华为云Stack 基于专线或VPN基础之上提供远程运维安全接入产品“云梯”：

图1 “云梯”架构

在不改变运维工具本身架构的情况下，整体架构主要包含这些关键组件：

• 运维工具的这些特性能力十分重要：

1. 快速部署、升级、扩容：实现云服务快速部署、持续迭代升级，全网同版本、同架构、同生态；升级变更方案专家统一制定，降低变更升级风险；
2. 快速故障定位、故障处理、主动巡检、AIOps等：专家7*24小时在线，重大问题研发专家会诊，疑难问题发现快、定位快、修复快，快速一键式巡检，发现系统潜在风险；
3. 告警监测：实时监测告警数据，智能分析，及时快速提前介入，主动预防；

• 云梯Server：完成中心运维工具的请求转发、响应和告警监控数据上报；
• 云梯Client：与远程运维中心的云梯Server建立安全加密的消息通道，接收云梯Server的转发消息，针对不同协议完成请求的代理，调用目标运维工具代理获取响应；
• 运维工具代理：接收并执行运维指令，主要包括如：

1. 安装包、升级包下载，完成云服务安装与版本升级；
2. 驱动AIOps脚本执行，收集、分析故障日志，快速定位问题根因，执行巡检任务，检查云服务健康状态；
3. 对接客户本地云告警，完成告警数据上报；以华为云Stack为例主要包括如下类型告警：

• • 通信告警：网元内部、网元之间、网元与管理系统之间、管理系统之间的通信失败而引起的告警。如：设备通信中断告警。
  • 业务质量告警：如：设备拥塞告警。
  • 设备告警：物理资源故障而引起的告警。如：计算节点磁盘不足。
  • 完整性告警：请求的操作不能正常提供。如：非法的修改、增加和删除用户信息
  • 安全告警：安全服务或机制检测到有关安全方面的问题发生。如：鉴权失败、非法访问。

当客户远程运维使用“云梯时”，各组件相互配合，共同保障安全：

1. 位于客户本地云中的云梯Client与远程运维中心云梯Server保持长连接，建立一条连接远程运维中心与客户本地云的消息通道，所有运维指令下发或监控数据上报请求都通过这一通道进行传输，这样能够避免客户本地云边界防火墙端口监听的同时也能将原有运维工具与运维工具代理间多种协议的连接收编到统一的长连接中，实现通信矩阵的收编；
2. 以运维指令下发为例：远程运维中心的运维工具通过https向运维工具代理发送运维请求时，请求经过云梯Server进行动态路由，分别在云梯Server中完成请求的封装，通过长连接消息通道完成消息分发，在云梯Client中完成请求的解封装，恢复请求发起调用运维工具代理获取响应，响应消息返回至调用方。这样的好处在于针对如上的每一个请求位于客户侧的云梯Client均能够解析请求指令和响应的详细内容，实时将完整的请求与响应数据记录到审计日志中实现透明审计；
3. 如上请求转发过程中，客户侧云梯Client能够实时获取请求和响应数据，基于目的地址或运维数据特征，提供细粒度的白名单放通策略（自定义或预置），云梯Client仅会转发允许放通的请求，其他请求均无法经过云梯到达客户本地云运维区，更无法到达客户云内网，保证 数据安全 ，将通道控制权掌握在客户手中。

“云梯”作为一体化的安全、可信、可控远程运维解决方案中的关键能力，我们做了几个重点技术能力构建，解决远程运维的安全风险：

1. 将客户本地云运维工具代理相关的防火墙监听端口减少至0，将运维工具多种通信协议的通信链路收编到统一的长连接中，如下图所示：

图2“云梯”场景运维接入

2. 针对运维过程中的加密协议（如https等）提供透明审计能力，实时查看运维指令内容，如下图5所示，同时提供敏感数据（账号、口令等）识别、脱敏与拦截，防止数据泄露；

图3 “云梯”流量审计

3. 提供细粒度基于运维业务或数据特征的控制策略，按需放通运维指令，将运维的控制权掌握在客户手中。如在某段时间内仅允许巡检指令下发，则该时段内变更类指令将会被拦截。

“云梯”已成，加速政企智能升级