什么是云管平台（CMP）

作为云计算领域的一个重要技术分支，在企业级 IT 服务体系里云管平台已从传统 IT 系统建设中脱胎而出，愈发博得企业客户的关注。

那么何为云管平台呢？来自国际最具权威的 IT 研究与顾问资讯公司 Gartner 的定义：云管平台（ Cloud Management Platform ， CMP ）是企业云战略的一种产品形态，提供对公有云、私有云和混合云整合管理的产品。

由于所处行业、规模等因素影响，不同的企业在 IT 管理上都有着自己独特的流程和特点，通过选取具有代表性的行业案例，我们可以归纳差异总结云管体系建设共性，而资金雄厚、 IT 基础设施建设完备、看重系统安全规范性的金融行业银行类企业就非常具有代表性。

企业云管平台的核心诉求

自云计算问世以来，从陌生观望到完全接受总会经历一个过程，而在此期间企业也会在试用不同云厂商的不用云产品，因此不可避免的会形成多云局面。综合风险和安全的考量，在初具规模的企业中，多云不仅是公有云和公有云之间，也是公有云和私有云之间的混合式管理，在历史的发展过程中由于已积累了不少云厂商的产品，在一个平台内能实现不同云厂商不同云产品的统一纳管，是其基础诉求。

此外，对于云资源全生命周期的管理也是企业的核心诉求之一。企业的 IT 人员往往分为两类，一类是面向公司整体 IT 架构基础支撑的 “ 系统管理员 ” ，一类是隶属于各个业务线且只为本业务线 IT 服务的 “ 业务管理员 ” ，我们以某大型商业银行为例：

图1：某大型商业银行IT组织架构

在该银行的 IT 组织架构中，架构部与基础运维组承担了系统管理员的角色，它们负责云厂商的选型以及对云资源的基础管理工作；同时，银行内部又存在上百个项目组，这些项目组承建具体的 IT 系统，如信用卡小程序、掌上银行等等，这些项目组的 IT 人员则承担了业务管理员的角色。

无论是公有云还是私有云厂商，他们提供的工具本质上是为系统管理员服务，业务管理员在需要云资源时只能向系统管理员提出申请，这样的管理环节中由于忽视了业务管理员的诉求，因此需要一个管理工具将云资源的申请、创建、释放、销毁等流程串联起来，以实现“云资源全生命周期管理”。

图 2 ：云资源全生命周期管理

由此，我们可以总结出企业对于云管平台的核心诉求： 自助式门户、产品目录管理、计费管理、订单管理、工单中心、流程管理等功能模块。

图 3 ：企业对于云管平台的核心诉求

金融行业云管平台案例分析

我们通过几个金融行业银行客户的云管平台使用的实际案例，去深挖共性之下金融行业的云管平台建设特性。

案例一：某世界 500 强商业银行

该银行是国内大型股份制商业银行之一，世界 500 强企业之一，旗下科技部门下设架构部、基础运维组及 100 多个项目组，研发和运维人员均身处于严格的办公内网之中。

在使用云服务时，基于安全因素考量，该银行客户选择了 VPC 网络部署模式，由位于 VPC 内的云主机对外提供相应的 Web 服务。

一方面是严格受限的办公内网，一方面是 100 多个项目组的云资源广泛分布在 AWS 、阿里云之上，复杂网络环境下的网络互通不仅是个难题，如何保证各小组之间的数据隔离，也十分棘手。

图 4 ：某世界 500 强商业银行云管架构图

面对这样的问题，该银行通过云管平台的管理组件与连接组件的分离功能，将负责“连接主机且创建主机会话”的功能模块被抽象成可单独部署的 “会话中转服务”，通过部署多个会话中转服务，从而实现每个 VPC 相互连通，以解决复杂网络环境下的网络互通问题，又保证了严格的安全性要求。

图 5 ：某世界 500 强商业银行内网访问云资源解决方案

此外，利用云管平台（CMP）提供的多租户隔离机制，保证每个项目组均是一个独立的租户（暨团队），实现租户与租户之间的数据完全隔离，并通过工单流程实现各业务部门的业务协同，更重要的是，通过内置的堡垒机模块可为银行提供 “事前授权、事中监管、事后审计”的安全运维、合规审计能力。

图 6 ：某世界 500 强商业银行租户隔离解决方案

案例二：中国某大型国有银行总行

该银行总行数据中心承担着全行所有金融电子数据的生产运行、业务保障、数据管理、交易监控以及门柜业务的后台处理职能。

由于地理因素、网络环境、安全规范的限制，在发生突发 IT 故障时，该银行客户各部门只能以各自集结点为主进行处置，难以统一集中、第一时间远程接入业务环境开展应急处置工作。

图 7 ：中国某大型国有银行总行应急平台架构图

由此，该银行客户通过云管平台提供的协同会诊等功能，搭建了一套统一应急响应平台，通过此平台的设备接入、会话协同、安全审计等特性，将多个数据中心、异地科技部门的设备和运维专家统一接入到平台上来，做到“技术无感知、无侵入”的在本地网络和平台之间建立起一条安全、高效、可靠的网络通道 , 将所有分散在各地、不同类型不同厂商的设备统一纳入平台范围，实现集中管控。

