【華為云Stack】【大架光臨】第2期：云上遠程運維的最后那點擔心，“云梯”幫你解決

遠程運維是趨勢，安全可信是根基

便捷高效的云服務已成為企業解放生產力、推動業務創新的重要支撐。隨著云平臺的規模快速擴大，若繼續使用傳統的運維手段，將會對政企IT運維部門帶來非常繁瑣復雜的工作。這表現在：

云服務需持續更新迭代，規模大，變更升級風險高；

傳統運維手段不適應云化運維，故障識別難，運維效率低；

面對容器、大數據、AI等紛雜的新技術，運維人員無法快速應對突發故障；

云運維專家成本高，如某局點配置的PaaS/大數據等運維專家，僅20%時間處理復雜的問題，80%處理低階日常維護工作，造成人力浪費。

在這種背景下，華為云著力構建“1+3+N”全球技術服務體系，為政企用戶提供全球交付和運維能力。依托華為云專業的運維人員、成熟的運維體系、領先的運維能力，把客戶從復雜的運維工作中解放出來，聚焦于業務創新。企業客戶通過專線或VPN等方式接入遠程運維服務時，安全可信的網絡連接方案是遠程運維的基礎，否則反而會將安全風險（數據安全、網絡攻擊）引入到客戶本地云中。

聊一聊遠程運維的安全風險

智能化的遠程運維中心至少需要具備如快速升級、部署、擴容、故障處理、巡檢、告警監控等能力，典型架構如下圖1，遠程運維中心的多種運維工具或通信協議往往會導致通信矩陣龐大，網絡配置復雜，這樣必然帶來一些網絡安全風險。

圖1 遠程運維典型架構

這些風險主要包括：

防火墻上通信矩陣復雜，監聽端口眾多，網絡攻擊者可能會針對這些監聽端口發起攻擊，威脅客戶本地云內網安全；

運維工具和運維代理間的通信多樣化，除了從防火墻控制外，無法有效地從某一個控制端點上按照運維業務或數據維度做細粒度的控制，缺乏自助控制；

基于TLS等協議的加密流量，客戶無法統一審計，依賴離散的運維工具代理（分布式運維工具代理）本身的審計能力，審計難度大，數據安全無法有效保證；

缺乏針對潛在惡意指令的攔截和防范手段。

華為云Stack的遠程運維安全連接方案

基于上面描述的遠程運維接入過程中可能存在的問題，華為云Stack基于專線或VPN基礎之上提供遠程運維安全接入產品“云梯”，整體架構設計如下：

圖2 “云梯”架構

在不改變運維工具本身架構的情況下，整體架構主要包含這些關鍵組件：

運維工具的這些特性能力十分重要：

快速部署、升級、擴容：實現云服務快速部署、持續迭代升級，全網同版本、同架構、同生態；升級變更方案專家統一制定，降低變更升級風險；

快速故障定位、故障處理、主動巡檢、AIOps等：專家7*24小時在線，重大問題研發專家會診，疑難問題發現快、定位快、修復快，快速一鍵式巡檢，發現系統潛在風險；

告警監測：實時監測告警數據，智能分析，及時快速提前介入，主動預防；

云梯Server：完成中心運維工具的請求轉發、響應和告警監控數據上報；

云梯Client：與遠程運維中心的云梯Server建立安全加密的消息通道，接收云梯Server的轉發消息，針對不同協議完成請求的代理，調用目標運維工具代理獲取響應；

