通過資源組精細(xì)化管理伸縮組
如果您的賬號存在多個云資源(例如伸縮組資源),您可以通過創(chuàng)建資源組,對云資源(例如伸縮組資源)進(jìn)行分組管理,實現(xiàn)資源的隔離顯示和權(quán)限控制。本文主要介紹如何通過資源組精細(xì)化管理彈性伸縮。
背景信息
資源組指對您擁有的云資源從用途、權(quán)限、歸屬等維度上進(jìn)行分組,實現(xiàn)企業(yè)內(nèi)部多用戶、多項目的資源分級管理。一個云資源只能屬于一個資源組,云資源之間的關(guān)聯(lián)關(guān)系不會因加入資源組而發(fā)生變化。更多信息,請參見資源組。
資源組使用說明如下所示:
伸縮組加入資源組后,伸縮組下的伸縮配置、伸縮規(guī)則、報警任務(wù)、定時任務(wù)等資源都會自動加入該資源組。
伸縮組本身所屬的資源組與伸縮組內(nèi)實例所屬的資源組之間是獨立的。
例如,伸縮組本身所屬的資源組與伸縮組內(nèi)擴容的ECS實例或ECI實例所屬的資源組可以是兩個不同的資源組。
一個資源組可以包含不同地域的伸縮組。
例如,資源組A中可以包含華北2(北京)地域的伸縮組和華東1(杭州)地域的伸縮組。
如果您授權(quán)RAM賬號管理所有的阿里云資源,則該RAM賬戶中將顯示主賬號下所有的資源組。
應(yīng)用場景
使用資源組管理伸縮組前,請確認(rèn)您已創(chuàng)建RAM用戶,如未創(chuàng)建,請參見創(chuàng)建RAM用戶。
使用資源組管理伸縮組包括以下兩個應(yīng)用場景:
將用途不同的伸縮組加入不同的資源組,通過資源組歸屬范圍控制對伸縮組進(jìn)行分類管理。更多信息,請參見場景一:按用途對伸縮組進(jìn)行分組。
為各個資源組設(shè)置完全獨立的管理員,實現(xiàn)資源組范圍內(nèi)的用戶與權(quán)限管理。更多信息,請參見場景二:資源組范圍內(nèi)的用戶與權(quán)限管理。
場景一:按用途對伸縮組進(jìn)行分組
場景描述
假設(shè)客戶存在生產(chǎn)環(huán)境和測試環(huán)境兩個使用場景,在這兩個場景下,如果伸縮組資源沒有進(jìn)行分組,則伸縮組會全部展示出來,容易出現(xiàn)誤操作風(fēng)險。為了簡化管理同時避免誤操作,建議您創(chuàng)建兩個資源組,分別為生產(chǎn)環(huán)境資源組和測試環(huán)境資源組,然后將不同用途的伸縮組分別加入到生產(chǎn)環(huán)境資源組和測試環(huán)境資源組。以下列場景作為示例,說明如何按用途對伸縮組進(jìn)行分組。
例如,在同一個阿里云賬號下有兩個伸縮組,伸縮組A用于生產(chǎn)環(huán)境使用,伸縮組B用于測試環(huán)境使用。將伸縮組A加入生產(chǎn)環(huán)境資源組中,將伸縮組B加入測試環(huán)境資源組中,具體分組要求如下:
在測試環(huán)境資源組下,只能查看或操作伸縮組B,避免在未分組(例如資源組選擇賬號全部資源)情況下,您對伸縮組A進(jìn)行了誤操作而影響在線產(chǎn)品性能。
在生產(chǎn)環(huán)境資源組下,只能查看或操作伸縮組A,避免在未分組(例如資源組選擇賬號全部資源)情況下,您對伸縮組B進(jìn)行了誤操作而影響正式產(chǎn)品上線進(jìn)度。
操作步驟
創(chuàng)建測試環(huán)境資源組和生產(chǎn)環(huán)境資源組。
以創(chuàng)建生產(chǎn)環(huán)境資源組(
ProdResourceGroup)和測試環(huán)境資源組(TestResourceGroup)為例。具體操作,請參見創(chuàng)建資源組。
上述操作完成后,資源組的狀態(tài)會處于創(chuàng)建中...。大約3秒后,單擊
。如果狀態(tài)變?yōu)?b data-tag="uicontrol" id="uicontrol-tkj-yr3-e4s" class="uicontrol">可用,表示資源組創(chuàng)建成功。創(chuàng)建測試環(huán)境的伸縮組。
為確保伸縮組內(nèi)的ECS實例所屬資源組與伸縮組本身所屬資源組一致,創(chuàng)建伸縮組(例如
