編者按：

巴斯夫與大中華市場的淵源可以追溯到1885年，從那時起巴斯夫就是中國的忠實合作伙伴。作為中國化工領(lǐng)域重要的外商投資企業(yè)，巴斯夫主要的生產(chǎn)基地位于上海、南京和重慶，而上海創(chuàng)新園更是全球和亞太地區(qū)的研發(fā)樞紐。2020年，巴斯夫向大中華區(qū)客戶的銷售額約為85億歐元。目前，大中華區(qū)是巴斯夫全球第二大市場，僅次于美國。

01

巴斯夫的化學(xué)新作用

巴斯夫，創(chuàng)造化學(xué)新作用——追求可持續(xù)發(fā)展的未來。巴斯夫?qū)⒔?jīng)濟上的成功、社會責(zé)任和環(huán)境保護相結(jié)合。巴斯夫在全球擁有超過110,000名員工，為幾乎所有國家、所有行業(yè)客戶的成功作出貢獻。巴斯夫的產(chǎn)品分屬六大業(yè)務(wù)領(lǐng)域：化學(xué)品、材料、工業(yè)解決方案、表面處理技術(shù)、營養(yǎng)與護理、農(nóng)業(yè)解決方案。

在過去150年多年的歷史里，以化學(xué)知識和技術(shù)為基礎(chǔ)的創(chuàng)新始終是巴斯夫發(fā)展的動力。產(chǎn)品組合在實體、技術(shù)、市場相關(guān)度和數(shù)字一體化等方面擁有獨特的優(yōu)勢。憑借六個一體化基地和241個其他生產(chǎn)基地，巴斯夫幾乎能為世界上任何國家和地區(qū)的客戶與合作伙伴提供服務(wù)。一體化體系集成了生產(chǎn)、市場及技術(shù)平臺，將各項業(yè)務(wù)緊密相連。

一體化體系是巴斯夫最大的優(yōu)勢之一。高效利用資源，凝聚集團整體力量增加價值。以生產(chǎn)一體化為例，各生產(chǎn)單元及能源需求實現(xiàn)智能連接，一套生產(chǎn)裝置的廢熱可被另一套生產(chǎn)裝置用作能源。此外，一套生產(chǎn)裝置的副產(chǎn)品也可成為其它裝置的原料。這不僅有助于節(jié)約原料和能源，還能降低排放和物流成本，充分發(fā)揮協(xié)同效應(yīng)。

02

百年化工企業(yè)的數(shù)字化轉(zhuǎn)型之路

在全球企業(yè)數(shù)字化的背景下，擁有百年歷史的化工頭部企業(yè)巴斯夫在轉(zhuǎn)型過程中也面臨著諸多問題和挑戰(zhàn)，那巴斯夫是如何尋求突破，“化繭成蝶”，成功云轉(zhuǎn)型的呢？是如何尋求適合自己的道路呢？

作為巴斯夫全球數(shù)字化服務(wù)部門(Global Digital Service，下文簡稱GD部門)，面對復(fù)雜多變的挑戰(zhàn)專注于在龐雜的數(shù)據(jù)海洋中，去尋找那些對于業(yè)務(wù)發(fā)展有利、滿足不同場景業(yè)務(wù)需求的解決方案。

公有云平臺正是一個良好的平臺，為巴斯夫的數(shù)字化之路，提供了一個良好的底座，充分利用公有云這個底座，巴斯夫的GD團隊才能更好的滿足客戶的需求，讓業(yè)務(wù)團隊充分利用這個平臺升級自己的產(chǎn)業(yè)鏈，做到數(shù)字化的商業(yè)模式、智能供應(yīng)鏈、智能制造及智慧創(chuàng)新。

巴斯夫擁有超過11萬員工，內(nèi)部擁有很多獨立運營的部門和子公司。每個部門或者子公司對于企業(yè)的數(shù)字化轉(zhuǎn)型都有自己的認識，他們的需求總是豐富而獨立的。對GD來說，需要考慮的如何行之有效的整合這些需求，把需求中的共性有機地提煉出來，把各個部門的獨立應(yīng)用有效地串聯(lián)起來。

03

上云的挑戰(zhàn)

隨著工業(yè)互聯(lián)網(wǎng)快速發(fā)展，中國化工行業(yè)的數(shù)字化轉(zhuǎn)型已然成為行業(yè)高質(zhì)量發(fā)展的密鑰，所以巴斯夫中國的轉(zhuǎn)型也迫在眉睫。在轉(zhuǎn)型過程中又有著怎樣的期待和挑戰(zhàn)呢？

