随着互联网和云计算的发展及企业业务创新的需要，企业的IT资产越来越多，参与运维的岗位也越来越多样，当IT资产和运维团队达到一定规模时，对IT资产的日常管理和运维过程都会变得复杂且混乱。由此，海量资产的运维成为了企业急需解决的问题。

本文将通过一个具体的实例，介绍面对海量资产运维的行云管家应对之道。

案例介绍：

某知名银行的金融科技公司，下设架构部、基础运维组以及100多个FT项目组，架构部与基础运维组合合计20多人，100多个FT项目组共有800多人。其中，架构部与基础运维组负责云计算IaaS的选型与基础运维，FT项目组负责具体IT业务系统的研发工作，如手机银行、微信小程序等。

该银行IaaS基础设施采用的是私有云与公有云的混合云模式，私有云包括一套基于OpenStack的实例，和一套基于微软Azure的私有实例（以下简称微软落地云），共计3000多台主机资源，公有云主要采购了阿里云、华为云、腾讯云三家公有云厂商，共计2000多台主机资源。

痛点分析：

如此海量的IT资产和用户给该银行的运维造成了非常大的困扰。其运维过程中主要的业务痛点分析如下：

• 主机来源多样性：如何做到不同云厂商的统一纳管，并做到云资源的自动发现？
• 主机类型多样性：如何根据主机的类型与用途快速的定位主机？
• 主机资源数量多：如何按照用户的业务视角展现主机资源并做到快速的查找主机？
• 数据隔离：如何做到不同FT项目组之间的业务数据有效隔离？
• 权限管理：如何做到针对主机资源的精细化授权与动态授权？

因此，该银行希望采购一套堡垒机产品，以使得面对海量IT资产和用户，既能保证运维管理云资源过程合规、安全，又能达到轻松运维，提高运维效率。

行云管家解决方案

面对海量IT资产的运维和众多用户的管理，行云管家研制了一套针对性的解决方案，既满足了安全管理需求，也实现了高效运维，在安全与效率之间取得了平衡。

针对上述银行所面临的痛点，行云管家给出了如下解决方案：

如何应对主机来源多样性，做到不同云厂商的统一纳管，并做到云资源的自动发现？

 行云管家支持业界所有的主流的公有云厂商及OpenStack、VMware、ZStack等私有云厂商，这意味着针对这些云厂商可通过OpenAPI完成一键导入、自动纳管；

针对普通的局域网主机、网络设备、存储设备等，行云管家支持通过IP扫描或者Excel表格方式完成批量导入；

针对可通过OpenAPI对接的云资源，行云管家支持按照一定的时间周期扫描云资源的变化，并进行自动同步。

 如何应对主机类型多样性，根据主机的类型与用途快速的定位主机？

在行云管家中，可通过标签完成对主机信息的自定义扩充，这意味着可以灵活地展现主机的类型、用途、归属部门、所属区域等各个用户自定义信息；

当用标签对主机进行标注后，在行云管家内可通过标签完成对主机的筛选与快速定位。

如何应对主机资源数量多，按照用户的业务视角展现主机资源并做到快速的查找主机？

针对主机列表，行云管家提供了“按网络”、“按标签”、“按分组”三种视角进行展现；

所谓“按分组”进行展示，本质上是按照用户期望的业务视角构建一棵业务树，并将主机资源挂到业务树相应的节点；

同时，行云管家提供了一键唤醒的主机全文检索能力。

如何做到不同FT项目组之间的业务数据有效隔离？

当主机数量与用户数量过多时，再好的授权模型也很难克服日常管理的复杂度；

此时，对主机与用户进行“基于租户的数据隔离”是一种最直接、最有效的手段；

行云管家运营班支持在一个行云管家运行实例中创建多个租户（团队）的能力，每个租户之间的业务数据是完全隔离的。

如何做到针对主机资源的精细化授权与动态授权？

行云管家的授权模型是“基于角色权限控制系统”，但在此基础上做了大幅优化与增强

在行云管家中，可对组织单元授权、对角色授权、或直接对用户授权；

从功能权限上来说，行云管家现有22个功能模块，130多个功能权限，这意味着在行云管家中能够控制的功能颗粒度是足够精细的；

从云资源授权上来说，对云资源进行授权本质上是一种动态授权；

从分组授权上来说，分组授权既构建了基于用户视角的业务树，也完成了对资源进行分组，并通过分组进行授权。

总结：

面对海量IT资产的运维及众多用户的管理，行云管家堡垒机为IT管理者提供更高、更全面而细致的安全管理视角，为IT运维工程师授予合适粒度权限，更为运维工程师带来了丰富便捷的运维手段和极致的操作体验。

直接体验：yun.cloudbility.com