01
巴斯夫的化学新作用
巴斯夫,创造化学新作用——追求可持续发展的未来。巴斯夫将经济上的成功、社会责任和环境保护相结合。巴斯夫在全球拥有超过110,000名员工,为几乎所有国家、所有行业客户的成功作出贡献。巴斯夫的产品分属六大业务领域:化学品、材料、工业解决方案、表面处理技术、营养与护理、农业解决方案。
在过去150年多年的历史里,以化学知识和技术为基础的创新始终是巴斯夫发展的动力。产品组合在实体、技术、市场相关度和数字一体化等方面拥有独特的优势。凭借六个一体化基地和241个其他生产基地,巴斯夫几乎能为世界上任何国家和地区的客户与合作伙伴提供服务。一体化体系集成了生产、市场及技术平台,将各项业务紧密相连。
一体化体系是巴斯夫最大的优势之一。高效利用资源,凝聚集团整体力量增加价值。以生产一体化为例,各生产单元及能源需求实现智能连接,一套生产装置的废热可被另一套生产装置用作能源。此外,一套生产装置的副产品也可成为其它装置的原料。这不仅有助于节约原料和能源,还能降低排放和物流成本,充分发挥协同效应。
02
百年化工企业的数字化转型之路
在全球企业数字化的背景下,拥有百年历史的化工头部企业巴斯夫在转型过程中也面临着诸多问题和挑战,那巴斯夫是如何寻求突破,“化茧成蝶”,成功云转型的呢?是如何寻求适合自己的道路呢?
作为巴斯夫全球数字化服务部门(Global Digital Service,下文简称GD部门),面对复杂多变的挑战专注于在庞杂的数据海洋中,去寻找那些对于业务发展有利、满足不同场景业务需求的解决方案。
公有云平台正是一个良好的平台,为巴斯夫的数字化之路,提供了一个良好的底座,充分利用公有云这个底座,巴斯夫的GD团队才能更好的满足客户的需求,让业务团队充分利用这个平台升级自己的产业链,做到数字化的商业模式、智能供应链、智能制造及智慧创新。
巴斯夫拥有超过11万员工,内部拥有很多独立运营的部门和子公司。每个部门或者子公司对于企业的数字化转型都有自己的认识,他们的需求总是丰富而独立的。对GD来说,需要考虑的如何行之有效的整合这些需求,把需求中的共性有机地提炼出来,把各个部门的独立应用有效地串联起来。
03
上云的挑战
随着工业互联网快速发展,中国化工行业的数字化转型已然成为行业高质量发展的密钥,所以巴斯夫中国的转型也迫在眉睫。在转型过程中又有着怎样的期待和挑战呢?
巴斯夫中国的上云同样由GD部门总体负责推进,不仅是在技术、而且在文化、组织和流程方面,管理层、企业总部和自身都提出了一些期待和要求:
管理层的期待
巴斯夫的管理层充分的认识到了对于一个生产行业,在全球数字化高速发展的今天,我们自身也要加入其中,提出了数字化的商业模式,智能供应链,智能制造,智慧创新等目标。如何让管理层充分的了解云平台、如何利用这个平台更好的进行企业的数字化转型是GD部门关注的一个话题。
总部的管控要求
巴斯夫作为一家跨国世界500强企业,在公司总部很早就开始了对公有云平台的尝试和实践,且成果颇丰。大中华区需要紧跟总部的步伐,在满足企业级的安全合规性要求的前提下,更加充分的利用本地优势开展自己云平台的搭建,更好的为大中华区服务。
自身的挑战
巴斯夫GD部门同样也面临着自身的挑战,GD部门需要对云平台有着比业务部门更加清楚的认识,才能更好的为业务部门提供专业的咨询服务。因此需要在整体规划、构建登陆区、迁移上云和运营管理全生命周期提供相应的技术、流程与工具。
04
上云登陆区的理解
我们知道在公有云平台上有各种各样的服务、海量的资源,你可以非常方便的找到适合自身业务场景需求的资源。然而,对于巴斯夫GD部门来说,我们更加关注如何为各业务团队构建一个上云登陆区,并确保这个登陆区是安全合规、可扩展和可管理的;有了这个上云登陆区,各业务团队可以快速地把应用部署在阿里云上。因此,我们理解,构建上云登陆区是实现安全合规与业务敏捷性有效平衡的最佳路径。阿里云Landing Zone上云框架提供了“一站式”的上云解决方案,能够满足我们上述诉求、实现云平台的统一规划与构建。
05
Landing Zone的规划与落地
组建云卓越中心(CCoE)团队
对于巴斯夫这样的大型组织,上云需要符合总部数字化团队的治理框架,在面向本地化还需要协同内部众多团队,因此上云不仅仅是一项技术工作,还是一次大型的组织协同任务。为了确保上云顺利推进,GD部门需要有各种业务和技能的储备,因此参考阿里云的《云采用框架》组建了云卓越中心(Cloud Center of Excellence),包括如下角色:
· Project Owner:上云推进的项目负责人,总体协调各团队确保工作有效推进;
· Cloud Strategy:云战略负责人,制定云采用的策略和关键决策;
· Cloud Architect:云架构师,负责制定技术策略并为业务团队提供技术架构指导;