巴斯夫中國的上云同樣由GD部門總體負責(zé)推進，不僅是在技術(shù)、而且在文化、組織和流程方面，管理層、企業(yè)總部和自身都提出了一些期待和要求：

管理層的期待

巴斯夫的管理層充分的認識到了對于一個生產(chǎn)行業(yè)，在全球數(shù)字化高速發(fā)展的今天，我們自身也要加入其中，提出了數(shù)字化的商業(yè)模式，智能供應(yīng)鏈，智能制造，智慧創(chuàng)新等目標(biāo)。如何讓管理層充分的了解云平臺、如何利用這個平臺更好的進行企業(yè)的數(shù)字化轉(zhuǎn)型是GD部門關(guān)注的一個話題。

總部的管控要求

巴斯夫作為一家跨國世界500強企業(yè)，在公司總部很早就開始了對公有云平臺的嘗試和實踐，且成果頗豐。大中華區(qū)需要緊跟總部的步伐，在滿足企業(yè)級的安全合規(guī)性要求的前提下，更加充分的利用本地優(yōu)勢開展自己云平臺的搭建，更好的為大中華區(qū)服務(wù)。

自身的挑戰(zhàn)

巴斯夫GD部門同樣也面臨著自身的挑戰(zhàn)，GD部門需要對云平臺有著比業(yè)務(wù)部門更加清楚的認識，才能更好的為業(yè)務(wù)部門提供專業(yè)的咨詢服務(wù)。因此需要在整體規(guī)劃、構(gòu)建登陸區(qū)、遷移上云和運營管理全生命周期提供相應(yīng)的技術(shù)、流程與工具。

04

上云登陸區(qū)的理解

我們知道在公有云平臺上有各種各樣的服務(wù)、海量的資源，你可以非常方便的找到適合自身業(yè)務(wù)場景需求的資源。然而，對于巴斯夫GD部門來說，我們更加關(guān)注如何為各業(yè)務(wù)團隊構(gòu)建一個上云登陸區(qū)，并確保這個登陸區(qū)是安全合規(guī)、可擴展和可管理的；有了這個上云登陸區(qū)，各業(yè)務(wù)團隊可以快速地把應(yīng)用部署在阿里云上。因此，我們理解，構(gòu)建上云登陸區(qū)是實現(xiàn)安全合規(guī)與業(yè)務(wù)敏捷性有效平衡的最佳路徑。阿里云Landing Zone上云框架提供了“一站式”的上云解決方案，能夠滿足我們上述訴求、實現(xiàn)云平臺的統(tǒng)一規(guī)劃與構(gòu)建。

05

Landing Zone的規(guī)劃與落地

組建云卓越中心（CCoE）團隊

對于巴斯夫這樣的大型組織，上云需要符合總部數(shù)字化團隊的治理框架，在面向本地化還需要協(xié)同內(nèi)部眾多團隊，因此上云不僅僅是一項技術(shù)工作，還是一次大型的組織協(xié)同任務(wù)。為了確保上云順利推進，GD部門需要有各種業(yè)務(wù)和技能的儲備，因此參考阿里云的《云采用框架》組建了云卓越中心（Cloud Center of Excellence），包括如下角色：

· Project Owner：上云推進的項目負責(zé)人，總體協(xié)調(diào)各團隊確保工作有效推進；

· Cloud Strategy：云戰(zhàn)略負責(zé)人，制定云采用的策略和關(guān)鍵決策；

· Cloud Architect：云架構(gòu)師，負責(zé)制定技術(shù)策略并為業(yè)務(wù)團隊提供技術(shù)架構(gòu)指導(dǎo)；

· DevOps Architect：DevOps架構(gòu)師，負責(zé)DevOps平臺的構(gòu)建和推廣；

· Support and Operator：技術(shù)支持和運營，提供包括基礎(chǔ)運維和服務(wù)請求單的處理；

· Technical&Business Consultant：技術(shù)與業(yè)務(wù)顧問，為業(yè)務(wù)團隊提供業(yè)務(wù)與技術(shù)的咨詢服務(wù)；

· Demand&Cost Manager：需求和成本經(jīng)理，負責(zé)統(tǒng)籌各子公司和部門的業(yè)務(wù)需求，并負責(zé)整體云平臺的財務(wù)管理使之滿足于企業(yè)財務(wù)流程。

