金融企業需要什么樣的云管平臺
作為云計算領域的一個重要技術分支,在企業級IT服務體系里云管平臺已從傳統IT系統建設中脫胎而出,愈發博得企業客戶的關注。
那么何為云管平臺呢?來自國際最具權威的IT研究與顧問資訊公司Gartner的定義:云管平臺(Cloud Management Platform,CMP)是企業云戰略的一種產品形態,提供對公有云、私有云和混合云整合管理的產品。
由于所處行業、規模等因素影響,不同的企業在IT管理上都有著自己獨特的流程和特點,通過選取具有代表性的行業案例,我們可以歸納差異總結云管體系建設共性,而資金雄厚、IT基礎設施建設完備、看重系統安全規范性的金融企業銀行類客戶就非常具有代表性。
企業云管訴求的普遍特性
自云計算問世以來,從陌生觀望到完全接受總會經歷一個過程,而在此期間企業也會在試用不同云廠商的不用云產品,因此不可避免的會形成多云局面。綜合風險和安全的考量,在初具規模的企業中,多云不僅是公有云和公有云之間,也是公有云和私有云之間的混合式管理,在歷史的發展過程中由于已積累了不少云廠商的產品,在一個平臺內能實現不同云廠商不同云產品的統一納管,是其基礎訴求。
此外,對于云資源全生命周期的管理也是企業的核心訴求之一。企業的IT人員往往分為兩類,一類是面向公司整體IT架構基礎支撐的“系統管理員”,一類是隸屬于各個業務線且只為本業務線IT服務的“業務管理員”,我們以某大型商業銀行為例:
圖1:某大型商業銀行IT組織架構
在該銀行的IT組織架構中,架構部與基礎運維組承擔了系統管理員的角色,它們負責云廠商的選型以及對云資源的基礎管理工作;同時,銀行內部又存在上百個項目組,這些項目組承建具體的IT系統,如信用卡小程序、掌上銀行等等,這些項目組的IT人員則承擔了業務管理員的角色。
無論是公有云還是私有云廠商,他們提供的工具本質上是為系統管理員服務,業務管理員在需要云資源時只能向系統管理員提出申請,這樣的管理環節中由于忽視了業務管理員的訴求,因此需要一個管理工具將云資源的申請、創建、釋放、銷毀等流程串聯起來,以實現“云資源全生命周期管理”。
圖2:云資源全生命周期管理
而為了實現對云資源的全生命周期管理,務必要擁有:自助式門戶、產品目錄管理、計費管理、訂單管理、工單中心、流程管理等功能模塊。
由此,我們可以總結出企業對于云管平臺的核心訴求。
圖3:企業對于云管平臺的核心訴求
當然,以上的總結是推理下的普遍特性,接下來,我們通過結合行云管家在金融行業所積累的大量銀行客戶案例,去深挖共性之下企業會需要什么樣的云管平臺。
行云管家:業界領先的第三方云管平臺
作為業界領先的第三方云管平臺,行云管家是國內唯一一家以SaaS形態提供云管服務的廠商,目前已成功服務過10萬家的企業級用戶,行云管家為您提供針對多家云廠商、多種云資源的一站式管理解決方案,幫助我們的客戶:易上云、用好云、管好云。
4家銀行客戶案例詳述
案例一:某世界500強商業銀行
該銀行是國內大型股份制商業銀行之一,世界500強企業之一,旗下科技部門下設架構部、基礎運維組及100多個項目組,研發和運維人員均身處于嚴格的辦公內網之中。
在使用云服務時,基于安全因素考量,該銀行客戶選擇了VPC網絡部署模式,由位于VPC內的云主機對外提供相應的Web服務。
一方面是嚴格受限的辦公內網,一方面是100多個項目組的云資源廣泛分布在AWS、阿里云之上,復雜網絡環境下的網絡互通不僅是個難題,如何保證各小組之間的數據隔離,也十分棘手。
圖4:某世界500強商業銀行云管架構圖
面對這樣的問題,在行云管家中,我們將管理組件與連接組件進行了分離,負責“連接主機且創建主機會話”的功能模塊被抽象成可單獨部署的 “會話中轉服務”,通過部署多個會話中轉服務,即可實現每個VPC相互連通,以解決復雜網絡環境下的網絡互通問題。
圖5:某世界500強商業銀行內網訪問云資源解決方案
此外,行云管家還提供多租戶隔離機制,可保證每個項目組均是一個獨立的租戶(暨團隊),實現租戶與租戶之間的數據完全隔離,并通過工單流程實現各業務部門的業務協同,更重要的是,行云管家內置了云堡壘機可為企業提供 “事前授權、事中監管、事后審計”的安全運維、合規審計能力。
圖6:某世界500強商業銀行租戶隔離解決方案
案例二:中國某大型國有銀行總行
該銀行總行數據中心承擔著全行所有金融電子數據的生產運行、業務保障、數據管理、交易監控以及門柜業務的后臺處理職能。
由于地理因素、網絡環境、安全規范的限制,在發生突發IT故障時,該銀行客戶各部門只能以各自集結點為主進行處置,難以統一集中、第一時間遠程接入業務環境開展應急處置工作。
圖7:中國某大型國有銀行總行應急平臺架構圖
由此,行云管家為該銀行客戶搭建了一套統一應急響應平臺,通過此平臺的設備接入、會話協同、安全審計等特性,將多個數據中心、異地科技部門的設備和運維專家統一接入到平臺上來,利用行云管家Proxy技術無感知、無侵入的在本地網絡和平臺之間建立起一條安全、高效、可靠的網絡通道, 將所有分散在各地、不同類型不同廠商的設備統一納入平臺范圍,實現集中管控。
