(shè)大數(shù)據(jù)平臺(tái)對(duì)下一個(gè)百年意義重大,現(xiàn)今其大數(shù)據(jù)平臺(tái)下連接著數(shù)量眾多的各類型數(shù)據(jù)庫(kù)及主機(jī)資源。

面對(duì)數(shù)量眾多的IT資源,各方案廠商提供的管理工具卻無(wú)法實(shí)現(xiàn)統(tǒng)一管理,在銀保監(jiān)會(huì)的要求下,該銀行客戶急需一套大數(shù)據(jù)平臺(tái)數(shù)據(jù)操作安全管理系統(tǒng) ,以構(gòu)建自然數(shù)據(jù)安全操作審計(jì)屏障。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖10:中國(guó)六大銀行某銀行大數(shù)據(jù)平臺(tái)數(shù)據(jù)操作安全管理系統(tǒng)

該銀行客戶通過部署行云管家,打造了自身的企業(yè)級(jí)IT運(yùn)維中樞,承擔(dān)起用戶管理及運(yùn)維數(shù)據(jù)資產(chǎn)的統(tǒng)一入口和中樞之職責(zé),實(shí)現(xiàn)多來源用戶的接入及多重身份認(rèn)證機(jī)制,并具備多種類型、多種來源設(shè)備的統(tǒng)一管理能力,如支持管理各類數(shù)據(jù)庫(kù)、主機(jī)等數(shù)據(jù)資產(chǎn)。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖11:中國(guó)六大銀行某銀行IT運(yùn)維中樞解決方案

在運(yùn)維安全審計(jì)這塊,行云管家以“黑匣子”的形式,從旁路對(duì)運(yùn)維操作進(jìn)行日志記錄,不影響運(yùn)維操作,且其審計(jì)日志記錄不可刪除、不可篡改,實(shí)現(xiàn)運(yùn)維操作的可回溯、可追蹤。

借助行云管家,該銀行客戶還獲得了自定義安全策略能力,通過創(chuàng)建主機(jī)運(yùn)維策略組與關(guān)聯(lián)設(shè)備進(jìn)行關(guān)聯(lián),就能實(shí)現(xiàn)對(duì)關(guān)聯(lián)主機(jī)上所執(zhí)行的高危指令進(jìn)行自定義處理,通過數(shù)據(jù)庫(kù)訪問方案實(shí)現(xiàn)SQL語(yǔ)句的審批,并由工單流程批量放行,事后可通過“錄像/指令”雙重審計(jì)的形式進(jìn)行精準(zhǔn)高效的運(yùn)維審計(jì)。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖12:中國(guó)六大銀行某銀行運(yùn)維安全審計(jì)解決方案

案例四:某世界500強(qiáng)商業(yè)銀行

該銀行是中國(guó)12家全國(guó)性股份制商業(yè)銀行之一,世界500強(qiáng)商業(yè)銀行之一,近年來其IT架構(gòu)正向多云、混合云方向轉(zhuǎn)變。

作為體制最為靈活的大型商業(yè)銀行,該銀行客戶很早就將大量的IT系統(tǒng)遷移至以AWS和阿里云為主的公有云環(huán)境,并有近百個(gè)IT系統(tǒng)搭建在此之上,銀行云管平臺(tái)負(fù)責(zé)對(duì)公有云資源的管理工作,企業(yè)AD域負(fù)責(zé)銀行內(nèi)部所有系統(tǒng)的用戶認(rèn)證與鑒權(quán)。

出于金融監(jiān)管的安全性要求,原有的云管體系離安全、合規(guī)、高效的目標(biāo)仍有差距,在原有的管理體系之外還需一套符合云原生特性的云堡壘機(jī),并能與云管平臺(tái)、企業(yè)AD域緊密貼合,在實(shí)現(xiàn)個(gè)性化需求的同時(shí),還能符合運(yùn)維安全審計(jì)的標(biāo)準(zhǔn)規(guī)范。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖13:某世界500強(qiáng)商業(yè)銀行安全運(yùn)維審計(jì)架構(gòu)圖

在基于DevOps的理念下,該銀行客戶每天都有大量主機(jī)動(dòng)態(tài)的創(chuàng)建與銷毀,因此也面臨著3個(gè)問題:

1)主機(jī)的動(dòng)態(tài)變化信息如何自動(dòng)同步到云堡壘機(jī)中?

