編者按：

巴斯夫與大中華市場的淵源可以追溯到1885年，從那時起巴斯夫就是中國的忠實合作伙伴。作為中國化工領域重要的外商投資企業(yè)，巴斯夫主要的生產基地位于上海、南京和重慶，而上海創(chuàng)新園更是全球和亞太地區(qū)的研發(fā)樞紐。2020年，巴斯夫向大中華區(qū)客戶的銷售額約為85億歐元。目前，大中華區(qū)是巴斯夫全球第二大市場，僅次于美國。

01

巴斯夫的化學新作用

巴斯夫，創(chuàng)造化學新作用——追求可持續(xù)發(fā)展的未來。巴斯夫將經濟上的成功、社會責任和環(huán)境保護相結合。巴斯夫在全球擁有超過110,000名員工，為幾乎所有國家、所有行業(yè)客戶的成功作出貢獻。巴斯夫的產品分屬六大業(yè)務領域：化學品、材料、工業(yè)解決方案、表面處理技術、營養(yǎng)與護理、農業(yè)解決方案。

在過去150年多年的歷史里，以化學知識和技術為基礎的創(chuàng)新始終是巴斯夫發(fā)展的動力。產品組合在實體、技術、市場相關度和數(shù)字一體化等方面擁有獨特的優(yōu)勢。憑借六個一體化基地和241個其他生產基地，巴斯夫幾乎能為世界上任何國家和地區(qū)的客戶與合作伙伴提供服務。一體化體系集成了生產、市場及技術平臺，將各項業(yè)務緊密相連。

一體化體系是巴斯夫最大的優(yōu)勢之一。高效利用資源，凝聚集團整體力量增加價值。以生產一體化為例，各生產單元及能源需求實現(xiàn)智能連接，一套生產裝置的廢熱可被另一套生產裝置用作能源。此外，一套生產裝置的副產品也可成為其它裝置的原料。這不僅有助于節(jié)約原料和能源，還能降低排放和物流成本，充分發(fā)揮協(xié)同效應。

02

百年化工企業(yè)的數(shù)字化轉型之路

在全球企業(yè)數(shù)字化的背景下，擁有百年歷史的化工頭部企業(yè)巴斯夫在轉型過程中也面臨著諸多問題和挑戰(zhàn)，那巴斯夫是如何尋求突破，“化繭成蝶”，成功云轉型的呢？是如何尋求適合自己的道路呢？

作為巴斯夫全球數(shù)字化服務部門(Global Digital Service，下文簡稱GD部門)，面對復雜多變的挑戰(zhàn)專注于在龐雜的數(shù)據(jù)海洋中，去尋找那些對于業(yè)務發(fā)展有利、滿足不同場景業(yè)務需求的解決方案。

公有云平臺正是一個良好的平臺，為巴斯夫的數(shù)字化之路，提供了一個良好的底座，充分利用公有云這個底座，巴斯夫的GD團隊才能更好的滿足客戶的需求，讓業(yè)務團隊充分利用這個平臺升級自己的產業(yè)鏈，做到數(shù)字化的商業(yè)模式、智能供應鏈、智能制造及智慧創(chuàng)新。

巴斯夫擁有超過11萬員工，內部擁有很多獨立運營的部門和子公司。每個部門或者子公司對于企業(yè)的數(shù)字化轉型都有自己的認識，他們的需求總是豐富而獨立的。對GD來說，需要考慮的如何行之有效的整合這些需求，把需求中的共性有機地提煉出來，把各個部門的獨立應用有效地串聯(lián)起來。

03

上云的挑戰(zhàn)

隨著工業(yè)互聯(lián)網快速發(fā)展，中國化工行業(yè)的數(shù)字化轉型已然成為行業(yè)高質量發(fā)展的密鑰，所以巴斯夫中國的轉型也迫在眉睫。在轉型過程中又有著怎樣的期待和挑戰(zhàn)呢？

巴斯夫中國的上云同樣由GD部門總體負責推進，不僅是在技術、而且在文化、組織和流程方面，管理層、企業(yè)總部和自身都提出了一些期待和要求：

管理層的期待

巴斯夫的管理層充分的認識到了對于一個生產行業(yè)，在全球數(shù)字化高速發(fā)展的今天，我們自身也要加入其中，提出了數(shù)字化的商業(yè)模式，智能供應鏈，智能制造，智慧創(chuàng)新等目標。如何讓管理層充分的了解云平臺、如何利用這個平臺更好的進行企業(yè)的數(shù)字化轉型是GD部門關注的一個話題。

