來自于Microsoft Azure 云安全白皮書

　　在關于IPPBX的部署中，多租戶和單實例部署的場景也越來越多，技術架構也會發(fā)生很大的變化。

　　

　　此圖例和以下圖例均來自于互聯網資源

　　多租戶模式IPPBX或UC和單實例的IPPBX相比，它具有某些優(yōu)勢，例如：

　　這里讀者一定要清楚，以上所說的某些優(yōu)勢是相對于平臺本身來說的，一些優(yōu)勢是相對于終端用戶來說的。所以，用戶一定要從自己使用角度來考慮這些優(yōu)勢是否是真正的優(yōu)勢。網絡上有很多資源討論了關于單實例部署和多租戶部署方式的優(yōu)缺點，這里不再過多討論。如果讀者有興趣的話，可以閱讀歷史文檔：

　　在企業(yè)UC或者IPPBX多租戶的部署方式中，從技術角度來說，有多種多租戶的模式：

　　這里，我們重點討論第三種模式，在一個實例中運行多個多租戶公司的方式。關于更多技術架構和運營模式請讀者參考以上鏈接。

　

　　相對于單租戶模式的IPPBX環(huán)境，多租戶方式部署涉及了多個公司的運行場景，而且這些不同的場景業(yè)務需求的不同會產生不同的系統配置安全和其他的問題。因此，我們有必要對多租戶平臺環(huán)境部署IPPBX或者UC時一些比較重要的問題或者存在的挑戰(zhàn)值得去深入研究，用戶也一定要考慮其潛在的運營風險。筆者歸納了六大問題和挑戰(zhàn)，這些問題涉及了系統安全，數據存儲，系統維護管理，業(yè)務流程定制，系統資源管理和訂閱結算的問題。

　　根據Thomas Erl 在其著作關于“云計算 概念，技術與架構”中所提的，云計算的多租戶技術需要滿足以下幾個方面的原則：

　　同時，在其著作中進一步說明了多租戶應用的特點：

　　數據層隔離-租戶用戶的各種數據都互相管理，有獨立的數據庫，表格格式，其他租戶數據庫格式不受影響

　　當然，隨著云平臺的新技術方式和運營方式不斷出現，可能也存在其他的問題需要讀者加以關注。筆者接下來根據Thomas Erl  著作中關于云計算多租戶的運營的原則，結合企業(yè)IPPBX或者融合通信多租戶場景，針對多租戶IPPBX或者UC做進一步的討論。

　　在云平臺的多租戶環(huán)境中，安全是第一重要的挑戰(zhàn)。特別是在多租戶環(huán)境中，運營人員一定要保證多租戶的數據安全。在多租戶的IPPBX環(huán)境中，租戶的數據庫一定要互相隔離，權限設置需要隔離，用戶的訪問權限也需要管理。但是，在我們所討論的多租戶模式下，很多產品提供商目前所恐怕不能支持數據庫管理，針對每個租戶提供一個數據庫。目前，這種支持模式使用的仍然不是很多。以下圖例說明了一個云平臺環(huán)境中對多租戶用戶進行認證的簡單流程。

　　

　　另外，因為很多多租戶IPPBX基于開源linux平臺開發(fā)，共享一個操作系統，在系統底層的權限設置也存在很多的困難，基本上不可能做到每個IPPBX租戶一個隔離權限。大家可以想象，一個linux系統針對幾十個甚至于上百個租戶設置不同的權限，這樣的環(huán)境很難管理，而且也會導致其他的安全隱患。

　　在多租戶的IPPBX環(huán)境中，安全設置包括了界面訪問設置，用戶管理員根據業(yè)務不同可能設置不同的流程控制設置，存儲文件訪問，語音錄音文件和CDR等數據的安全控制。在多租戶環(huán)境中，每個租戶IPPBX需要分別對其數據進行安全設置，這是一個非常復雜的業(yè)務定制，也是多租戶IPPBX的挑戰(zhàn)。

　　因為涉及了多租戶用戶的安全設置管理，安全機制可能會互相影響，例如一些公共安全設置的策略。這樣的安全設置又會導致一個安全邊界重疊的問題，如果出現了安全邊界重疊的話，一旦某個租戶的安全出現漏洞，它就會導致整個系統的安全漏洞。另外，一個多租戶IPPBX在出現安全漏洞的情況下，其他多租戶IPPBX用戶能夠及時更新所有IPPBX安全設置，這也仍然對多租戶用戶是一個極大的安全挑戰(zhàn)。

