那么何為云管平臺呢？來自國際最具權(quán)威的IT研究與顧問資訊公司Gartner的定義：云管平臺（Cloud Management Platform，CMP）是企業(yè)云戰(zhàn)略的一種產(chǎn)品形態(tài)，提供對公有云、私有云和混合云整合管理的產(chǎn)品。

　　由于所處行業(yè)、規(guī)模等因素影響，不同的企業(yè)在IT管理上都有著自己獨特的流程和特點，通過選取具有代表性的行業(yè)案例，我們可以歸納差異總結(jié)云管體系建設(shè)共性，而資金雄厚、IT基礎(chǔ)設(shè)施建設(shè)完備、看重系統(tǒng)安全規(guī)范性的金融行業(yè)銀行類企業(yè)就非常具有代表性。

　　自云計算問世以來，從陌生觀望到完全接受總會經(jīng)歷一個過程，而在此期間企業(yè)也會在試用不同云廠商的不用云產(chǎn)品，因此不可避免的會形成多云局面。綜合風(fēng)險和安全的考量，在初具規(guī)模的企業(yè)中，多云不僅是公有云和公有云之間，也是公有云和私有云之間的混合式管理，在歷史的發(fā)展過程中由于已積累了不少云廠商的產(chǎn)品，在一個平臺內(nèi)能實現(xiàn)不同云廠商不同云產(chǎn)品的統(tǒng)一納管，是其基礎(chǔ)訴求。

　　此外，對于云資源全生命周期的管理也是企業(yè)的核心訴求之一。企業(yè)的IT人員往往分為兩類，一類是面向公司整體IT架構(gòu)基礎(chǔ)支撐的“系統(tǒng)管理員”，一類是隸屬于各個業(yè)務(wù)線且只為本業(yè)務(wù)線IT服務(wù)的“業(yè)務(wù)管理員”，我們以某大型商業(yè)銀行為例：

　　圖1：某大型商業(yè)銀行IT組織架構(gòu)

　　在該銀行的IT組織架構(gòu)中，架構(gòu)部與基礎(chǔ)運維組承擔(dān)了系統(tǒng)管理員的角色，它們負(fù)責(zé)云廠商的選型以及對云資源的基礎(chǔ)管理工作；同時，銀行內(nèi)部又存在上百個項目組，這些項目組承建具體的IT系統(tǒng)，如信用卡小程序、掌上銀行等等，這些項目組的IT人員則承擔(dān)了業(yè)務(wù)管理員的角色。

　　無論是公有云還是私有云廠商，他們提供的工具本質(zhì)上是為系統(tǒng)管理員服務(wù)，業(yè)務(wù)管理員在需要云資源時只能向系統(tǒng)管理員提出申請，這樣的管理環(huán)節(jié)中由于忽視了業(yè)務(wù)管理員的訴求，因此需要一個管理工具將云資源的申請、創(chuàng)建、釋放、銷毀等流程串聯(lián)起來，以實現(xiàn)“云資源全生命周期管理”。

　　圖2：云資源全生命周期管理

　　而為了實現(xiàn)對云資源的全生命周期管理，務(wù)必要擁有：自助式門戶、產(chǎn)品目錄管理、計費管理、訂單管理、工單中心、流程管理等功能模塊。

　　由此，我們可以總結(jié)出企業(yè)對于云管平臺的核心訴求。

　　圖3：企業(yè)對于云管平臺的核心訴求

　　當(dāng)然，以上的總結(jié)是推理下的普遍特性，接下來，我們通過結(jié)合行云管家在金融行業(yè)所積累的大量銀行客戶案例，去深挖共性之下企業(yè)會需要什么樣的云管平臺。

　　作為業(yè)界領(lǐng)先的第三方云管平臺，行云管家是國內(nèi)唯一一家以SaaS形態(tài)提供云管服務(wù)的廠商，目前已成功服務(wù)過10萬家的企業(yè)級用戶，行云管家為您提供針對多家云廠商、多種云資源的一站式管理解決方案，幫助我們的客戶：易上云、用好云、管好云。

　　4家銀行客戶案例詳述

　　該銀行是國內(nèi)大型股份制商業(yè)銀行之一，世界500強企業(yè)之一，旗下科技部門下設(shè)架構(gòu)部、基礎(chǔ)運維組及100多個項目組，研發(fā)和運維人員均身處于嚴(yán)格的辦公內(nèi)網(wǎng)之中。

　　在使用云服務(wù)時，基于安全因素考量，該銀行客戶選擇了VPC網(wǎng)絡(luò)部署模式，由位于VPC內(nèi)的云主機對外提供相應(yīng)的Web服務(wù)。

　　一方面是嚴(yán)格受限的辦公內(nèi)網(wǎng)，一方面是100多個項目組的云資源廣泛分布在AWS、阿里云之上，復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)互通不僅是個難題，如何保證各小組之間的數(shù)據(jù)隔離，也十分棘手。

