行云管家合作跨越速运:2W+海量资产的高效安全运维
“随着我集团的IT设备逐渐上云,出现了扩容难度大、云适配不佳等问题,因此,亟需一套对云计算架构支持良好、适合大规模IT资产管理的堡垒机产品,最后经对比选择了行云管家。”
——跨越速运集团
跨越速运集团有限公司(以下简称“集团”)创建于2007年,是国内物流行业头部企业,拥有5万多名员工,3000多个服务网点,日均处理物流30多万件,主要经营当天达、次日达、隔日达和同城件等物流服务,下设65家控股子公司,101家全国分支机构,业务范围分布国内各地。
作为物流行业信息化、数字化的先行者,集团在近年已将本地IT设备逐渐上云,目前,已完成部分业务系统上云的工作,并部署在腾讯云、阿里云之上,另有IT资源则分布在本地机房,集团IT部门管理着6K+主机、约2W+资产,供2K+用户使用,上云之后发现集团采购的杭州某龙头品牌堡垒机,已无法适配现今的IT使用环境。
集团一度面临以下3点运维管理问题:
痛点一:多云混合云的IT异构网络环境
由于信息化程度早,集团仍拥有大量本地服务器,因此采取循序渐进的上云策略,首先将非核心业务系统进行逐步迁移,不可避免的形成了以本地服务器为主,腾讯云、阿里云共存的多云、混合云现状,集团原有软硬件堡垒机由于不支持云计算架构,云资源的管理会频繁出现资源导入失败、设备识别错误、设备掉线等问题。
痛点二:海量资产运维的效率挑战<应用发布、自动化脚本命令、标签/分组>
作为日均处理物流30多万件,3000多个服务网点的集团型企业,目前6K+的主机,随之而来的是运维工具的多种多样,运维人员需要重复安装部署,然后又不断切换各种终端工具/管理面板,才能实现集群的批量操作,运维效率亟待提高。
痛点三:使用人数众多的管理难题<授权、运维审计>
集团现有2K+实际使用用户,原有堡垒机的授权模型,已无法支撑日益复杂的授权诉求,多对多的授权体系更复杂、颗粒度更细,而人数众多带来的另一个难题则是运维审计如何更精准高效,确保运维过程的安全合规。
痛点四:总部与子公司、分支机构的网络互通困惑
集团下设65家控股子公司,101家全国分支机构,位于总部的IT部门也需要为这些子公司、分支机构提供IT服务,但是受限于地理位置和各地不一的网络环境,总部专家不能第一时间为分支机构IT人员进行远程协助,同时远程桌面质量也因为网络原因难以保证。
上线行云管家,海量资产也能灵活高效安全运维
解决方案一:基于云架构的一站式混合纳管平台
行云管家是一款基于云架构设计的产品,天然支持通过API凭证(如AccessKey)导入各云厂商的云产品,本地服务器/IT设备则通过扫描IP的形式导入,资源纳管更便捷、兼容性更佳,云上资源和本地资源都通过统一管理控制台进行远程访问、运维管理和运维审计。
目前,行云管家帮助集团实现了堡垒机云上部署的工作,大量使用各类云上PaaS服务,确保堡垒机各项业务服务的高可用,并统一纳管了腾讯云和阿里云资源,而在企业内网集团则使用了行云管家自研的HA(High Availability)Service进行了主/备高可用部署。
解决方案二:高度集成多种自动化运维效率工具
运维工具集中发布,集团运维管理员借助应用发布中心,可以将日常运维要用到的客户端工具统一安装发布在云端,大大简化工具的安装、配置、调试工作,并对云端工具进行统一授权,实现运维工具的随取随用。
在行云管家管理控制台,还为集团运维人员提供了Web桌面访问、C/S本地工具、公有云厂商管理终端3种远程访问工具,并支持新建各类自定义Shell/Python/PowerShell/CMD脚本,批量对主机执行脚本、命令操作,实现将文件批量分发至目标主机、批量从多台主机采集文件等。
此外,针对类型多样和用途多样的主机,集团IT管理员可通过自定义标签对主机信息自定义扩充和分组,灵活展现各主机类型、用途、归属部门、所属区域等各个用户自定义信息,实现快速筛选和定位主机。
解决方案三:动态授权体系,堡垒机确保安全合规
在授权体系方面,集团通过借助行云管家“基于角色控制模型的权限管理系统”实现了对集团内各组织单元的授权、对管理角色的授权,以及直接用户的授权,角色是功能权限和资源权限的载体,人员的权限便可动态变化。
在安全合规方面,行云管家内置了云堡垒机为集团提供了“事前授权、事中监管、事后审计”的运维审计能力,所有运维操作支持任意字段检索,支持全局指令检索,支持记录信息脱敏,通过“录像/指令”双重审计的形式进行精准高效的运维审计,全面保障集团IT资产的安全运维、合规审计。
解决方案四:行云管家Proxy确保网络互通与安全
行云管家Proxy是一种内网反向连接技术,集团通过将行云管家Proxy部署于子公司、分支机构的业务系统网络中,Proxy则会主动反向连接至集团总部行云管家门户,从而在行云管家门户与Proxy之间建立起通讯链路,通过该通讯链路,集团IT专家便可对旗下子公司、分支机构的业务系统进行远程安全访问,并实施远程协助和协同会诊。
与此同时,行云管家Proxy也是一种内网安全访问机制,使您通过内网管理云主机,云上资源无需把公网IP暴露在公网上,避免将不必要的管理端口与操作行为暴露到公网,这是传统堡垒机产品所难以实现的功能。
价值总结
作为一家现代化的物流型企业,行业竞争的背后更多是技术实力的争夺,跨越速运通过上云加速自身业务、管理的数字化已迫在眉睫,而在由旧转新的IT环境背景下,则需要一款能适应云计算新时代的堡垒机产品,行云管家现今就确保了集团2W+海量资产的高效安全运维。