神通资科早在2011年就采用外商Joyent提供的虚拟化技术为基础并推出了第一代MiCloud,在自行扩充了问题追踪、版本控制、自动化部署等管理功能。但在网络资安架构上,如IPS、路由器、防火墙、交换器、负载平衡器等设备,仍然沿用南北方向的防护架构设计。除了内部使用外,MiCloud当时也以公有云服务模式对外提供租用,或作为承包系统的基础架构,是台湾很早就开始提供服务的本土公有云供应商。
旧版MiCloud不足支撑未来业务,必须升级至2.0版
不过,MiCloud上线至今超过5年,郭俊麟坦言:「1.0版的稳定性、弹性,以及扩充性,已经不足支撑未来发展需求」,再加上,近两年因应外在环境变化,神通资科原有的七大事业群,已经重新整并为成四大事业群,包含智慧终端、物联网、云平台代理等事业群。由於开发团队缺乏足够设备,无法加速开发速度,也拖累了部分专案,进度常常超过期限。因此,神通想要升级MiCloud,因而成立了特殊技术团队,以专案形式来开发MiCloud 2.0平台。
神通资科高层也对2.0版寄予厚望,提出多项要求,郭俊麟表示,首先必须有足够的运作稳定度,才能让专案团队有效运用IT资源。其次,要能支援各事业群旗下的软件开发团队,提供专属开发、整合测试环境。
第三,每个专案测试环境,都能快速自动部署、建置,而且彼此间不能互相影响。最後一项要求是确保连线安全,无论从内部、外部连线,都要确保资料的安全性、机密性。
郭俊麟希望透过MiCloud 2.0来达到集中资源、资源共享及成本效益三个目标。在这套公私混用的虚拟化平台上,神通资科可以将网络环境、技术人力、硬体资源集中,除了能建立标准化管理作业外,也能减少各事业群对设备、网络机房的租赁成本。
而在MiCloud 2.0版平台设计上,分为四大区块,包含MIS服务云平台、智慧开发云平台、智慧产品云平台以及公有云服务云平台。
而郭俊麟表示,其中又以智慧开发云平台为核心,提供神通资科内部、外部服务系统的开发、测试、验证工作。连神通资科内部的MIS服务,也要部署在MiCloud 2.0。
从2016年第二季开始,负责开发新一代MiCloud的技术团队除了了解各事业群的需求之外,也针对市面上各类虚拟化产品进行研究,包含VMware、微软、OpenStack等IaaS平台技术,评估其创新性、整合性及维护成本,後来神通资科选定使用VMware的解决方案,同时也导入网络虚拟化技术NSX,「藉此想简化网络设备的管理。」郭俊麟解释。
不过,郭俊麟表示,实际建置中仍然碰上许多痛点。首先,过去MIS团队负责内部实体网络的管理、维运工作,IT人员较少有建置网络虚拟化环境的经验,「让NSX与实体网络结合时,首先要让团队清楚NSX的运作架构。」
同时,MiCloud 2.0建置团队也要要现有网络设备成本列入考量。郭俊麟解释,新旧设备都要进行整理、规画,而基於成本因素,团队必须一同整并新购及旧有设备,「由於旧设备的效能不足,因此只有将新购设备加入虚拟化平台。」
第三个痛点是内部、外部资安作业模式的协调、改变,由於神通资科团队会进驻企业进行开发,但出於开发需求,仍得要连回内部测试环境,因此必须确保连线过程安全无虞,「部分用户的资料具备机敏性,也不允许往外连线。」
神通资讯科技处长郭俊麟表示,开发者可以利用vRealize Automation呼叫底层NSX的API,根据申请者所需要的网络组态进行部署。因此使用者不需要介入部署流程(摄影/王立恒)。
减少网络设备相依性,把网络设备当作VM管理
因应这些挑战,神通资科的IT架构必须有所扭转。郭俊麟表示,首先必须要减少网络硬体相依性,让网络建置、删除及部署尽量透明化,「我们也思考网络的管理,是否可以像管理VM」,让网络设备当作VM,透过vCenter管理。
导入NSX後,也因而简化神通资科网络环境的建置过程。郭俊麟表示,过去网络服务要上线,首先得提出专案开发需求,接着网络管理人员设定网络,而基础架构管理人员建置所需VM。最後,才轮到资安人员部署设定开发环境所需要的资安管理政策,「如果其中有任何错误,整个流程得要重头来过。」
另外,传统网络环境都是以VLAN进行切割,如果各事业群都要隔离,唯一方法就是使用VLAN划分各个网域。不过郭俊麟表示,神通资科至少有90个专案同步进行,如此得要添购相当多网络设备。不只如此,倘若各专案、事群要部署独立的防火墙、负载平衡器,得耗费更多人力成本及时间。
而神通资科的解法,是结合NSX还有vRealize Automation,利用NSX将底层网络虚拟化,并且利用vRealize Automation进行快速部署。而透过NSX微切分功能,神通资科也将不同专案的测试环境隔离,「隔离外部流入的网络,确保它不会对内部网络环境造成影响。」
整合NSX及Windows AD
现在神通资科也整合NSX微切分功能及Windows AD,建立东西向防火墙。「因为传统防火墙,通常都是确保南北向网络的安全,缺乏东西向防护。」郭俊麟表示,神通资科原本就已经利用Windows AD,定义使用者权限,限制各别使用者VM的登入权限。而透过NSX,即使算在同一网段,也能限制该员不能存取特定VM的资源。
另外,各事业群也开始将测试环境的所需防火墙、路由器、负载平衡器,利用NSX自动部署,如此网络管理员就不需要一一介入管理。郭俊麟表示,现在开发者可以利用vRealize Automation呼叫底层NSX的API,根据申请者所需要的网络组态进行部署。
因此,使用者不需要介入部署流程。再者,当网络安全群组(Security Group)建立完成後,同样也能利用vRealize Automation呼叫底层NSX API,针对每个安全群组,设定统一的资安管理政策。
用NSX封锁VM存取权限,避免勒索软件扩散
郭俊麟表示,初期服务上线後,曾经有一个测试单位的专案,临时需要测试VM。但是开发人员并未部署完整更新档便匆忙上线,不巧该VM受到勒索软件影响,「幸好维运人员有利用NSX,封锁该VM存取所有网段的权限」,因此勒索软件并未扩散到其他环境。事後资讯团队也利用备份档案还原该VM,并且部署完整更新档後,服务即能重新上线。
郭俊麟表示,利用NSX,除了能作为南北向防火墙使用,另外东西向网络也透过NSX分散式防火墙,隔离各VM。
虽然今年7月才正式对外上线,但MiCloud 2.0早就在正式环境中运作将近半年,郭俊麟表示,神通资科也计画未来要建置第2座资料中心,「利用网络虚拟化技术,让应用程式快速转移,甚至能将工作负载转移至公有云。」