· DevOps Architect:DevOps架构师,负责DevOps平台的构建和推广;
· Support and Operator:技术支持和运营,提供包括基础运维和服务请求单的处理;
· Technical&Business Consultant:技术与业务顾问,为业务团队提供业务与技术的咨询服务;
· Demand&Cost Manager:需求和成本经理,负责统筹各子公司和部门的业务需求,并负责整体云平台的财务管理使之满足于企业财务流程。
设计思路
为了能够解决云上的各种挑战,巴斯夫的GD部门在部署公有云前,基于阿里云的Landing Zone框架,对于八个领域的需求进行了讨论与梳理:
1. 统一的财务管理:巴斯夫拥有众多的子公司以及独立的部门,他们之间基于保密性的考量,需要拥有自己的独立账户;而对于GD以及财务部门,我们则希望可以统一付款,对于费用有清晰的可见性分析,从而优化资源利用率,对一些高额的资源使用产生必要的费用告警;
2. 统一的资源规划方案:巴斯夫的GD部门期望可以统一管理子公司以及独立的部门的账户,把所有账户以成员的方式纳管在巴斯夫的根账户之下,并且进行必要的资源标签,以达到资源标识的目的;
3. 集中的身份权限策略:云平台满足集中化的身份认证,统一的申请以及授权;
4. 满足合规审计:云上的平台以及应用必须具备事前管控以及事后审计的能力;
5. 一体的网络规划:公有云平台既可以作为巴斯夫内部数据中心的延伸,又可以作为补全内部数据中心基础架构能力的出口,这意味着,云上的平台必须能够在账户级别灵活组网,同时作为云平台,我们需要为我们面向公网的账户体系提供统一的公网出口,以及强有力的网络安全套件。
6. 云上的安全保护:云上的安全必须能做到从网络到主机再到数据层面的全方位安全保护,充分利用边界防火墙、安全组,访问控制和端到端的数据加密等组件达到企业级别安全要求;
7. 满足运维管理要求:巴斯夫的GD部门必须有能力提供统一的日志管理,监控管理以及为各个成员账户提供配置管理工具,提高应用的可扩展性以及迭代能力。
8. 支持灵活的自动化部署:云原生是巴斯夫GD部门主导的云上应用架构以及部署方式,做到部署自动化,监控自动化是我们的长期目标。
多账号架构
为了将众多独立的部门和员工串联起来,满足各个需求,巴斯夫采用多账号架构模式。
基于阿里云的资源目录(ResourceDirectory)服务,实现云上的结构设计和实际的组织管理架构相匹配:
· 企业管理账号(Root Account):设计巴斯夫GD部门管理平台级别的巴斯夫的企业管理账号,可以方便的管理和规划预算,并通过阿里云财务中心的财务单元实现内部的成本分摊的可视化;
· 核心账号(Core Accounts):设计网络管理账号Connectivity Account、日志账号Logging Account以及统一安全账号Security Account,以实现服务和管理的集中化;
· 业务账号(Application Accounts):业务用户只需要在公司内部GD系统中进行申请Internet FacedAccount 或者 Intranet FacedAccount,就可以通过阿里云的资源编排,自动的创建用户的成员账户,并且自动部署对应的安全策略、统一的收集日志策略及统一管控的网络出口;打通巴斯夫企业的内部的认证服务,巴斯夫的业务用户在自己的成员账户中基于角色对资源有不同的访问策略(RBAC),从而实现更细颗粒度的员工权限。
核心账号的设计理念
Connectivity Account、Logging Account以及SecurityAccount主要的目的是为了在云上构建一个统一的平台,是为了提供集中化的网络管理、日志收集和安全管理,好处有以下几点:
1. 安全隔离与访问控制:在整个架构中,账号之间相互独立,保障了账号之间的安全性;不同角色的团队成员也只需要登录到自己的账号中即可完成所有工作,确保访问的最小化控制;
2. 平台和应用分离:把平台(Platform)和应用(Workload)进行分离,应用的开发人员不再需要关注一些通用的基础架构安全问题,从而有更多的精力专注于应用本身,把平台的问题托管于基础架构团队;
3. 共享资源降低成本:对于一些共性资源(如网络带宽、安全防护等),可以有效的进行统一部署和共享,从而进一步降低成本。
基于组织的多账号管理
基于组织构建了多级的账号结构,借助于阿里云的能力能够实现统一的管理与控制:
· 管控策略:配置权限边界并可基于组织关系继承;
· 共享服务:可以在组织内的多个账号之间共享资源;
· 费用管理:可以统一管理多个账号的消费额度。
RBAC
巴斯夫紧跟总部的要求,所有的巴斯夫内部员工访问阿里云控制台,需要通过公司统一的认证方式去登录巴斯夫GD部门在成员账户预定的角色。巴斯夫默认对成员账户分配了两种预设角色:Contributor和Reader,前者对于成员账户拥有除了访问控制(RAM)服务以外的所有权限,后者则是除了访问控制(RAM)服务以外的只读权限。
