國泰生態圈擁抱雲原生架構,不只是為了現在單朵雲的雲地架構,更大的戰略目標是,因應日後主管機關更鬆綁、異業合作更多元後的爆量成長需求,能進一步發展成多雲混合雲型態。這不只是一個戰略推想,國泰金控已經在點數服務平臺上,開始嘗試多雲混合雲架構,為日後邁向跨雲架構累積第一線的實戰經驗。
國泰早在2018年就開始嘗試用區塊鏈技術,自己來打造一個能整併多種點數的單一平臺,希望能做到混合異種點數來合併使用,並在去年4月正式推出了「小樹點」點數服務,今年6月底,則更進一步將國泰世華銀行旗下信用卡的紅利點數都更名為小樹點。小樹生活圈就是以小樹點點數平臺為核心所發展出來的生態圈。
為了提供小樹生活圈服務,國泰金控建置7個重要IT服務平臺,從集團電商平臺、集團會員平臺、ERP中臺,到集團點數、票券平臺、用戶數據資料服務,以及第三方服務平臺等。除了這些服務平臺外,他們還建置一個集團維運平臺,由DevOps團隊負責用來維運及管理這些IT服務。
就像許多大型企業傾向採用公有雲架構,結合雲端的彈性擴充優勢,以及高可用性的服務架構,國泰金控也將小樹生活圈中,大部分合規可上雲的服務搬上公有雲,然而,隨著公有雲的使用日益頻繁,加上後來採用不同公有雲架構來開發和管理不同服務,國泰金控也面臨3大痛點,包括維運管理困難、缺乏標準化服務,以及仰賴手動作業。這三大難題,也成了國泰金控DevOps團隊所要面對的挑戰。
國泰金控多雲DevOps管理歷程分三階段
國泰金控多雲混合雲DevOps管理歷程分三階段,從單一雲、建立統一標準化,到發展多雲環境。每一個階段,都有不同的IT難題需要解決。
在還是一朵雲時,國泰金控採用AWS公有雲平臺,搭建小樹生活圈服務所需的IT基礎環境,雖說管一朵雲,相較多雲容易許多,但維運管理過程中,DevOps團隊也遇到不小的挑戰,像是針對雲端專案的管理,每個專案有各自團隊負責開發與生產環境管理和維運,然而,當雲端專案越來越多,要管服務變越多,這樣作法,就容易出現問題,因為各團隊使用DevOps工具或CI/CD流程都不太一樣,加上缺乏標準化機制,來統一管控和確保服務品質,容易增加資安風險,因而帶來管理上的難題。這是國泰金控在第一朵雲所面對的困境。
為了解決這個問題,國泰金控DevOps團隊,先從建立單一雲標準化做起,來標準化公有雲的維運,涵蓋基礎設施、管理和組織三大面向制度標準化。以基礎設施為例,他們從盤點基礎設施開始,將用到服務、應用明確劃分權責,統一採用自動化CI/CD工具來建置,以AWS CDK開發框架來建立Infrastructure as Code,讓整個基礎設施從建置到完成CI/CD,都可以用程式碼來自動完成。
在管理標準化方面,DevOps團隊也建立視覺化監控儀表板,能夠將各雲端專案統一集中管理,還結合稽核Log記錄,解析每個風險事件或行為與建立異常告警機制。另外,他們在組織內部建立一套雲端使用規範,統一各專案團隊的作法,包括帳號登入設計、Log檔格式、資料庫存取權限、費用管控等等,並統一以無伺服器或是容器架構來設計其應用。他們更將DevOps部分開發維運流程加以整合,如專案計畫 、程式碼管理、 建置、測試等,逐步統一使用工具,如ClickUp、Jira、GitLab等,並透過維運平臺在AWS雲上建置。
建立明確標準化及制度方向之後,DevOps團隊開始打造維運監控中心,透過獨立雲端維運帳號,來建立標準化基礎架構建置與權限控管,來管理雲上各個小樹生活圈服務,還建立一個共通監控平臺供各團隊建置跟維運。組織架構與分工也有所調整,將團隊分成開發與生產團隊,有各自維運管理和專案小組,負責維運監控、專案執行任務。
圖片來源/國泰金控
為了讓各專案團隊能統一維運管理,DevOps團隊開始打造維運監控中心,透過獨立維運帳號來建立標準化基礎架構建置與權限控管,來管理公有雲上的小樹生活圈服務。組織架構與分工也重新調整,將團隊分成生產和開發團隊,有各自的維運管理和專案小組,負責維運監控、專案執行任務。
為了解決CI/CD流程斷點,決定採用第2朵公雲統一管理
不過,建立單一雲標準化後,團隊後來也發現,現有CI/CD流程仍有斷點,無法達到一站式自動化工作,加上近幾年DevSecOps的興起,開始重視第三方開源套件的品質與安全性管理要求,甚至各專案間的版本功能發布可能相互影響,但現有Git管理工具,很難統一管理所有專案生產發布記錄,連帶影響到服務可用性。
為了改善這些問題,國泰決定從CI/CD流程著手,重新審視現有開發與維運準則,並與RD共同討論後,針對每個開發維運流程,建立統一標準,也就是在這個階段,他們決定導入Azure DevOps Services服務來統一管理流程,開始在Azure公有雲平臺上建立集中發布流程,來集中管理所有生產發布記錄。這是國泰的第2朵公雲。
採用該工具後,DevOps團隊先將AD主機搬上Azure環境,在Azure AD服務上建置身分驗證,除了能夠管理使用者發布權限,還加入發布審查機制,整合Slack工具,可用於即時簽核,方便人員發布申請。另外,他們也使用Azure AD完成將既有開發工具,與AWS及其他第三服務的串接,還有單一登入認證。
有了2朵雲後,團隊不只持續運用DevOps跨雲維運管理,還開始引進DevSecOps概念,將資安融入到開發與維運流程。他們使用Sonatype工具,在Azure服務管理介面進行DevSecOps管理,來建立整合資安的CI/CD流程,像是要求所有RD工程師發布程式碼前,都需嚴格檢視,確保合乎相關資安政策才放行,不同風險程度的程式碼發布,也統一在儀表板呈現供管理者監看。另外,還整合跨雲維運機制,將以往AWS公有雲上的告警機制,整進到DevSecOps平臺,並結合監控儀表板。
國泰金控IT年底即將邁入多雲管理架構
不只跨2朵雲,國泰金控預計年底前還要採用GCP公有雲,作為小樹生活圈服務未來使用的第3朵雲,用於大數據分析與相關應用,意謂著,國泰金控IT正式邁入多雲管理的架構,對於DevOps團隊維運管理考驗更大。
面對多雲管理的挑戰,DevOps團隊下一步,將建立自動化建置機制,讓多雲環境建置服務可自動化完成,來縮短每朵雲建置的時間,也減少容易出錯的手動流程。除了將導入基礎架構管理工具Terraform,來完成多雲環境自動化建置,他們之後還要打造屬於國泰集團自己的雲端管理平臺(CMP),該平臺不只做為小樹生活 圈服務的多雲管理平臺,未來更要發展成為集團下一世代金融服務多雲管理解決方案。
圖片來源/國泰金控
不只跨2朵雲,國泰金控年底前還要採用GCP公有雲,作為小樹生活圈服務使用的第3朵雲,用於大數據分析與相關應用,意謂著,國泰金控IT正式邁入多雲管理的架構,對於DevOps團隊的維運管理考驗更大。
文章來源:iThome