來自于Microsoft Azure 云安全白皮書

　　在關(guān)于IPPBX的部署中，多租戶和單實(shí)例部署的場景也越來越多，技術(shù)架構(gòu)也會發(fā)生很大的變化。

　　

　　此圖例和以下圖例均來自于互聯(lián)網(wǎng)資源

　　多租戶模式IPPBX或UC和單實(shí)例的IPPBX相比，它具有某些優(yōu)勢，例如：

　　這里讀者一定要清楚，以上所說的某些優(yōu)勢是相對于平臺本身來說的，一些優(yōu)勢是相對于終端用戶來說的。所以，用戶一定要從自己使用角度來考慮這些優(yōu)勢是否是真正的優(yōu)勢。網(wǎng)絡(luò)上有很多資源討論了關(guān)于單實(shí)例部署和多租戶部署方式的優(yōu)缺點(diǎn)，這里不再過多討論。如果讀者有興趣的話，可以閱讀歷史文檔：

　　在企業(yè)UC或者IPPBX多租戶的部署方式中，從技術(shù)角度來說，有多種多租戶的模式：

　　這里，我們重點(diǎn)討論第三種模式，在一個實(shí)例中運(yùn)行多個多租戶公司的方式。關(guān)于更多技術(shù)架構(gòu)和運(yùn)營模式請讀者參考以上鏈接。

　

　　相對于單租戶模式的IPPBX環(huán)境，多租戶方式部署涉及了多個公司的運(yùn)行場景，而且這些不同的場景業(yè)務(wù)需求的不同會產(chǎn)生不同的系統(tǒng)配置安全和其他的問題。因此，我們有必要對多租戶平臺環(huán)境部署IPPBX或者UC時一些比較重要的問題或者存在的挑戰(zhàn)值得去深入研究，用戶也一定要考慮其潛在的運(yùn)營風(fēng)險(xiǎn)。筆者歸納了六大問題和挑戰(zhàn)，這些問題涉及了系統(tǒng)安全，數(shù)據(jù)存儲，系統(tǒng)維護(hù)管理，業(yè)務(wù)流程定制，系統(tǒng)資源管理和訂閱結(jié)算的問題。

　　根據(jù)Thomas Erl 在其著作關(guān)于“云計(jì)算 概念，技術(shù)與架構(gòu)”中所提的，云計(jì)算的多租戶技術(shù)需要滿足以下幾個方面的原則：

　　同時，在其著作中進(jìn)一步說明了多租戶應(yīng)用的特點(diǎn)：

　　數(shù)據(jù)層隔離-租戶用戶的各種數(shù)據(jù)都互相管理，有獨(dú)立的數(shù)據(jù)庫，表格格式，其他租戶數(shù)據(jù)庫格式不受影響

　　當(dāng)然，隨著云平臺的新技術(shù)方式和運(yùn)營方式不斷出現(xiàn)，可能也存在其他的問題需要讀者加以關(guān)注。筆者接下來根據(jù)Thomas Erl  著作中關(guān)于云計(jì)算多租戶的運(yùn)營的原則，結(jié)合企業(yè)IPPBX或者融合通信多租戶場景，針對多租戶IPPBX或者UC做進(jìn)一步的討論。

　　在云平臺的多租戶環(huán)境中，安全是第一重要的挑戰(zhàn)。特別是在多租戶環(huán)境中，運(yùn)營人員一定要保證多租戶的數(shù)據(jù)安全。在多租戶的IPPBX環(huán)境中，租戶的數(shù)據(jù)庫一定要互相隔離，權(quán)限設(shè)置需要隔離，用戶的訪問權(quán)限也需要管理。但是，在我們所討論的多租戶模式下，很多產(chǎn)品提供商目前所恐怕不能支持?jǐn)?shù)據(jù)庫管理，針對每個租戶提供一個數(shù)據(jù)庫。目前，這種支持模式使用的仍然不是很多。以下圖例說明了一個云平臺環(huán)境中對多租戶用戶進(jìn)行認(rèn)證的簡單流程。

　　

　　另外，因?yàn)楹芏喽嘧鈶鬒PPBX基于開源linux平臺開發(fā)，共享一個操作系統(tǒng)，在系統(tǒng)底層的權(quán)限設(shè)置也存在很多的困難，基本上不可能做到每個IPPBX租戶一個隔離權(quán)限。大家可以想象，一個linux系統(tǒng)針對幾十個甚至于上百個租戶設(shè)置不同的權(quán)限，這樣的環(huán)境很難管理，而且也會導(dǎo)致其他的安全隱患。

