AMAG棄用數(shù)據(jù)中心擁抱云

AMAG關(guān)閉了數(shù)據(jù)中心，將一切移到云端，到處使用無(wú)線網(wǎng)絡(luò)，讓BYOD成為標(biāo)準(zhǔn)和慣例，并丟棄了桌面電話。

當(dāng)Nathan McBride 2008年加盟美國(guó)AMAG制藥公司時(shí)，他就立下一個(gè)宏偉的目標(biāo)：使用盡可能少的內(nèi)部基礎(chǔ)設(shè)施，重建公司IT。今天他做到了。身為公司IT副總裁兼首席云計(jì)算架構(gòu)師的McBride，用了幾年的時(shí)間，成功地關(guān)閉了AMAG的數(shù)據(jù)中心，將與IT相關(guān)的一切都遷移到了云端，同時(shí)在公司里處處使用無(wú)線網(wǎng)絡(luò)，并讓BYOD成為標(biāo)準(zhǔn)和慣例，還丟棄了桌面電話。這個(gè)大遷移工程的結(jié)果是使280萬(wàn)美元的IT預(yù)算節(jié)省了一半，更重要的是，IT能夠更迅速滿足業(yè)務(wù)需求。McBride和AMAG的經(jīng)歷值得許多公司借鑒和參考。

關(guān)閉數(shù)據(jù)中心，就有望減少成本

AMAG制藥公司位于美國(guó)馬薩諸塞州列克星敦市。在來(lái)到AMAG制藥公司之前，McBride效力的那家公司曾投入巨資大建數(shù)據(jù)中心。他們一方面購(gòu)買了許多價(jià)格不菲的大型系統(tǒng)，另一方面系統(tǒng)的利用率卻只有10%。這種做法讓McBride覺得難以接受。

2008年，McBride入職AMAG制藥公司時(shí)，該公司的IT是請(qǐng)專業(yè)的IT咨詢公司來(lái)做。當(dāng)時(shí)盛行的還不是軟件即服務(wù)（SaaS），而是面向服務(wù)的架構(gòu)（SOAP），McBride正是想把這些托管服務(wù)結(jié)合起來(lái)，于是，他試圖說(shuō)服公司的CFO關(guān)掉數(shù)據(jù)中心。CFO雖然認(rèn)為這不可能，但還是表示：“要是你覺得能行，那就不妨試一下。”

我想只用一支小團(tuán)隊(duì)來(lái)讓IT非常精簡(jiǎn)地運(yùn)行。要是關(guān)閉了數(shù)據(jù)中心，我就有望減少成本，我需要的預(yù)算就會(huì)少得多。得到了CFO的許可，于是我請(qǐng)來(lái)了三名專家，跟他們說(shuō)，我們要丟棄這整個(gè)數(shù)據(jù)中心，把數(shù)據(jù)中心里面的一切換成別的東西，我們的目標(biāo)是通過(guò)公有云服務(wù)商，包括IaaS（基礎(chǔ)設(shè)施即服務(wù)）和SaaS（軟件即服務(wù)）等方式來(lái)提高效率、降低成本，而不是使用企業(yè)內(nèi)部的系統(tǒng)和應(yīng)用。我們相信這就是數(shù)據(jù)中心未來(lái)的最佳用途。

2008年年中，AMAG公司成立了一支精銳的團(tuán)隊(duì)，其中的成員包括敏捷開發(fā)、Scrum（一種迭代式增量軟件開發(fā)過(guò)程，通常用于敏捷軟件開發(fā)）和PMP開發(fā)方面有經(jīng)驗(yàn)的項(xiàng)目經(jīng)理，以及不僅知道如何搭建大型服務(wù)器，還懂得安全、網(wǎng)絡(luò)和整個(gè)系統(tǒng)的數(shù)據(jù)中心主管，他們的目標(biāo)是：到年底時(shí)，讓一半的數(shù)據(jù)中心消失。