　　圖4：某世界500強商業(yè)銀行云管架構(gòu)圖

　　面對這樣的問題，在行云管家中，我們將管理組件與連接組件進行了分離，負(fù)責(zé)“連接主機且創(chuàng)建主機會話”的功能模塊被抽象成可單獨部署的 “會話中轉(zhuǎn)服務(wù)”，通過部署多個會話中轉(zhuǎn)服務(wù)，即可實現(xiàn)每個VPC相互連通，以解決復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)互通問題。

　　圖5：某世界500強商業(yè)銀行內(nèi)網(wǎng)訪問云資源解決方案

　　此外，行云管家還提供多租戶隔離機制，可保證每個項目組均是一個獨立的租戶（暨團隊），實現(xiàn)租戶與租戶之間的數(shù)據(jù)完全隔離，并通過工單流程實現(xiàn)各業(yè)務(wù)部門的業(yè)務(wù)協(xié)同，更重要的是，行云管家內(nèi)置了云堡壘機可為企業(yè)提供 “事前授權(quán)、事中監(jiān)管、事后審計”的安全運維、合規(guī)審計能力。

　　圖6：某世界500強商業(yè)銀行租戶隔離解決方案

　　案例二：中國某大型國有銀行總行

　　該銀行總行數(shù)據(jù)中心承擔(dān)著全行所有金融電子數(shù)據(jù)的生產(chǎn)運行、業(yè)務(wù)保障、數(shù)據(jù)管理、交易監(jiān)控以及門柜業(yè)務(wù)的后臺處理職能。

　　由于地理因素、網(wǎng)絡(luò)環(huán)境、安全規(guī)范的限制，在發(fā)生突發(fā)IT故障時，該銀行客戶各部門只能以各自集結(jié)點為主進行處置，難以統(tǒng)一集中、第一時間遠程接入業(yè)務(wù)環(huán)境開展應(yīng)急處置工作。

　　圖7：中國某大型國有銀行總行應(yīng)急平臺架構(gòu)圖

　　由此，行云管家為該銀行客戶搭建了一套統(tǒng)一應(yīng)急響應(yīng)平臺，通過此平臺的設(shè)備接入、會話協(xié)同、安全審計等特性，將多個數(shù)據(jù)中心、異地科技部門的設(shè)備和運維專家統(tǒng)一接入到平臺上來，利用行云管家Proxy技術(shù)無感知、無侵入的在本地網(wǎng)絡(luò)和平臺之間建立起一條安全、高效、可靠的網(wǎng)絡(luò)通道， 將所有分散在各地、不同類型不同廠商的設(shè)備統(tǒng)一納入平臺范圍，實現(xiàn)集中管控。

　　圖8：中國某大型國有銀行總行內(nèi)網(wǎng)訪問解決方案

　　基于角色模型實現(xiàn)最小權(quán)限控制，銀行各部門人員通過辦公網(wǎng)/互聯(lián)網(wǎng)絡(luò)實現(xiàn)遠程接入應(yīng)急響應(yīng)平臺，每個運維人員、每臺設(shè)備的操作權(quán)由指揮層統(tǒng)一調(diào)度和控制，遠在外地的技術(shù)專家還可借助行云管家提供的基于桌面會話分享的多路分發(fā)與協(xié)同解決方案，實時查看同步的遠程桌面，及時參與故障排查工作。

　　圖9：中國某大型國有銀行總行應(yīng)急協(xié)同解決方案

　　案例三：中國六大銀行某銀行

　　從20世紀(jì)初開辦的儲金業(yè)務(wù)開始，至今已有百年歷史，通過建設(shè)大數(shù)據(jù)平臺對下一個百年意義重大，現(xiàn)今其大數(shù)據(jù)平臺下連接著數(shù)量眾多的各類型數(shù)據(jù)庫及主機資源。

　　面對數(shù)量眾多的IT資源，各方案廠商提供的管理工具卻無法實現(xiàn)統(tǒng)一管理，在銀保監(jiān)會的要求下，該銀行客戶急需一套大數(shù)據(jù)平臺數(shù)據(jù)操作安全管理系統(tǒng) ，以構(gòu)建自然數(shù)據(jù)安全操作審計屏障。

　　圖10：中國六大銀行某銀行大數(shù)據(jù)平臺數(shù)據(jù)操作安全管理系統(tǒng)

　　該銀行客戶通過部署行云管家，打造了自身的企業(yè)級IT運維中樞，承擔(dān)起用戶管理及運維數(shù)據(jù)資產(chǎn)的統(tǒng)一入口和中樞之職責(zé)，實現(xiàn)多來源用戶的接入及多重身份認(rèn)證機制，并具備多種類型、多種來源設(shè)備的統(tǒng)一管理能力，如支持管理各類數(shù)據(jù)庫、主機等數(shù)據(jù)資產(chǎn)。

　　圖11：中國六大銀行某銀行IT運維中樞解決方案

　　在運維安全審計這塊，行云管家以“黑匣子”的形式，從旁路對運維操作進行日志記錄，不影響運維操作，且其審計日志記錄不可刪除、不可篡改，實現(xiàn)運維操作的可回溯、可追蹤。

