巴斯夫构建上云登陆区加速云转型
关于巴斯夫
巴斯夫,我们创造化学新作用——追求可持续发展的未来。我们将经济上的成功、社会责任和环境保护相结合。巴斯夫在全球拥有超过110,000名员工,为几乎所有国家、所有行业客户的成功作出贡献。我们的产品分属六大业务领域:化学品、材料、工业解决方案、表面处理技术、营养与护理、农业解决方案。
在过去150年多年的历史里,以化学知识和技术为基础的创新始终是巴斯夫发展的动力。我们的产品组合在实体、技术、市场相关度和数字一体化等方面拥有独特的优势。凭借六个一体化基地和241个其他生产基地,巴斯夫几乎能为世界上任何国家和地区的客户与合作伙伴提供服务。一体化体系集成了我们的生产、市场及技术平台,将各项业务紧密相连。
一体化体系是巴斯夫最大的优势之一。我们高效利用资源,凝聚集团整体力量增加价值。以生产一体化为例,各生产单元及能源需求实现智能连接,一套生产装置的废热可被另一套生产装置用作能源。此外,一套生产装置的副产品也可成为其他装置的原料。这不仅有助于我们节约原料和能源,还能降低排放和物流成本,充分发挥协同效应。
巴斯夫与大中华市场的渊源可以追溯到1885年,从那时起巴斯夫就是中国的忠实合作伙伴。作为中国化工领域重要的外商投资企业,巴斯夫主要的生产基地位于上海、南京和重庆,而上海创新园更是全球和亚太地区的研发枢纽。2020年,巴斯夫向大中华区客户的销售额约为85亿欧元,截至年底员工人数为8,948名。目前,大中华区是巴斯夫全球第二大市场,仅次于美国。
百年化工企业的数字化转型之路
在全球企业数字化的背景下,作为巴斯夫全球数字化服务部门(Global Digital Service,下文简称GD部门),我们更加专注于在繁杂的数据海洋中,寻找那些对于业务发展有利,满足不同场景业务需求的解决方案。
公有云平台正是一个良好的平台,为巴斯夫的数字化之路,提供了一个良好的底座,充分利用公有云这个底座,巴斯夫的GD团队才能更好的满足客户的需求,让业务团队充分利用这个平台升级自己的产业链,做到数字化的商业模式、智能供应链、智能制造及智慧创新。
巴斯夫拥有超过11万员工,内部拥有很多独立运营的部门和子公司。每个部门或者子公司对于企业的数字化转型都有自己的认识,他们的需求总是丰富而独立的。对GD来说,我们需要考虑的是如何行之有效的整合这些需求,把需求中的共性有机地提炼出来,把各个部门的独立应用有效地串联起来。
上云的挑战
巴斯夫中国的上云由GD部门总体负责推进,不仅是在技术、而且在文化、组织和流程方面,管理层、企业总部和自身都提出了一些期待和要求:
管理层的期待:巴斯夫的管理层充分的认识到了对于一个生产行业,在全球数字化高速发展的今天,我们自身也要加入其中,提出了数字化的商业模式,智能供应链,智能制造,智慧创新等目标。如何让管理层充分的了解云平台、如何利用这个平台更好的进行企业的数字化转型是GD部门关注的一个话题。
总部的管控要求:巴斯夫作为一家跨国世界500强企业,在公司总部很早就开始了对公有云平台的尝试和实践,且成果颇丰。大中华区需要紧跟总部的步伐,在满足企业级的安全合规性要求的前提下,更加充分的利用本地优势开展自己云平台的搭建,更好的为大中华区服务。
自身的挑战:巴斯夫GD部门同样也面临着自身的挑战,GD部门需要对云平台有着比业务部门更加清楚的认识,才能更好的为业务部门提供专业的咨询服务。因此需要在整体规划、构建登陆区、迁移上云和运营管理全生命周期提供相应的技术、流程与工具。
上云登陆区的理解
我们知道在公有云平台上有各种各样的服务、海量的资源,你可以非常方便的找到适合自身业务场景需求的资源。然而,对于巴斯夫GD部门来说,我们更加关注如何为各业务团队构建一个上云登陆区,并确保这个登陆区是安全合规、可扩展和可管理的;有了这个上云登陆区,各业务团队可以快速地把应用部署在阿里云上。因此,我们理解,构建上云登陆区是实现安全合规与业务敏捷性有效平衡的最佳路径。阿里云Landing Zone上云框架提供了“一站式”的上云解决方案,能够满足我们上述诉求、实现云平台的统一规划与构建。
