那么何為云管平臺呢？來(lái)自國際最具權威的IT研究與顧問(wèn)資訊公司Gartner的定義：云管平臺（Cloud Management Platform，CMP）是企業(yè)云戰略的一種產(chǎn)品形態(tài)，提供對公有云、私有云和混合云整合管理的產(chǎn)品。

　　由于所處行業(yè)、規模等因素影響，不同的企業(yè)在IT管理上都有著(zhù)自己獨特的流程和特點(diǎn)，通過(guò)選取具有代表性的行業(yè)案例，我們可以歸納差異總結云管體系建設共性，而資金雄厚、IT基礎設施建設完備、看重系統安全規范性的金融行業(yè)銀行類(lèi)企業(yè)就非常具有代表性。

　　自云計算問(wèn)世以來(lái)，從陌生觀(guān)望到完全接受總會(huì )經(jīng)歷一個(gè)過(guò)程，而在此期間企業(yè)也會(huì )在試用不同云廠(chǎng)商的不用云產(chǎn)品，因此不可避免的會(huì )形成多云局面。綜合風(fēng)險和安全的考量，在初具規模的企業(yè)中，多云不僅是公有云和公有云之間，也是公有云和私有云之間的混合式管理，在歷史的發(fā)展過(guò)程中由于已積累了不少云廠(chǎng)商的產(chǎn)品，在一個(gè)平臺內能實(shí)現不同云廠(chǎng)商不同云產(chǎn)品的統一納管，是其基礎訴求。

　　此外，對于云資源全生命周期的管理也是企業(yè)的核心訴求之一。企業(yè)的IT人員往往分為兩類(lèi)，一類(lèi)是面向公司整體IT架構基礎支撐的“系統管理員”，一類(lèi)是隸屬于各個(gè)業(yè)務(wù)線(xiàn)且只為本業(yè)務(wù)線(xiàn)IT服務(wù)的“業(yè)務(wù)管理員”，我們以某大型商業(yè)銀行為例：

　　圖1：某大型商業(yè)銀行IT組織架構

　　在該銀行的IT組織架構中，架構部與基礎運維組承擔了系統管理員的角色，它們負責云廠(chǎng)商的選型以及對云資源的基礎管理工作；同時(shí)，銀行內部又存在上百個(gè)項目組，這些項目組承建具體的IT系統，如信用卡小程序、掌上銀行等等，這些項目組的IT人員則承擔了業(yè)務(wù)管理員的角色。

　　無(wú)論是公有云還是私有云廠(chǎng)商，他們提供的工具本質(zhì)上是為系統管理員服務(wù)，業(yè)務(wù)管理員在需要云資源時(shí)只能向系統管理員提出申請，這樣的管理環(huán)節中由于忽視了業(yè)務(wù)管理員的訴求，因此需要一個(gè)管理工具將云資源的申請、創(chuàng )建、釋放、銷(xiāo)毀等流程串聯(lián)起來(lái)，以實(shí)現“云資源全生命周期管理”。

　　圖2：云資源全生命周期管理

　　而為了實(shí)現對云資源的全生命周期管理，務(wù)必要擁有：自助式門(mén)戶(hù)、產(chǎn)品目錄管理、計費管理、訂單管理、工單中心、流程管理等功能模塊。

　　由此，我們可以總結出企業(yè)對于云管平臺的核心訴求。

　　圖3：企業(yè)對于云管平臺的核心訴求

　　當然，以上的總結是推理下的普遍特性，接下來(lái)，我們通過(guò)結合行云管家在金融行業(yè)所積累的大量銀行客戶(hù)案例，去深挖共性之下企業(yè)會(huì )需要什么樣的云管平臺。

　　作為業(yè)界領(lǐng)先的第三方云管平臺，行云管家是國內唯一一家以SaaS形態(tài)提供云管服務(wù)的廠(chǎng)商，目前已成功服務(wù)過(guò)10萬(wàn)家的企業(yè)級用戶(hù)，行云管家為您提供針對多家云廠(chǎng)商、多種云資源的一站式管理解決方案，幫助我們的客戶(hù)：易上云、用好云、管好云。

　　4家銀行客戶(hù)案例詳述

　　該銀行是國內大型股份制商業(yè)銀行之一，世界500強企業(yè)之一，旗下科技部門(mén)下設架構部、基礎運維組及100多個(gè)項目組，研發(fā)和運維人員均身處于嚴格的辦公內網(wǎng)之中。

　　在使用云服務(wù)時(shí)，基于安全因素考量，該銀行客戶(hù)選擇了VPC網(wǎng)絡(luò )部署模式，由位于VPC內的云主機對外提供相應的Web服務(wù)。

　　一方面是嚴格受限的辦公內網(wǎng)，一方面是100多個(gè)項目組的云資源廣泛分布在A(yíng)WS、阿里云之上，復雜網(wǎng)絡(luò )環(huán)境下的網(wǎng)絡(luò )互通不僅是個(gè)難題，如何保證各小組之間的數據隔離，也十分棘手。

