神通資科早在2011年就采用外商Joyent提供的虛擬化技術(shù)為基礎(chǔ)并推出了第一代MiCloud,在自行擴充了問題追蹤、版本控制、自動化部署等管理功能。但在網(wǎng)絡(luò)資安架構(gòu)上,如IPS、路由器、防火墻、交換器、負載平衡器等設(shè)備,仍然沿用南北方向的防護架構(gòu)設(shè)計。除了內(nèi)部使用外,MiCloud當(dāng)時也以公有云服務(wù)模式對外提供租用,或作為承包系統(tǒng)的基礎(chǔ)架構(gòu),是臺灣很早就開始提供服務(wù)的本土公有云供應(yīng)商。
舊版MiCloud不足支撐未來業(yè)務(wù),必須升級至2.0版
不過,MiCloud上線至今超過5年,郭俊麟坦言:「1.0版的穩(wěn)定性、彈性,以及擴充性,已經(jīng)不足支撐未來發(fā)展需求」,再加上,近兩年因應(yīng)外在環(huán)境變化,神通資科原有的七大事業(yè)群,已經(jīng)重新整并為成四大事業(yè)群,包含智慧終端、物聯(lián)網(wǎng)、云平臺代理等事業(yè)群。由於開發(fā)團隊缺乏足夠設(shè)備,無法加速開發(fā)速度,也拖累了部分專案,進度常常超過期限。因此,神通想要升級MiCloud,因而成立了特殊技術(shù)團隊,以專案形式來開發(fā)MiCloud 2.0平臺。
神通資科高層也對2.0版寄予厚望,提出多項要求,郭俊麟表示,首先必須有足夠的運作穩(wěn)定度,才能讓專案團隊有效運用IT資源。其次,要能支援各事業(yè)群旗下的軟件開發(fā)團隊,提供專屬開發(fā)、整合測試環(huán)境。
第三,每個專案測試環(huán)境,都能快速自動部署、建置,而且彼此間不能互相影響。最後一項要求是確保連線安全,無論從內(nèi)部、外部連線,都要確保資料的安全性、機密性。
郭俊麟希望透過MiCloud 2.0來達到集中資源、資源共享及成本效益三個目標(biāo)。在這套公私混用的虛擬化平臺上,神通資科可以將網(wǎng)絡(luò)環(huán)境、技術(shù)人力、硬體資源集中,除了能建立標(biāo)準(zhǔn)化管理作業(yè)外,也能減少各事業(yè)群對設(shè)備、網(wǎng)絡(luò)機房的租賃成本。
而在MiCloud 2.0版平臺設(shè)計上,分為四大區(qū)塊,包含MIS服務(wù)云平臺、智慧開發(fā)云平臺、智慧產(chǎn)品云平臺以及公有云服務(wù)云平臺。
而郭俊麟表示,其中又以智慧開發(fā)云平臺為核心,提供神通資科內(nèi)部、外部服務(wù)系統(tǒng)的開發(fā)、測試、驗證工作。連神通資科內(nèi)部的MIS服務(wù),也要部署在MiCloud 2.0。
從2016年第二季開始,負責(zé)開發(fā)新一代MiCloud的技術(shù)團隊除了了解各事業(yè)群的需求之外,也針對市面上各類虛擬化產(chǎn)品進行研究,包含VMware、微軟、OpenStack等IaaS平臺技術(shù),評估其創(chuàng)新性、整合性及維護成本,後來神通資科選定使用VMware的解決方案,同時也導(dǎo)入網(wǎng)絡(luò)虛擬化技術(shù)NSX,「藉此想簡化網(wǎng)絡(luò)設(shè)備的管理!构△虢忉。
不過,郭俊麟表示,實際建置中仍然碰上許多痛點。首先,過去MIS團隊負責(zé)內(nèi)部實體網(wǎng)絡(luò)的管理、維運工作,IT人員較少有建置網(wǎng)絡(luò)虛擬化環(huán)境的經(jīng)驗,「讓NSX與實體網(wǎng)絡(luò)結(jié)合時,首先要讓團隊清楚NSX的運作架構(gòu)。」
同時,MiCloud 2.0建置團隊也要要現(xiàn)有網(wǎng)絡(luò)設(shè)備成本列入考量。郭俊麟解釋,新舊設(shè)備都要進行整理、規(guī)畫,而基於成本因素,團隊必須一同整并新購及舊有設(shè)備,「由於舊設(shè)備的效能不足,因此只有將新購設(shè)備加入虛擬化平臺!
第三個痛點是內(nèi)部、外部資安作業(yè)模式的協(xié)調(diào)、改變,由於神通資科團隊會進駐企業(yè)進行開發(fā),但出於開發(fā)需求,仍得要連回內(nèi)部測試環(huán)境,因此必須確保連線過程安全無虞,「部分用戶的資料具備機敏性,也不允許往外連線!
