神通資科早在2011年就采用外商Joyent提供的虛擬化技術(shù)為基礎(chǔ)并推出了第一代MiCloud,在自行擴(kuò)充了問題追蹤、版本控制、自動(dòng)化部署等管理功能。但在網(wǎng)絡(luò)資安架構(gòu)上,如IPS、路由器、防火墻、交換器、負(fù)載平衡器等設(shè)備,仍然沿用南北方向的防護(hù)架構(gòu)設(shè)計(jì)。除了內(nèi)部使用外,MiCloud當(dāng)時(shí)也以公有云服務(wù)模式對(duì)外提供租用,或作為承包系統(tǒng)的基礎(chǔ)架構(gòu),是臺(tái)灣很早就開始提供服務(wù)的本土公有云供應(yīng)商。
舊版MiCloud不足支撐未來業(yè)務(wù),必須升級(jí)至2.0版
不過,MiCloud上線至今超過5年,郭俊麟坦言:「1.0版的穩(wěn)定性、彈性,以及擴(kuò)充性,已經(jīng)不足支撐未來發(fā)展需求」,再加上,近兩年因應(yīng)外在環(huán)境變化,神通資科原有的七大事業(yè)群,已經(jīng)重新整并為成四大事業(yè)群,包含智慧終端、物聯(lián)網(wǎng)、云平臺(tái)代理等事業(yè)群。由於開發(fā)團(tuán)隊(duì)缺乏足夠設(shè)備,無法加速開發(fā)速度,也拖累了部分專案,進(jìn)度常常超過期限。因此,神通想要升級(jí)MiCloud,因而成立了特殊技術(shù)團(tuán)隊(duì),以專案形式來開發(fā)MiCloud 2.0平臺(tái)。
神通資科高層也對(duì)2.0版寄予厚望,提出多項(xiàng)要求,郭俊麟表示,首先必須有足夠的運(yùn)作穩(wěn)定度,才能讓專案團(tuán)隊(duì)有效運(yùn)用IT資源。其次,要能支援各事業(yè)群旗下的軟件開發(fā)團(tuán)隊(duì),提供專屬開發(fā)、整合測(cè)試環(huán)境。
第三,每個(gè)專案測(cè)試環(huán)境,都能快速自動(dòng)部署、建置,而且彼此間不能互相影響。最後一項(xiàng)要求是確保連線安全,無論從內(nèi)部、外部連線,都要確保資料的安全性、機(jī)密性。
郭俊麟希望透過MiCloud 2.0來達(dá)到集中資源、資源共享及成本效益三個(gè)目標(biāo)。在這套公私混用的虛擬化平臺(tái)上,神通資科可以將網(wǎng)絡(luò)環(huán)境、技術(shù)人力、硬體資源集中,除了能建立標(biāo)準(zhǔn)化管理作業(yè)外,也能減少各事業(yè)群對(duì)設(shè)備、網(wǎng)絡(luò)機(jī)房的租賃成本。
而在MiCloud 2.0版平臺(tái)設(shè)計(jì)上,分為四大區(qū)塊,包含MIS服務(wù)云平臺(tái)、智慧開發(fā)云平臺(tái)、智慧產(chǎn)品云平臺(tái)以及公有云服務(wù)云平臺(tái)。
而郭俊麟表示,其中又以智慧開發(fā)云平臺(tái)為核心,提供神通資科內(nèi)部、外部服務(wù)系統(tǒng)的開發(fā)、測(cè)試、驗(yàn)證工作。連神通資科內(nèi)部的MIS服務(wù),也要部署在MiCloud 2.0。
從2016年第二季開始,負(fù)責(zé)開發(fā)新一代MiCloud的技術(shù)團(tuán)隊(duì)除了了解各事業(yè)群的需求之外,也針對(duì)市面上各類虛擬化產(chǎn)品進(jìn)行研究,包含VMware、微軟、OpenStack等IaaS平臺(tái)技術(shù),評(píng)估其創(chuàng)新性、整合性及維護(hù)成本,後來神通資科選定使用VMware的解決方案,同時(shí)也導(dǎo)入網(wǎng)絡(luò)虛擬化技術(shù)NSX,「藉此想簡(jiǎn)化網(wǎng)絡(luò)設(shè)備的管理。」郭俊麟解釋。
不過,郭俊麟表示,實(shí)際建置中仍然碰上許多痛點(diǎn)。首先,過去MIS團(tuán)隊(duì)負(fù)責(zé)內(nèi)部實(shí)體網(wǎng)絡(luò)的管理、維運(yùn)工作,IT人員較少有建置網(wǎng)絡(luò)虛擬化環(huán)境的經(jīng)驗(yàn),「讓NSX與實(shí)體網(wǎng)絡(luò)結(jié)合時(shí),首先要讓團(tuán)隊(duì)清楚NSX的運(yùn)作架構(gòu)。」
同時(shí),MiCloud 2.0建置團(tuán)隊(duì)也要要現(xiàn)有網(wǎng)絡(luò)設(shè)備成本列入考量。郭俊麟解釋,新舊設(shè)備都要進(jìn)行整理、規(guī)畫,而基於成本因素,團(tuán)隊(duì)必須一同整并新購(gòu)及舊有設(shè)備,「由於舊設(shè)備的效能不足,因此只有將新購(gòu)設(shè)備加入虛擬化平臺(tái)。」
第三個(gè)痛點(diǎn)是內(nèi)部、外部資安作業(yè)模式的協(xié)調(diào)、改變,由於神通資科團(tuán)隊(duì)會(huì)進(jìn)駐企業(yè)進(jìn)行開發(fā),但出於開發(fā)需求,仍得要連回內(nèi)部測(cè)試環(huán)境,因此必須確保連線過程安全無虞,「部分用戶的資料具備機(jī)敏性,也不允許往外連線。」