　　圖4：某世界500強商業(yè)銀行云管架構圖

　　面對這樣的問(wèn)題，在行云管家中，我們將管理組件與連接組件進(jìn)行了分離，負責“連接主機且創(chuàng )建主機會(huì )話(huà)”的功能模塊被抽象成可單獨部署的 “會(huì )話(huà)中轉服務(wù)”，通過(guò)部署多個(gè)會(huì )話(huà)中轉服務(wù)，即可實(shí)現每個(gè)VPC相互連通，以解決復雜網(wǎng)絡(luò )環(huán)境下的網(wǎng)絡(luò )互通問(wèn)題。

　　圖5：某世界500強商業(yè)銀行內網(wǎng)訪(fǎng)問(wèn)云資源解決方案

　　此外，行云管家還提供多租戶(hù)隔離機制，可保證每個(gè)項目組均是一個(gè)獨立的租戶(hù)（暨團隊），實(shí)現租戶(hù)與租戶(hù)之間的數據完全隔離，并通過(guò)工單流程實(shí)現各業(yè)務(wù)部門(mén)的業(yè)務(wù)協(xié)同，更重要的是，行云管家內置了云堡壘機可為企業(yè)提供 “事前授權、事中監管、事后審計”的安全運維、合規審計能力。

　　圖6：某世界500強商業(yè)銀行租戶(hù)隔離解決方案

　　案例二：中國某大型國有銀行總行

　　該銀行總行數據中心承擔著(zhù)全行所有金融電子數據的生產(chǎn)運行、業(yè)務(wù)保障、數據管理、交易監控以及門(mén)柜業(yè)務(wù)的后臺處理職能。

　　由于地理因素、網(wǎng)絡(luò )環(huán)境、安全規范的限制，在發(fā)生突發(fā)IT故障時(shí)，該銀行客戶(hù)各部門(mén)只能以各自集結點(diǎn)為主進(jìn)行處置，難以統一集中、第一時(shí)間遠程接入業(yè)務(wù)環(huán)境開(kāi)展應急處置工作。

　　圖7：中國某大型國有銀行總行應急平臺架構圖

　　由此，行云管家為該銀行客戶(hù)搭建了一套統一應急響應平臺，通過(guò)此平臺的設備接入、會(huì )話(huà)協(xié)同、安全審計等特性，將多個(gè)數據中心、異地科技部門(mén)的設備和運維專(zhuān)家統一接入到平臺上來(lái)，利用行云管家Proxy技術(shù)無(wú)感知、無(wú)侵入的在本地網(wǎng)絡(luò )和平臺之間建立起一條安全、高效、可靠的網(wǎng)絡(luò )通道， 將所有分散在各地、不同類(lèi)型不同廠(chǎng)商的設備統一納入平臺范圍，實(shí)現集中管控。

　　圖8：中國某大型國有銀行總行內網(wǎng)訪(fǎng)問(wèn)解決方案

　　基于角色模型實(shí)現最小權限控制，銀行各部門(mén)人員通過(guò)辦公網(wǎng)/互聯(lián)網(wǎng)絡(luò )實(shí)現遠程接入應急響應平臺，每個(gè)運維人員、每臺設備的操作權由指揮層統一調度和控制，遠在外地的技術(shù)專(zhuān)家還可借助行云管家提供的基于桌面會(huì )話(huà)分享的多路分發(fā)與協(xié)同解決方案，實(shí)時(shí)查看同步的遠程桌面，及時(shí)參與故障排查工作。

　　圖9：中國某大型國有銀行總行應急協(xié)同解決方案

　　案例三：中國六大銀行某銀行

　　從20世紀初開(kāi)辦的儲金業(yè)務(wù)開(kāi)始，至今已有百年歷史，通過(guò)建設大數據平臺對下一個(gè)百年意義重大，現今其大數據平臺下連接著(zhù)數量眾多的各類(lèi)型數據庫及主機資源。

　　面對數量眾多的IT資源，各方案廠(chǎng)商提供的管理工具卻無(wú)法實(shí)現統一管理，在銀保監會(huì )的要求下，該銀行客戶(hù)急需一套大數據平臺數據操作安全管理系統 ，以構建自然數據安全操作審計屏障。

　　圖10：中國六大銀行某銀行大數據平臺數據操作安全管理系統

　　該銀行客戶(hù)通過(guò)部署行云管家，打造了自身的企業(yè)級IT運維中樞，承擔起用戶(hù)管理及運維數據資產(chǎn)的統一入口和中樞之職責，實(shí)現多來(lái)源用戶(hù)的接入及多重身份認證機制，并具備多種類(lèi)型、多種來(lái)源設備的統一管理能力，如支持管理各類(lèi)數據庫、主機等數據資產(chǎn)。

　　圖11：中國六大銀行某銀行IT運維中樞解決方案

　　在運維安全審計這塊，行云管家以“黑匣子”的形式，從旁路對運維操作進(jìn)行日志記錄，不影響運維操作，且其審計日志記錄不可刪除、不可篡改，實(shí)現運維操作的可回溯、可追蹤。

