中體彩簡介

中國體育彩票于1994年開始發行，當前主要包括樂透型彩票、競猜型彩票和即開型彩票三大類別。從“十三五”開始，全國體育彩票系統以新時代中國特色社會主義思想為指導，不斷深化黨建引領，堅定以人民為中心的發展理念，確定了“建設負責任、可信賴、健康持續發展的國家公益彩票”的總體發展目標。始終倡導“公益體彩，樂善人生”的公益理念，形成了服務社會、踐行公益，具有中國特色的體育彩票發展道路。

2018年，中國體育彩票通過世界彩票協會（World Lottery Association）責任彩票三級認證，標志著中國體育彩票在踐行責任理念、堅持合規運營、承擔社會責任等方面得到世界的認可。

2020年，中國體育彩票全年發行量達到1895 億元，為國家籌集體彩公益金508億元。這些公益金被廣泛用于補充全國社會保障基金、抗震救災、教育助學、殘疾人救助、扶貧、法律援助等多項社會公益事業，并通過支持“全民健身計劃”等公益活動，在構建公共體育服務體系、助力健康中國戰略、建設體育強國中發揮作用。

云轉型歷程

中體彩的IT系統為體育彩票事業貢獻了基礎的保障能力，大致經過了如下的三個階段。

第一階段虛擬化：2013年在對全國的四個區域數據中心進行集中后，為了提高IT資源的利用率，進行大批量的虛擬化建設，包括計算資源的虛擬化和存儲環境的虛擬化。

第二階段雙模平臺：完成了基礎環境的虛擬化改造后，2017年基于開源如OpenStack云化技術棧和傳統的虛擬化技術棧，參考Gartner機構的Bimodal IT發展模式建議，體彩在新數據中心的IT基礎環境建設時實現了敏態和穩態環境雙模平臺。

第三階段混合云：2021年對體彩云進行了新的定義，由私有云、公有云、統一云管平臺、專用通道組成的混合云。配合新業務上線，除了在自有數據中心建設搭建云平臺之外，充分利用阿里公有云平臺提供的豐富能力。

上云的挑戰

雖然中體彩在傳統數據中心積累了豐富的經驗，但是對于公共云還是比較陌生的。面對業務的復雜性、多團隊的協同，如何確保上云的統一規劃和建設，是中體彩云團隊面臨的挑戰。因此從組織管理、技術訴求進行了分析和梳理。

組織管理和技術訴求

當業務需要部署在公有云上時，除了業務的基礎要求，還有如下的組織管理訴求：

• 計劃：在有限的時間下，按時上線過程的方向把控、問題的及時發現、預防和糾正；

• 組織結構要求：組織中不同團隊的職責各級組織的職責體現、相互之間的協調機制；

• 合規安全要求：技術架構滿足中體彩的安全管理與合規要求；

• 人員培養：規劃設計團隊在完成公有云的引入和設計后，還多支持后續的運維運營承接團隊，簡單的說，就是能把后續的隊伍扶上馬，送一程。

以上是新業務需要部署在公有云環境時，以管理訴求的直接需求的角度提出。如果把上述的原始需求轉換成技術需求的語言，就是：

• 計劃：業務上線時間倒排，確定工作模塊的組成以及模塊之間的依賴關系；

• 架構合理性：現有環境（遷移前技術棧）的評估，平滑遷移，最少的業務應用代碼改動，遷移后架構是不是Best Practice；

• 合規安全要求：用戶訪問方式和權限的定義，云上網絡內部之間的安全訪問，VPC之間、實例之間等，網上網絡對外出口的訪問；

• 組織結構要求：業務需求方、數據中心運維方、管理方、架構設計方、安全合規等多方，可以在云上協同完成工作；

• 人員培養：提供基于公有云的知識庫以及學習驗證環境。

公有云與傳統數據中心的異同

從技術實現的角度，在網絡架構設計、安全防護和合規審計領域，公有云與傳統數據中心的原理基本相同。但在如租戶管理，財務管理（成本分攤）的模型和IT系統的組織模型領域存在較大區別，同時公有云和傳統數據中心內都要進行身份權限定義、日常運維和開發自動化代碼的工作。

為了解決上述的組織管理和技術的訴求，體彩在進行業務的公有云部署前，基于阿里云Landing Zone上云框架進行整體設計，確保構建一個安全合規、可管理和可擴展的阿里云環境。

基于阿里云的資源目錄（ResourceDirectory）服務，實現云上的結構設計和實際的組織管理架構相匹配。其中，體育彩票管理中心為企業管理賬號，在整體組織內具有最高權限，而下屬的其它各類業務應用均為應用賬號，確保了管理與應用的職責分離，各個應用賬號也可以實現租戶隔離。

