企業可以使用資源目錄RD(Resource Directory)將多賬號有序組織和管理,然后通過共享VPC快速實現多賬號間的網絡互通。

背景信息

隨著云計算的普及,越來越多的企業將業務放在了云端,企業采購的云資源也越來越多,隨之而來的問題是:企業如何高效地管控云資源。按組織結構劃分業務、業務之間強隔離及多種結算模式等需求之下,單賬號模式已無法支撐企業的持續發展。如果企業只是簡單的使用多賬號模式來適應業務發展需要,就會面臨以下問題:

  • 多賬號管理問題

    無序、散落的多個阿里云賬號不便于集中管理,企業需要進一步做精細化管控。

  • 多賬號網絡互通問題

    企業可以采用云企業網CEN(Cloud Enterprise Network)將多個賬號間的專有網絡VPC(Virtual Private Cloud)進行連接,以實現多賬號間的網絡互通。但隨著業務復雜度的增加,會面臨如下的新問題:

    • 分散配置導致無法進行網絡集中運維

      企業網絡架構是一張經過規劃的大網,當網絡設施分散在每個業務賬號之下時,企業網絡運維人員很難做到網絡的集中控制。

    • 重復網絡資源配置導致成本增加

      在每個賬號內進行VPC的配置,使得企業的配置維護成本和實例費用成本都在增加。

    • VPC數量增多導致網絡復雜度提升

      為了滿足企業的業務需要,VPC數量會不斷攀升,隨之而來的是網絡復雜度、管理難度和配額(例如:CEN可掛載的VPC數量限制)等問題。

解決方案

阿里云提供了資源目錄解決多賬號管理問題,提供了資源共享RS(Resource Sharing)和共享VPC解決多賬號網絡互通問題。具體如下:

  • 使用資源目錄構建多賬號管理體系

    阿里云資源目錄是面向企業提供的一套多級資源和賬號關系管理服務。企業可以基于自身的組織結構或業務形態,在資源目錄中構建目錄結構,將企業的多個賬號分布到這個目錄結構中的相應位置,從而形成資源間的多層級關系。企業可依賴設定的組織關系進行資源的集中管理,滿足企業資源在財資、安全、審計及合規方面的管控需要。更多信息,請參見資源目錄

    資源目錄
  • 使用資源共享構建成員間的共享關系

    在資源目錄內,企業可以使用阿里云提供的資源共享服務,將一個賬號下的指定資源共享給一個或多個目標賬號使用,通過共享單元建立成員間的共享關系。更多信息,請參見資源共享概述

    資源共享
    概念說明
    共享單元共享單元是資源共享的實例。共享單元本身也是一種云資源,擁有獨立的ID和ARN(Aliyun Resource Name)。共享單元包括:資源所有者、資源使用者和共享的資源。
    資源所有者 資源所有者是資源共享的發起方,也是共享資源的擁有者。
    資源使用者資源使用者是資源共享的受益方,對共享的資源具有特定的操作權限。
    說明 資源使用者對共享資源的具體操作權限,由資源所屬的云服務定義。例如:共享專有網絡(VPC)的交換機(vSwitch)資源后,資源使用者的操作權限請參見共享VPC權限說明
    共享的資源共享的資源通常為某個云服務的某類資源。支持共享的資源類型,請參見支持資源共享的云服務
    資源目錄組織共享資源目錄組織共享是指將資源共享給整個資源目錄(Root資源夾)、資源夾或成員。具體操作,請參見啟用資源目錄組織共享
  • 共享VPC

    企業可以基于資源共享機制,在資源目錄內,將一個成員的VPC交換機(vSwitch)共享給其他成員使用,使多個成員在一個集中管理、共享的VPC內創建云資源,例如:云服務器ECS、負載均衡SLB、云數據庫RDS等。資源所有者和資源使用者在同一VPC內創建的云資源默認私網互通。更多信息,請參見共享VPC概述

    共享VPC簡圖

    共享VPC的具體實現細節如下:

    • 多賬號共享同一個交換機

      企業可將VPC的交換機在多賬號間進行共享,不用為每個賬號單獨配置VPC,極大減少了VPC的使用數量。

      共享VPC
    • 資源所有者與資源使用者的權限

      資源所有者將交換機共享給資源使用者后,資源所有者與資源使用者對共享交換機及共享交換機內云資源的操作權限如下表所示。

      角色支持的操作不支持的操作
      資源所有者
      • 支持創建、查看、修改、刪除共享交換機中的由自身創建的資源。
      • 支持查看資源使用者在共享交換機中所創建的資源屬性,當前只允許查看彈性網卡的資源屬性,僅限:
        • 實例ID。
        • 私網IP地址。
        • 資源所屬賬號。
      		不支持修改、刪除資源使用者在共享交換機中創建的任何資源。
      資源使用者當交換機處于共享狀態時,資源使用者支持在共享交換機中創建、修改、刪除云資源。當交換機處于共享狀態時,資源使用者不支持查看、修改、刪除共享交換機中其他賬號(包含資源所有者和資源使用者)的任何資源。
      當交換機處于取消共享狀態時,資源使用者支持繼續使用共享交換機中由自身創建的已有資源,也支持查看、修改、刪除共享交換機中由自身創建的已有資源。當交換機處于取消共享狀態時,資源使用者不支持查看與共享交換機相關聯的資源(例如VPC、路由表、私網網段、網絡ACL),也不支持在已經取消共享的交換機中創建資源。

      資源所有者與資源使用者對其它網絡資源的操作權限如下表所示。

      網絡資源資源所有者可執行的操作資源使用者可執行的操作
      VPC全部操作權限。 僅支持查看共享給自己的交換機所屬的VPC。
      交換機全部操作權限(包含開啟和關閉交換機的IPv6功能)。
      說明 如果要刪除交換機,請確保交換機已取消共享,且該交換機中的資源(包括資源所有者和資源使用者創建的資源)已全部刪除。
      • 查看共享的交換機。
      • 在共享的交換機內創建、修改、刪除云資源。
      路由表全部操作權限。僅支持查看共享給自己的交換機綁定的路由表以及路由條目。
      網絡ACL全部操作權限。支持在共享給自己的交換機內綁定、解綁、查看網絡ACL。
      網段查看VPC及VPC內所有交換機的網段。僅支持查看共享給自己的交換機的網段。
      流日志
      • 支持創建VPC或交換機粒度的流日志,對資源使用者的交換機下的彈性網卡生效。
      • 支持創建彈性網卡粒度的流日志,僅對資源所有者的彈性網卡生效。
      		支持創建彈性網卡粒度的流日志,僅對資源所有者的彈性網卡生效。
      NAT網關公網NAT網關和VPC NAT網關的全部操作權限。
      說明
      • 交換機中的資源(包括資源所有者和資源使用者創建的資源)可以通過公網NAT網關與互聯網通信。
      • 公網NAT網關僅支持綁定資源所有者的彈性公網IP。
      		無操作權限。
      VPN網關全部操作權限。
      說明 交換機中的資源(包括資源所有者和資源使用者創建的資源)可以通過VPN網關與VPC外部網絡互通。
      		無操作權限。
      云企業網全部操作權限。
      說明 交換機中的資源(包括資源所有者和資源使用者創建的資源)可以通過云企業網與VPC外部網絡互通。
      		無操作權限。
      VPC對等連接全部操作權限。
      說明 交換機中的資源(包括資源所有者和資源使用者創建的資源)可以通過VPC對等連接與VPC外部網絡互通。
      		無操作權限。
      標簽共享行為不影響資源所有者為資源配置的標簽。

      資源所有者將交換機共享給資源使用者后,資源所有者與資源使用者都可以為各自的資源配置標簽,且標簽互不可見也互不影響。當共享交換機取消共享后,系統會刪除資源使用者在該共享交換機上配置的標簽。

    • 安全隔離

      企業將單個VPC中的不同交換機共享給不同賬號后,網絡是默認連通的。在某些場景下,企業希望將不同的交換機進行隔離。企業可通過以下兩種方式進行隔離:

      • 網絡ACL:實現跨交換機級別的訪問控制。
      • 安全組:實現實例級別的訪問控制,并且支持跨賬號安全組的互相引用。
      VPC隔離
      說明 使用安全組設置兩個實例間禁止訪問規則實現網絡隔離,該方法主要用以彌補在相同交換機內的實例之間無法采用網絡ACL進行網絡隔離的缺失。當然,企業仍然可以使用安全組跨賬號引用能力,在安全組內配置源IP地址和目標IP地址,實現不同交換機、不同賬號間的網絡隔離。

方案優勢

該方案具備以下優勢:

  • 運維部門集中規劃、配置和管理VPC,并將VPC的交換機共享給業務部門。方案優勢-運維
  • 業務部門只能查看和管理自己交換機中的資源,可以根據業務需求添加或刪除交換機中的云服務器、數據庫等資源。集中管理VPC
  • 企業采用統一的網絡架構和安全策略,業務部門可以聚焦自身業務需求。
  • 企業可以將網絡和安全能力作為一個服務供業務部門使用,將運維體系標準化和流程化,并提升整個組織的IT效率。