McBride和他的團(tuán)隊(duì)開始規(guī)劃公司的IT未來(lái)。當(dāng)時(shí)，McBride對(duì)云的應(yīng)用潛力已經(jīng)思索了很長(zhǎng)時(shí)間。在2005年至2006年期間，Salesforce.com風(fēng)靡一時(shí)，隨之大量企業(yè)開始研發(fā)SaaS應(yīng)用模式。與此同時(shí)，亞馬遜推出了AWS（Amazon Web Services），用戶只要花上不多的費(fèi)用就可應(yīng)用AWS的存儲(chǔ)配置。不過(guò)這在當(dāng)時(shí)并沒(méi)有多少人十分清楚這一服務(wù)的用途。

在AMAG的職位給了McBride實(shí)現(xiàn)夢(mèng)想的機(jī)會(huì)。但當(dāng)時(shí)他向公司管理層提交自己的三年云規(guī)劃時(shí)，規(guī)劃中還有許多不得不空出來(lái)的地方。他說(shuō)：“我們知道我們自己需要什么，但是我們無(wú)法找到能夠滿足我們所有需求的云服務(wù)商。”但公司的業(yè)務(wù)不可能為了等待這樣的服務(wù)提供商的出現(xiàn)而停滯不前。

McBride和大家列出了IT通常擁有的五大方面，包括備份、電子郵件、文件服務(wù)器、安全和服務(wù)，然后搞清楚如何最大程度地簡(jiǎn)化，更重要的是，如何將它們都遷移出去。

當(dāng)時(shí)有家廠商主動(dòng)跟McBride表示，可以為AMAG提供離線備份服務(wù)。對(duì)方可以安裝一套硬件設(shè)備來(lái)處理AMAG的所有備份任務(wù)。McBride他們答應(yīng)了，那可以說(shuō)是他們邁出的第一步，也是首次嘗試。

那次成功之后，我們問(wèn)自己：備份有了，接下來(lái)還能做什么？隨著我們的調(diào)研越來(lái)越深入，更多的提供商開始浮出水面。那時(shí)我們已經(jīng)開始意識(shí)到，整個(gè)事情將受制于兩個(gè)問(wèn)題：一個(gè)是我們?nèi)绾翁幚黼娮余]件，另一個(gè)是如何進(jìn)行身份驗(yàn)證？

盡管當(dāng)時(shí)商用Google Apps上市已經(jīng)有一年多，但他們對(duì)此仍有所顧慮。但當(dāng)他們?cè)诠纠镒隽艘环{(diào)查后才發(fā)現(xiàn)，有近一半的員工已將Gmail用于個(gè)人用途，這讓McBride他們放了心，于是他們開始了大規(guī)模遷移，把所有通信都遷移到了Gmail。

Gmail到位后，他們又盯上了活動(dòng)目錄（Active Directory）。他們知道，活動(dòng)目錄會(huì)是個(gè)問(wèn)題，因?yàn)榻?jīng)過(guò)分析后他們認(rèn)識(shí)到，AMAG想獲得成功，必須扔掉活動(dòng)目錄。比如，為了成熟起來(lái)，就必須能夠?qū)⒃O(shè)備使用權(quán)交還給員工，那樣員工才不會(huì)動(dòng)輒向求助臺(tái)提出問(wèn)題。為此，他們就得扔掉組策略、扔掉域管理。而扔掉這些東西的癥結(jié)都在活動(dòng)目錄上。所以，最終的方案是扔掉活動(dòng)目錄。

但他們很快就發(fā)現(xiàn)，活動(dòng)目錄幾乎無(wú)孔不入，滲透到他們所做的一切。

如果你有內(nèi)部數(shù)據(jù)中心，當(dāng)然希望活動(dòng)目錄無(wú)處不在，而當(dāng)你突然意識(shí)到不再需要它時(shí)，卻幾乎不可能清除掉每個(gè)地方的活動(dòng)目錄。于是，我們考慮如何逐步扔掉活動(dòng)目錄。我們開始讓公司的每個(gè)人都有本地管理員密碼，告訴他們，想做什么就能做什么，可以安裝想要安裝的任何東西。