　　借助行云管家，該銀行客戶(hù)還獲得了自定義安全策略能力，通過(guò)創(chuàng )建主機運維策略組與關(guān)聯(lián)設備進(jìn)行關(guān)聯(lián)，就能實(shí)現對關(guān)聯(lián)主機上所執行的高危指令進(jìn)行自定義處理，通過(guò)數據庫訪(fǎng)問(wèn)方案實(shí)現SQL語(yǔ)句的審批，并由工單流程批量放行，事后可通過(guò)“錄像/指令”雙重審計的形式進(jìn)行精準高效的運維審計。

　　圖12：中國六大銀行某銀行運維安全審計解決方案

　　該銀行是中國12家全國性股份制商業(yè)銀行之一，世界500強商業(yè)銀行之一，近年來(lái)其IT架構正向多云、混合云方向轉變。

　　作為體制最為靈活的大型商業(yè)銀行，該銀行客戶(hù)很早就將大量的IT系統遷移至以AWS和阿里云為主的公有云環(huán)境，并有近百個(gè)IT系統搭建在此之上，銀行云管平臺負責對公有云資源的管理工作，企業(yè)AD域負責銀行內部所有系統的用戶(hù)認證與鑒權。

　　出于金融監管的安全性要求，原有的云管體系離安全、合規、高效的目標仍有差距，在原有的管理體系之外還需一套符合云原生特性的云堡壘機，并能與云管平臺、企業(yè)AD域緊密貼合，在實(shí)現個(gè)性化需求的同時(shí)，還能符合運維安全審計的標準規范。

　　圖13：某世界500強商業(yè)銀行安全運維審計架構圖

　　在基于DevOps的理念下，該銀行客戶(hù)每天都有大量主機動(dòng)態(tài)的創(chuàng )建與銷(xiāo)毀，因此也面臨著(zhù)3個(gè)問(wèn)題：

　　1）主機的動(dòng)態(tài)變化信息如何自動(dòng)同步到云堡壘機中？

　　2）一旦主機資源發(fā)生變化，如何能以用戶(hù)的業(yè)務(wù)視角查看主機列表？

　　3）結合企業(yè)AD域，當主機資源發(fā)生動(dòng)態(tài)變化時(shí)如何與堡壘機自動(dòng)更新用戶(hù)與主機資源之間的權限分配信息？

　　通過(guò)上線(xiàn)行云管家，該客戶(hù)的問(wèn)題得到了很好的解決。

　　基于行云管家提供的30大項共計600多個(gè)OpenAPI，該銀行客戶(hù)編寫(xiě)并部署了“云監聽(tīng)守候服務(wù)”，能夠監聽(tīng)主機變化并通過(guò)API將主機信息同步到云堡壘機中，所有一切均自動(dòng)化執行，用戶(hù)無(wú)需手動(dòng)維護主機的動(dòng)態(tài)變化。

　　行云管家云堡壘機支持按分組視圖展示主機列表，在行云管家管理界面用戶(hù)可自定義分組節點(diǎn)，如按網(wǎng)絡(luò )、按標簽、按分組等，也可通過(guò)OpenAPI動(dòng)態(tài)維護，從而實(shí)現讓用戶(hù)以自己的業(yè)務(wù)視角展現主機列表。

　　圖14：某世界500強商業(yè)銀行自定義主機列表分組展示

　　通過(guò)在行云管家中配置AD域/LDAP服務(wù)作為用戶(hù)認證服務(wù)器，配置成功后，即可實(shí)現行云管家用戶(hù)體系與AD域/LDAP服務(wù)的自動(dòng)同步，而用戶(hù)的認證與鑒權也會(huì )通過(guò)AD域/LDAP服務(wù)完成。

　　圖15：某世界500強商業(yè)銀行AD域授權同步解決方案

　　同時(shí)行云管家提供了主機資源授權的OpenAPI，該銀行客戶(hù)在“云監聽(tīng)守候服務(wù)”中，根據自己的業(yè)務(wù)邏輯，通過(guò)此API動(dòng)態(tài)維護主機的授權信息，自動(dòng)完成當主機資源發(fā)生動(dòng)態(tài)變化時(shí)做到動(dòng)態(tài)授權。

　　圖16：某世界500強商業(yè)銀行堡壘機解決方案

　　最后，通過(guò)以上客戶(hù)案例的分析，我們其實(shí)不難發(fā)現企業(yè)對于云管平臺的一些訴求。

　　即，多云、混合云管理之下，實(shí)現對多家云廠(chǎng)商多種云計算資源的集中管理，從多云納管、云資源全生命周期、等保運維合規審計、租戶(hù)隔離自助式門(mén)戶(hù)、自動(dòng)化運維、監控與告警、成本管控、OpenAPI開(kāi)放能力等多個(gè)維度提供統一運維管控。

　　對企業(yè)而言，只需一個(gè)控制臺，即可整合操作多個(gè)公有云、多個(gè)私有云 、混合云以及各種異構資源，從而進(jìn)行靈活的資源管理與運維。

　　圖17：行云管家云管平臺系統架構圖