而更細顆粒度的員工權限，通過云平臺上的RAM（Resource Access Management）功能，進行租戶內的標準用戶權限的用戶組定義，以實現基于角色為員工進行授權。

應用賬號的費用額度，通過企業管理賬號統一劃撥，在初次申請時，計算該業務賬號預計的年和季度費用，按季度劃撥。在季度內，如果業務賬號內的資源做了節省或其它原因，業務賬號的管理員可以在額度范圍內自行創建新的云資源，如果超出了劃撥額度，需要進行新的申請。

共享服務租戶與業務租戶在具體功能上的區別

共享服務租戶和業務租戶，從云產品的功能本身來說，并沒有使用權限上的區別，但是為了實現組織的集中化管理，從架構設計上，將一些共享功能的網絡類和安全類產品，如共享帶寬、NAT、防火墻和DDoS等，定義為只能在共享服務租戶內創建，而一些面向業務的具體計算和存儲類產品，如ECS、RDS和SLB等，則定義為創建在業務租戶區。這樣做的好處有：

首先，保證了邊界防護的安全性可管理；

其次，因為這些資源的復用，可以降低整體成本；

再次，因為網絡類和安全類產品的配置具有一定專業性，由一個獨立的共享服務區配置，可以指定專人，保證配置的有效和合理性，也降低了業務應用開發人員的技術難度；

最后，在整個環境內，將生產環境和測試環境進行區分，保持一定的安全獨立性。

網絡架構

云上的網絡架構，可以參考傳統數據中心的設計模式，同時發揮公有云上產品種類多樣，連接便利的特點。采用公有云上最徹底的隔離方式，基于租戶的隔離，同時通過云企業網CEN，將允許的租戶資源互聯，并配置全局的旗艦版防護墻，保證南北向和東西向數據流量的安全。各個業務租戶區的對外訪問，如共享帶寬、NAT映射，均由統一的共享租戶進行配置，并設置統一的DDoS和WAF應用規則，整個網絡內的對外安全標準統一。

對云上的資源需要與云下數據中心互聯，采取的是專線接入方式，配合VBR邊界路由，實現體彩自有數據中心與阿里云的互通。

安全防護體系

公有云上的安全，體彩在建設時，參考網絡安全等保三級的要求，分別從網絡層、主機系統層、環境與登錄、以及日志審計的維度，建立整體的安全防護體系。

其中事前防護的如云防火墻等產品，采取資源目錄中可信服務授權的方式，在企業管理賬號中操作，將權限授予共享服務租戶的管理員操作；事中防護的如配置審計功能，在企業管理賬號內打開，配置收集下屬各應用業務賬號的資源列表，并將企業管理賬號內統一的配置規則，下發到各應用業務賬號內；事后的操作審計功能配置為默認開啟，確保所有操作都可以被審計。

成本分攤規則

云上資源即開即用，雖然具有使用便利性的特點，但如何去衡量云上資源的使用是否合理，成本可見是最基礎的。中體彩采取成本分攤的方式，將云上資源的每一項費用，都與具體業務相關聯。具體來講，就是將云上的每個產品成本，通過分攤計費的方式進行累加。

體彩在成本分攤方面，因為對云上的租戶分別定義了企業管理租戶、共享服務租戶和業務租戶三種類型的租戶，其中企業管理租戶自己不創建資源，不承擔成本，主要的成本發生在共享服務租戶和業務租戶兩類租戶上，我們定義了如下的規則：

1、業務租戶的成本，由業務方獨自承擔；

2、共享租戶區的成本，由各使用方按使用量分攤。

所以真正需要分攤的是共享租戶區的成本。如前文所述，共享服務區的云產品類型主要以網絡類和安全類產品為主，對這些產品采用何種分配方式，是我們主要討論的內容，基本的分攤原則，制定公式如下：

將共享租戶區內與租戶1代表的業務相關的所有n個云產品分別計算分攤值，并求和。

具體到不同的云產品類型，我們也進行了分別的定義：

最終租戶1代表的業務總成本，計算規則如下：

基于Landing Zone框架將上云的過程進行全方面的規劃和設計，既滿足業務方對云資源的靈活配置要求，也滿足從組織管理角度的安全和資源合理利用的要求，帶來的收益有：

• 統一管控：滿足云上資源的統一管控需求，避免影子IT的存在；

• 安全防護：預先設計的體系化的安全防護，為各業務提供安全保障；

• 規模效應：云上規模增加的情況下共享資源、降低單位成本，從而實現規模效應；

• 擴展性：基于多賬號架構可靈活地滿足組織的增加和業務應用類型的增加。

作者介紹

中體彩公有云架構團隊 高迪