Landing Zone的规划与落地
组建云卓越中心(CCoE)团队
对于巴斯夫这样的大型组织,上云需要符合总部数字化团队的治理框架,在面向本地化还需要协同内部众多团队,因此上云不仅仅是一项技术工作,还是一次大型的组织协同任务。为了确保上云顺利推进,GD部门需要有各种业务和技能的储备,因此参考阿里云的《云采用框架》组建了云卓越中心(Cloud Center of Excellence),包括如下角色:
Project Owner:上云推进的项目负责人,总体协调各团队确保工作有效推进;
Cloud Strategy:云战略负责人,制定云采用的策略和关键决策;
Cloud Architect:云架构师,负责制定技术策略并为业务团队提供技术架构指导;
DevOps Architect:DevOps架构师,负责DevOps平台的构建和推广;
Support and Operator:技术支持和运营,提供包括基础运维和服务请求单的处理;
Technical&Business Consultant:技术与业务顾问,为业务团队提供业务与技术的咨询服务;
Demand&Cost Manager:需求和成本经理,负责统筹各子公司和部门的业务需求,并负责整体云平台的财务管理使之满足于企业财务流程。
设计思路
为了能够解决云上的各种挑战,巴斯夫的GD部门在部署公有云前,基于阿里云的Landing Zone框架,对于八个领域的需求进行了讨论与梳理:
统一的资源规划方案:巴斯夫的GD部门期望可以统一管理子公司以及独立的部门的账户,把所有账户以成员的方式纳管在巴斯夫的根账户之下,并且进行必要的资源标签,以达到资源标识的目的;
集中的身份权限策略:云平台满足集中化的身份认证,统一的申请以及授权;
满足合规审计:云上的平台以及应用必须具备事前管控以及事后审计的能力;
一体的网络规划:公有云平台既可以作为巴斯夫内部数据中心的延伸,又可以作为补全内部数据中心基础架构能力的出口,这意味着,云上的平台必须能够在账户级别灵活组网,同时作为云平台,我们需要为我们面向公网的账户体系提供统一的公网出口,以及强有力的网络安全套件。
云上的安全保护:云上的安全必须能做到从网络到主机再到数据层面的全方位安全保护,充分利用边界防火墙、安全组,访问控制和端到端的数据加密等组件达到企业级别安全要求;
满足运维管理要求:巴斯夫的GD部门必须有能力提供统一的日志管理,监控管理以及为各个成员账户提供配置管理工具,提高应用的可扩展性以及迭代能力。
支持灵活的自动化部署:云原生是巴斯夫GD部门主导的云上应用架构以及部署方式,做到部署自动化,监控自动化是我们的长期目标。
多账号架构
基于阿里云的资源目录(ResourceDirectory)服务,实现云上的结构设计和实际的组织管理架构相匹配:
企业管理账号(Root Account):设计巴斯夫GD部门管理平台级别的巴斯夫的企业管理账号,可以方便的管理和规划预算,并通过阿里云财务中心的财务单元实现内部的成本分摊的可视化;
核心账号(Core Accounts):设计网络管理账号Connectivity Account、日志账号Logging Account以及统一安全账号Security Account,以实现服务和管理的集中化;
业务账号(Application Accounts):业务用户只需要在公司内部GD系统中进行申请Internet FacedAccount 或者 Intranet FacedAccount,就可以通过阿里云的资源编排,自动的创建用户的成员账户,并且自动部署对应的安全策略、统一的收集日志策略及统一管控的网络出口;打通巴斯夫企业的内部的认证服务,巴斯夫的业务用户在自己的成员账户中基于角色对资源有不同的访问策略(RBAC),从而实现更细颗粒度的员工权限。
核心账号的设计理念
