概述
企業在上云過程中采購云資源滿足業務需要,云服務提供商一般會要求企業注冊賬號作為容器來放置和管理云資源。
隨著企業上云業務的增多,企業業務自身的復雜度及相互間的關系管理要求更為嚴苛,企業一般會注冊多個賬號來應對問題:
- 借助賬號間的天然隔離性,使用多個賬號實現企業不同業務或應用間的相互獨立。
- 針對業務復雜的大型企業,多個賬號可以解決多法律實體、差異化結算關系等業務訴求。
- 使用多個賬號,可以突破單賬號下云資源服務配額限制等約束。
在阿里云,我們建議上云之初就規劃采用多賬號、組織化的資源(賬號)管理架構,通過合理的組織結構和規則配置,以滿足業務日后擴展的需求。資源目錄概述
示例
X公司有多個業務系統,由不同的團隊管理。公司在搬遷上云期間,以賬號為單元來承接一個個業務系統,并按照公司的業務線結構來組織賬號進行管理。每一個應用分為生產、測試環境,用不同的賬號隔離開。業務團隊根據自己管轄的范圍獲得相應的權限。
接下來,我們將為您介紹多賬號資源管理體系建立的設計思路與建議。
多賬號結構規劃
設計建議- 使用阿里云的資源目錄進行多賬號的統一管理。
- 按照業務的組織架構規劃賬號的組織結構。典型的架構可以選取在根資源夾下創建兩個資源夾:Core、Applications。
- 在Core資源夾中放置共享服務賬號,用于集中橫向管理類服務的部署,例如共享VPC。
- 在Applications資源夾中放置具體的應用。
- 使用資源夾作為日后管控策略和基線實施單元。
- 企業管理賬號為資源目錄的超級管理員,建議不要將其用于資源目錄管理之外的其他任何用途。妥善管理此賬號,并設置MFA雙重驗證,加強安全訪問管理措施。
- 使用成員賬號代表一個應用。建議通過角色扮演的方式訪問成員賬號。
使用標簽描述資源
標簽是對資產進行分類的簡便方法。標簽將元數據關聯到資產。該元數據可用于基于各種數據點對資產進行分類。當使用標簽對資產進行分類作為成本管理工作的一部分時,公司通常需要以下標簽:業務部門,部門,計費單元,地理位置,環境,項目或“應用程序分類”。阿里云費用中心的“分賬賬單”可以使用這些標記創建成本數據的不同視圖。
設計建議- 提前定義標簽的目錄和取值范圍。綁定標簽的背后是一個流程,因此提前設計好如何綁定標簽非常重要。
- 明確標簽的使用場景。我們建議使用標簽用于包括但不限于如下場景:
- 使用標簽描述應用:一般情況下,組織可根據日常管理層級構建資源歸屬的標簽組合。組合形式一般不會超過3個標簽。例如,某企業為了能夠快速找到對應資源,設計如下標簽:
- project:描述資源項目歸屬。
- env:描述資源環境信息。
- user:描述資源持有者信息。
- 使用標簽進行分賬:阿里云費用中心的“分賬賬單”支持按標簽細分阿里云成本的功能。最常見的情況,客戶可以使用成本中心(costcenter)、業務單元(businessunit)或者項目組(project)將成本與業務部門進行關聯。在分賬賬單中,費用報告可以以任何標簽維度歸納賬單。因此,客戶也可以輕松地將成本與技術/安全性維度作為分賬維度,例如特定應用程序(application)、環境(env)等。
- 自動化運維和監控: 自動化運維/自動化開通是在日常業務中比較常見的場景。技術人員往往通過一類標簽來定義批量運維、檢測的策略。例如:某公司為其日常巡檢進行了標簽化,創建用途標簽鍵purpose來進行日常資源巡檢,標簽值為autocheck-8am,即每日早8點自動巡檢。如果巡檢發現異常,通過資源持有者標簽owner來通知具體責任人進行處理。
- 使用標簽描述應用:一般情況下,組織可根據日常管理層級構建資源歸屬的標簽組合。組合形式一般不會超過3個標簽。例如,某企業為了能夠快速找到對應資源,設計如下標簽:
- 建立標簽的巡檢機制,及時發現沒有綁定標簽的云產品并評估影響和制定應對策略。