部署架构

华为乾坤是华为面向企业市场推出的云服务，包含云管理网络和安全云服务，通过利用数字地图、云计算、大数据等技术，云管理网络对外提供网络集中化管理、极致智能的网络部署和运维、重点用户和应用体验保障等能力，实现网络全生命周期的一站式智能化管理，助力企业网络管理更简单、运维更智能；安全云服务对外提供安全威胁信息、边界防护及响应、漏洞扫描、云日志审计、终端安全防护及响应等能力，保证企业网络的安全。

华为乾坤支持分布式部署能力和基于B/S架构的集中式管理能力，主要软件架构如下图所示：

华为乾坤云业务范围：

• 网络云服务：云网络管理
• 安全云服务：边界防护及响应、漏洞扫描、云日志审计、终端安全防护及响应
• 解决方案：等保合规、安全重保、防勒索等套餐

华为乾坤云部署架构：

• 华为云（公有云）：提供华为乾坤云服务运行环境，包括基础设施资源（ECS、EVS、OBS、CCE、RDS、VPN等）和平台服务（如：MRS、CSS、DCS等）。
• 平台基础VPC：主要部署基础服务，例如数字地图、数据治理、运营、运维等基础业务。
• 网络VPC：主要部署网络业务服务，例如云管理网络、网络智能分析、控制器等。
• 安全VPC：主要部署安全业务服务，例如边界防护及响应、漏洞扫描、云日志审计、终端安全防护及响应等。
• 沙箱VPC：提供云沙箱独立的运行环境，隔离病毒类程序对业务的影响。
• DMZ-VPC：用于漏洞扫描等与客户网络环境有交互的云服务Agent运行环境，隔离客户网络，避免客户网络风险影响乾坤云业务环境。
• 地端机房：MSP场景下支持客户自己部署控制器接入乾坤云，从云入口接入地端服务。

南向接入：

• 天关：负责客户网络侧IPS威胁检测，流量日志（metadata）/安全日志（IPS）/取证文件（pcap）接入、解析，以及执行安全策略。
• 交换机、AP、WAC：负责客户侧网络的接入、认证等，接入控制器进行管理，性能数据可上报分析器进行智能分析。
• EDR终端：部署于客户环境的电脑上的安全终端软件，用于提供终端安全和防护能力，可联动网络业务实现零信任接入等高阶能力。
• CTA终端：部署于客户环境的电脑上，使用云上网络安全内网体检服务时，负责将云端的扫描流量转发至客户内部网络，完成客户内网资产的扫描。

北向接入：

• 门户：按角色提供个性化门户（如：租户、MSSP、安全运营），主要包括运营、运维、租户门户。
• 移动APP：面向租户提供手机接入乾坤云平台的能力，包括天关管理、安全态势感知、安全、网络产品/服务等部分简易展现和配置能力。

华为乾坤云服务涉及的用户：

• 租户：最终购买乾坤云服务的企业客户。
• MSSP：销售渠道伙伴，负责乾坤云服务线下销售及支持服务。
• 安全运营人员：负责企业网络安全运营分析、响应处置。
• 平台运营人员：负责乾坤云服务的运营管理，包括运营分析、市场营销。
• 平台运维人员：负责乾坤云服务的运维管理，包括服务监控、日志管理、告警管理、拨测管理、调用链分析等。