神通資訊科技處長郭俊麟表示,開發(fā)者可以利用vRealize Automation呼叫底層NSX的API,根據(jù)申請者所需要的網(wǎng)絡(luò)組態(tài)進行部署。因此使用者不需要介入部署流程(攝影/王立恒)。
減少網(wǎng)絡(luò)設(shè)備相依性,把網(wǎng)絡(luò)設(shè)備當(dāng)作VM管理
因應(yīng)這些挑戰(zhàn),神通資科的IT架構(gòu)必須有所扭轉(zhuǎn)。郭俊麟表示,首先必須要減少網(wǎng)絡(luò)硬體相依性,讓網(wǎng)絡(luò)建置、刪除及部署盡量透明化,「我們也思考網(wǎng)絡(luò)的管理,是否可以像管理VM」,讓網(wǎng)絡(luò)設(shè)備當(dāng)作VM,透過vCenter管理。
導(dǎo)入NSX後,也因而簡化神通資科網(wǎng)絡(luò)環(huán)境的建置過程。郭俊麟表示,過去網(wǎng)絡(luò)服務(wù)要上線,首先得提出專案開發(fā)需求,接著網(wǎng)絡(luò)管理人員設(shè)定網(wǎng)絡(luò),而基礎(chǔ)架構(gòu)管理人員建置所需VM。最後,才輪到資安人員部署設(shè)定開發(fā)環(huán)境所需要的資安管理政策,「如果其中有任何錯誤,整個流程得要重頭來過!
另外,傳統(tǒng)網(wǎng)絡(luò)環(huán)境都是以VLAN進行切割,如果各事業(yè)群都要隔離,唯一方法就是使用VLAN劃分各個網(wǎng)域。不過郭俊麟表示,神通資科至少有90個專案同步進行,如此得要添購相當(dāng)多網(wǎng)絡(luò)設(shè)備。不只如此,倘若各專案、事群要部署獨立的防火墻、負載平衡器,得耗費更多人力成本及時間。
而神通資科的解法,是結(jié)合NSX還有vRealize Automation,利用NSX將底層網(wǎng)絡(luò)虛擬化,并且利用vRealize Automation進行快速部署。而透過NSX微切分功能,神通資科也將不同專案的測試環(huán)境隔離,「隔離外部流入的網(wǎng)絡(luò),確保它不會對內(nèi)部網(wǎng)絡(luò)環(huán)境造成影響。」
整合NSX及Windows AD
現(xiàn)在神通資科也整合NSX微切分功能及Windows AD,建立東西向防火墻。「因為傳統(tǒng)防火墻,通常都是確保南北向網(wǎng)絡(luò)的安全,缺乏東西向防護!构△氡硎,神通資科原本就已經(jīng)利用Windows AD,定義使用者權(quán)限,限制各別使用者VM的登入權(quán)限。而透過NSX,即使算在同一網(wǎng)段,也能限制該員不能存取特定VM的資源。
另外,各事業(yè)群也開始將測試環(huán)境的所需防火墻、路由器、負載平衡器,利用NSX自動部署,如此網(wǎng)絡(luò)管理員就不需要一一介入管理。郭俊麟表示,現(xiàn)在開發(fā)者可以利用vRealize Automation呼叫底層NSX的API,根據(jù)申請者所需要的網(wǎng)絡(luò)組態(tài)進行部署。
因此,使用者不需要介入部署流程。再者,當(dāng)網(wǎng)絡(luò)安全群組(Security Group)建立完成後,同樣也能利用vRealize Automation呼叫底層NSX API,針對每個安全群組,設(shè)定統(tǒng)一的資安管理政策。
用NSX封鎖VM存取權(quán)限,避免勒索軟件擴散
郭俊麟表示,初期服務(wù)上線後,曾經(jīng)有一個測試單位的專案,臨時需要測試VM。但是開發(fā)人員并未部署完整更新檔便匆忙上線,不巧該VM受到勒索軟件影響,「幸好維運人員有利用NSX,封鎖該VM存取所有網(wǎng)段的權(quán)限」,因此勒索軟件并未擴散到其他環(huán)境。事後資訊團隊也利用備份檔案還原該VM,并且部署完整更新檔後,服務(wù)即能重新上線。
郭俊麟表示,利用NSX,除了能作為南北向防火墻使用,另外東西向網(wǎng)絡(luò)也透過NSX分散式防火墻,隔離各VM。
雖然今年7月才正式對外上線,但MiCloud 2.0早就在正式環(huán)境中運作將近半年,郭俊麟表示,神通資科也計畫未來要建置第2座資料中心,「利用網(wǎng)絡(luò)虛擬化技術(shù),讓應(yīng)用程式快速轉(zhuǎn)移,甚至能將工作負載轉(zhuǎn)移至公有云!