　　在多租戶的IPPBX環(huán)境中，安全設(shè)置包括了界面訪問設(shè)置，用戶管理員根據(jù)業(yè)務(wù)不同可能設(shè)置不同的流程控制設(shè)置，存儲文件訪問，語音錄音文件和CDR等數(shù)據(jù)的安全控制。在多租戶環(huán)境中，每個租戶IPPBX需要分別對其數(shù)據(jù)進(jìn)行安全設(shè)置，這是一個非常復(fù)雜的業(yè)務(wù)定制，也是多租戶IPPBX的挑戰(zhàn)。

　　因?yàn)樯婕傲硕嘧鈶粲脩舻陌踩�設(shè)置管理，安全機(jī)制可能會互相影響，例如一些公共安全設(shè)置的策略。這樣的安全設(shè)置又會導(dǎo)致一個安全邊界重疊的問題，如果出現(xiàn)了安全邊界重疊的話，一旦某個租戶的安全出現(xiàn)漏洞，它就會導(dǎo)致整個系統(tǒng)的安全漏洞。另外，一個多租戶IPPBX在出現(xiàn)安全漏洞的情況下，其他多租戶IPPBX用戶能夠及時更新所有IPPBX安全設(shè)置，這也仍然對多租戶用戶是一個極大的安全挑戰(zhàn)。

　　如果是多租戶IPPBX，根據(jù)用戶對安全設(shè)置的不同或者對安全要求的不同，配置的安全權(quán)限也可能完全不同。例如，有的用戶需要SIP加密呼叫，TLS，用戶管理員需要讀取修改數(shù)據(jù)庫數(shù)據(jù)，有的用戶可能需要數(shù)據(jù)狀態(tài)等。這些安全要求都需要多租戶的IPPBX互相隔離。

　　對于多租戶的IPPBX用戶來說，系統(tǒng)通信數(shù)據(jù)是非常重要的企業(yè)財(cái)富。多租戶環(huán)境中，每個公司都是一個業(yè)務(wù)單元。數(shù)據(jù)存儲是一個挑戰(zhàn)。IPPBX的數(shù)據(jù)包括電話錄音數(shù)據(jù)，呼叫記錄數(shù)據(jù)，語音郵箱數(shù)據(jù)，用戶分機(jī)號碼相關(guān)數(shù)據(jù)等。并且，可能每個企業(yè)對數(shù)據(jù)要求和存儲格式時長備份時間都不同一，因此，多租戶IPPBX需要根據(jù)這些用戶的要求針對具體業(yè)務(wù)數(shù)據(jù)做數(shù)據(jù)存儲處理，并且保證其數(shù)據(jù)在安全機(jī)制下的調(diào)用。

　　另外，對于多租戶IPPBX用戶來說，絕大部分用戶可能要求做數(shù)據(jù)的HA備份，系統(tǒng)平臺仍然需要對每個多租戶用戶支持備份還原等機(jī)制。這些數(shù)據(jù)也可能需要相互隔離管理。因此，多租戶IPPBX就會增加數(shù)據(jù)存儲的功能要求，隨著多租戶用戶數(shù)量的不斷增加，用戶數(shù)據(jù)備份機(jī)制也會變得異常復(fù)雜。

　　目前，很多多租戶IPPBX因?yàn)榧夹g(shù)架構(gòu)的問題，本身IPPBX有自己的內(nèi)部數(shù)據(jù)庫，而且還有存儲業(yè)務(wù)數(shù)據(jù)的外部數(shù)據(jù)庫，它們支持?jǐn)?shù)據(jù)庫形式相對不太靈活，使用一個數(shù)據(jù)庫支持所有的多租戶方式，這些數(shù)據(jù)的隔離處理就會帶來很多的技術(shù)風(fēng)險(xiǎn)。

　　IPPBX支持的功能非常多，特別是最近幾年，因?yàn)榛ヂ?lián)網(wǎng)和云平臺的發(fā)展，很多應(yīng)用場景都獲得了IPPBX的支持。這樣就給IPPBX的維護(hù)管理帶來很多的潛在風(fēng)險(xiǎn)和挑戰(zhàn)。另外，如果服務(wù)提供商本身業(yè)務(wù)停止的話，多租戶IPPBX也不得不從以前的服務(wù)商遷移到另外的平臺。這種風(fēng)險(xiǎn)同樣會影響IPPBX的維護(hù)管理。在多租戶IPPBX的維護(hù)管理方面需要考慮以下這些具體的細(xì)節(jié)：

