神通資科早在2011年就采用外商Joyent提供的虛擬化技術為基礎并推出了第一代MiCloud,在自行擴充了問題追蹤、版本控制、自動化部署等管理功能。但在網絡資安架構上,如IPS、路由器、防火墻、交換器、負載平衡器等設備,仍然沿用南北方向的防護架構設計。除了內部使用外,MiCloud當時也以公有云服務模式對外提供租用,或作為承包系統(tǒng)的基礎架構,是臺灣很早就開始提供服務的本土公有云供應商。
舊版MiCloud不足支撐未來業(yè)務,必須升級至2.0版
不過,MiCloud上線至今超過5年,郭俊麟坦言:「1.0版的穩(wěn)定性、彈性,以及擴充性,已經不足支撐未來發(fā)展需求」,再加上,近兩年因應外在環(huán)境變化,神通資科原有的七大事業(yè)群,已經重新整并為成四大事業(yè)群,包含智慧終端、物聯網、云平臺代理等事業(yè)群。由於開發(fā)團隊缺乏足夠設備,無法加速開發(fā)速度,也拖累了部分專案,進度常常超過期限。因此,神通想要升級MiCloud,因而成立了特殊技術團隊,以專案形式來開發(fā)MiCloud 2.0平臺。
神通資科高層也對2.0版寄予厚望,提出多項要求,郭俊麟表示,首先必須有足夠的運作穩(wěn)定度,才能讓專案團隊有效運用IT資源。其次,要能支援各事業(yè)群旗下的軟件開發(fā)團隊,提供專屬開發(fā)、整合測試環(huán)境。
第三,每個專案測試環(huán)境,都能快速自動部署、建置,而且彼此間不能互相影響。最後一項要求是確保連線安全,無論從內部、外部連線,都要確保資料的安全性、機密性。
郭俊麟希望透過MiCloud 2.0來達到集中資源、資源共享及成本效益三個目標。在這套公私混用的虛擬化平臺上,神通資科可以將網絡環(huán)境、技術人力、硬體資源集中,除了能建立標準化管理作業(yè)外,也能減少各事業(yè)群對設備、網絡機房的租賃成本。
而在MiCloud 2.0版平臺設計上,分為四大區(qū)塊,包含MIS服務云平臺、智慧開發(fā)云平臺、智慧產品云平臺以及公有云服務云平臺。
而郭俊麟表示,其中又以智慧開發(fā)云平臺為核心,提供神通資科內部、外部服務系統(tǒng)的開發(fā)、測試、驗證工作。連神通資科內部的MIS服務,也要部署在MiCloud 2.0。
從2016年第二季開始,負責開發(fā)新一代MiCloud的技術團隊除了了解各事業(yè)群的需求之外,也針對市面上各類虛擬化產品進行研究,包含VMware、微軟、OpenStack等IaaS平臺技術,評估其創(chuàng)新性、整合性及維護成本,後來神通資科選定使用VMware的解決方案,同時也導入網絡虛擬化技術NSX,「藉此想簡化網絡設備的管理!构△虢忉尅
不過,郭俊麟表示,實際建置中仍然碰上許多痛點。首先,過去MIS團隊負責內部實體網絡的管理、維運工作,IT人員較少有建置網絡虛擬化環(huán)境的經驗,「讓NSX與實體網絡結合時,首先要讓團隊清楚NSX的運作架構!
同時,MiCloud 2.0建置團隊也要要現有網絡設備成本列入考量。郭俊麟解釋,新舊設備都要進行整理、規(guī)畫,而基於成本因素,團隊必須一同整并新購及舊有設備,「由於舊設備的效能不足,因此只有將新購設備加入虛擬化平臺。」
第三個痛點是內部、外部資安作業(yè)模式的協(xié)調、改變,由於神通資科團隊會進駐企業(yè)進行開發(fā),但出於開發(fā)需求,仍得要連回內部測試環(huán)境,因此必須確保連線過程安全無虞,「部分用戶的資料具備機敏性,也不允許往外連線!