設(shè)計思路

為了能夠解決云上的各種挑戰(zhàn)，巴斯夫的GD部門在部署公有云前，基于阿里云的Landing Zone框架，對于八個領(lǐng)域的需求進行了討論與梳理：

1. 統(tǒng)一的財務(wù)管理：巴斯夫擁有眾多的子公司以及獨立的部門，他們之間基于保密性的考量，需要擁有自己的獨立賬戶；而對于GD以及財務(wù)部門，我們則希望可以統(tǒng)一付款，對于費用有清晰的可見性分析，從而優(yōu)化資源利用率，對一些高額的資源使用產(chǎn)生必要的費用告警；

2. 統(tǒng)一的資源規(guī)劃方案：巴斯夫的GD部門期望可以統(tǒng)一管理子公司以及獨立的部門的賬戶，把所有賬戶以成員的方式納管在巴斯夫的根賬戶之下，并且進行必要的資源標(biāo)簽，以達到資源標(biāo)識的目的；

3. 集中的身份權(quán)限策略：云平臺滿足集中化的身份認證，統(tǒng)一的申請以及授權(quán)；

4. 滿足合規(guī)審計：云上的平臺以及應(yīng)用必須具備事前管控以及事后審計的能力；

5. 一體的網(wǎng)絡(luò)規(guī)劃：公有云平臺既可以作為巴斯夫內(nèi)部數(shù)據(jù)中心的延伸，又可以作為補全內(nèi)部數(shù)據(jù)中心基礎(chǔ)架構(gòu)能力的出口，這意味著，云上的平臺必須能夠在賬戶級別靈活組網(wǎng)，同時作為云平臺，我們需要為我們面向公網(wǎng)的賬戶體系提供統(tǒng)一的公網(wǎng)出口，以及強有力的網(wǎng)絡(luò)安全套件。

6. 云上的安全保護：云上的安全必須能做到從網(wǎng)絡(luò)到主機再到數(shù)據(jù)層面的全方位安全保護，充分利用邊界防火墻、安全組，訪問控制和端到端的數(shù)據(jù)加密等組件達到企業(yè)級別安全要求；

7. 滿足運維管理要求:巴斯夫的GD部門必須有能力提供統(tǒng)一的日志管理，監(jiān)控管理以及為各個成員賬戶提供配置管理工具，提高應(yīng)用的可擴展性以及迭代能力。

8. 支持靈活的自動化部署：云原生是巴斯夫GD部門主導(dǎo)的云上應(yīng)用架構(gòu)以及部署方式，做到部署自動化，監(jiān)控自動化是我們的長期目標(biāo)。

多賬號架構(gòu)

為了將眾多獨立的部門和員工串聯(lián)起來，滿足各個需求，巴斯夫采用多賬號架構(gòu)模式。

基于阿里云的資源目錄（ResourceDirectory）服務(wù)，實現(xiàn)云上的結(jié)構(gòu)設(shè)計和實際的組織管理架構(gòu)相匹配：

· 企業(yè)管理賬號（Root Account）：設(shè)計巴斯夫GD部門管理平臺級別的巴斯夫的企業(yè)管理賬號，可以方便的管理和規(guī)劃預(yù)算，并通過阿里云財務(wù)中心的財務(wù)單元實現(xiàn)內(nèi)部的成本分攤的可視化；

· 核心賬號（Core Accounts）：設(shè)計網(wǎng)絡(luò)管理賬號Connectivity Account、日志賬號Logging Account以及統(tǒng)一安全賬號Security Account，以實現(xiàn)服務(wù)和管理的集中化；

· 業(yè)務(wù)賬號（Application Accounts）：業(yè)務(wù)用戶只需要在公司內(nèi)部GD系統(tǒng)中進行申請Internet FacedAccount 或者 Intranet FacedAccount，就可以通過阿里云的資源編排，自動的創(chuàng)建用戶的成員賬戶，并且自動部署對應(yīng)的安全策略、統(tǒng)一的收集日志策略及統(tǒng)一管控的網(wǎng)絡(luò)出口；打通巴斯夫企業(yè)的內(nèi)部的認證服務(wù)，巴斯夫的業(yè)務(wù)用戶在自己的成員賬戶中基于角色對資源有不同的訪問策略（RBAC），從而實現(xiàn)更細顆粒度的員工權(quán)限。