總部的管控要求

巴斯夫作為一家跨國世界500強企業(yè)，在公司總部很早就開始了對公有云平臺的嘗試和實踐，且成果頗豐。大中華區(qū)需要緊跟總部的步伐，在滿足企業(yè)級的安全合規(guī)性要求的前提下，更加充分的利用本地優(yōu)勢開展自己云平臺的搭建，更好的為大中華區(qū)服務。

自身的挑戰(zhàn)

巴斯夫GD部門同樣也面臨著自身的挑戰(zhàn)，GD部門需要對云平臺有著比業(yè)務部門更加清楚的認識，才能更好的為業(yè)務部門提供專業(yè)的咨詢服務。因此需要在整體規(guī)劃、構建登陸區(qū)、遷移上云和運營管理全生命周期提供相應的技術、流程與工具。

04

上云登陸區(qū)的理解

我們知道在公有云平臺上有各種各樣的服務、海量的資源，你可以非常方便的找到適合自身業(yè)務場景需求的資源。然而，對于巴斯夫GD部門來說，我們更加關注如何為各業(yè)務團隊構建一個上云登陸區(qū)，并確保這個登陸區(qū)是安全合規(guī)、可擴展和可管理的；有了這個上云登陸區(qū)，各業(yè)務團隊可以快速地把應用部署在阿里云上。因此，我們理解，構建上云登陸區(qū)是實現(xiàn)安全合規(guī)與業(yè)務敏捷性有效平衡的最佳路徑。阿里云Landing Zone上云框架提供了“一站式”的上云解決方案，能夠滿足我們上述訴求、實現(xiàn)云平臺的統(tǒng)一規(guī)劃與構建。

05

Landing Zone的規(guī)劃與落地

組建云卓越中心（CCoE）團隊

對于巴斯夫這樣的大型組織，上云需要符合總部數(shù)字化團隊的治理框架，在面向本地化還需要協(xié)同內部眾多團隊，因此上云不僅僅是一項技術工作，還是一次大型的組織協(xié)同任務。為了確保上云順利推進，GD部門需要有各種業(yè)務和技能的儲備，因此參考阿里云的《云采用框架》組建了云卓越中心（Cloud Center of Excellence），包括如下角色：

· Project Owner：上云推進的項目負責人，總體協(xié)調各團隊確保工作有效推進；

· Cloud Strategy：云戰(zhàn)略負責人，制定云采用的策略和關鍵決策；

· Cloud Architect：云架構師，負責制定技術策略并為業(yè)務團隊提供技術架構指導；

· DevOps Architect：DevOps架構師，負責DevOps平臺的構建和推廣；

· Support and Operator：技術支持和運營，提供包括基礎運維和服務請求單的處理；

· Technical&Business Consultant：技術與業(yè)務顧問，為業(yè)務團隊提供業(yè)務與技術的咨詢服務；

· Demand&Cost Manager：需求和成本經理，負責統(tǒng)籌各子公司和部門的業(yè)務需求，并負責整體云平臺的財務管理使之滿足于企業(yè)財務流程。

設計思路

為了能夠解決云上的各種挑戰(zhàn)，巴斯夫的GD部門在部署公有云前，基于阿里云的Landing Zone框架，對于八個領域的需求進行了討論與梳理：

1. 統(tǒng)一的財務管理：巴斯夫擁有眾多的子公司以及獨立的部門，他們之間基于保密性的考量，需要擁有自己的獨立賬戶；而對于GD以及財務部門，我們則希望可以統(tǒng)一付款，對于費用有清晰的可見性分析，從而優(yōu)化資源利用率，對一些高額的資源使用產生必要的費用告警；

2. 統(tǒng)一的資源規(guī)劃方案：巴斯夫的GD部門期望可以統(tǒng)一管理子公司以及獨立的部門的賬戶，把所有賬戶以成員的方式納管在巴斯夫的根賬戶之下，并且進行必要的資源標簽，以達到資源標識的目的；

3. 集中的身份權限策略：云平臺滿足集中化的身份認證，統(tǒng)一的申請以及授權；

4. 滿足合規(guī)審計：云上的平臺以及應用必須具備事前管控以及事后審計的能力；

5. 一體的網絡規(guī)劃：公有云平臺既可以作為巴斯夫內部數(shù)據(jù)中心的延伸，又可以作為補全內部數(shù)據(jù)中心基礎架構能力的出口，這意味著，云上的平臺必須能夠在賬戶級別靈活組網，同時作為云平臺，我們需要為我們面向公網的賬戶體系提供統(tǒng)一的公網出口，以及強有力的網絡安全套件。

6. 云上的安全保護：云上的安全必須能做到從網絡到主機再到數(shù)據(jù)層面的全方位安全保護，充分利用邊界防火墻、安全組，訪問控制和端到端的數(shù)據(jù)加密等組件達到企業(yè)級別安全要求；