神通資訊科技處長郭俊麟表示,開發(fā)者可以利用vRealize Automation呼叫底層NSX的API,根據申請者所需要的網絡組態(tài)進行部署。因此使用者不需要介入部署流程(攝影/王立恒)。
減少網絡設備相依性,把網絡設備當作VM管理
因應這些挑戰(zhàn),神通資科的IT架構必須有所扭轉。郭俊麟表示,首先必須要減少網絡硬體相依性,讓網絡建置、刪除及部署盡量透明化,「我們也思考網絡的管理,是否可以像管理VM」,讓網絡設備當作VM,透過vCenter管理。
導入NSX後,也因而簡化神通資科網絡環(huán)境的建置過程。郭俊麟表示,過去網絡服務要上線,首先得提出專案開發(fā)需求,接著網絡管理人員設定網絡,而基礎架構管理人員建置所需VM。最後,才輪到資安人員部署設定開發(fā)環(huán)境所需要的資安管理政策,「如果其中有任何錯誤,整個流程得要重頭來過。」
另外,傳統(tǒng)網絡環(huán)境都是以VLAN進行切割,如果各事業(yè)群都要隔離,唯一方法就是使用VLAN劃分各個網域。不過郭俊麟表示,神通資科至少有90個專案同步進行,如此得要添購相當多網絡設備。不只如此,倘若各專案、事群要部署獨立的防火墻、負載平衡器,得耗費更多人力成本及時間。
而神通資科的解法,是結合NSX還有vRealize Automation,利用NSX將底層網絡虛擬化,并且利用vRealize Automation進行快速部署。而透過NSX微切分功能,神通資科也將不同專案的測試環(huán)境隔離,「隔離外部流入的網絡,確保它不會對內部網絡環(huán)境造成影響!
整合NSX及Windows AD
現在神通資科也整合NSX微切分功能及Windows AD,建立東西向防火墻。「因為傳統(tǒng)防火墻,通常都是確保南北向網絡的安全,缺乏東西向防護!构△氡硎荆裢ㄙY科原本就已經利用Windows AD,定義使用者權限,限制各別使用者VM的登入權限。而透過NSX,即使算在同一網段,也能限制該員不能存取特定VM的資源。
另外,各事業(yè)群也開始將測試環(huán)境的所需防火墻、路由器、負載平衡器,利用NSX自動部署,如此網絡管理員就不需要一一介入管理。郭俊麟表示,現在開發(fā)者可以利用vRealize Automation呼叫底層NSX的API,根據申請者所需要的網絡組態(tài)進行部署。
因此,使用者不需要介入部署流程。再者,當網絡安全群組(Security Group)建立完成後,同樣也能利用vRealize Automation呼叫底層NSX API,針對每個安全群組,設定統(tǒng)一的資安管理政策。
用NSX封鎖VM存取權限,避免勒索軟件擴散
郭俊麟表示,初期服務上線後,曾經有一個測試單位的專案,臨時需要測試VM。但是開發(fā)人員并未部署完整更新檔便匆忙上線,不巧該VM受到勒索軟件影響,「幸好維運人員有利用NSX,封鎖該VM存取所有網段的權限」,因此勒索軟件并未擴散到其他環(huán)境。事後資訊團隊也利用備份檔案還原該VM,并且部署完整更新檔後,服務即能重新上線。
郭俊麟表示,利用NSX,除了能作為南北向防火墻使用,另外東西向網絡也透過NSX分散式防火墻,隔離各VM。
雖然今年7月才正式對外上線,但MiCloud 2.0早就在正式環(huán)境中運作將近半年,郭俊麟表示,神通資科也計畫未來要建置第2座資料中心,「利用網絡虛擬化技術,讓應用程式快速轉移,甚至能將工作負載轉移至公有云。」