對(duì)公司來(lái)說(shuō)，這是很好的啟蒙時(shí)期。當(dāng)然在后臺(tái)，McBride他們?cè)诰?jiǎn)活動(dòng)目錄。現(xiàn)在要是有人發(fā)郵件給求助臺(tái)說(shuō)：“請(qǐng)幫我安裝打印機(jī)軟件”，求助臺(tái)就會(huì)回復(fù)：“這是鏈接，你可以隨時(shí)自行安裝。若需要幫助，請(qǐng)告訴我們。”所以，IT支持方面的理念也開始發(fā)生了轉(zhuǎn)變。

如何尋找云服務(wù)提供商？

到2010年5月，McBride終于完成了云規(guī)劃中的每一個(gè)細(xì)節(jié)，并能夠?yàn)樵埔?guī)劃所涉及的五大方面挑選廠商了。他們開始與這些廠商進(jìn)行溝通，然后開始共同研發(fā)，并提出了以前從未有過(guò)的混合產(chǎn)品，并成為其第一批用戶。

例如，云存儲(chǔ)服務(wù)商Egnyte與谷歌合作，通過(guò)其云文檔服務(wù)可同步谷歌Docs，并且可與AWS簡(jiǎn)單存儲(chǔ)服務(wù)所提供的后臺(tái)存儲(chǔ)進(jìn)行協(xié)作。在經(jīng)過(guò)數(shù)據(jù)壓縮和重復(fù)數(shù)據(jù)刪除后，AMAG公司在Egnyte的云上存儲(chǔ)了大約6TB的數(shù)據(jù)，在亞馬遜AWS的簡(jiǎn)單存儲(chǔ)服務(wù)上存儲(chǔ)了大約2.5TB的數(shù)據(jù)。

此外，在身份認(rèn)證方面，Egnyte和谷歌分別與提供企業(yè)單點(diǎn)登錄（ESSO）服務(wù)的Okta展開合作。提供Web客服中心服務(wù)的OnState通信公司也已經(jīng)與谷歌就其統(tǒng)一通信平臺(tái)展開合作。GDocs是存儲(chǔ)電子郵件和需要頻繁協(xié)作的文檔的一個(gè)不錯(cuò)選擇。AMAG公司最終選擇了谷歌郵件和Postini架構(gòu)服務(wù)。此外，這些產(chǎn)品還支持AWS存儲(chǔ)云。

雖然McBride信奉“不把雞蛋放在一只籃子里”的做法，但谷歌是惟一一個(gè)例外。現(xiàn)在，谷歌不僅是AMAG郵件的服務(wù)提供商，就連他們使用的一些第三方審計(jì)服務(wù)，谷歌也提供文件共享。不過(guò)，他們?cè)诠雀枭厦孢€有一些額外的層，那是因?yàn)楸M管雞蛋都放在了一只籃子里，但也還是要盡量減少風(fēng)險(xiǎn)，并設(shè)法抵御風(fēng)險(xiǎn)。

McBride很關(guān)注市場(chǎng)變化，他不斷問(wèn)自己：“這是我們的業(yè)務(wù)需求，而誰(shuí)是這個(gè)領(lǐng)域的最佳提供商？”他們只看重那些創(chuàng)新速度最快的公司，他們的提供商也很清楚這一點(diǎn)。如果哪項(xiàng)服務(wù)出了什么岔子，他們通常會(huì)換一家供應(yīng)商。而當(dāng)這種情況出現(xiàn)時(shí)，更換供應(yīng)商的整個(gè)過(guò)程對(duì)公司里的最終用戶來(lái)說(shuō)通常是透明的。眼下是買方市場(chǎng)，2011年時(shí)，每個(gè)垂直領(lǐng)域可能只有一兩家提供商，而現(xiàn)在則會(huì)有50家提供商可供選擇。

更換服務(wù)提供商可是一件痛苦的事，我們換過(guò)。我們棄用WebEx，改成Join.Me時(shí)，員工幾乎無(wú)人察覺。我們首先在內(nèi)部進(jìn)行了20場(chǎng)培訓(xùn)，并通過(guò)電話會(huì)議，向一線人員告知為什么要換提供商，以及如何使用這個(gè)新工具，等到終于改用Join.Me后，自然就順理成章了。