　　借助行云管家，該銀行客戶還獲得了自定義安全策略能力，通過創(chuàng)建主機運維策略組與關(guān)聯(lián)設(shè)備進行關(guān)聯(lián)，就能實現(xiàn)對關(guān)聯(lián)主機上所執(zhí)行的高危指令進行自定義處理，通過數(shù)據(jù)庫訪問方案實現(xiàn)SQL語句的審批，并由工單流程批量放行，事后可通過“錄像/指令”雙重審計的形式進行精準(zhǔn)高效的運維審計。

　　圖12：中國六大銀行某銀行運維安全審計解決方案

　　該銀行是中國12家全國性股份制商業(yè)銀行之一，世界500強商業(yè)銀行之一，近年來其IT架構(gòu)正向多云、混合云方向轉(zhuǎn)變。

　　作為體制最為靈活的大型商業(yè)銀行，該銀行客戶很早就將大量的IT系統(tǒng)遷移至以AWS和阿里云為主的公有云環(huán)境，并有近百個IT系統(tǒng)搭建在此之上，銀行云管平臺負(fù)責(zé)對公有云資源的管理工作，企業(yè)AD域負(fù)責(zé)銀行內(nèi)部所有系統(tǒng)的用戶認(rèn)證與鑒權(quán)。

　　出于金融監(jiān)管的安全性要求，原有的云管體系離安全、合規(guī)、高效的目標(biāo)仍有差距，在原有的管理體系之外還需一套符合云原生特性的云堡壘機，并能與云管平臺、企業(yè)AD域緊密貼合，在實現(xiàn)個性化需求的同時，還能符合運維安全審計的標(biāo)準(zhǔn)規(guī)范。

　　圖13：某世界500強商業(yè)銀行安全運維審計架構(gòu)圖

　　在基于DevOps的理念下，該銀行客戶每天都有大量主機動態(tài)的創(chuàng)建與銷毀，因此也面臨著3個問題：

　　1）主機的動態(tài)變化信息如何自動同步到云堡壘機中？

　　2）一旦主機資源發(fā)生變化，如何能以用戶的業(yè)務(wù)視角查看主機列表？

　　3）結(jié)合企業(yè)AD域，當(dāng)主機資源發(fā)生動態(tài)變化時如何與堡壘機自動更新用戶與主機資源之間的權(quán)限分配信息？

　　通過上線行云管家，該客戶的問題得到了很好的解決。

　　基于行云管家提供的30大項共計600多個OpenAPI，該銀行客戶編寫并部署了“云監(jiān)聽守候服務(wù)”，能夠監(jiān)聽主機變化并通過API將主機信息同步到云堡壘機中，所有一切均自動化執(zhí)行，用戶無需手動維護主機的動態(tài)變化。

　　行云管家云堡壘機支持按分組視圖展示主機列表，在行云管家管理界面用戶可自定義分組節(jié)點，如按網(wǎng)絡(luò)、按標(biāo)簽、按分組等，也可通過OpenAPI動態(tài)維護，從而實現(xiàn)讓用戶以自己的業(yè)務(wù)視角展現(xiàn)主機列表。

　　圖14：某世界500強商業(yè)銀行自定義主機列表分組展示

　　通過在行云管家中配置AD域/LDAP服務(wù)作為用戶認(rèn)證服務(wù)器，配置成功后，即可實現(xiàn)行云管家用戶體系與AD域/LDAP服務(wù)的自動同步，而用戶的認(rèn)證與鑒權(quán)也會通過AD域/LDAP服務(wù)完成。

　　圖15：某世界500強商業(yè)銀行AD域授權(quán)同步解決方案

　　同時行云管家提供了主機資源授權(quán)的OpenAPI，該銀行客戶在“云監(jiān)聽守候服務(wù)”中，根據(jù)自己的業(yè)務(wù)邏輯，通過此API動態(tài)維護主機的授權(quán)信息，自動完成當(dāng)主機資源發(fā)生動態(tài)變化時做到動態(tài)授權(quán)。

　　圖16：某世界500強商業(yè)銀行堡壘機解決方案

　　最后，通過以上客戶案例的分析，我們其實不難發(fā)現(xiàn)企業(yè)對于云管平臺的一些訴求。

　　即，多云、混合云管理之下，實現(xiàn)對多家云廠商多種云計算資源的集中管理，從多云納管、云資源全生命周期、等保運維合規(guī)審計、租戶隔離自助式門戶、自動化運維、監(jiān)控與告警、成本管控、OpenAPI開放能力等多個維度提供統(tǒng)一運維管控。

　　對企業(yè)而言，只需一個控制臺，即可整合操作多個公有云、多個私有云 、混合云以及各種異構(gòu)資源，從而進行靈活的資源管理與運維。

　　圖17：行云管家云管平臺系統(tǒng)架構(gòu)圖