图 8 ：中国某大型国有银行总行内网访问解决方案

基于角色模型实现最小权限控制，银行各部门人员通过办公网 / 互联网络实现远程接入应急响应平台，每个运维人员、每台设备的操作权由指挥层统一调度和控制，远在外地的技术专家还可借助云管平台提供的基于桌面会话分享的多路分发与协同解决方案，实时查看同步的远程桌面，及时参与故障排查工作。

图 9 ：中国某大型国有银行总行应急协同解决方案

案例三：中国六大银行某银行

从 20 世纪初开办的储金业务开始，至今已有百年历史，通过建设大数据平台对下一个百年意义重大，现今其大数据平台下连接着数量众多的各类型数据库及主机资源。

面对数量众多的 IT 资源，各方案厂商提供的管理工具却无法实现统一管理，在银保监会的要求下，该银行客户急需一套大数据平台数据操作安全管理系统 ，以构建自然数据安全操作审计屏障。

图 10 ：中国六大银行某银行大数据平台数据操作安全管理系统

该银行客户通过部署云管平台，打造了自身的企业级IT 运维中枢，承担起用户管理及运维数据资产的统一入口和中枢之职责，实现多来源用户的接入及多重身份认证机制，并具备多种类型、多种来源设备的统一管理能力，如支持管理各类数据库、主机等数据资产。

图 11 ：中国六大银行某银行 IT 运维中枢解决方案

在运维安全审计这块，银行利用云管平台可以“黑匣子”的形式，从旁路对运维操作进行日志记录，不影响运维操作，且其审计日志记录不可删除、不可篡改，实现运维操作的可回溯、可追踪。

借助云管平台，该银行客户还获得了自定义安全策略能力，通过创建主机运维策略组与关联设备进行关联，就能实现对关联主机上所执行的高危指令进行自定义处理，通过数据库访问方案实现 SQL 语句的审批，并由工单流程批量放行，事后可通过“录像 / 指令”双重审计的形式进行精准高效的运维审计。

图 12 ：中国六大银行某银行运维安全审计解决方案

案例四：某世界 500 强商业银行

该银行是中国 12 家全国性股份制商业银行之一，世界 500 强商业银行之一，近年来其 IT 架构正向多云、混合云方向转变。

作为体制最为灵活的大型商业银行，该银行客户很早就将大量的 IT 系统迁移至以 AWS 和阿里云为主的公有云环境，并有近百个 IT 系统搭建在此之上，银行云管平台负责对公有云资源的管理工作，企业 AD 域负责银行内部所有系统的用户认证与鉴权。

出于金融监管的安全性要求，原有的云管体系离安全、合规、高效的目标仍有差距，在原有的管理体系之外还需一套符合云原生特性的云堡垒机，并能与云管平台、企业 AD 域紧密贴合，在实现个性化需求的同时，还能符合运维安全审计的标准规范。

图 13 ：某世界 500 强商业银行安全运维审计架构图

在基于 DevOps 的理念下，该银行客户每天都有大量主机动态的创建与销毁，因此也面临着 3 个问题：
1 ）主机的动态变化信息如何自动同步到云堡垒机中？
2 ）一旦主机资源发生变化，如何能以用户的业务视角查看主机列表？
3 ）结合企业 AD 域，当主机资源发生动态变化时如何与堡垒机自动更新用户与主机资源之间的权限分配信息？

通过上线云管平台，该客户的问题得到了很好的解决。

基于云管平台 的OpenAPI ，该银行客户编写并部署了 “ 云监听守候服务 ” ，能够监听主机变化并通过 API 将主机信息同步到云堡垒机中，所有一切均自动化执行，用户无需手动维护主机的动态变化。

基于云管平台的按分组视图展示主机列表功能，在云管平台管理界面用户可自定义分组节点，如按网络、按标签、按分组等，也可通过 OpenAPI 动态维护，从而实现让用户以自己的业务视角展现主机列表。

图 14 ：某世界 500 强商业银行自定义主机列表分组展示

通过在云管平台中配置 AD 域 /LDAP 服务作为用户认证服务器，配置成功后，即可实现云管平台用户体系与 AD 域 /LDAP 服务的自动同步，而用户的认证与鉴权也会通过 AD 域 /LDAP 服务完成。

同时通过云管平台的主机资源授权OpenAPI ，该银行客户在 “ 云监听守候服务 ” 中，根据自己的业务逻辑，通过此 API 动态维护主机的授权信息，自动完成当主机资源发生动态变化时做到动态授权。

图 15 ：某世界 500 强商业银行堡垒机解决方案

小结

最后，通过以上客户案例的分析，我们其实不难发现企业对于云管平台的一些诉求。

即，多云、混合云管理之下，实现对多家云厂商多种云计算资源的集中管理，从多云纳管、云资源全生命周期、等保运维合规审计、租户隔离自助式门户、自动化运维、监控与告警、成本管控、 OpenAPI 开放能力等多个维度提供统一运维管控。

对企业而言，只需一个控制台，即可整合操作多个公有云、多个私有云 、混合云以及各种异构资源，从而进行灵活的资源管理与运维。

目前笔者根据本社区专家的帖子，也正在研究如下云管平台的使用：

行云管家 https://www.cloudbility.com/
https://www.cloudbility.com/productVideo.html#mirror

rightcloud [https://www.rightcloud.com.cn/pages/help/manual.html(https://www.rightcloud.com.cn/pages/help/manual.html)

嘉为蓝鲸 http://tech.canway.net/product/16.html

SmartCMP http://www.cloudchef.io/

BeyondCMP http://www.bocloud.com.cn/product/BeyondCMP