【CaaS平台化未来布局：DevOps跨云管理】靠DevOps维运实现跨云，研发国泰集团多云管理方案

国泰生态圈拥抱云原生架构，不只是为了现在单朵云的云地架构，更大的战略目标是，因应日后主管机关更松绑、异业合作更多元后的爆量成长需求，能进一步发展成多云混合云型态。这不只是一个战略推想，国泰金控已经在点数服务平台上，开始尝试多云混合云架构，为日后迈向跨云架构累积第一线的实战经验。

国泰早在2018年就开始尝试用区块链技术，自己来打造一个能整并多种点数的单一平台，希望能做到混合异种点数来合并使用，并在去年4月正式推出了“小树点”点数服务，今年6月底，则更进一步将国泰世华银行旗下信用卡的红利点数都更名为小树点。小树生活圈就是以小树点点数平台为核心所发展出来的生态圈。

为了提供小树生活圈服务，国泰金控建置7个重要IT服务平台，从集团电商平台、集团会员平台、ERP中台，到集团点数、票券平台、用户数据资料服务，以及第三方服务平台等。除了这些服务平台外，他们还建置一个集团维运平台，由DevOps团队负责用来维运及管理这些IT服务。

就像许多大型企业倾向采用公有云架构，结合云端的弹性扩充优势，以及高可用性的服务架构，国泰金控也将小树生活圈中，大部分合规可上云的服务搬上公有云，然而，随着公有云的使用日益频繁，加上后来采用不同公有云架构来开发和管理不同服务，国泰金控也面临3大痛点，包括维运管理困难、缺乏标准化服务，以及仰赖手动作业。这三大难题，也成了国泰金控DevOps团队所要面对的挑战。

国泰金控多云DevOps管理历程分三阶段

国泰金控多云混合云DevOps管理历程分三阶段，从单一云、建立统一标准化，到发展多云环境。每一个阶段，都有不同的IT难题需要解决。

在还是一朵云时，国泰金控采用AWS公有云平台，搭建小树生活圈服务所需的IT基础环境，虽说管一朵云，相较多云容易许多，但维运管理过程中，DevOps团队也遇到不小的挑战，像是针对云端专案的管理，每个专案有各自团队负责开发与生产环境管理和维运，然而，当云端专案越来越多，要管服务变越多，这样作法，就容易出现问题，因为各团队使用DevOps工具或CI/CD流程都不太一样，加上缺乏标准化机制，来统一管控和确保服务品质，容易增加资安风险，因而带来管理上的难题。这是国泰金控在第一朵云所面对的困境。

为了解决这个问题，国泰金控DevOps团队，先从建立单一云标准化做起，来标准化公有云的维运，涵盖基础设施、管理和组织三大面向制度标准化。以基础设施为例，他们从盘点基础设施开始，将用到服务、应用明确划分权责，统一采用自动化CI/CD工具来建置，以AWS CDK开发框架来建立Infrastructure as Code，让整个基础设施从建置到完成CI/CD，都可以用程式码来自动完成。

在管理标准化方面，DevOps团队也建立视觉化监控仪表板，能够将各云端专案统一集中管理，还结合稽核Log记录，解析每个风险事件或行为与建立异常告警机制。另外，他们在组织内部建立一套云端使用规范，统一各专案团队的作法，包括账号登入设计、Log档格式、数据库存取权限、费用管控等等，并统一以无服务器或是容器架构来设计其应用。他们更将DevOps部分开发维运流程加以整合，如专案计划 、程式码管理、 建置、测试等，逐步统一使用工具，如ClickUp、Jira、GitLab等，并透过维运平台在AWS云上建置。

建立明确标准化及制度方向之后，DevOps团队开始打造维运监控中心，透过独立云端维运账号，来建立标准化基础架构建置与权限控管，来管理云上各个小树生活圈服务，还建立一个共通监控平台供各团队建置跟维运。组织架构与分工也有所调整，将团队分成开发与生产团队，有各自维运管理和专案小组，负责维运监控、专案执行任务。

图片来源／国泰金控

为了让各专案团队能统一维运管理，DevOps团队开始打造维运监控中心，透过独立维运账号来建立标准化基础架构建置与权限控管，来管理公有云上的小树生活圈服务。组织架构与分工也重新调整，将团队分成生产和开发团队，有各自的维运管理和专案小组，负责维运监控、专案执行任务。

为了解决CI/CD流程断点，决定采用第2朵公云统一管理

不过，建立单一云标准化后，团队后来也发现，现有CI/CD流程仍有断点，无法达到一站式自动化工作，加上近几年DevSecOps的兴起，开始重视第三方开源套件的品质与安全性管理要求，甚至各专案间的版本功能发布可能相互影响，但现有Git管理工具，很难统一管理所有专案生产发布记录，连带影响到服务可用性。

为了改善这些问题，国泰决定从CI/CD流程着手，重新审视现有开发与维运准则，并与RD共同讨论后，针对每个开发维运流程，建立统一标准，也就是在这个阶段，他们决定导入Azure DevOps Services服务来统一管理流程，开始在Azure公有云平台上建立集中发布流程，来集中管理所有生产发布记录。这是国泰的第2朵公云。

采用该工具后，DevOps团队先将AD主机搬上Azure环境，在Azure AD服务上建置身份验证，除了能够管理使用者发布权限，还加入发布审查机制，整合Slack工具，可用于即时签核，方便人员发布申请。另外，他们也使用Azure AD完成将既有开发工具，与AWS及其他第三服务的串接，还有单一登入认证。

有了2朵云后，团队不只持续运用DevOps跨云维运管理，还开始引进DevSecOps概念，将资安融入到开发与维运流程。他们使用Sonatype工具，在Azure服务管理界面进行DevSecOps管理，来建立整合资安的CI/CD流程，像是要求所有RD工程师发布程式码前，都需严格检视，确保合乎相关资安政策才放行，不同风险程度的程式码发布，也统一在仪表板呈现供管理者监看。另外，还整合跨云维运机制，将以往AWS公有云上的告警机制，整进到DevSecOps平台，并结合监控仪表板。

国泰金控IT年底即将迈入多云管理架构

不只跨2朵云，国泰金控预计年底前还要采用GCP公有云，作为小树生活圈服务未来使用的第3朵云，用于大数据分析与相关应用，意谓著，国泰金控IT正式迈入多云管理的架构，对于DevOps团队维运管理考验更大。

面对多云管理的挑战，DevOps团队下一步，将建立自动化建置机制，让多云环境建置服务可自动化完成，来缩短每朵云建置的时间，也减少容易出错的手动流程。除了将导入基础架构管理工具Terraform，来完成多云环境自动化建置，他们之后还要打造属于国泰集团自己的云端管理平台（CMP），该平台不只做为小树生活 圈服务的多云管理平台，未来更要发展成为集团下一世代金融服务多云管理解决方案。

图片来源／国泰金控

不只跨2朵云，国泰金控年底前还要采用GCP公有云，作为小树生活圈服务使用的第3朵云，用于大数据分析与相关应用，意谓著，国泰金控IT正式迈入多云管理的架构，对于DevOps团队的维运管理考验更大。