什么是云上Landing Zone
本文為您介紹云上Landing Zone的定義和架構。
定義
如果把上云框架的搭建比作建設社區,那么企業的中心IT團隊就是社區的總設計師。一個好的社區通常具備較為完善的頂層設計,最終才能提供優質服務給社區租戶。社區規劃首先要考慮的是基礎設施的布局和建設,包括道路的規劃、門禁的管理、停車場的布局、樓房規格的規劃等。其次,社區一般也會提供通用服務,例如垃圾分類、水電維修等,以及制定相應的社區規約來管理租戶,例如裝修時間規定、噪音規定。作為增值服務,高檔社區還會提供統一的不同類型的樣板間,比如統一水電、裝修等。
在阿里云,我們建議企業在第一個應用上云前,需要有一整套頂層設計和一系列基礎框架,為后續的業務上云掃清障礙。否則,可能會導致后續業務上云面臨成本、網絡、安全、效率等多方面的問題。業界通常把這些基礎框架叫做Landing Zone,我們也遵循這一命名方法。
如上所述,在成熟的運維模型中,通常由企業的中心IT團隊負責集中管理和管控,然后將云環境交付到業務團隊。為了高效地提供安全、穩定的云環境,中心IT團隊需要搭建一套企業級的管理和治理框架作為云環境的基礎設施,為企業上云打好基礎。
例如,某跨國企業使用阿里云支撐公司多個業務系統,其中包含公司的互聯網業務和ERP,以及內部的OA等系統,這些系統由不同的團隊負責。為了更高效地使用云,公司成立新的“云平臺”部門負責和云的對接。“云平臺”的內部定位是公司負責提供云能力的部門,以此加速IT和業務升級。具體而言,“云平臺”部門負責云上資源的快速交付、成本控制、質量保證,同時賦能業務部門在安全的前提下進行創新。“云平臺”在阿里云提供的Landing Zone的基礎上,構建了整個云服務體系。
架構
那么,一個完整的Landing Zone,究竟包括哪些方面?在參考了眾多企業客戶的實踐之后,我們定義了Landing Zone,其包含如下幾個功能模塊。
下表簡要描述了上述功能模塊。
Landing Zone模塊 | 描述 |
資源規劃 | 規劃云上賬號及其組織結構。根據公司的運維模式,定義所需要的管控關系。 |
財務管理 | 管理云平臺的合同、優惠、付款關系、賬單,以及認證公司在云平臺的實體、發票抬頭等財務相關的屬性。 |
網絡規劃 | 規劃云上VPC的拓撲結構、混合云網絡的互聯、網絡的流量走向、相關的安全措施,以及如何構建高可用和可擴展的網絡架構。 |
身份權限 | 規劃誰能夠訪問云,并通過單點登錄SSO和細粒度授權實現人員按需訪問。 |
安全防護 | 通過在云上構建基礎的安全環境,幫助業務系統在云上快速的安全落地。 |
合規審計 | 設計治理的目標和流程,并通過相應的工具來實現對于治理規則的監督。 |
運維管理 | 構建以CMDB為核心的運維管理體系,包含標準的發布變更流程,應用和基礎設施的統一監控,集成企業的ITSM系統,提供自助服務。 |
自動化 | 定義自動化場景和目標,并通過相應的工具實現自動化。常見的場景如Landing Zone自身的搭建以及CI/CD流水線的自動化。 |