Connectivity Account、Logging Account以及SecurityAccount主要的目的是为了在云上构建一个统一的平台,主要是为了提供集中化的网络管理、日志收集和安全管理。
Connectivity Account:网络管理账号设计用于管理网络的部署和管控,部署NAT网关,共享的Internet出口服务DMZ VPC、EIP等网络服务,为需要开放公网访问的应用账号(Internet Faced Account)提供统一的边界出口,集中化管理了这类应用账号的外网访问;
Logging Account:日志账号设计用于统一收集所有的日志信息,以便满足企业审计需要。该账号部署对象存储OSS、日志服务SLS等存储和分析服务,基于组织简化了日志的集中收集;
Security Account:安全账号设计用于统一安全管理,部署Web防火墙、网络防火墙、云安全中心等安全服务,满足安全团队对企业全部资源进行统一的安全管控。
以上是核心账号的设计,好处有以下几点:
安全隔离与访问控制:在整个架构中,账号之间相互独立,保障了账号之间的安全性;不同角色的团队成员也只需要登录到自己的账号中即可完成所有工作,确保访问的最小化控制;
平台和应用分离:把平台(Platform)和应用(Workload)进行分离,应用的开发人员不再需要关注一些通用的基础架构安全问题,从而有更多的精力专注于应用本身,把平台的问题托管于基础架构团队;
共享资源降低成本:对于一些共性资源(如网络带宽、安全防护等),可以有效的进行统一部署和共享,从而进一步降低成本。
基于组织的多账号管理
基于组织构建了多级的账号结构,借助于阿里云的能力能够实现统一的管理与控制:
管控策略:配置权限边界并可基于组织关系继承;
共享服务:可以在组织内的多个账号之间共享资源;
费用管理:可以统一管理多个账号的消费额度。
RBAC
巴斯夫紧跟总部的要求,所有的巴斯夫内部员工访问阿里云控制台,需要通过公司统一的认证方式去登录巴斯夫GD部门在成员账户预定的角色。巴斯夫默认对成员账户分配了两种预设角色:Contributor和Reader,前者对于成员账户拥有除了访问控制(RAM)服务以外的所有权限,后者则是除了访问控制(RAM)服务以外的只读权限。
财务管理
巴斯夫中国拥有众多的子公司以及独立的部门,这些分子公司和部门以Self-Service的模式自行管理自己的业务账号,自己采购和管理云上的资源,快速构建业务响应市场需求。
基于阿里云的企业财务,GD部门可以统一管理多个业务账号,实现统一付费和预算管理;内部的成本分摊,业务部门需要按照所开通的业务账号的消费金额额外加成15%的费用以支付GD部门提供的共享服务;其次,GD团队可以很直观的在阿里云财务中心看到各个账户的消费情况,设置财务报警,查看是否有资源利用率上的问题;最后,巴斯夫GD团队可以通过财务中心的分析功能对业务部门的成员账户的使用量进行预估来帮助业务部门去正确的评估自己在下一季度的预算,从而提供咨询服务。
网络架构
巴斯夫GD部门在考虑云上的网络架构的时候,我们从以下几个方面着手满足需求:
云上云下混合云组网:针对我们的Intranet FaceAccount,我们有连接巴斯夫内网应用以及数据接口的需求,利用S2S VPN 以及 Express Connect构建一个拥有SLA的保障,以及高可用的网络,是我们考虑的混合组网时,非常重要的议题;
统一管理云上公网出口:针对我们的Internet FaceAccount, 我们需要能够提供统一的边界防火墙,这样既可以保证集中化管理的要求,也可以节约企业的成本;
多账号多部门共享资源:通过阿里云CEN服务,我们可以实现多账号多部门网络连通和带宽流量共享;
云服务、生态服务安全访问:当混合组网架设好以后,我们就可以有效的利用云上生态伙伴服务以及云服务,为本地数据中心做一个扩展,提供更丰富、更高可用性的应用架构。
安全合规
