企業可以使用資源目錄RD(Resource Directory)將多賬號有序組織和管理,然后通過共享VPC快速實現多賬號間的網絡互通,確保業務部門可以聚焦自身業務需求,從而提升整個組織的IT效率。
背景信息
隨著云計算的普及,越來越多的企業將業務放在了云端,企業采購的云資源也越來越多,隨之而來的問題是:企業如何高效地管控云資源。按組織結構劃分業務、業務之間強隔離及多種結算模式等需求之下,單賬號模式已無法支撐企業的持續發展。如果企業只是簡單的使用多賬號模式來適應業務發展需要,就會面臨以下問題:
- 多賬號管理問題
無序、散落的多個阿里云賬號不便于集中管理,企業需要進一步做精細化管控。
- 多賬號網絡互通問題
企業可以采用云企業網CEN(Cloud Enterprise Network)將多個賬號間的專有網絡VPC(Virtual Private Cloud)進行連接,以實現多賬號間的網絡互通。但隨著業務復雜度的增加,會面臨如下的新問題:
- 分散配置導致無法進行網絡集中運維
企業網絡架構是一張經過規劃的大網,當網絡設施分散在每個業務賬號之下時,企業網絡運維人員很難做到網絡的集中控制。
- 重復網絡資源配置導致成本增加
在每個賬號內進行VPC的配置,使得企業的配置維護成本和實例費用成本都在增加。
- VPC數量增多導致網絡復雜度提升
為了滿足企業的業務需要,VPC數量會不斷攀升,隨之而來的是網絡復雜度、管理難度和配額(例如:CEN可掛載的VPC數量限制)等問題。
- 分散配置導致無法進行網絡集中運維
應用場景
實際生產過程中,企業使用多賬號模式適應業務發展需要,滿足按組織結構劃分業務、保證業務之間的強隔離等需求。為了保證多賬號的集中管理,企業運維部門基于自身的組織結構或業務形態,使用資源目錄集中規劃、配置和管理VPC;使用共享VPC將非默認交換機共享給業務部門,以解決伴隨業務復雜度增加而帶來的成本增加與網絡復雜度提升的問題。
業務部門只能查看和管理自己交換機中的資源,可以根據業務需求添加或刪除交換機中的云服務器、數據庫等資源。
方案概述
使用資源目錄構建多賬號管理體系
阿里云資源目錄是面向企業提供的一套多級資源和賬號關系管理服務。企業可以基于自身的組織結構或業務形態,在資源目錄中構建目錄結構,將企業的多個賬號分布到這個目錄結構中的相應位置,從而形成資源間的多層級關系。企業可依賴設定的組織關系進行資源的集中管理,滿足企業資源在財資、安全、審計及合規方面的管控需要。更多信息,請參見資源目錄概述。
使用資源共享構建成員間的共享關系
在資源目錄內,企業可以使用阿里云提供的資源共享服務,將一個賬號(資源所有者)下的指定資源共享給一個或多個目標賬號(資源使用者)使用,通過共享單元建立成員間的共享關系。更多信息,請參見資源共享概述。
共享VPC
企業可以基于資源共享機制,在資源目錄內,將一個成員(資源所有者)的非默認VPC交換機共享給其他成員(資源使用者)使用,使多個成員在一個集中管理、共享的VPC內創建云資源,例如:云服務器ECS、負載均衡SLB、云數據庫RDS等。資源所有者和資源使用者在同一VPC內創建的云資源默認私網互通。
說明在某些場景下,企業希望將不同的交換機進行隔離。企業可通過以下兩種方式進行隔離:
網絡ACL:實現跨交換機級別的訪問控制。
安全組:實現實例級別的訪問控制,并且支持跨賬號安全組的互相引用。
企業可將VPC的非默認交換機在多賬號間進行共享,無需為每個賬號單獨配置VPC,極大減少了VPC的使用數量,從而解決重復網絡資源配置導致成本增加、VPC數量增多導致網絡復雜度提升等問題。
關于資源所有者與資源使用者對共享交換機及網絡資源的操作權限,請參見共享VPC概述。
操作步驟
步驟一:在資源目錄內共享交換機
資源目錄的管理賬號或成員,可以在資源目錄內,將資源共享給整個資源目錄及其下的資源夾或成員。
具體操作,請參見開啟VPC共享。
使用資源目錄管理多賬號
啟動資源目錄組織共享
資源所有者創建共享單元
步驟二:資源使用者查看和使用共享的交換機
資源所有者共享交換機后,資源使用者無需確認,默認直接接受共享的交換機。資源使用者可以查看共享給自己的交換機,并在共享的交換機中創建云資源,例如:云服務器ECS、負載均衡SLB、云數據庫RDS等。
具體操作,請參見資源使用者在共享交換機中創建云資源。