同樣的事情還發(fā)生過(guò)多次。例如YouSendIt公司，McBride不允許自行驗(yàn)證登錄到社交媒體平臺(tái)的環(huán)境，因?yàn)檫@會(huì)帶來(lái)各種后果，但YouSendIt做不到，盡管他們很喜歡YouSendIt，最終還是另?yè)Q了一家提供商。

他們甚至還更換過(guò)存放大量數(shù)據(jù)的提供商。AMAG原來(lái)大量數(shù)據(jù)都使用由NaviSite提供的服務(wù)，之后換成了亞馬遜的AWS。因?yàn)镸cBride希望云架構(gòu)有最大程度的靈活性，這方面他認(rèn)為沒(méi)有哪家提供商能與AWS相媲美。同時(shí)，成本差異也非常大，不容忽視。這是一次非常重大的更換，但這其實(shí)都是后臺(tái)的IT操作，公司員工沒(méi)人注意到他們換了一家提供商。

這次更換是一次有條不紊的行動(dòng)，而不是一拍腦袋就決定的。我們提前制定了一套明確的計(jì)劃和方法，并在很短的時(shí)間內(nèi)執(zhí)行了計(jì)劃，使大量數(shù)據(jù)從NaviSite成功遷移到了AWS。

有時(shí)更換供應(yīng)商是因?yàn)槌霈F(xiàn)了新的選擇。比如，McBride他們可能找到了一家出色的提供商，但沒(méi)想到一個(gè)月后，突然發(fā)現(xiàn)另一家更好的提供商出來(lái)了。一個(gè)典型的例子是構(gòu)建新的安全模式。他們請(qǐng)了五家提供商共同建立這樣一個(gè)模型：無(wú)需使用密碼，建立一套文檔分類方法。有一家提供商提出，只使用智能手機(jī)作為令牌，無(wú)需使用密碼。該智能手機(jī)出現(xiàn)在另一個(gè)可信設(shè)備的附近時(shí)，它借助散列令牌通過(guò)驗(yàn)證，散列令牌就讓該設(shè)備可以立即登錄到被批準(zhǔn)的任何服務(wù)。

McBride他們其實(shí)關(guān)注這家廠商已經(jīng)有七八個(gè)月了，與對(duì)方進(jìn)行過(guò)深入交流。他們還幫助對(duì)方完成了測(cè)試版，幫助對(duì)方開展試點(diǎn)項(xiàng)目，眼下正在內(nèi)部進(jìn)行試用。不過(guò)，最近McBride收到了一封郵件，郵件說(shuō)加拿大的頭號(hào)電信公司TELUS與一家不知名的公司達(dá)成了合作，而后者提供了跟他們正在合作的那家公司一模一樣的服務(wù)。McBride從來(lái)沒(méi)聽說(shuō)過(guò)這家不知名的公司，也沒(méi)有對(duì)它進(jìn)行過(guò)摸底調(diào)查，它與TELUS所做的試點(diǎn)項(xiàng)目一直是悄悄進(jìn)行的，然后就突然出現(xiàn)在新聞稿中。

這說(shuō)明，你所做的全部摸底調(diào)查和研究很有可能被不知從哪里冒出來(lái)的無(wú)名廠商完全推翻。

讓云服務(wù)提供商共同解決AMAG的問(wèn)題并不容易。就這項(xiàng)安全工作而言，McBride他們必須避免一家提供商不想與另一家交流的混亂局面，不過(guò)McBride會(huì)對(duì)他們表示說(shuō)：“我們其實(shí)不關(guān)心你們是否喜歡對(duì)方，我們希望你們能共同為我們構(gòu)建這些我們需要的東西。”一些提供商富有創(chuàng)業(yè)精神，覺得這是大好機(jī)會(huì)；而另一些提供商則決定觀望。不過(guò)，從McBride他們團(tuán)隊(duì)角度來(lái)看，最重要的是，到時(shí)候公司里面IT部門之外的人不需要知道密碼。這就是目標(biāo)。

假設(shè)有個(gè)新員工來(lái)上崗。經(jīng)理通過(guò)工作流程門戶提交請(qǐng)求，該門戶將收集員工的姓名、報(bào)到日期、頭銜、部門及其他所有信息。經(jīng)理點(diǎn)擊提交。接下來(lái)會(huì)有很多事情發(fā)生，其中一件事是用戶的姓名被錄入到Google Apps，賬戶自動(dòng)創(chuàng)建。而該賬戶創(chuàng)建在特定的子部門，在活動(dòng)目錄中可能稱之為群組。這是基于角色的子部門。