TestScalingGroup)時,根據(jù)組內(nèi)實例配置信息來源不同,采取以下方案:組內(nèi)實例配置信息來源配置為啟動模板:創(chuàng)建啟動模板時,在高級配置(選填)階段,指定資源組為測試環(huán)境資源組(
TestResourceGroup)。具體操作,請參見創(chuàng)建實例啟動模板。組內(nèi)實例配置信息來源配置為選擇已有實例:創(chuàng)建ECS實例時,在高級配置(選填)區(qū)域,指定資源組為測試環(huán)境資源組(
TestResourceGroup)。具體操作,請參見自定義購買實例。組內(nèi)實例配置信息來源配置為從零開始創(chuàng)建:創(chuàng)建伸縮配置時,在高級設(shè)置區(qū)域,指定資源組為測試環(huán)境資源組(
TestResourceGroup)。具體操作,請參見創(chuàng)建伸縮配置(ECS實例)。
在配置伸縮組參數(shù)時,請指定資源組為測試環(huán)境資源組(
TestResourceGroup)來創(chuàng)建測試環(huán)境的伸縮組。具體操作,請參見創(chuàng)建伸縮組。
創(chuàng)建生產(chǎn)環(huán)境的伸縮組。
為確保伸縮組內(nèi)的ECS實例所屬資源組與伸縮組本身所屬資源組一致,創(chuàng)建伸縮組(例如
ProdScalingGroup)時,根據(jù)組內(nèi)實例配置信息來源不同,采取以下方案:組內(nèi)實例配置信息來源配置為啟動模板:創(chuàng)建啟動模板時,在高級配置(選填)階段,指定資源組為生產(chǎn)環(huán)境資源組(
ProdResourceGroup)。具體操作,請參見創(chuàng)建實例啟動模板。組內(nèi)實例配置信息來源配置為選擇已有實例:創(chuàng)建ECS實例時,在高級配置(選填)區(qū)域,指定資源組為生產(chǎn)環(huán)境資源組(
ProdResourceGroup)。具體操作,請參見自定義購買實例。組內(nèi)實例配置信息來源配置為從零開始創(chuàng)建:創(chuàng)建伸縮配置時,在高級設(shè)置區(qū)域,指定資源組為生產(chǎn)環(huán)境資源組(
ProdResourceGroup)。具體操作,請參見創(chuàng)建伸縮配置(ECS實例)。
在配置伸縮組參數(shù)時,請指定資源組為生產(chǎn)環(huán)境資源組(
ProdResourceGroup)來創(chuàng)建生產(chǎn)環(huán)境的伸縮組。具體操作,請參見創(chuàng)建伸縮組。
驗證結(jié)果
- 登錄彈性伸縮控制臺。
在頂部菜單欄左上角,選擇不同資源組,驗證不同資源組下伸縮組和伸縮組內(nèi)實例的顯示情況。
資源組選擇賬號全部資源:您可以看到測試環(huán)境的伸縮組(
TestScalingGroup)和生產(chǎn)環(huán)境的伸縮組(ProdScalingGroup)都出現(xiàn)在伸縮組列表中。如果伸縮組擴容了新的ECS實例,在實例列表頁簽下,您都可以查看到測試環(huán)境(TestResourceGroup)和生產(chǎn)環(huán)境(ProdResourceGroup)下的所有實例。
資源組選擇TestResourceGroup:您只能查看到伸縮組(TestScalingGroup)出現(xiàn)在伸縮組列表中。如果伸縮組擴容了新的ECS實例,在實例列表頁簽下,您也只能查看到在測試環(huán)境(TestResourceGroup)下的實例。
資源組選擇ProdResourceGroup:您只能查看到伸縮組(ProdScalingGroup)出現(xiàn)在伸縮組列表中。如果伸縮組擴容了新的ECS實例,在實例列表頁簽下,您也只能查看到在生產(chǎn)環(huán)境(ProdResourceGroup)下的實例。
場景二:資源組范圍內(nèi)的用戶與權(quán)限管理
場景描述
