网站首页 > 行业人物> 文章内容

企业需要什么样的云管平台——金融行业案例分析

※发布时间:2021-7-11 22:33:52   ※发布作者:habao   ※出自何处: 

  作为云计算领域的一个重要技术分支,在企业级IT服务体系里云管平台已从传统IT系统建设中脱胎而出,愈发博得企业客户的关注。

  那么何为云管平台呢?来自国际最具权威的IT研究与顾问资讯公司Gartner的定义:云管平台(Cloud Management Platform,CMP)是企业云战略的一种产品形态,提供对公有云、私有云和混合云整合管理的产品。

  由于所处行业、规模等因素影响,不同的企业在IT管理上都有着自己独特的流程和特点,通过选取具有代表性的行业案例,我们可以归纳差异总结云管体系建设共性,而资金雄厚、IT基础设施建设完备、看重系统安全规范性的金融行业银行类企业就非常具有代表性。

  自云计算问世以来,从陌生观望到完全接受总会经历一个过程,而在此期间企业也会在试用不同云厂商的不用云产品,因此不可避免的会形成多云局面。综合风险和安全的考量,在初具规模的企业中,多云不仅是公有云和公有云之间,也是公有云和私有云之间的混合式管理,在历史的发展过程中由于已积累了不少云厂商的产品,在一个平台内能实现不同云厂商不同云产品的统一纳管,是其基础。

  此外,对于云资源全生命周期的管理也是企业的核心之一。企业的IT人员往往分为两类,一类是面向公司整体IT架构基础支撑的“系统管理员”,一类是隶属于各个业务线且只为本业务线IT服务的“业务管理员”,我们以某大型商业银行为例:

  在该银行的IT组织架构中,架构部与基础运维组承担了系统管理员的角色,它们负责云厂商的选型以及对云资源的基础管理工作;同时,银行内部又存在上百个项目组,这些项目组承建具体的IT系统,如信用卡小程序、掌上银行等等,这些项目组的IT人员则承担了业务管理员的角色。

  无论是公有云还是私有云厂商,他们提供的工具本质上是为系统管理员服务,业务管理员在需要云资源时只能向系统管理员提出申请,这样的管理环节中由于忽视了业务管理员的,因此需要一个管理工具将云资源的申请、创建、、等流程起来,以实现“云资源全生命周期管理”。

  而为了实现对云资源的全生命周期管理,务必要拥有:自助式门户、产品目录管理、计费管理、订单管理、工单中心、流程管理等功能模块。

  当然,以上的总结是推理下的普遍特性,接下来,我们通过结合行云管家在金融行业所积累的大量银行客户案例,去深挖共性之下企业会需要什么样的云管平台。

  作为业界领先的第三方云管平台,行云管家是国内唯一一家以SaaS形态提供云管服务的厂商,目前已成功服务过10万家的企业级用户,行云管家为您提供针对多家云厂商、多种云资源的一站式管理解决方案,帮助我们的客户:易上云、用好云、管好云。

  该银行是国内大型股份制商属羊的今年多大业银行之一,世界500强企业之一,旗下科技部门下设架构部、基础运维组及100多个项目组,研发和运维人员均身处于严格的办公内网之中。

  在使用云服务时,基于安全因素考量,该银行客户选择了VPC网络部署模式,由位于VPC内的云主机对外提供相应的Web服务。

  一方面是严格受限的办公内网,一方面是100多个项目组的云资源广泛分布在AWS、阿里云之上,复杂网络下的网络互通不仅是个难题,如何各小组之间的数据隔离,也十分棘手。

  面对这样的问题,在行云管家中,我们将管理组件与连接组件进行了分离,负责“连接主机且创建主机会话”的功能模块被抽象成可单独部署的 “会话中转服务”,通过部署多个会话中转服务,即可实现每个VPC相互连通,以解决复杂网络下的网络互通问题。

  此外,行云管家还提供多租户隔离机制,可每个项目组均是一个的租户(暨团队),实现租户与租户之间的数据完全隔离,并通过工单流程实现各业务部门的业务协同,更重要的是,行云管家内置了云堡垒机可为企业提供 “事前授权、事中监管、事后审计”的安全运维、合规审计能力。