　　維護(hù)管理需要考慮系統(tǒng)遷移的幾個要素，包括企業(yè)辦公電話號碼，業(yè)務(wù)流程遷移配置，功能遷移，分機(jī)設(shè)置號碼，存儲格式兼容，第三方應(yīng)用兼容性，IPPBX功能限定等問題。

　　維護(hù)管理：系統(tǒng)版本升級，終端兼容性支持，支持能力等。

　　系統(tǒng)維護(hù)人員需要配置相應(yīng)的HA呼叫設(shè)置，配置接口完全開放，可以支持其他語音服務(wù)商的能力，例如多種SIP trunk，無排他性設(shè)置。

　　維護(hù)管理功能是否有能力提供獨(dú)立的系統(tǒng)管理界面和系統(tǒng)用戶訪問界面，獨(dú)立的終端界面。

　　多租戶IPPBX是否具備邊緣設(shè)備的自動部署的支持，終端設(shè)置是否具備排他性。

　　維護(hù)管理中的不同log 認(rèn)證管理需要多租戶IPPBX根據(jù)不同租戶打印出不同賬號的系統(tǒng)log日志，保證其數(shù)據(jù)和其他租戶的數(shù)據(jù)是互相隔離狀態(tài)。

　　目前看，很多的多租戶IPPBX和單機(jī)版本的IPPBX相比，多租戶的IPPBX在功能上相對比較簡單。因?yàn)槠浼夹g(shù)架構(gòu)的復(fù)雜性，多租戶IPPBX實(shí)現(xiàn)的功能也有一定的限制，并且深度依賴于服務(wù)提供商本身的產(chǎn)品定位。因此，多租戶IPPBX用戶在訂閱其服務(wù)時，需要對業(yè)務(wù)層面的支持做一定的了解，具體的細(xì)節(jié)包括：

　　呼入流程的定制，包括多國語言的語音導(dǎo)航設(shè)置，不同節(jié)假日呼入的設(shè)置，其他服務(wù)支持是否能夠滿足將來的拓展，例如和第三方應(yīng)用的支持能力。

　　對呼出流程的定制，包括不同分機(jī)用戶設(shè)定的呼叫權(quán)限和地區(qū)設(shè)置，不同時間段的呼叫段的呼叫設(shè)置。

　　內(nèi)部業(yè)務(wù)功能的定制支持，不同于單機(jī)版本的IPPBX，多租戶IPPBX支持的功能相對比較簡單，而且也摒棄了以前單機(jī)版本IPPBX的一些比較傳統(tǒng)的功能。每個租戶的號碼位數(shù)和撥號號碼段，包括呼叫路由方式都需要互相隔離。因此，多租戶版本的內(nèi)部呼叫業(yè)務(wù)功能是否能夠支持每個多租戶的不同業(yè)務(wù)流程的定制就是一個非常大的挑戰(zhàn)。

　　這些功能的定制要保證不能影響其他的租戶的配置要求，業(yè)務(wù)流程是互相隔離的，并且排查工具和讀取數(shù)據(jù)都互相隔離。

　　在多租戶的IPPBX運(yùn)營中，系統(tǒng)資源是決定租戶IPPBX系統(tǒng)穩(wěn)定的重要因素。根據(jù)租戶的支付約定配置相應(yīng)的資源是非常普遍的業(yè)務(wù)流程。但是，在一個單一多租戶平臺中，如何保證VIP的多租戶的業(yè)務(wù)資源能夠準(zhǔn)確支持其業(yè)務(wù)能力是一個挑戰(zhàn)。在一些一般企業(yè)應(yīng)用的開發(fā)平臺中，基于開源項(xiàng)目，例如Asterisk或者FreeSWITCH軟交換的實(shí)現(xiàn)的技術(shù)架構(gòu)，因?yàn)槊襟w，信令和業(yè)務(wù)邏輯耦合度相當(dāng)高，大部分的系統(tǒng)都是“一體”形式共享CPU運(yùn)算資源，共享存儲資源，共享數(shù)據(jù)庫資源，共享網(wǎng)絡(luò)帶寬資源。即使通過分布式部署方式實(shí)現(xiàn)的多租戶IPPBX或UC，很多資源的共享是不可避免的。因此，在多租戶環(huán)境下，服務(wù)提供商可能需要對不同租戶提供必要的資源使用工具和服務(wù)：

　　不同服務(wù)級別提供不同的計(jì)算能力，帶寬，存儲空間

　　服務(wù)提供商提供管理工具來統(tǒng)計(jì)這些資源

　　服務(wù)提供商根據(jù)客戶的業(yè)務(wù)調(diào)整要求，可以增加存儲空間，增加CPU，存儲空間，增加帶寬等必要手段。

　　服務(wù)提供商需要通過實(shí)時優(yōu)化系統(tǒng)資源滿足不同的處理任務(wù)要求，例如，彈性調(diào)整視頻會議資源調(diào)整，編碼轉(zhuǎn)換能力支持，存儲空間靈活調(diào)整等業(yè)務(wù)優(yōu)化措施。