7. 滿足運維管理要求:巴斯夫的GD部門必須有能力提供統(tǒng)一的日志管理，監(jiān)控管理以及為各個成員賬戶提供配置管理工具，提高應用的可擴展性以及迭代能力。

8. 支持靈活的自動化部署：云原生是巴斯夫GD部門主導的云上應用架構以及部署方式，做到部署自動化，監(jiān)控自動化是我們的長期目標。

多賬號架構

為了將眾多獨立的部門和員工串聯(lián)起來，滿足各個需求，巴斯夫采用多賬號架構模式。

基于阿里云的資源目錄（ResourceDirectory）服務，實現(xiàn)云上的結構設計和實際的組織管理架構相匹配：

· 企業(yè)管理賬號（Root Account）：設計巴斯夫GD部門管理平臺級別的巴斯夫的企業(yè)管理賬號，可以方便的管理和規(guī)劃預算，并通過阿里云財務中心的財務單元實現(xiàn)內部的成本分攤的可視化；

· 核心賬號（Core Accounts）：設計網絡管理賬號Connectivity Account、日志賬號Logging Account以及統(tǒng)一安全賬號Security Account，以實現(xiàn)服務和管理的集中化；

· 業(yè)務賬號（Application Accounts）：業(yè)務用戶只需要在公司內部GD系統(tǒng)中進行申請Internet FacedAccount 或者 Intranet FacedAccount，就可以通過阿里云的資源編排，自動的創(chuàng)建用戶的成員賬戶，并且自動部署對應的安全策略、統(tǒng)一的收集日志策略及統(tǒng)一管控的網絡出口；打通巴斯夫企業(yè)的內部的認證服務，巴斯夫的業(yè)務用戶在自己的成員賬戶中基于角色對資源有不同的訪問策略（RBAC），從而實現(xiàn)更細顆粒度的員工權限。

核心賬號的設計理念

Connectivity Account、Logging Account以及SecurityAccount主要的目的是為了在云上構建一個統(tǒng)一的平臺，是為了提供集中化的網絡管理、日志收集和安全管理，好處有以下幾點：

1. 安全隔離與訪問控制：在整個架構中，賬號之間相互獨立，保障了賬號之間的安全性；不同角色的團隊成員也只需要登錄到自己的賬號中即可完成所有工作，確保訪問的最小化控制；

2. 平臺和應用分離：把平臺（Platform）和應用（Workload）進行分離，應用的開發(fā)人員不再需要關注一些通用的基礎架構安全問題，從而有更多的精力專注于應用本身，把平臺的問題托管于基礎架構團隊；

3. 共享資源降低成本：對于一些共性資源（如網絡帶寬、安全防護等），可以有效的進行統(tǒng)一部署和共享，從而進一步降低成本。

基于組織的多賬號管理

基于組織構建了多級的賬號結構，借助于阿里云的能力能夠實現(xiàn)統(tǒng)一的管理與控制：

· 管控策略：配置權限邊界并可基于組織關系繼承；

· 共享服務：可以在組織內的多個賬號之間共享資源；

· 費用管理：可以統(tǒng)一管理多個賬號的消費額度。

RBAC

巴斯夫緊跟總部的要求，所有的巴斯夫內部員工訪問阿里云控制臺，需要通過公司統(tǒng)一的認證方式去登錄巴斯夫GD部門在成員賬戶預定的角色。巴斯夫默認對成員賬戶分配了兩種預設角色：Contributor和Reader，前者對于成員賬戶擁有除了訪問控制（RAM）服務以外的所有權限，后者則是除了訪問控制（RAM）服務以外的只讀權限。

財務管理

巴斯夫中國有擁有眾多的子公司以及獨立的部門，這些分子公司和部門以Self-Service的模式自行管理自己的業(yè)務賬號，自己采購和管理云上的資源，快速構建業(yè)務響應市場需求。

首先，基于阿里云的企業(yè)財務，GD部門可以統(tǒng)一管理多個業(yè)務賬號，實現(xiàn)統(tǒng)一付費和預算管理；內部的成本分攤，業(yè)務部門需要按照所開通的業(yè)務賬號的消費金額額外加成15%的費用以支付GD部門提供的共享服務；

其次，GD團隊可以很直觀的在阿里云財務中心看到各個賬戶的消費情況，設置財務報警，查看是否有資源利用率上的問題；

最后，巴斯夫GD團隊可以通過財務中心的分析功能對業(yè)務部門的成員賬戶的使用量進行預估來幫助業(yè)務部門去正確的評估自己在下一季度的預算，從而提供咨詢服務。