核心賬號的設(shè)計理念

Connectivity Account、Logging Account以及SecurityAccount主要的目的是為了在云上構(gòu)建一個統(tǒng)一的平臺，是為了提供集中化的網(wǎng)絡(luò)管理、日志收集和安全管理，好處有以下幾點：

1. 安全隔離與訪問控制：在整個架構(gòu)中，賬號之間相互獨立，保障了賬號之間的安全性；不同角色的團隊成員也只需要登錄到自己的賬號中即可完成所有工作，確保訪問的最小化控制；

2. 平臺和應(yīng)用分離：把平臺（Platform）和應(yīng)用（Workload）進行分離，應(yīng)用的開發(fā)人員不再需要關(guān)注一些通用的基礎(chǔ)架構(gòu)安全問題，從而有更多的精力專注于應(yīng)用本身，把平臺的問題托管于基礎(chǔ)架構(gòu)團隊；

3. 共享資源降低成本：對于一些共性資源（如網(wǎng)絡(luò)帶寬、安全防護等），可以有效的進行統(tǒng)一部署和共享，從而進一步降低成本。

基于組織的多賬號管理

基于組織構(gòu)建了多級的賬號結(jié)構(gòu)，借助于阿里云的能力能夠?qū)崿F(xiàn)統(tǒng)一的管理與控制：

· 管控策略：配置權(quán)限邊界并可基于組織關(guān)系繼承；

· 共享服務(wù)：可以在組織內(nèi)的多個賬號之間共享資源；

· 費用管理：可以統(tǒng)一管理多個賬號的消費額度。

RBAC

巴斯夫緊跟總部的要求，所有的巴斯夫內(nèi)部員工訪問阿里云控制臺，需要通過公司統(tǒng)一的認證方式去登錄巴斯夫GD部門在成員賬戶預(yù)定的角色。巴斯夫默認對成員賬戶分配了兩種預(yù)設(shè)角色：Contributor和Reader，前者對于成員賬戶擁有除了訪問控制（RAM）服務(wù)以外的所有權(quán)限，后者則是除了訪問控制（RAM）服務(wù)以外的只讀權(quán)限。

財務(wù)管理

巴斯夫中國有擁有眾多的子公司以及獨立的部門，這些分子公司和部門以Self-Service的模式自行管理自己的業(yè)務(wù)賬號，自己采購和管理云上的資源，快速構(gòu)建業(yè)務(wù)響應(yīng)市場需求。

首先，基于阿里云的企業(yè)財務(wù)，GD部門可以統(tǒng)一管理多個業(yè)務(wù)賬號，實現(xiàn)統(tǒng)一付費和預(yù)算管理；內(nèi)部的成本分攤，業(yè)務(wù)部門需要按照所開通的業(yè)務(wù)賬號的消費金額額外加成15%的費用以支付GD部門提供的共享服務(wù)；

其次，GD團隊可以很直觀的在阿里云財務(wù)中心看到各個賬戶的消費情況，設(shè)置財務(wù)報警，查看是否有資源利用率上的問題；

最后，巴斯夫GD團隊可以通過財務(wù)中心的分析功能對業(yè)務(wù)部門的成員賬戶的使用量進行預(yù)估來幫助業(yè)務(wù)部門去正確的評估自己在下一季度的預(yù)算，從而提供咨詢服務(wù)。

網(wǎng)絡(luò)架構(gòu)

巴斯夫GD部門在考慮云上的網(wǎng)絡(luò)架構(gòu)的時候，從以下幾個方面著手滿足需求：

· 云上云下混合云組網(wǎng)：針對我們的Intranet FaceAccount，我們有連接巴斯夫內(nèi)網(wǎng)應(yīng)用以及數(shù)據(jù)接口的需求，利用S2S VPN 以及 Express Connect構(gòu)建一個擁有SLA的保障，以及高可用的網(wǎng)絡(luò)，是我們考慮的混合組網(wǎng)時，非常重要的議題；

· 統(tǒng)一管理云上公網(wǎng)出口：針對我們的Internet FaceAccount, 我們需要能夠提供統(tǒng)一的邊界防火墻，這樣既可以保證集中化管理的要求，也可以節(jié)約企業(yè)的成本；

· 多賬號多部門共享資源：通過阿里云CEN服務(wù)，我們可以實現(xiàn)多賬號多部門網(wǎng)絡(luò)連通和帶寬流量共享；

· 云服務(wù)、生態(tài)服務(wù)安全訪問：當(dāng)混合組網(wǎng)架設(shè)好以后，我們就可以有效的利用云上生態(tài)伙伴服務(wù)以及云服務(wù)，為本地數(shù)據(jù)中心做一個擴展，提供更豐富、更高可用性的應(yīng)用架構(gòu)。