假設(shè)公司中存在不同部門使用不同的伸縮組,該伸縮組歸屬在不同的資源組(分別為生產(chǎn)環(huán)境資源組和測試環(huán)境資源組)中,且各部門分配了各自的管理人員。為了實現(xiàn)不同部門管理員在資源組范圍內(nèi)對不同資源組中伸縮組的分權(quán)管理,建議對管理員授予對應(yīng)資源組內(nèi)的權(quán)限,通過對資源組范圍內(nèi)的用戶與權(quán)限進(jìn)行管理,限制某些管理員只能看到并操作生產(chǎn)環(huán)境中的資源,某些管理員只能查看或操作測試環(huán)境下的資源。以下列場景作為示例,說明如何實現(xiàn)資源組范圍內(nèi)的分權(quán)管理。
例如,一個公司有一個阿里云賬號,并為公司下的每個部門分配一個RAM子用戶,現(xiàn)在有兩個部門:部門A和部門B,要求部門之間獨立管理各自的伸縮組,不能相互操作對方的伸縮組,具體分權(quán)管理要求如下:
不能給對方部門創(chuàng)建伸縮組、修改伸縮組,同時也不能修改伸縮組下的伸縮規(guī)則等配置。
不能查詢對方部門的伸縮組。
操作步驟
在RAM中創(chuàng)建自定義權(quán)限策略(
ApiWithoutResourcePolicy)。由于伸縮組的某些API不支持資源組鑒權(quán),故需要對該API進(jìn)行自定義權(quán)限配置。具體操作,請參見創(chuàng)建自定義權(quán)限策略。
目前不支持資源組鑒權(quán)的API接口如下所示:
DescribeRegions
DescribeLimitation
DescribeNotificationTypes
ListTagKeys
ListTagValues
自定義權(quán)限策略(
ApiWithoutResourcePolicy)如下所示:{ "Version": "1", "Statement": [ { "Action": [ "ess:DescribleRegions", "ess:DescribleLimitation", "ess:DecsribleNotificationTypes", "ess:ListTagKeys", "ess:ListTagValues" ], "Resource": "*", "Effect": "Allow" } ] }
在整個云賬號范圍內(nèi),為部門A和部門B的管理員創(chuàng)建RAM賬戶并設(shè)置對應(yīng)的資源組權(quán)限。
本步驟以授權(quán)部門A管理員為例,授權(quán)主體請選擇部門A管理員名稱,權(quán)限策略請選擇步驟一創(chuàng)建的自定義權(quán)限策略(
ApiWithoutResourcePolicy)和系統(tǒng)策略(AliyunECSFullAccess)。具體操作,請參見為RAM用戶授權(quán)。為部門A管理員授權(quán)如下自定義策略:
為部門A管理員授權(quán)如下系統(tǒng)策略:
為部門A創(chuàng)建資源組DepartmentA,為部門B創(chuàng)建資源組DepartmentB。
具體操作,請參見創(chuàng)建資源組。
為部門A的管理員在資源組DepartmentA范圍內(nèi)授予彈性伸縮管理權(quán)限策略(AliyunESSFullAccess)。
具體操作,請參見添加RAM身份并授權(quán)或者為RAM用戶授權(quán)。
參考步驟4為部門B的管理員在資源組DepartmentB范圍內(nèi)授予彈性伸縮管理權(quán)限策略(AliyunESSFullAccess)。
其中,權(quán)限范圍選擇指定資源組DepartmentB,授權(quán)主體選擇部門B的管理員名稱。
驗證結(jié)果
- 登錄彈性伸縮控制臺。
在頂部菜單欄左上角,選擇不同資源組,創(chuàng)建伸縮組。
具體操作,請參見創(chuàng)建伸縮組。
資源組選擇DepartmentA時:部門A管理員可以在資源組DepartmentA下成功創(chuàng)建伸縮組。
資源組選擇DepartmentB時:部門A管理員在資源組DepartmentB下沒有權(quán)限創(chuàng)建伸縮組。
驗證部門A管理員是否可以查看不同資源組下的伸縮組。
具體操作,請參見查看伸縮組。
查看資源組DepartmentA下的伸縮組:部門A管理員可以成功查看資源組DepartmentA下的伸縮組。
查看資源組DepartmentB下的伸縮組:部門A管理員沒有權(quán)限查看資源組DepartmentB下的伸縮組。