同時(shí)，在Zendesk中，建立工單，工單發(fā)送到求助臺(tái)的員工，然后他們就能為筆記本電腦、智能手機(jī)和iPad創(chuàng)建賬戶，因?yàn)樾枰l(fā)放這三種設(shè)備。一旦該賬戶在Google Apps創(chuàng)建完畢，并為此人建立了配置文件，身份及訪問(wèn)管理（IAM）系統(tǒng)就會(huì)發(fā)現(xiàn)有新員工，自動(dòng)配置該用戶應(yīng)有的每個(gè)應(yīng)用程序，并能創(chuàng)建所有賬戶，無(wú)需密碼。

一旦完成了這一步，用戶開始上班時(shí)就可以領(lǐng)到設(shè)備，然后得登錄每一個(gè)賬戶，建立證書。之后，只要三個(gè)設(shè)備中的兩個(gè)彼此在3英寸之內(nèi)，這兩個(gè)設(shè)備就變得彼此可信。

如何保障數(shù)據(jù)安全？

安全和規(guī)章制度方面的疑慮沒(méi)能讓McBride停下腳步。他非常關(guān)心云的安全性，他說(shuō)，每個(gè)人都說(shuō)云不安全，但是他們并沒(méi)有實(shí)際的證據(jù)。云應(yīng)用系統(tǒng)最起碼與普通數(shù)據(jù)中心有著相同的安全水平。

要保護(hù)AMAG的數(shù)據(jù)和知識(shí)產(chǎn)權(quán)，首先要信任公司的員工，所有的公司都應(yīng)當(dāng)如此。我看到一些公司試圖封鎖每一個(gè)數(shù)據(jù)出口，實(shí)際上他們根本不可能做到。一旦你確定你能夠信任你的員工，那么剩下的工作就好辦多了。

為了確保密碼的安全，他們使用了Okta的按需ESSO服務(wù)，并且設(shè)置了15位密碼，文檔和數(shù)據(jù)在傳輸過(guò)程中均被加密。在規(guī)章制度方面，他們通過(guò)將公司和員工數(shù)據(jù)分開存放的方式，有效地遵從了美國(guó)州政府和國(guó)家的有關(guān)法規(guī)，例如《馬薩諸塞州數(shù)據(jù)保護(hù)法》、美國(guó)聯(lián)邦標(biāo)準(zhǔn)21 CFR Part 11以及《薩班斯-奧克斯利法案》第404章。

BYOD設(shè)備員工有話語(yǔ)權(quán)

在公司員工用什么設(shè)備方面我們有慘痛的教訓(xùn)。2008年年底，我們準(zhǔn)備派第一批銷售人員去推銷藥品，于是為所有人購(gòu)買了一樣的筆記本電腦，同時(shí)我們還決定為其他人也買一樣的筆記本電腦，這樣三年后便可以統(tǒng)一升級(jí)電腦。可我們并沒(méi)有考慮到每個(gè)人的具體工作，也沒(méi)有考慮他們中的一些人是否需要功能更強(qiáng)或更弱的電腦，就為員工購(gòu)買了同樣的筆記本電腦。我想大多數(shù)人只是成天處理Word文件而已。

三年后，該更換筆記本電腦了，我們給每個(gè)人都換了電腦。可現(xiàn)在，當(dāng)公司向云和BYOD遷移時(shí)，每個(gè)人都帶來(lái)了自己的筆記本電腦，但他們?nèi)缘檬褂霉景l(fā)放的落伍的筆記本電腦。于是，現(xiàn)在的情況是大家的辦公桌上都放著兩臺(tái)筆記本電腦。

我聽到有人在談?wù)撚白覫T。我覺得，要是貴公司有影子IT，那么你的CIO確實(shí)搞砸了。因?yàn)槿绻阍试S人們暢談怎樣才能讓本部門變得更好，你也確實(shí)能聽取對(duì)方的心聲，就根本不會(huì)出現(xiàn)影子IT。