神通資訊科技處長(zhǎng)郭俊麟表示,開發(fā)者可以利用vRealize Automation呼叫底層NSX的API,根據(jù)申請(qǐng)者所需要的網(wǎng)絡(luò)組態(tài)進(jìn)行部署。因此使用者不需要介入部署流程(攝影/王立恒)。
減少網(wǎng)絡(luò)設(shè)備相依性,把網(wǎng)絡(luò)設(shè)備當(dāng)作VM管理
因應(yīng)這些挑戰(zhàn),神通資科的IT架構(gòu)必須有所扭轉(zhuǎn)。郭俊麟表示,首先必須要減少網(wǎng)絡(luò)硬體相依性,讓網(wǎng)絡(luò)建置、刪除及部署盡量透明化,「我們也思考網(wǎng)絡(luò)的管理,是否可以像管理VM」,讓網(wǎng)絡(luò)設(shè)備當(dāng)作VM,透過vCenter管理。
導(dǎo)入NSX後,也因而簡(jiǎn)化神通資科網(wǎng)絡(luò)環(huán)境的建置過程。郭俊麟表示,過去網(wǎng)絡(luò)服務(wù)要上線,首先得提出專案開發(fā)需求,接著網(wǎng)絡(luò)管理人員設(shè)定網(wǎng)絡(luò),而基礎(chǔ)架構(gòu)管理人員建置所需VM。最後,才輪到資安人員部署設(shè)定開發(fā)環(huán)境所需要的資安管理政策,「如果其中有任何錯(cuò)誤,整個(gè)流程得要重頭來過。」
另外,傳統(tǒng)網(wǎng)絡(luò)環(huán)境都是以VLAN進(jìn)行切割,如果各事業(yè)群都要隔離,唯一方法就是使用VLAN劃分各個(gè)網(wǎng)域。不過郭俊麟表示,神通資科至少有90個(gè)專案同步進(jìn)行,如此得要添購(gòu)相當(dāng)多網(wǎng)絡(luò)設(shè)備。不只如此,倘若各專案、事群要部署獨(dú)立的防火墻、負(fù)載平衡器,得耗費(fèi)更多人力成本及時(shí)間。
而神通資科的解法,是結(jié)合NSX還有vRealize Automation,利用NSX將底層網(wǎng)絡(luò)虛擬化,并且利用vRealize Automation進(jìn)行快速部署。而透過NSX微切分功能,神通資科也將不同專案的測(cè)試環(huán)境隔離,「隔離外部流入的網(wǎng)絡(luò),確保它不會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)環(huán)境造成影響。」
整合NSX及Windows AD
現(xiàn)在神通資科也整合NSX微切分功能及Windows AD,建立東西向防火墻。「因?yàn)閭鹘y(tǒng)防火墻,通常都是確保南北向網(wǎng)絡(luò)的安全,缺乏東西向防護(hù)。」郭俊麟表示,神通資科原本就已經(jīng)利用Windows AD,定義使用者權(quán)限,限制各別使用者VM的登入權(quán)限。而透過NSX,即使算在同一網(wǎng)段,也能限制該員不能存取特定VM的資源。
另外,各事業(yè)群也開始將測(cè)試環(huán)境的所需防火墻、路由器、負(fù)載平衡器,利用NSX自動(dòng)部署,如此網(wǎng)絡(luò)管理員就不需要一一介入管理。郭俊麟表示,現(xiàn)在開發(fā)者可以利用vRealize Automation呼叫底層NSX的API,根據(jù)申請(qǐng)者所需要的網(wǎng)絡(luò)組態(tài)進(jìn)行部署。
因此,使用者不需要介入部署流程。再者,當(dāng)網(wǎng)絡(luò)安全群組(Security Group)建立完成後,同樣也能利用vRealize Automation呼叫底層NSX API,針對(duì)每個(gè)安全群組,設(shè)定統(tǒng)一的資安管理政策。
用NSX封鎖VM存取權(quán)限,避免勒索軟件擴(kuò)散
郭俊麟表示,初期服務(wù)上線後,曾經(jīng)有一個(gè)測(cè)試單位的專案,臨時(shí)需要測(cè)試VM。但是開發(fā)人員并未部署完整更新檔便匆忙上線,不巧該VM受到勒索軟件影響,「幸好維運(yùn)人員有利用NSX,封鎖該VM存取所有網(wǎng)段的權(quán)限」,因此勒索軟件并未擴(kuò)散到其他環(huán)境。事後資訊團(tuán)隊(duì)也利用備份檔案還原該VM,并且部署完整更新檔後,服務(wù)即能重新上線。
郭俊麟表示,利用NSX,除了能作為南北向防火墻使用,另外東西向網(wǎng)絡(luò)也透過NSX分散式防火墻,隔離各VM。
雖然今年7月才正式對(duì)外上線,但MiCloud 2.0早就在正式環(huán)境中運(yùn)作將近半年,郭俊麟表示,神通資科也計(jì)畫未來要建置第2座資料中心,「利用網(wǎng)絡(luò)虛擬化技術(shù),讓應(yīng)用程式快速轉(zhuǎn)移,甚至能將工作負(fù)載轉(zhuǎn)移至公有云。」