如何安全并且合规的使用公有云平台是巴斯夫的GD部门从在阿里云上调研之初就重点考虑的问题,和巴斯夫的总部团队进行探讨之后,针对组织的安全合规要求,我们归纳了以下几个方面:
集中式身份认证:通过访问控制(RAM)中的SSO功能,可以为企业提供统一的身份认证入口,同时映射巴斯夫基于RBAC的资源管理方案。
一体化的网络架构:基于阿里云的云企业网(CEN)可以快速实现账户之间的互联,为公司业务的快速扩张,提供了更加稳定且高效的网络环境,同时集中化的管理,对于巴斯夫的GD团队以及安全团队在做一些基于路由层面策略的时候,可以更加从容,一目了然。
强监管的边界网络出口:把所有的面向公网访问的成员账户,进行了统一的边界网络出口,由巴斯夫的安全团队统一管理云上资源的出网权限。
统一的网络访问策略,通过资源编排实现统一的VPC级别的网络访问策略,业务部门无需为通用的网络安全配置付出成本,业务部门仅需要针对应用级别做安全控制即可。
统一的日志收集,巴斯夫的GD部门将各个成员账户的基础日志进行统一的收集管理,既包含来自操作审计的操作日志、又包含计算资源OS上层的日志。通过集中化的日志收集,安全团队可以结合企业内部的SIEM系统,对日志中的关键字段生成对应的报警以及策略。
内部合规软件的信息采集:巴斯夫作为一个全球化企业,对于计算资源的管理,不论是线下数据中心,还是公有云平台上的资源,都需要安装公司级别的安全软件,因为巴斯夫的云平台在成员账户的级别给了项目部门充分的自由,那么如何检测项目部门是否按照巴斯夫的标准部署云上资源就成了这部分的关键。通过运维编排(OOS)中的配置清单结合日志集中采集(SLS)就可以方便的针对不同账户的计算资源是否按照组织的规定部署资源生成报告,并针对结果进行对应的处理。
高效交付与运行,助力业务敏捷创新
巴斯夫规划了对内提供云服务的形态,Basic Cloud Services和Managed Cloud Services,分别提供了不同内容的服务(如下所示),目前巴斯夫中国的GD部门提供了基础服务(Basic Services), 在不久的未来我们还会提供托管服务(Managed Services),加快业务部门的数字化进程。
构建Landing Zone后GD部门完成了账号架构、身份权限、网络规划、安全合规、成本管理的统一规划,已经具备提供基础服务的能力,并且与巴斯夫内部安全、财务、合规等团队达成了良好协同。看似这一过程需要考虑的方方面面很复杂,但是最终交付给使用阿里云的业务团队是非常简化的。GD部门提供了一个自服务的平台,供业务团队可以自助地、便捷地申请阿里云环境,这带来三个好处:
首先,交付的环境是安全受控的。GD部门基于Landing Zone确保交付给业务团队的云环境都完成了初始化配置,是安全合规的、中心管控的;
其次,交付的过程是自动化的。阿里云环境的身份权限、安全合规、网络、财务管理等配置是自动化的,这不仅仅提升了效率还确保交付是标准的;
最后,交付的体验是快捷的。通过自服务平台,巴斯夫全球的团队都可以在完成审批后数小时获得一个阿里云环境,助力业务敏捷创新。
巴斯夫的GD部门把这种交付和运行体验称为“1 Step 4 Clicks,Easy on Cloud”。
未来展望
巴斯夫的GD部门已经完成阿里云Landing Zone上云登陆区的构建,迈出了上云坚实的第一步。然而,云转型不是一蹴而就的,我们在服务内部客户的过程中,还需精进运营管理水平和持续迭代能力。GD部门将在以下方面持续的深耕,推动巴斯夫的云转型成功:
需要紧跟公有云产品的快速迭代步伐,持续不断的引入新的云上服务,帮助巴斯夫顺利进行数字化转型;
在进行线下数据中心改造的同时,需要更好的利用云上的资源实现跨地域的容灾;
需要完善Landing Zone管理与治理体系,更有效的管理资源,以节约部门成本,实现云上资源利用的最大化收益;
持续关注云上的安全产品,为各业务提供强有力的安全保障。
作者
巴斯夫·全球数字化服务团队 Carson Wang、Bryan Liu
阿里云·Landing Zone团队黄永法