圖8:中國某大型國有銀行總行內網訪問解決方案
基于角色模型實現最小權限控制,銀行各部門人員通過辦公網/互聯網絡實現遠程接入應急響應平臺,每個運維人員、每臺設備的操作權由指揮層統一調度和控制,遠在外地的技術專家還可借助行云管家提供的基于桌面會話分享的多路分發與協同解決方案,實時查看同步的遠程桌面,及時參與故障排查工作。
圖9:中國某大型國有銀行總行應急協同解決方案
案例三:中國六大銀行某銀行
從20世紀初開辦的儲金業務開始,至今已有百年歷史,通過建設大數據平臺對下一個百年意義重大,現今其大數據平臺下連接著數量眾多的各類型數據庫及主機資源。
面對數量眾多的IT資源,各方案廠商提供的管理工具卻無法實現統一管理,在銀保監會的要求下,該銀行客戶急需一套大數據平臺數據操作安全管理系統 ,以構建自然數據安全操作審計屏障。
圖10:中國六大銀行某銀行大數據平臺數據操作安全管理系統
該銀行客戶通過部署行云管家,打造了自身的企業級IT運維中樞,承擔起用戶管理及運維數據資產的統一入口和中樞之職責,實現多來源用戶的接入及多重身份認證機制,并具備多種類型、多種來源設備的統一管理能力,如支持管理各類數據庫、主機等數據資產。
圖11:中國六大銀行某銀行IT運維中樞解決方案
在運維安全審計這塊,行云管家以“黑匣子”的形式,從旁路對運維操作進行日志記錄,不影響運維操作,且其審計日志記錄不可刪除、不可篡改,實現運維操作的可回溯、可追蹤。
借助行云管家,該銀行客戶還獲得了自定義安全策略能力,通過創建主機運維策略組與關聯設備進行關聯,就能實現對關聯主機上所執行的高危指令進行自定義處理,通過數據庫訪問方案實現SQL語句的審批,并由工單流程批量放行,事后可通過“錄像/指令”雙重審計的形式進行精準高效的運維審計。
圖12:中國六大銀行某銀行運維安全審計解決方案
案例四:某世界500強商業銀行
該銀行是中國12家全國性股份制商業銀行之一,世界500強商業銀行之一,近年來其IT架構正向多云、混合云方向轉變。
作為體制最為靈活的大型商業銀行,該銀行客戶很早就將大量的IT系統遷移至以AWS和阿里云為主的公有云環境,并有近百個IT系統搭建在此之上,銀行云管平臺負責對公有云資源的管理工作,企業AD域負責銀行內部所有系統的用戶認證與鑒權。
出于金融監管的安全性要求,原有的云管體系離安全、合規、高效的目標仍有差距,在原有的管理體系之外還需一套符合云原生特性的云堡壘機,并能與云管平臺、企業AD域緊密貼合,在實現個性化需求的同時,還能符合運維安全審計的標準規范。
圖13:某世界500強商業銀行安全運維審計架構圖
在基于DevOps的理念下,該銀行客戶每天都有大量主機動態的創建與銷毀,因此也面臨著3個問題:
1)主機的動態變化信息如何自動同步到云堡壘機中?
2)一旦主機資源發生變化,如何能以用戶的業務視角查看主機列表?
3)結合企業AD域,當主機資源發生動態變化時如何與堡壘機自動更新用戶與主機資源之間的權限分配信息?
通過上線行云管家,該客戶的問題得到了很好的解決。
基于行云管家提供的30大項共計600多個OpenAPI,該銀行客戶編寫并部署了“云監聽守候服務”,能夠監聽主機變化并通過API將主機信息同步到云堡壘機中,所有一切均自動化執行,用戶無需手動維護主機的動態變化。
行云管家云堡壘機支持按分組視圖展示主機列表,在行云管家管理界面用戶可自定義分組節點,如按網絡、按標簽、按分組等,也可通過OpenAPI動態維護,從而實現讓用戶以自己的業務視角展現主機列表。
圖14:某世界500強商業銀行自定義主機列表分組展示
通過在行云管家中配置AD域/LDAP服務作為用戶認證服務器,配置成功后,即可實現行云管家用戶體系與AD域/LDAP服務的自動同步,而用戶的認證與鑒權也會通過AD域/LDAP服務完成。
圖15:某世界500強商業銀行AD域授權同步解決方案
同時行云管家提供了主機資源授權的OpenAPI,該銀行客戶在“云監聽守候服務”中,根據自己的業務邏輯,通過此API動態維護主機的授權信息,自動完成當主機資源發生動態變化時做到動態授權。
圖16:某世界500強商業銀行堡壘機解決方案
企業云管訴求提煉
最后,通過以上客戶案例的分析,我們其實不難發現企業對于云管平臺的一些訴求。
即,多云、混合云管理之下,實現對多家云廠商多種云計算資源的集中管理,從多云納管、云資源全生命周期、等保運維合規審計、租戶隔離自助式門戶、自動化運維、監控與告警、成本管控、OpenAPI開放能力等多個維度提供統一運維管控。
對企業而言,只需一個控制臺,即可整合操作多個公有云、多個私有云 、混合云以及各種異構資源,從而進行靈活的資源管理與運維。
圖17:行云管家云管平臺系統架構圖
