Landing Zone搭建概述
Landing Zone是阿里云的企業(yè)上云框架,可以指導(dǎo)企業(yè)規(guī)劃和落地云上的資源結(jié)構(gòu)、訪問安全、網(wǎng)絡(luò)架構(gòu)和安全合規(guī)體系,為企業(yè)搭建安全、高效和可管理的云環(huán)境。云治理中心基于大量的最佳實(shí)踐,通過藍(lán)圖模板的形式,幫助您一站式輕松搭建Landing Zone。同時,云治理中心集成資源目錄的多賬號管理能力,可以快速搭建企業(yè)多賬號結(jié)構(gòu)。
搭建Landing Zone流程
與您自行部署實(shí)施相比,云治理中心提供的搭建Landing Zone流程簡化了操作步驟,縮短了部署時間。具體流程如下:
檢查賬號資格。
系統(tǒng)會自動檢查當(dāng)前登錄賬號是否符合管理賬號的要求。您可以根據(jù)檢查結(jié)果,選擇合適的管理賬號。具體操作,請參見檢查賬號資格。
搭建Landing Zone。
選擇藍(lán)圖模板。
支持的藍(lán)圖模板,請參見支持的藍(lán)圖。
配置搭建項及參數(shù)。
支持的搭建項,請參見支持的搭建項。
執(zhí)行搭建任務(wù)。
具體操作,請參見搭建Landing Zone。
支持的藍(lán)圖
藍(lán)圖 | 說明 |
標(biāo)準(zhǔn)藍(lán)圖 | 適用于所有企業(yè)的標(biāo)準(zhǔn)模板。 包含最必須的Landing Zone搭建選項:啟用資源目錄并創(chuàng)建Core和Applications資源夾、創(chuàng)建日志賬號、指定財務(wù)管理賬號、開通云SSO、啟用必要的合規(guī)防護(hù)規(guī)則等。這些搭建選項可以適配當(dāng)前企業(yè)的已有配置,也可以根據(jù)企業(yè)實(shí)際情況進(jìn)行修改。 在完成標(biāo)準(zhǔn)模板配置以后,還可以在此基礎(chǔ)上繼續(xù)拓展網(wǎng)絡(luò)、安全、合規(guī)等進(jìn)階特性。 |
標(biāo)準(zhǔn)藍(lán)圖(云企業(yè)網(wǎng)絡(luò)) | 適用于對網(wǎng)絡(luò)安全、管控、成本要求較高的企業(yè)。 在標(biāo)準(zhǔn)模板基礎(chǔ)上包含了基于云企業(yè)網(wǎng)的網(wǎng)絡(luò)隔離區(qū)(DMZ)搭建。一方面云企業(yè)網(wǎng)可以簡化復(fù)雜網(wǎng)絡(luò)配置,同時具備良好的可拓展性,另外一方面網(wǎng)絡(luò)隔離區(qū)可以幫助企業(yè)統(tǒng)一管控流量出入口的設(shè)置,提升安全性,節(jié)省整體成本。 |
云原生藍(lán)圖 | 適用于使用了云原生技術(shù)架構(gòu)的企業(yè)。 在標(biāo)準(zhǔn)模板基礎(chǔ)上,可以在指定賬號中搭建一個企業(yè)級的ACK Pro集群。該集群包含負(fù)載均衡、多可用區(qū)等高可用特性,除此之外,藍(lán)圖還包含管理ACK會用到的權(quán)限設(shè)置。 |
金融行業(yè)藍(lán)圖 | 適用于金融行業(yè)的模板。 金融企業(yè)對業(yè)務(wù)隔離的要求比較嚴(yán)格,在標(biāo)準(zhǔn)模板基礎(chǔ)上包含了基于云企業(yè)網(wǎng)的網(wǎng)絡(luò)隔離區(qū)(DMZ)搭建,以及金融行業(yè)常見合規(guī)包的推薦啟用。 |
醫(yī)療及生物行業(yè)藍(lán)圖 | 基于GxP歐盟標(biāo)準(zhǔn),適用于制藥、生物技術(shù)和醫(yī)療器械領(lǐng)域企業(yè)。 在標(biāo)準(zhǔn)模板基礎(chǔ)上包含基于云企業(yè)網(wǎng)的隔離區(qū)(DMZ)、服務(wù)日志投遞以及醫(yī)療生物行業(yè)合規(guī)包的推薦啟用。 |
支持的搭建項
分類 | 搭建項 | 說明 | 啟用指導(dǎo) | 推薦部署賬號 |
資源規(guī)劃 | 創(chuàng)建管理賬號 | 創(chuàng)建資源目錄的管理賬號,用于管理資源目錄。 | 必選 | 管理賬號 |
資源規(guī)劃 | 開通資源目錄 | 開通資源目錄(RD),用于搭建企業(yè)的多賬號結(jié)構(gòu)。 | 必選 | 管理賬號 |
資源規(guī)劃 | 創(chuàng)建資源夾 | 創(chuàng)建Core和Applications資源夾以實(shí)現(xiàn)管理和業(yè)務(wù)分離。您可以根據(jù)企業(yè)實(shí)際的組織和業(yè)務(wù)架構(gòu)修改命名方式或拓展資源夾結(jié)構(gòu)。 | 必選 | 管理賬號 |
