【CaaS平臺化未來布局：DevOps跨雲管理】靠DevOps維運實現跨雲，研發國泰集團多雲管理方案

國泰生態圈擁抱雲原生架構，不只是為了現在單朵雲的雲地架構，更大的戰略目標是，因應日後主管機關更鬆綁、異業合作更多元後的爆量成長需求，能進一步發展成多雲混合雲型態。這不只是一個戰略推想，國泰金控已經在點數服務平臺上，開始嘗試多雲混合雲架構，為日後邁向跨雲架構累積第一線的實戰經驗。

國泰早在2018年就開始嘗試用區塊鏈技術，自己來打造一個能整併多種點數的單一平臺，希望能做到混合異種點數來合併使用，並在去年4月正式推出了「小樹點」點數服務，今年6月底，則更進一步將國泰世華銀行旗下信用卡的紅利點數都更名為小樹點。小樹生活圈就是以小樹點點數平臺為核心所發展出來的生態圈。

為了提供小樹生活圈服務，國泰金控建置7個重要IT服務平臺，從集團電商平臺、集團會員平臺、ERP中臺，到集團點數、票券平臺、用戶數據資料服務，以及第三方服務平臺等。除了這些服務平臺外，他們還建置一個集團維運平臺，由DevOps團隊負責用來維運及管理這些IT服務。

就像許多大型企業傾向採用公有雲架構，結合雲端的彈性擴充優勢，以及高可用性的服務架構，國泰金控也將小樹生活圈中，大部分合規可上雲的服務搬上公有雲，然而，隨著公有雲的使用日益頻繁，加上後來採用不同公有雲架構來開發和管理不同服務，國泰金控也面臨3大痛點，包括維運管理困難、缺乏標準化服務，以及仰賴手動作業。這三大難題，也成了國泰金控DevOps團隊所要面對的挑戰。

國泰金控多雲DevOps管理歷程分三階段

國泰金控多雲混合雲DevOps管理歷程分三階段，從單一雲、建立統一標準化，到發展多雲環境。每一個階段，都有不同的IT難題需要解決。

在還是一朵雲時，國泰金控採用AWS公有雲平臺，搭建小樹生活圈服務所需的IT基礎環境，雖說管一朵雲，相較多雲容易許多，但維運管理過程中，DevOps團隊也遇到不小的挑戰，像是針對雲端專案的管理，每個專案有各自團隊負責開發與生產環境管理和維運，然而，當雲端專案越來越多，要管服務變越多，這樣作法，就容易出現問題，因為各團隊使用DevOps工具或CI/CD流程都不太一樣，加上缺乏標準化機制，來統一管控和確保服務品質，容易增加資安風險，因而帶來管理上的難題。這是國泰金控在第一朵雲所面對的困境。

為了解決這個問題，國泰金控DevOps團隊，先從建立單一雲標準化做起，來標準化公有雲的維運，涵蓋基礎設施、管理和組織三大面向制度標準化。以基礎設施為例，他們從盤點基礎設施開始，將用到服務、應用明確劃分權責，統一採用自動化CI/CD工具來建置，以AWS CDK開發框架來建立Infrastructure as Code，讓整個基礎設施從建置到完成CI/CD，都可以用程式碼來自動完成。

在管理標準化方面，DevOps團隊也建立視覺化監控儀表板，能夠將各雲端專案統一集中管理，還結合稽核Log記錄，解析每個風險事件或行為與建立異常告警機制。另外，他們在組織內部建立一套雲端使用規範，統一各專案團隊的作法，包括帳號登入設計、Log檔格式、資料庫存取權限、費用管控等等，並統一以無伺服器或是容器架構來設計其應用。他們更將DevOps部分開發維運流程加以整合，如專案計畫 、程式碼管理、 建置、測試等，逐步統一使用工具，如ClickUp、Jira、GitLab等，並透過維運平臺在AWS雲上建置。

建立明確標準化及制度方向之後，DevOps團隊開始打造維運監控中心，透過獨立雲端維運帳號，來建立標準化基礎架構建置與權限控管，來管理雲上各個小樹生活圈服務，還建立一個共通監控平臺供各團隊建置跟維運。組織架構與分工也有所調整，將團隊分成開發與生產團隊，有各自維運管理和專案小組，負責維運監控、專案執行任務。

圖片來源／國泰金控

為了讓各專案團隊能統一維運管理，DevOps團隊開始打造維運監控中心，透過獨立維運帳號來建立標準化基礎架構建置與權限控管，來管理公有雲上的小樹生活圈服務。組織架構與分工也重新調整，將團隊分成生產和開發團隊，有各自的維運管理和專案小組，負責維運監控、專案執行任務。

為了解決CI/CD流程斷點，決定採用第2朵公雲統一管理

不過，建立單一雲標準化後，團隊後來也發現，現有CI/CD流程仍有斷點，無法達到一站式自動化工作，加上近幾年DevSecOps的興起，開始重視第三方開源套件的品質與安全性管理要求，甚至各專案間的版本功能發布可能相互影響，但現有Git管理工具，很難統一管理所有專案生產發布記錄，連帶影響到服務可用性。

為了改善這些問題，國泰決定從CI/CD流程著手，重新審視現有開發與維運準則，並與RD共同討論後，針對每個開發維運流程，建立統一標準，也就是在這個階段，他們決定導入Azure DevOps Services服務來統一管理流程，開始在Azure公有雲平臺上建立集中發布流程，來集中管理所有生產發布記錄。這是國泰的第2朵公雲。

採用該工具後，DevOps團隊先將AD主機搬上Azure環境，在Azure AD服務上建置身分驗證，除了能夠管理使用者發布權限，還加入發布審查機制，整合Slack工具，可用於即時簽核，方便人員發布申請。另外，他們也使用Azure AD完成將既有開發工具，與AWS及其他第三服務的串接，還有單一登入認證。

有了2朵雲後，團隊不只持續運用DevOps跨雲維運管理，還開始引進DevSecOps概念，將資安融入到開發與維運流程。他們使用Sonatype工具，在Azure服務管理介面進行DevSecOps管理，來建立整合資安的CI/CD流程，像是要求所有RD工程師發布程式碼前，都需嚴格檢視，確保合乎相關資安政策才放行，不同風險程度的程式碼發布，也統一在儀表板呈現供管理者監看。另外，還整合跨雲維運機制，將以往AWS公有雲上的告警機制，整進到DevSecOps平臺，並結合監控儀表板。

國泰金控IT年底即將邁入多雲管理架構

不只跨2朵雲，國泰金控預計年底前還要採用GCP公有雲，作為小樹生活圈服務未來使用的第3朵雲，用於大數據分析與相關應用，意謂著，國泰金控IT正式邁入多雲管理的架構，對於DevOps團隊維運管理考驗更大。

面對多雲管理的挑戰，DevOps團隊下一步，將建立自動化建置機制，讓多雲環境建置服務可自動化完成，來縮短每朵雲建置的時間，也減少容易出錯的手動流程。除了將導入基礎架構管理工具Terraform，來完成多雲環境自動化建置，他們之後還要打造屬於國泰集團自己的雲端管理平臺（CMP），該平臺不只做為小樹生活 圈服務的多雲管理平臺，未來更要發展成為集團下一世代金融服務多雲管理解決方案。

圖片來源／國泰金控

不只跨2朵雲，國泰金控年底前還要採用GCP公有雲，作為小樹生活圈服務使用的第3朵雲，用於大數據分析與相關應用，意謂著，國泰金控IT正式邁入多雲管理的架構，對於DevOps團隊的維運管理考驗更大。