網絡架構

巴斯夫GD部門在考慮云上的網絡架構的時候，從以下幾個方面著手滿足需求：

· 云上云下混合云組網：針對我們的Intranet FaceAccount，我們有連接巴斯夫內網應用以及數(shù)據(jù)接口的需求，利用S2S VPN 以及 Express Connect構建一個擁有SLA的保障，以及高可用的網絡，是我們考慮的混合組網時，非常重要的議題；

· 統(tǒng)一管理云上公網出口：針對我們的Internet FaceAccount, 我們需要能夠提供統(tǒng)一的邊界防火墻，這樣既可以保證集中化管理的要求，也可以節(jié)約企業(yè)的成本；

· 多賬號多部門共享資源：通過阿里云CEN服務，我們可以實現(xiàn)多賬號多部門網絡連通和帶寬流量共享；

· 云服務、生態(tài)服務安全訪問：當混合組網架設好以后，我們就可以有效的利用云上生態(tài)伙伴服務以及云服務，為本地數(shù)據(jù)中心做一個擴展，提供更豐富、更高可用性的應用架構。

安全合規(guī)

如何安全并且合規(guī)的使用公有云平臺是巴斯夫的GD部門從在阿里云上調研之初就重點考慮的問題，和巴斯夫的總部團隊進行探討之后，針對組織的安全合規(guī)要求，歸納了以下幾個方面：

— 集中式身份認證

— 一體化的網絡架構

— 強監(jiān)管的邊界網絡出口

— 統(tǒng)一的網絡訪問策略

— 統(tǒng)一的日志收集

— 內部合規(guī)軟件的信息采集

06

高效交付與運行，助力業(yè)務敏捷創(chuàng)新

巴斯夫規(guī)劃了對內提供云服務的形態(tài)，Basic Cloud Services和Managed Cloud Services，分別提供了不同內容的服務（如下所示），目前巴斯夫中國的GD部門提供了基礎服務（Basic Services）, 在不久的未來我們還會提供托管服務（Managed Services），加快業(yè)務部門的數(shù)字化進程。

成功構建Landing Zone后GD部門完成了賬號架構、身份權限、網絡規(guī)劃、安全合規(guī)、成本管理的統(tǒng)一規(guī)劃，已經具備提供基礎服務的能力，并且與巴斯夫內部安全、財務、合規(guī)等團隊達成了良好協(xié)同。看似這一過程需要考慮的方方面面很復雜，但是最終交付給使用阿里云的業(yè)務團隊是非常簡化的。GD部門提供了一個自服務的平臺，供業(yè)務團隊可以自助地、便捷地申請阿里云環(huán)境，這帶來三個好處：

01

首先，交付的環(huán)境是安全受控的。GD部門基于Landing Zone確保交付給業(yè)務團隊的云環(huán)境都完成了初始化配置，是安全合規(guī)的、中心管控的；

02

其次，交付的過程是自動化的。阿里云環(huán)境的身份權限、安全合規(guī)、網絡、財務管理等配置是自動化的，這不僅僅提升了效率還確保交付是標準的；

03

最后，交付的體驗是快捷的。通過自服務平臺，巴斯夫全球的團隊都可以在完成審批后數(shù)小時獲得一個阿里云環(huán)境，助力業(yè)務敏捷創(chuàng)新。

巴斯夫的GD部門把這種交付和運行體驗稱為“1 Step 4 Clicks，Easy on Cloud”。

07

未來展望

巴斯夫的GD部門已經完成阿里云Landing Zone上云登陸區(qū)的構建，邁出了上云堅實的第一步。然而，云轉型不是一蹴而就的，我們在服務內部客戶的過程中，還需精進運營管理水平和持續(xù)迭代能力。GD部門將在以下方面持續(xù)的深耕，推動巴斯夫的云轉型成功：

1. 需要緊跟公有云產品的快速迭代步伐，持續(xù)不斷的引入新的云上服務，幫助巴斯夫順利進行數(shù)字化轉型；

2. 在進行線下數(shù)據(jù)中心改造的同時，需要更好的利用云上的資源實現(xiàn)跨地域的容災；

3. 需要完善Landing Zone管理與治理體系，更有效的管理資源，以節(jié)約部門成本，實現(xiàn)云上資源利用的最大化收益；

4. 持續(xù)關注云上的安全產品，為各業(yè)務提供強有力的安全保障。

作者:巴斯夫·全球數(shù)字化服務團隊 Carson Wang、Bryan Liu

阿里云·Landing Zone團隊 黃永法 

編輯：阿里云研究院內容運營主管 趙子千