運維工具代理：接收并執行運維指令，主要包括如：

安裝包、升級包下載，完成云服務安裝與版本升級；

驅動AIOps腳本執行，收集、分析故障日志，快速定位問題根因，執行巡檢任務，檢查云服務健康狀態；

對接客戶本地云告警，完成告警數據上報；以華為云Stack為例主要包括如下類型告警：

通信告警：網元內部、網元之間、網元與管理系統之間、管理系統之間的通信失敗而引起的告警。如：設備通信中斷告警。

業務質量告警：如：設備擁塞告警。

設備告警：物理資源故障而引起的告警。如：計算節點磁盤不足。

完整性告警：請求的操作不能正常提供。如：非法的修改、增加和刪除用戶信息

安全告警：安全服務或機制檢測到有關安全方面的問題發生。如：鑒權失敗、非法訪問。

當客戶遠程運維使用“云梯時”，各組件相互配合，共同保障安全：

位于客戶本地云中的云梯Client與遠程運維中心云梯Server保持長連接，建立一條連接遠程運維中心與客戶本地云的消息通道，所有運維指令下發或監控數據上報請求都通過這一通道進行傳輸，這樣能夠避免客戶本地云邊界防火墻端口監聽的同時也能將原有運維工具與運維工具代理間多種協議的連接收編到統一的長連接中，實現通信矩陣的收編；

以運維指令下發為例：遠程運維中心的運維工具通過https向運維工具代理發送運維請求時，請求經過云梯Server進行動態路由，分別在云梯Server中完成請求的封裝，通過長連接消息通道完成消息分發，在云梯Client中完成請求的解封裝，恢復請求發起調用運維工具代理獲取響應，響應消息返回至調用方。這樣的好處在于針對如上的每一個請求位于客戶側的云梯Client均能夠解析請求指令和響應的詳細內容，實時將完整的請求與響應數據記錄到審計日志中實現透明審計；

如上請求轉發過程中，客戶側云梯Client能夠實時獲取請求和響應數據，基于目的地址或運維數據特征，提供細粒度的白名單放通策略（自定義或預置），云梯Client僅會轉發允許放通的請求，其他請求均無法經過云梯到達客戶本地云運維區，更無法到達客戶云內網，保證數據安全，將通道控制權掌握在客戶手中。

“云梯”作為一體化的安全、可信、可控遠程運維解決方案中的關鍵能力，我們做了幾個重點技術能力構建，解決遠程運維的安全風險：

1. 將客戶本地云運維工具代理相關的防火墻監聽端口減少至0，將運維工具多種通信協議的通信鏈路收編到統一的長連接中，如下圖所示：

圖3 “云梯”場景運維接入

2. 針對運維過程中的加密協議（如https等）提供透明審計能力，實時查看運維指令內容，如下圖5所示，同時提供敏感數據（賬號、口令等）識別、脫敏與攔截，防止數據泄露；

圖4 “云梯”流量審計

3. 提供細粒度基于運維業務或數據特征的控制策略，按需放通運維指令，將運維的控制權掌握在客戶手中。如在某段時間內僅允許巡檢指令下發，則該時段內變更類指令將會被攔截。

“云梯”已成，加速政企智能升級

當前云梯已上線華為云（西安）運維中心，同時云梯結合運維工具提供安全、可信、可控的遠程運維解決方案，形成“1+2+5”的安全體系：

1套安全管理體系：構建遠程+現場兩級安全運維體系；

2項安全認證：ISO27001認證、網絡安全三級等保認證；

5類安全管控機制：數據安全、IT安全、人員安全、物理安全、作業可信。

現已支撐50+政企云上運維，囊括政府、交通、醫療、電力等8大行業。如：

1. 華為云Stack為國家電網提供集中運維解決方案：

問題處理效率比常規情況提升約50%；

各省問題平均閉環時間縮短至45天，快速迭代云服務版本。

2. 華為云（西安）運維中心為甘肅省醫療保障局提供智能運維解決方案：

智慧醫保系統運維效率提升30%-50%，全面保障醫保信息平臺全生命周期業務連續性。

3. 華為云（西安）運維中心為中國一汽提供一站式運維服務：

累計處理線上問題500+；

問題處理效率提升46%；

需求變更100%成功。

面向未來，在線智能化的遠程運維已經成為政企數字化轉型的最優解。華為云Stack遠程運維“云梯”連接方案，實現客戶云便捷安全的接入遠程運維中心，對現有客戶本地云配置影響小，提供透明的統一審計能力，易控可控的連接通道，全方位保障客戶本地云遠程運維接入安全。幫助客戶從復雜的云運維中解放出來，更加專注業務創新，加速千行百業數字化轉型和智能升級。

云計算 華為云Stack 運維

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。