　　產(chǎn)品定價(jià)是一門藝術(shù)。很多多租戶的IPPBX是通過SIP 用戶數(shù)量來計(jì)費(fèi)，同時增加了其他的費(fèi)用。因?yàn)槎嘧鈶粲脩魯?shù)量很多是動態(tài)變化的，另外，功能需求也是隨時調(diào)整的，隨之而來的就是帶來了存儲空間成本增加，帶寬的成本增加和維護(hù)方式的變化。

　　另外，對租戶用戶來說，這些費(fèi)用的價(jià)格的計(jì)算必須是非常透明的，不能讓用戶感覺到潛在的后續(xù)成本和費(fèi)用。

　　基于云平臺的多租戶IPPBX用戶所使用的相關(guān)資源的價(jià)格不是相對固定的，這就帶來了整體價(jià)格的不可預(yù)知性。如果，多租戶用戶覺得價(jià)格不合理的話，最后可能導(dǎo)致服務(wù)提供商運(yùn)營虧損，或者用戶不買單。多租戶用戶的訂閱價(jià)格的定制也是對用戶和服務(wù)提供商的一個挑戰(zhàn)。

　　筆者在以上的討論中，重點(diǎn)提出了關(guān)于多租戶IPPBX用戶部署時，服務(wù)提供商還是IPPBX用戶都需要考慮的六個挑戰(zhàn)。這些挑戰(zhàn)是以前在傳統(tǒng)單機(jī)IPPBX和融合通信時代所沒有遇到的挑戰(zhàn)。如果服務(wù)提供商和用戶都不能預(yù)估其潛在的風(fēng)險(xiǎn)和挑戰(zhàn)時，業(yè)務(wù)成長就會面臨很多的問題。

　　不過，隨著技術(shù)的不斷發(fā)展和運(yùn)營實(shí)踐的調(diào)整，很多多租戶模式也發(fā)生了很多的變化，一些用戶提供定制的安全策略機(jī)制來對用戶進(jìn)行安全驗(yàn)證，通過分布式部署媒體信令服務(wù)器，數(shù)據(jù)庫分離和業(yè)務(wù)層的分離都逐漸完善了技術(shù)架構(gòu)，并且通過云計(jì)算的彈性能力調(diào)整保證了系統(tǒng)資源的動態(tài)支持。

　　另外，服務(wù)提供商在對用戶提供服務(wù)時，同時要避免不可控風(fēng)險(xiǎn)發(fā)生（例如，基礎(chǔ)云平臺的遷移和價(jià)格服務(wù)水平，未來提供的IPPBX功能所需要的成本支持），保證服務(wù)價(jià)格在合理的空間。用戶也需要考慮未來所需要的服務(wù)，例如占用系統(tǒng)資源很高的應(yīng)用（例如，視頻會議，文件存儲等），可能和第三方對接的接口支持，IPPBX遷移帶來的風(fēng)險(xiǎn)，未來員工的設(shè)備管理等風(fēng)險(xiǎn)。確保多租戶IPPBX用戶上得去，下得來。

　　實(shí)踐優(yōu)于理論-爆裂

　　www.rbbn.cn

　　雖然筆者對以上六個問題進(jìn)行了討論。但是，筆者相信，很多運(yùn)營多租戶平臺的服務(wù)提供商和用戶可能有更多的經(jīng)驗(yàn)和不同的看法，這里我們僅對多租戶平臺部署提出初淺認(rèn)識，希望更多新的用戶和服務(wù)提供商能夠?qū)Υ藰I(yè)務(wù)有一個新的認(rèn)識，通過不斷實(shí)踐幫助其多租戶模式有更多的發(fā)展空間。

　　Thomas Erl ，關(guān)于云計(jì)算 概念，技術(shù)與架構(gòu)

　　https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.500-291r2.pdf

　　Bo Tang， Multi-tenancy authorization models for collaborative

　　cloud services

　　Microsoft Azure 云安全白皮書

　　William Y. Chang，Transforming Enterprise Cloud Services

　　https://www.liquidweb.com/kb/what-is-single-tenant-vs-multi-tenant-software/

　　www.asterisk.org.cn

　　www.rbbn.cn 世界級SIP/SBC 解決方案

　　顧炯炯 云計(jì)算架構(gòu) 技術(shù)與實(shí)踐（第2版）