資源規(guī)劃 | 創(chuàng)建核心賬號 | 創(chuàng)建或指定核心管理賬號,包括財務(wù)賬號、日志賬號、安全賬號、共享服務(wù)賬號等。職能清晰的賬號可以幫助企業(yè)在后續(xù)部署日志投遞、網(wǎng)絡(luò)、安全等搭建項,實(shí)現(xiàn)良好的資源隔離。 | 必選 | 管理賬號 |
資源規(guī)劃 | 邀請已有賬號 | 邀請已有的阿里云賬號加入到資源目錄進(jìn)行統(tǒng)一管理。云治理中心將會代理您對指定的阿里云賬號發(fā)送邀請郵件,需登錄對應(yīng)賬號確認(rèn)接受邀請。需注意邀請有12小時的時效限制,超時未接受時邀請失敗,您需要在資源目錄中重新發(fā)起邀請。 | 可選 | 管理賬號 |
身份權(quán)限 | 設(shè)置云SSO | 啟用并初始化云SSO,并預(yù)置常見的訪問配置,以便于企業(yè)可以更快地配置多賬號的身份權(quán)限和單點(diǎn)登錄。 | 推薦 | 管理賬號 |
合規(guī)審計 | 操作審計統(tǒng)一日志投遞 | 將多賬號的操作審計日志統(tǒng)一投遞到日志賬號,可以選擇投遞到對象存儲OSS實(shí)現(xiàn)長期存儲,也可以投遞到日志服務(wù)SLS實(shí)現(xiàn)實(shí)時的日志分析。 | 推薦 | 日志賬號 |
合規(guī)審計 | 配置審計統(tǒng)一日志投遞 | 將多賬號的配置審計日志統(tǒng)一投遞到日志賬號,可以選擇投遞到對象存儲OSS實(shí)現(xiàn)長期存儲,也可以投遞到日志服務(wù)SLS實(shí)現(xiàn)實(shí)時的日志分析。 | 推薦 | 日志賬號 |
合規(guī)審計 | 啟用防護(hù)規(guī)則 | 統(tǒng)一配置和開啟配置審計的防護(hù)規(guī)則,保證云治理中心創(chuàng)建的資源結(jié)構(gòu)和基礎(chǔ)配置不被修改,同時保證多賬號環(huán)境的安全性。啟用后,您可以通過云治理中心或配置審計控制臺,統(tǒng)一查看企業(yè)內(nèi)各個資源賬號的合規(guī)情況。 | 必選 | 管理賬號 |
合規(guī)審計 | 服務(wù)日志統(tǒng)一投遞 | 基于日志服務(wù)(SLS)中心化投遞運(yùn)行時的日志。覆蓋存儲(OSS、NAS)、網(wǎng)絡(luò)(SLB、ALB、API網(wǎng)關(guān)、VPC)、數(shù)據(jù)庫(關(guān)系型數(shù)據(jù)庫RDS、云原生分布式數(shù)據(jù)庫PolarDB-X 1.0、云原生數(shù)據(jù)庫PolarDB)、安全(WAF、DDoS防護(hù)、云防火墻)等產(chǎn)品。 | 可選 | 日志賬號 |
財務(wù) | 設(shè)置財務(wù)托管關(guān)系 | 設(shè)置財務(wù)托管方式及財務(wù)托管賬號,支撐統(tǒng)一結(jié)算。 | 推薦 | 財務(wù)賬號 |
網(wǎng)絡(luò) | 啟用云企業(yè)網(wǎng)絡(luò) | 啟用云企業(yè)網(wǎng)絡(luò)CEN,便于通過簡單的規(guī)則把企業(yè)內(nèi)部網(wǎng)絡(luò)、跨地域網(wǎng)絡(luò)、多云網(wǎng)絡(luò)進(jìn)行統(tǒng)一接入并打通。在此基礎(chǔ)上,推薦搭建網(wǎng)絡(luò)隔離區(qū)DMZ,提升網(wǎng)絡(luò)安全性。 | 可選 | 共享服務(wù)賬號 |
運(yùn)維 | 企業(yè)級ACK集群 | 在指定賬號中搭建一個企業(yè)級的ACK Pro集群,該集群包含負(fù)載均衡、多可用區(qū)等高可用特性。 | 可選 | 任意賬號 |
解決方案庫
解決方案庫基于大量企業(yè)上云、及云上管理治理的實(shí)踐,提供了架構(gòu)設(shè)計的方法論、最佳實(shí)踐文檔、工具和自動化部署的代碼等,幫助企業(yè)規(guī)劃云上資源結(jié)構(gòu)、訪問控制、網(wǎng)絡(luò)架構(gòu)、審計合規(guī)、運(yùn)維管理等體系,幫助企業(yè)順利搭建安全合規(guī)、可管理、可擴(kuò)展的云上IT環(huán)境,充分釋放云計算的效率。
在您搭建Landing Zone時,可以參考相關(guān)案例,提升搭建效率。
專家服務(wù)
您可以訪問專家服務(wù)頁面,聯(lián)系阿里云專家,為您量身定制更全面的云上IT治理方案。