　　如果是多租戶IPPBX，根據用戶對安全設置的不同或者對安全要求的不同，配置的安全權限也可能完全不同。例如，有的用戶需要SIP加密呼叫，TLS，用戶管理員需要讀取修改數據庫數據，有的用戶可能需要數據狀態(tài)等。這些安全要求都需要多租戶的IPPBX互相隔離。

　　對于多租戶的IPPBX用戶來說，系統通信數據是非常重要的企業(yè)財富。多租戶環(huán)境中，每個公司都是一個業(yè)務單元。數據存儲是一個挑戰(zhàn)。IPPBX的數據包括電話錄音數據，呼叫記錄數據，語音郵箱數據，用戶分機號碼相關數據等。并且，可能每個企業(yè)對數據要求和存儲格式時長備份時間都不同一，因此，多租戶IPPBX需要根據這些用戶的要求針對具體業(yè)務數據做數據存儲處理，并且保證其數據在安全機制下的調用。

　　另外，對于多租戶IPPBX用戶來說，絕大部分用戶可能要求做數據的HA備份，系統平臺仍然需要對每個多租戶用戶支持備份還原等機制。這些數據也可能需要相互隔離管理。因此，多租戶IPPBX就會增加數據存儲的功能要求，隨著多租戶用戶數量的不斷增加，用戶數據備份機制也會變得異常復雜。

　　目前，很多多租戶IPPBX因為技術架構的問題，本身IPPBX有自己的內部數據庫，而且還有存儲業(yè)務數據的外部數據庫，它們支持數據庫形式相對不太靈活，使用一個數據庫支持所有的多租戶方式，這些數據的隔離處理就會帶來很多的技術風險。

　　IPPBX支持的功能非常多，特別是最近幾年，因為互聯網和云平臺的發(fā)展，很多應用場景都獲得了IPPBX的支持。這樣就給IPPBX的維護管理帶來很多的潛在風險和挑戰(zhàn)。另外，如果服務提供商本身業(yè)務停止的話，多租戶IPPBX也不得不從以前的服務商遷移到另外的平臺。這種風險同樣會影響IPPBX的維護管理。在多租戶IPPBX的維護管理方面需要考慮以下這些具體的細節(jié)：

　　維護管理需要考慮系統遷移的幾個要素，包括企業(yè)辦公電話號碼，業(yè)務流程遷移配置，功能遷移，分機設置號碼，存儲格式兼容，第三方應用兼容性，IPPBX功能限定等問題。

　　維護管理：系統版本升級，終端兼容性支持，支持能力等。

　　系統維護人員需要配置相應的HA呼叫設置，配置接口完全開放，可以支持其他語音服務商的能力，例如多種SIP trunk，無排他性設置。

　　維護管理功能是否有能力提供獨立的系統管理界面和系統用戶訪問界面，獨立的終端界面。

　　多租戶IPPBX是否具備邊緣設備的自動部署的支持，終端設置是否具備排他性。

　　維護管理中的不同log 認證管理需要多租戶IPPBX根據不同租戶打印出不同賬號的系統log日志，保證其數據和其他租戶的數據是互相隔離狀態(tài)。

　　目前看，很多的多租戶IPPBX和單機版本的IPPBX相比，多租戶的IPPBX在功能上相對比較簡單。因為其技術架構的復雜性，多租戶IPPBX實現的功能也有一定的限制，并且深度依賴于服務提供商本身的產品定位。因此，多租戶IPPBX用戶在訂閱其服務時，需要對業(yè)務層面的支持做一定的了解，具體的細節(jié)包括：

　　呼入流程的定制，包括多國語言的語音導航設置，不同節(jié)假日呼入的設置，其他服務支持是否能夠滿足將來的拓展，例如和第三方應用的支持能力。

　　對呼出流程的定制，包括不同分機用戶設定的呼叫權限和地區(qū)設置，不同時間段的呼叫段的呼叫設置。

　　內部業(yè)務功能的定制支持，不同于單機版本的IPPBX，多租戶IPPBX支持的功能相對比較簡單，而且也摒棄了以前單機版本IPPBX的一些比較傳統的功能。每個租戶的號碼位數和撥號號碼段，包括呼叫路由方式都需要互相隔離。因此，多租戶版本的內部呼叫業(yè)務功能是否能夠支持每個多租戶的不同業(yè)務流程的定制就是一個非常大的挑戰(zhàn)。

