TVBNMG

关于新媒体集团有限公司(TVBNMG)

TVB 新媒体集团有限公司(TVBNMG)是 TVB 的全资子公司,是世界上一家在製作、广播和发行领域经营垂直整合业务的广播公司之一,并拥有众多的媒体工作者。TVBNMG 负责支援大大平台的所有技术和工程。大大平台是一个集传统电视、移动应用和社交平臺功能于一体的多媒体网站。拥有的 TVB 演出者和来自中国、日本、韩国和臺湾的网路名人的现场直播和视频录製,为观众带来全新的媒体体验。观看者在注册为会员后,可以免费观看视频。他们能够在直播期间与演出者和 KOL 互动,甚至购买表情符号和虚拟礼物给他们希望支援的演出者。​

伊雲谷將現有的實例 Docker 化至 ECS(Amazon Elastic Container Service),讓 TVB 能輕鬆使用微服務架構。

TVBNMG 的挑战

  • TVB 在 AWS 上面有多个区域、帐户,而管理这些帐户并非易事,而在公司地端的帐号进行员工角色和许可权更新时,并不会反映 在 AWS 许可权存取权限上的更改,故当人员异动时,却又无法立即反应在 AWS 帐号时,很容易造成资料被窃取窜改的风险,也因为建置 AWS 帐号是透过大量的手动操作,也因此影响 AWS 资源的安全性。
  • 管理者目前都是使用AWS 主控台建置每个帐号的身份,并通过使用单独的密码进行身份验证,此种身份验证方法并不理想。
  • 管理员访问的 MFA 作为公司策略强制实施,但不支援使用 AWS IAM 自行注册 MFA。

eCloudvalley 提供的解决方案

  • eCloudvally 为 AWS 上的多帐户环境提供了单一签入的设置。
  • 使用者身份验证将通过用户端与 AWS 上的 AD FS 伺服器的本地 VPN 连接进行。特定权限的管理员需要 OTP MFA 身份验证。这允许通过 Microsoft AD 单次登录到 AWS 主控台,OTP 再由PrivacyIdea授权。
  • 利用基础架构作为代码 (IaC)(如 CloudFormation)轻鬆部署相同的基础架构,用于效能测试、UAT、暂存和其他区域。
  • 建立对自动化基础架构配置的连续监控和合规性

合作成果

  • TVB 实现集化的存取控制。通过与地端 Microsoft AD 整合,SSO 至 AWS 主控台,并且通过 privacyIdea 授权的 OTP,存取控制仅部署在一个 AWS 帐户上,而不是多个帐户。这种机制大大降低了帐户管理的複杂性。此外,也大幅减少了更新帐号存取权限的时间。在尚未提供这样的解决方案,TVB 需要花费 2 到 3 天的时间完成从 AWS 帐户中删除已辞职人员的过程。现在,HR & IT 员工可以在 2 小时内修改 Microsoft AD,轻鬆地从连结帐户中删除辞职人员,而无需花时间进行跨部门协调。该方法大大提高了帐户管理的便利性、安全性和效率。
  • 结合主要连结帐户,TVB 实现了集中日誌记录和指标视觉化。每个帐户中的所有日誌都传输到主帐户中的 Amazon Elasticsearch。日誌格式类型统一为一种,便于处理和分析。跨部门日誌集中存储,以便进行大规模分析和比较,以找出基本模式。此外,指标通过仪表板进行集中处理和视觉化,使 IT 员工能够更高效地监控不同客户中的资源。可以用最少的延迟观察时间来了解资源性能和帐户安全事件,同时IT 员工也无需登录到每个帐户即可对事件做出快速回应,该机制显着提高了 IT 管理效率。
  • 跨区域冗馀使 TVB 拥有更好地处理紧急事件的能力。在原本部署的传统内部网站託管下,TVB 无法在短时间内恢復网站,而备援的伺服器需要做好准备以避免硬体中断,在以前,整体服务恢復过程可能花费长达 12 小时,更不用说人为的操作错误更有可能影响整个服务恢復的过程。现在,利用AWS高可用环境以及自动缩放等高可用性设计。即使遇到区域中断,网站也可以在另一个区域恢復,ECV 提供的 CloudFormation 范本的整个恢復过程也可以在 1 小时内完成。此外,当新闻内容被攻击者篡改时,TVB 亦可以使用在其他地区恢復的备份来继续向读者提供正确的新闻。同时,IT 团队可以更正主网站中的内容并调查问题。恢復原始网站后,IT 团队只需容错移转回网站即可。这种设计不仅实现了高能力,而且提高了安全性和事件回应能力。

AWS 架构图

联络云专家
2020-01-06T14:41:56+00:00 2020/01/03 |成功案例|