現(xiàn)在，如果員工想要Windows PC，會(huì)來(lái)聽聽McBride的意見。McBride會(huì)看一下市面上最好的，幫助你做決定。但如果你想要Mac，那只能二選一。如果你想要Chromebook，那么三星或宏碁隨你挑。其實(shí)它們價(jià)格一樣。至于手機(jī)，不是安卓就是iPhone。

AMAG丟棄了桌面電話。大家可以使用手機(jī)，但如果哪位員工仍想用分機(jī)打電話，他們保留了直撥電話（DID），并為每臺(tái)筆記本電腦配備了思科IP Communicator軟件，所以可以從筆記本電腦打電話。AMAG整個(gè)大樓都采用了無(wú)線網(wǎng)絡(luò)。現(xiàn)在，辦公室里除了電源線，沒(méi)有別的連線了。因此，每位員工只要拿起手頭的設(shè)備，就可以到別處辦公。

全面轉(zhuǎn)向云計(jì)算

在應(yīng)用方面，自2009年起就已經(jīng)不再允許公司的其他業(yè)務(wù)部門購(gòu)買那些無(wú)法作為服務(wù)使用的軟件了。例如，AMAG公司的“藥物警戒”需求需要在藥品安全報(bào)告中使用不良事件數(shù)據(jù)庫(kù)，大多數(shù)制藥公司都將這個(gè)數(shù)據(jù)庫(kù)建在公司內(nèi)部，每年在這些服務(wù)器上要花費(fèi)上千萬(wàn)美元。不過(guò)，AMAG則是將此數(shù)據(jù)庫(kù)托管給了服務(wù)商。

AMAG的SaaS服務(wù)商包括提供出差和開銷報(bào)告服務(wù)的Concur技術(shù)公司、提供電子簽名服務(wù)的EchoSign、提供人力資源服務(wù)的Epicor（前身為Spectrum）、提供應(yīng)用和電子郵件服務(wù)的谷歌、提供學(xué)習(xí)管理的SumTotal系統(tǒng)公司、提供電子日程表的Tungle等公司等。

他們盡可能地在亞馬遜彈性云（EC2）服務(wù)器上運(yùn)行遺留下來(lái)的工作負(fù)載（主要是財(cái)務(wù)方面的工作），還在附近的配套設(shè)施中建立了一個(gè)臨時(shí)性的小型外部私有云，以托管總賬程序等少量應(yīng)用，不過(guò)他們并不打算長(zhǎng)期如此，他們已經(jīng)為在該云上的虛擬服務(wù)器和用于存儲(chǔ)的亞馬遜AWS制訂了路線圖。目前，AMAG公司共使用了24項(xiàng)云服務(wù)。

在AMAG公司里，現(xiàn)在有許多人使用Dropbox和Box，這樣他們可以知道他們的文檔在哪里。其實(shí)每個(gè)文檔開始都在Google Drive，但員工如果決定將文檔移到Box，它會(huì)受到跟蹤。McBride知道員工這么做，員工們也知道McBride知道他們這么做。

我們不是Box和Dropbox的擁躉，我們告訴員工，“你知道它們不是很安全，是吧？”但我不愿意禁止任何服務(wù)，因?yàn)檫@就好比告訴10歲的男孩不能玩《馬里奧兄弟》，他會(huì)凌晨?jī)牲c(diǎn)起床，悄悄到客廳里玩游戲一樣。所以，我們不禁止任何東西，而是聽取和建議。有人過(guò)來(lái)對(duì)我們說(shuō)，“我需要做這項(xiàng)任務(wù)”，“我在找這個(gè)程序”，我們可能會(huì)說(shuō)，“有個(gè)更好的應(yīng)用程序能解決那個(gè)問(wèn)題，它還能提供某某功能。”如果這一招管用，這對(duì)我們來(lái)說(shuō)再好不過(guò)。但如果員工說(shuō)，“不，那個(gè)不適合我。”我們就會(huì)說(shuō)，“要不我們一起去市場(chǎng)找找還有沒(méi)有其他的？”（編譯/沈建苗）