财务管理
巴斯夫中国有拥有众多的子公司以及独立的部门,这些分子公司和部门以Self-Service的模式自行管理自己的业务账号,自己采购和管理云上的资源,快速构建业务响应市场需求。
首先,基于阿里云的企业财务,GD部门可以统一管理多个业务账号,实现统一付费和预算管理;内部的成本分摊,业务部门需要按照所开通的业务账号的消费金额额外加成15%的费用以支付GD部门提供的共享服务;
其次,GD团队可以很直观的在阿里云财务中心看到各个账户的消费情况,设置财务报警,查看是否有资源利用率上的问题;
最后,巴斯夫GD团队可以通过财务中心的分析功能对业务部门的成员账户的使用量进行预估来帮助业务部门去正确的评估自己在下一季度的预算,从而提供咨询服务。
网络架构
巴斯夫GD部门在考虑云上的网络架构的时候,从以下几个方面着手满足需求:
· 云上云下混合云组网:针对我们的Intranet FaceAccount,我们有连接巴斯夫内网应用以及数据接口的需求,利用S2S VPN 以及 Express Connect构建一个拥有SLA的保障,以及高可用的网络,是我们考虑的混合组网时,非常重要的议题;
· 统一管理云上公网出口:针对我们的Internet FaceAccount, 我们需要能够提供统一的边界防火墙,这样既可以保证集中化管理的要求,也可以节约企业的成本;
· 多账号多部门共享资源:通过阿里云CEN服务,我们可以实现多账号多部门网络连通和带宽流量共享;
· 云服务、生态服务安全访问:当混合组网架设好以后,我们就可以有效的利用云上生态伙伴服务以及云服务,为本地数据中心做一个扩展,提供更丰富、更高可用性的应用架构。
安全合规
如何安全并且合规的使用公有云平台是巴斯夫的GD部门从在阿里云上调研之初就重点考虑的问题,和巴斯夫的总部团队进行探讨之后,针对组织的安全合规要求,归纳了以下几个方面:
— 集中式身份认证
— 一体化的网络架构
— 强监管的边界网络出口
— 统一的网络访问策略
— 统一的日志收集
— 内部合规软件的信息采集
06
高效交付与运行,助力业务敏捷创新
巴斯夫规划了对内提供云服务的形态,Basic Cloud Services和Managed Cloud Services,分别提供了不同内容的服务(如下所示),目前巴斯夫中国的GD部门提供了基础服务(Basic Services), 在不久的未来我们还会提供托管服务(Managed Services),加快业务部门的数字化进程。
成功构建Landing Zone后GD部门完成了账号架构、身份权限、网络规划、安全合规、成本管理的统一规划,已经具备提供基础服务的能力,并且与巴斯夫内部安全、财务、合规等团队达成了良好协同。看似这一过程需要考虑的方方面面很复杂,但是最终交付给使用阿里云的业务团队是非常简化的。GD部门提供了一个自服务的平台,供业务团队可以自助地、便捷地申请阿里云环境,这带来三个好处:
01
首先,交付的环境是安全受控的。GD部门基于Landing Zone确保交付给业务团队的云环境都完成了初始化配置,是安全合规的、中心管控的;
02
其次,交付的过程是自动化的。阿里云环境的身份权限、安全合规、网络、财务管理等配置是自动化的,这不仅仅提升了效率还确保交付是标准的;
03
最后,交付的体验是快捷的。通过自服务平台,巴斯夫全球的团队都可以在完成审批后数小时获得一个阿里云环境,助力业务敏捷创新。
巴斯夫的GD部门把这种交付和运行体验称为“1 Step 4 Clicks,Easy on Cloud”。
07
未来展望
巴斯夫的GD部门已经完成阿里云Landing Zone上云登陆区的构建,迈出了上云坚实的第一步。然而,云转型不是一蹴而就的,我们在服务内部客户的过程中,还需精进运营管理水平和持续迭代能力。GD部门将在以下方面持续的深耕,推动巴斯夫的云转型成功:
1. 需要紧跟公有云产品的快速迭代步伐,持续不断的引入新的云上服务,帮助巴斯夫顺利进行数字化转型;
2. 在进行线下数据中心改造的同时,需要更好的利用云上的资源实现跨地域的容灾;
3. 需要完善Landing Zone管理与治理体系,更有效的管理资源,以节约部门成本,实现云上资源利用的最大化收益;
4. 持续关注云上的安全产品,为各业务提供强有力的安全保障。
作者:巴斯夫·全球数字化服务团队 Carson Wang、Bryan Liu
阿里云·Landing Zone团队 黄永法
编辑:阿里云研究院内容运营主管 赵子千
直播预约
今日晚20:00,科特勒增长实验室直播间邀请到阿里巴巴集团副总裁、阿里云研究院院长肖利华先生为大家主讲《数智驱动新增长》,您可通过视频号或扫描海报二维码的方式,立即预约直播。