  该银行总行数据中心承担着全行所有金融电子数据的生产运行、业务保障、数据管理、交易以及门柜业务的后台处理职能。

  由于地理因素、网络、安全规范的,在发生突发IT故障时,该银行客户各部门只能以各自集结点为主进行处置,难以统一集中、第一时间远程接入业务开展应急处置工作。

  由此,行云管家为该银行客户搭建了一套统一应急响应平台,通过此平台的设备接入、会话协同、安全审计等特性,将多个数据中心、异地科技部门的设备和运维专家统一接入到平台上来,利用行云管家Proxy技术无、无侵入的在本地网络和平台之间建立起一条安全、高效、可靠的网络通道, 将所有分散在各地、不同类型不同厂商的设备统一纳入平台范围,实现集中管控。

  基于角色模型实现最小权限控制,银行各部门人员通过办公网/互联网络实现远程接入应急响应平台,每个运维人员、每台设备的操作权由指挥层统一调度和控制,远在外地的技术专家还可借助行云管家提供的基于桌面会话分享的多分发与协同解决方案,实时查看同步的远程桌面,及时参与故障排查工作。

  从20世纪初开办的储金业务开始,至今已有百年历史,通过建设大数据平台对下一个百年意义重大,现今其大数据平连接着数量众多的各类型数据库及主机资源。

  面对数量众多的IT资源,各方案厂商提供的管理工具却无法实现统一管理,在银保监会的要求下,该银行客户急需一套大数据平台数据操作安全管理系统 ,以构建自然数据安全操作审计屏障。

  该银行客户通过部署行云管家,打造了自身的企业级IT运维中枢,承担起用户管理及运维数据资产的统一入口和中枢之职责,实现多来源用户的接入及多重身份认证机制,并具备多种类型、多种来源设备的统一管理能力,如支持管理各类数据库、主机等数据资产。

  在运维安全审计这块,行云管家以“黑匣子”的形式,从旁对运维操作进行日志记录,不影响运维操作,且其审计日志记录不可删除、不可,实现运维操作的可回溯、可追踪。

  借助行云管家,该银行客户还获得了自定义安全策略能力,通过创建主机运维策略组与关联设备进行关联,就能实现对关联主机上所执行的高危指令进行自定义处理,通过数据库访问方案实现SQL语句的审批,并由工单流程批量放行,事后可通过“/指令”双重审计的形式进行精准高效的运维审计。

  该银行是中国12家股份制商业银行之一,世界500强商业银行之一,近年来其IT架构正向多云、混合云方向转变。

  作为体制最为灵活的大型商业银行,该银行客户很早就将大量的IT系统迁移至以AWS和阿里云为主的公有云,并有近百个IT系统搭建在此之上,银行云管平台负责对公有云资源的管理工作,企业AD域负责银行内部所有系统的用户认证与鉴权。

  出于金融监管的安全性要求,原有的云管体系离安全、合规、高效的目标仍有差距,在原有的管理体系之外还需一套符合云原生特性的云堡垒机,并能与云管平台、企业AD域紧密贴合,在实现个性化需求的同时,还能符合运维安全审计的标准规范。

  在基于DevOps的下,该银行客户每天都有大量主机动态的创建与,因此也面临着3个问题:

  3)结合企业AD域,当主机资源发生动态变化时如何与堡垒机自动更新用户与主机资源之间的权限分配信息?

  基于行云管家提供的30大项共计600多个OpenAPI,该银行客户编写并部署了“云守候服务”,能够主机变化并通过API将主机信息同步到云堡垒机中,所有一切均自动化执行,用户无需手动主机的动态变化。

  行云管家云堡垒机支持按分组视图展示主机列表,在行云管家管理界面用户可自定义分组节点,如按网络、按标签、按分组等,也可通过OpenAPI动态,从而实现让用户以自己的业务视角展现主机列表。

  通过在行云管家中配置AD域/LDAP服务作为用户认证服务器,配置成功后,即可实现行云管家用户体系与AD域/LDAP服务的自动同步,而用户的认证与鉴权也会通过AD域/LDAP服务完成。

  同时行云管家提供了主机资源授权的OpenAPI,该银行客户在“云守候服务”中,根据自己的业务逻辑,通过此API动态主机的授权信息,自动完成当主机资源发生动态变化时做到动态授权。

  即,多云、混合云管理之下,实现对多家云厂商多种云计算资源的集中管理,从多云纳管、云资源全生命周期、等保运维合规审计、租户隔离自助式门户、自动化运维、与告警、成本管控、OpenAPI能力等多个维度提供统一运维管控。

  对企业而言,只需一个控制台,即可整合操作多个公有云、多个私有云 、混合云以及各种异构资源,从而进行灵活的资源管理与运维。