　　這些功能的定制要保證不能影響其他的租戶的配置要求，業(yè)務流程是互相隔離的，并且排查工具和讀取數據都互相隔離。

　　在多租戶的IPPBX運營中，系統資源是決定租戶IPPBX系統穩(wěn)定的重要因素。根據租戶的支付約定配置相應的資源是非常普遍的業(yè)務流程。但是，在一個單一多租戶平臺中，如何保證VIP的多租戶的業(yè)務資源能夠準確支持其業(yè)務能力是一個挑戰(zhàn)。在一些一般企業(yè)應用的開發(fā)平臺中，基于開源項目，例如Asterisk或者FreeSWITCH軟交換的實現的技術架構，因為媒體，信令和業(yè)務邏輯耦合度相當高，大部分的系統都是“一體”形式共享CPU運算資源，共享存儲資源，共享數據庫資源，共享網絡帶寬資源。即使通過分布式部署方式實現的多租戶IPPBX或UC，很多資源的共享是不可避免的。因此，在多租戶環(huán)境下，服務提供商可能需要對不同租戶提供必要的資源使用工具和服務：

　　不同服務級別提供不同的計算能力，帶寬，存儲空間

　　服務提供商提供管理工具來統計這些資源

　　服務提供商根據客戶的業(yè)務調整要求，可以增加存儲空間，增加CPU，存儲空間，增加帶寬等必要手段。

　　服務提供商需要通過實時優(yōu)化系統資源滿足不同的處理任務要求，例如，彈性調整視頻會議資源調整，編碼轉換能力支持，存儲空間靈活調整等業(yè)務優(yōu)化措施。

　　產品定價是一門藝術。很多多租戶的IPPBX是通過SIP 用戶數量來計費，同時增加了其他的費用。因為多租戶用戶數量很多是動態(tài)變化的，另外，功能需求也是隨時調整的，隨之而來的就是帶來了存儲空間成本增加，帶寬的成本增加和維護方式的變化。

　　另外，對租戶用戶來說，這些費用的價格的計算必須是非常透明的，不能讓用戶感覺到潛在的后續(xù)成本和費用。

　　基于云平臺的多租戶IPPBX用戶所使用的相關資源的價格不是相對固定的，這就帶來了整體價格的不可預知性。如果，多租戶用戶覺得價格不合理的話，最后可能導致服務提供商運營虧損，或者用戶不買單。多租戶用戶的訂閱價格的定制也是對用戶和服務提供商的一個挑戰(zhàn)。

　　筆者在以上的討論中，重點提出了關于多租戶IPPBX用戶部署時，服務提供商還是IPPBX用戶都需要考慮的六個挑戰(zhàn)。這些挑戰(zhàn)是以前在傳統單機IPPBX和融合通信時代所沒有遇到的挑戰(zhàn)。如果服務提供商和用戶都不能預估其潛在的風險和挑戰(zhàn)時，業(yè)務成長就會面臨很多的問題。

　　不過，隨著技術的不斷發(fā)展和運營實踐的調整，很多多租戶模式也發(fā)生了很多的變化，一些用戶提供定制的安全策略機制來對用戶進行安全驗證，通過分布式部署媒體信令服務器，數據庫分離和業(yè)務層的分離都逐漸完善了技術架構，并且通過云計算的彈性能力調整保證了系統資源的動態(tài)支持。

　　另外，服務提供商在對用戶提供服務時，同時要避免不可控風險發(fā)生（例如，基礎云平臺的遷移和價格服務水平，未來提供的IPPBX功能所需要的成本支持），保證服務價格在合理的空間。用戶也需要考慮未來所需要的服務，例如占用系統資源很高的應用（例如，視頻會議，文件存儲等），可能和第三方對接的接口支持，IPPBX遷移帶來的風險，未來員工的設備管理等風險。確保多租戶IPPBX用戶上得去，下得來。

　　實踐優(yōu)于理論-爆裂

　　www.rbbn.cn

　　雖然筆者對以上六個問題進行了討論。但是，筆者相信，很多運營多租戶平臺的服務提供商和用戶可能有更多的經驗和不同的看法，這里我們僅對多租戶平臺部署提出初淺認識，希望更多新的用戶和服務提供商能夠對此業(yè)務有一個新的認識，通過不斷實踐幫助其多租戶模式有更多的發(fā)展空間。

　　Thomas Erl ，關于云計算 概念，技術與架構

　　https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.500-291r2.pdf

　　Bo Tang， Multi-tenancy authorization models for collaborative

　　cloud services

　　Microsoft Azure 云安全白皮書

　　William Y. Chang，Transforming Enterprise Cloud Services

　　https://www.liquidweb.com/kb/what-is-single-tenant-vs-multi-tenant-software/

　　www.asterisk.org.cn

　　www.rbbn.cn 世界級SIP/SBC 解決方案

　　顧炯炯 云計算架構 技術與實踐（第2版）