云上Landing Zone的主要组成部分 >资源规划

概述

企业在上云过程中采购云资源满足业务需要,云服务提供商一般会要求企业注册账号作为容器来放置和管理云资源。

随着企业上云业务的增多,企业业务自身的复杂度及相互间的关系管理要求更为严苛,企业一般会注册多个账号来应对问题:

  • 借助账号间的天然隔离性,使用多个账号实现企业不同业务或应用间的相互独立。
  • 针对业务复杂的大型企业,多个账号可以解决多法律实体、差异化结算关系等业务诉求。
  • 使用多个账号,可以突破单账号下云资源服务配额限制等约束。

在阿里云,我们建议上云之初就规划采用多账号、组织化的资源(账号)管理架构,通过合理的组织结构和规则配置,以满足业务日后扩展的需求。资源目录概述

示例

X公司有多个业务系统,由不同的团队管理。公司在搬迁上云期间,以账号为单元来承接一个个业务系统,并按照公司的业务线结构来组织账号进行管理。每一个应用分为生产、测试环境,用不同的账号隔离开。业务团队根据自己管辖的范围获得相应的权限。

云上Landing Zone的主要组成部分 >资源规划

接下来,我们将为您介绍多账号资源管理体系建立的设计思路与建议。

多账号结构规划

云上Landing Zone的主要组成部分 >资源规划
设计建议

  • 使用阿里云的资源目录进行多账号的统一管理。
  • 按照业务的组织架构规划账号的组织结构。典型的架构可以选取在根资源夹下创建两个资源夹:Core、Applications。
    • 在Core资源夹中放置共享服务账号,用于集中横向管理类服务的部署,例如共享VPC。
    • 在Applications资源夹中放置具体的应用。
  • 使用资源夹作为日后管控策略和基线实施单元。
  • 企业管理账号为资源目录的超级管理员,建议不要将其用于资源目录管理之外的其他任何用途。妥善管理此账号,并设置MFA双重验证,加强安全访问管理措施。
  • 使用成员账号代表一个应用。建议通过角色扮演的方式访问成员账号。

特殊限制

阿里云支持角色扮演方式访问的产品

使用标签描述资源

标签是对资产进行分类的简便方法。标签将元数据关联到资产。该元数据可用于基于各种数据点对资产进行分类。当使用标签对资产进行分类作为成本管理工作的一部分时,公司通常需要以下标签:业务部门,部门,计费单元,地理位置,环境,项目或“应用程序分类”。阿里云费用中心的“分账账单”可以使用这些标记创建成本数据的不同视图。

设计建议

  • 提前定义标签的目录和取值范围。绑定标签的背后是一个流程,因此提前设计好如何绑定标签非常重要。
  • 明确标签的使用场景。我们建议使用标签用于包括但不限于如下场景:
    • 使用标签描述应用:一般情况下,组织可根据日常管理层级构建资源归属的标签组合。组合形式一般不会超过3个标签。例如,某企业为了能够快速找到对应资源,设计如下标签:
      • project:描述资源项目归属。
      • env:描述资源环境信息。
      • user:描述资源持有者信息。
    • 使用标签进行分账:阿里云费用中心的“分账账单”支持按标签细分阿里云成本的功能。最常见的情况,客户可以使用成本中心(costcenter)、业务单元(businessunit)或者项目组(project)将成本与业务部门进行关联。在分账账单中,费用报告可以以任何标签维度归纳账单。因此,客户也可以轻松地将成本与技术/安全性维度作为分账维度,例如特定应用程序(application)、环境(env)等。
    • 自动化运维和监控: 自动化运维/自动化开通是在日常业务中比较常见的场景。技术人员往往通过一类标签来定义批量运维、检测的策略。例如:某公司为其日常巡检进行了标签化,创建用途标签键purpose来进行日常资源巡检,标签值为autocheck-8am,即每日早8点自动巡检。如果巡检发现异常,通过资源持有者标签owner来通知具体责任人进行处理。
  • 建立标签的巡检机制,及时发现没有绑定标签的云产品并评估影响和制定应对策略。

原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/153801.html

(1)
上一篇 2021年9月14日 11:33
下一篇 2021年9月14日 11:38

相关推荐

发表回复

登录后才能评论