安全合規(guī)

如何安全并且合規(guī)的使用公有云平臺是巴斯夫的GD部門從在阿里云上調(diào)研之初就重點考慮的問題，和巴斯夫的總部團隊進行探討之后，針對組織的安全合規(guī)要求，歸納了以下幾個方面：

— 集中式身份認證

— 一體化的網(wǎng)絡(luò)架構(gòu)

— 強監(jiān)管的邊界網(wǎng)絡(luò)出口

— 統(tǒng)一的網(wǎng)絡(luò)訪問策略

— 統(tǒng)一的日志收集

— 內(nèi)部合規(guī)軟件的信息采集

06

高效交付與運行，助力業(yè)務(wù)敏捷創(chuàng)新

巴斯夫規(guī)劃了對內(nèi)提供云服務(wù)的形態(tài)，Basic Cloud Services和Managed Cloud Services，分別提供了不同內(nèi)容的服務(wù)（如下所示），目前巴斯夫中國的GD部門提供了基礎(chǔ)服務(wù)（Basic Services）, 在不久的未來我們還會提供托管服務(wù)（Managed Services），加快業(yè)務(wù)部門的數(shù)字化進程。

成功構(gòu)建Landing Zone后GD部門完成了賬號架構(gòu)、身份權(quán)限、網(wǎng)絡(luò)規(guī)劃、安全合規(guī)、成本管理的統(tǒng)一規(guī)劃，已經(jīng)具備提供基礎(chǔ)服務(wù)的能力，并且與巴斯夫內(nèi)部安全、財務(wù)、合規(guī)等團隊達成了良好協(xié)同?？此七@一過程需要考慮的方方面面很復(fù)雜，但是最終交付給使用阿里云的業(yè)務(wù)團隊是非常簡化的。GD部門提供了一個自服務(wù)的平臺，供業(yè)務(wù)團隊可以自助地、便捷地申請阿里云環(huán)境，這帶來三個好處：

01

首先，交付的環(huán)境是安全受控的。GD部門基于Landing Zone確保交付給業(yè)務(wù)團隊的云環(huán)境都完成了初始化配置，是安全合規(guī)的、中心管控的；

02

其次，交付的過程是自動化的。阿里云環(huán)境的身份權(quán)限、安全合規(guī)、網(wǎng)絡(luò)、財務(wù)管理等配置是自動化的，這不僅僅提升了效率還確保交付是標(biāo)準的；

03

最后，交付的體驗是快捷的。通過自服務(wù)平臺，巴斯夫全球的團隊都可以在完成審批后數(shù)小時獲得一個阿里云環(huán)境，助力業(yè)務(wù)敏捷創(chuàng)新。

巴斯夫的GD部門把這種交付和運行體驗稱為“1 Step 4 Clicks，Easy on Cloud”。

07

未來展望

巴斯夫的GD部門已經(jīng)完成阿里云Landing Zone上云登陸區(qū)的構(gòu)建，邁出了上云堅實的第一步。然而，云轉(zhuǎn)型不是一蹴而就的，我們在服務(wù)內(nèi)部客戶的過程中，還需精進運營管理水平和持續(xù)迭代能力。GD部門將在以下方面持續(xù)的深耕，推動巴斯夫的云轉(zhuǎn)型成功：

1. 需要緊跟公有云產(chǎn)品的快速迭代步伐，持續(xù)不斷的引入新的云上服務(wù)，幫助巴斯夫順利進行數(shù)字化轉(zhuǎn)型；

2. 在進行線下數(shù)據(jù)中心改造的同時，需要更好的利用云上的資源實現(xiàn)跨地域的容災(zāi)；

3. 需要完善Landing Zone管理與治理體系，更有效的管理資源，以節(jié)約部門成本，實現(xiàn)云上資源利用的最大化收益；

4. 持續(xù)關(guān)注云上的安全產(chǎn)品，為各業(yè)務(wù)提供強有力的安全保障。

作者:巴斯夫·全球數(shù)字化服務(wù)團隊 Carson Wang、Bryan Liu

阿里云·Landing Zone團隊 黃永法 

編輯：阿里云研究院內(nèi)容運營主管 趙子千