關貿網路引進Rancher Prime與NeuVector，朝向容器化及雲原生華麗轉型

若從1990年誕生的前身「貨物通關自動化規劃推行小組」起算，關貿網路成立至今逾30年，多年來扮演臺灣進出口通關自動化的助攻手，亦承接公家機構諸多重大網路應用服務與系統整合專案，服務範疇涵蓋全民食、衣、住、行、育、樂等大小事，重要性不言可喻。為提供更佳服務品質、更快上線速度及更高彈性，快速滿足多變的客戶需求，關貿自知必須善用科技、不斷驅動業務成長與創新；故在2019年成立雲科技事業群，並著手評估雲原生與容器化技術。

「投入雲原生、容器化的重點，在於追求靈活與效率，」關貿網路雲科技事業群協理兼副技術長彭威陽表示，關貿長年從事ASP服務，經年累月發展下，許多程式趨於肥大，亟需設法找到更靈活、更高效的部署維運方法。

經審慎評估，關貿選擇採用Rancher Prime容器管理平台，且基於安全與合規所需，緊接著引進NeuVector容器安全方案。在一開始琢磨期，關貿將這些工具用於專案開發與測試，且偏向小量使用，故採用社群版，平時透過向社群爬文或提問，獲取技術支持及問題排除解方。惟考量後續進入Go Production階段，須為客戶提供SLA承諾，有必要借重原廠的後援；正好兩套方案後來都被SUSE併購，可望由單一原廠提供商業支持，符合關貿的期待，因此於2022年10月同時導入Rancher Prime和NeuVector兩套商用版方案，也一併引進SUSE Linux Enterprise Server（SLES）作業系統。

擁有直觀介面與充足文件，易於使用者快速上手

談到青睞Rancher Prime的緣由，關貿網路軟體工程部副理吳承峰指出，首先因Rancher Prime擁有直觀操作介面、充足的文件，有效降低配置與管理難度，便於團隊快速上手。其次關貿未來終將走向混合多雲，需要預先建立跨雲及跨叢集管理機制。再者Rancher Prime以低度耗用硬體資源聞名，且不管在維護、支持或培訓，長期營運成本都不算高。更重要的，Rancher Prime在開源社群的活躍度甚高，有助於長期持續發展。

彭威陽說，事實上在Rancher未被SUSE合併前，關貿已開始使用它，雖說從社群版起步，但因關貿的主力客群既有政府機關、也有要求嚴謹的企業，需要有穩定商業支持，才能取信於這些客戶。所以在2022年期間，關貿決定向SUSE訂閱Rancher Prime商用方案，也一併訂閱NeuVector商用方案。

因關貿極為講究資訊安全，故在確立容器化路線後，公司高層立即責成雲科技事業群務必建立完善的安控。該事業群不敢馬虎，研究許多容器防火牆方案，發現它們在設定上頗為複雜，若不慎設錯就會導致安全崩潰。反觀NeuVector從部署到維運的所有設定都很簡易，且提供「服務發現」功能，幫助關貿獲得高可視化管理視圖，易於釐清服務與服務之間應該不應該溝通，利於管理者精準制定安全政策。

主動更新特徵碼，有助強化Image弱掃成效

關貿高度倚重NeuVector，從容器映像檔（Image）的CVE弱點掃瞄，部署過程的安全性策略定義，直到上線後的監控與維運全都做足。彭威陽強調，有了SUSE的商業化支持，每次在做Image弱掃時，都自動套用最新Pattern，反觀社群版無此功能，凸顯商用版對關貿確實意義重大。

其實關貿在踏上容器化與雲原生旅途中，亦曾評估其他容器平台，以當時的測試結果而論，其他平台的最大罩門在於叢集的升級極端不便，每次升級需將原服務打掉重建，以致拖長停機時間。相形之下，Rancher Prime可迅速完成變更，對前端用戶的影響最小，此乃驅使關貿擁抱Rancher Prime的一大主因。

吳承峰補充說，有了SUSE提供商業支持，關貿若有疑難雜症，都只需打一通電話或傳一個LINE，快速獲得解答，不需費時提問或爬文。另一個好處，SUSE可以在新CVE漏洞被揭露時，幫忙檢視它們與關貿服務之間是否具關聯性，以作為是否花時間修補的依據，也讓關貿的客戶更加安心。

不可諱言，關貿擁有漫長發展歷程，欲讓所有程式瞬間全面轉為容器、微服務，實在不太可能。因此採取「絞殺者」策略，如剝洋蔥一般，持續從肥大程式探索MVP（最小可行性產品），把訂單、驗收等模組拆解出來，逐步翻轉為微服務。

總括而言，Rancher Prime為關貿帶來許多顯著成效，好比說可透過統一入口來管理所有叢集，清楚掌握各叢集運行狀況，反觀從前需透過CLI為不同叢集實施個別管理，可謂差異甚大。

特別的是，關貿透過Rancher Prime結合VMware vCenter，可快速將節點部署完成，不再需要走傳統制式流程，填寫需求單委請IT部門開設節點、節省數天時間；畢竟在DevOps運作模式下，已無法容許這麼長的等待時間。而彭威陽點出更重要一件事，過去關貿利用IP作為管制，在採用NeuVector後可跳脫舊框架，針對叢集內特定機器或服務制定防火牆規則，鎖定機器對機器、AP對AP進行細緻控管。

展望今後，關貿將持續盤點需求缺口，積極評估SUSE旗下產品的適用性；而現正研究SUSE的Harvester Container-based超融合方案，及Longhorn這個K8s專屬的分散式儲存系統。此外也開始評估邊緣運算方案整合 K3S，只因在未來雲地合一概念下，關貿有許多服務可望部署至邊緣，故不僅規劃導入5G專網，亦需思考5G專網在邊緣運算的對應佈局，希望達到快速更版、零接觸部署等目標。