2)一旦主機(jī)資源發(fā)生變化,如何能以用戶的業(yè)務(wù)視角查看主機(jī)列表?

3)結(jié)合企業(yè)AD域,當(dāng)主機(jī)資源發(fā)生動(dòng)態(tài)變化時(shí)如何與堡壘機(jī)自動(dòng)更新用戶與主機(jī)資源之間的權(quán)限分配信息?

通過上線行云管家,該客戶的問題得到了很好的解決。

基于行云管家提供的30大項(xiàng)共計(jì)600多個(gè)OpenAPI,該銀行客戶編寫并部署了“云監(jiān)聽守候服務(wù)”,能夠監(jiān)聽主機(jī)變化并通過API將主機(jī)信息同步到云堡壘機(jī)中,所有一切均自動(dòng)化執(zhí)行,用戶無(wú)需手動(dòng)維護(hù)主機(jī)的動(dòng)態(tài)變化。

行云管家云堡壘機(jī)支持按分組視圖展示主機(jī)列表,在行云管家管理界面用戶可自定義分組節(jié)點(diǎn),如按網(wǎng)絡(luò)、按標(biāo)簽、按分組等,也可通過OpenAPI動(dòng)態(tài)維護(hù),從而實(shí)現(xiàn)讓用戶以自己的業(yè)務(wù)視角展現(xiàn)主機(jī)列表。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖14:某世界500強(qiáng)商業(yè)銀行自定義主機(jī)列表分組展示

通過在行云管家中配置AD域/LDAP服務(wù)作為用戶認(rèn)證服務(wù)器,配置成功后,即可實(shí)現(xiàn)行云管家用戶體系與AD域/LDAP服務(wù)的自動(dòng)同步,而用戶的認(rèn)證與鑒權(quán)也會(huì)通過AD域/LDAP服務(wù)完成。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖15:某世界500強(qiáng)商業(yè)銀行AD域授權(quán)同步解決方案

同時(shí)行云管家提供了主機(jī)資源授權(quán)的OpenAPI,該銀行客戶在“云監(jiān)聽守候服務(wù)”中,根據(jù)自己的業(yè)務(wù)邏輯,通過此API動(dòng)態(tài)維護(hù)主機(jī)的授權(quán)信息,自動(dòng)完成當(dāng)主機(jī)資源發(fā)生動(dòng)態(tài)變化時(shí)做到動(dòng)態(tài)授權(quán)。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖16:某世界500強(qiáng)商業(yè)銀行堡壘機(jī)解決方案

  企業(yè)云管訴求提煉

最后,通過以上客戶案例的分析,我們其實(shí)不難發(fā)現(xiàn)企業(yè)對(duì)于云管平臺(tái)的一些訴求。

即,多云、混合云管理之下,實(shí)現(xiàn)對(duì)多家云廠商多種云計(jì)算資源的集中管理,從多云納管、云資源全生命周期、等保運(yùn)維合規(guī)審計(jì)、租戶隔離自助式門戶、自動(dòng)化運(yùn)維、監(jiān)控與告警、成本管控、OpenAPI開放能力等多個(gè)維度提供統(tǒng)一運(yùn)維管控。

對(duì)企業(yè)而言,只需一個(gè)控制臺(tái),即可整合操作多個(gè)公有云、多個(gè)私有云 、混合云以及各種異構(gòu)資源,從而進(jìn)行靈活的資源管理與運(yùn)維。

企業(yè)需要什么樣的云管平臺(tái)——金融行業(yè)案例分析

圖17:行云管家云管平臺(tái)系統(tǒng)架構(gòu)圖

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )