開發與維運

看雲棲說雲棲 —— 雲操作系統的視窗界面

2020-03-28

創造操作系統,就是去創造一個所有應用程序賴以運行的基礎環境。從根本上來說,就是在制定規則:什麼可以接受,什麼可以做,什麼不可以做。事實上,所有的程序都是在制定規則,只不過操作系統是在制定最根本的規則。"
—— 《Linus Torvalds自傳》

經常有人吐槽自己在阿里雲上買完了東西又忘掉了,結果這個東西就一直扣費,以至於欠了費才發現。這樣的事情發生在我自己身上就有好幾次。

其實經常關注一下資源組就可以很大程度上避免這樣的事情發生,在阿里雲控制檯右上角的“資源組”中點擊“查看全部”,再點擊“默認資源組”就能看到這個賬號下所有的資源概覽情況。另一個入口是在右上角菜單欄的“企業”下的“資源管理”。

資源管理.png

今天要聊的重點正是阿里雲的資源管理,資源管理包括資源組和資源目錄兩個功能模塊,有了這兩個東西,阿里雲這個操作系統終於有了“視窗界面”。

以下內容來自阿里雲2019杭州雲棲大會《開放平臺與合作伙伴專場》

第一個演講題目叫做《被集成——阿里雲開放平臺體系架構解讀》,演講人是阿里雲開放平臺負責人圭多。

據圭多介紹:阿里雲已累計對外開放10000+的API接口,95%的雲產品對外開放了API,日調用量已達100億次量級。阿里雲開放平臺包括身份管理、權限管理、資源管理、日誌&審計、計費&賬單等系統,其上提供了多語言SDK、CLI、API Explorer、API Inspector、Cloud Shell、Cloud Toolkit等工具和API接口。

第二個演講嘉賓是來自SAP的多雲運維總監孟總,題目叫做《SAP基於阿里雲開放平臺的企業雲管理》

孟總介紹:在SAP內部有一套多雲管理平臺MCC,MCC包含賬戶和用戶權限管理、財務運維、網絡運維、安全運維、數據備份等功能,SAP的內部用戶都要通過MCC來申請資源,獲取訪問權限。SAP通過阿里雲資源目錄來實現企業雲管理,實現了:

  • 集中管理所有(阿里)雲賬戶
  • 所有成員賬戶的整合賬單
  • 集中控制每個賬戶可訪問的雲服務和操作
  • 與其他阿里雲服務的橫向集成,包括操作審計、配置審計、安全中心

第三個演講嘉賓是阿里雲的高級產品專家陳總,演講的題目叫做《面向企業的IT治理實踐》

陳總介紹:雲上IT治理的三個關鍵分別是資源管理、訪問控制、IT合規。

在資源管理上可以通過資源組和標籤進行管理,兩者的區別是:

  • 資源組、代表資源管理的最小單元,常用於“項目”,不同團隊管理不同的項目,資源只能從屬於一個資源組。
  • 標籤、資源屬性的擴展,常和企業運維邏輯緊密結合,如成本管理、運維流程、一個資源可以有多個標籤。

針對複雜的企業組織結構,可以基於資源目錄進行多賬號管理,可以根據組織結構創建資源目錄,同時實現多賬號的集中管理和資源的強隔離,實現企業所有云賬號的統一財資託管。

針對訪問控制,建議不要使用ROOT AK,使用RAM AK。通過在客戶一端創建SAML SP並配置阿里雲的SAML SP元數據實現對接企業內部人員管理系統的單點登錄系統,使用角色SSO和用戶SSO來實現程序訪問和用戶同步。

針對配置和合規要求,可以通過配置審計來依據規則引擎來實現合規評估和自動修正。例如可以制定以下合規要求:

  • 雲上必須設置強密碼且設置過期策略
  • 用戶必須綁定雙因素,否則禁止管理資源
  • 主賬號不能創建AK
  • 只能購買華北1區域的ECS實例
  • 只能購買CPU 4,內存容量8G的ECs實例
  • 資源必須已綁定指定標籤
  • 禁止配置可直接路由到互聯網的路由表
  • 禁止為ECS、RDS、OSS配置公網IP
  • 安全組不能設置為0.0.0.0/0
  • 雲上磁盤必須啟用加密
  • 負載均衡必須開啟HTTPS監聽
  • ECS實例掛載到指定的VPC實例上

這些都可以通過阿里雲的配置審計進行檢查,有一篇有關配置審計和安全合規的最佳實踐可供參考:
《雲上資源操作和資源審計 最佳實踐》
[ https://www.aliyun.com/acts/best-practice/preview?spm=5176.12487612.0.best-practice.455d6fb0cpgXlH&&id=149808 ]

後面的演講還包括兩家阿里雲合作伙伴以及OpenAPI規範體系的介紹。

最後是《企業IT集成與治理實戰》的演講,演講人是阿里雲高級技術專家聰戎。
聰戎的核心觀點是上雲是一個過程,從最開始的單應用試水到後來的單業務線實踐再到最後的多業務線多環境全面上雲。

開始時我們通過一個雲賬號就可以管理所有的資源,到後來就需要通過資源組來根據業務團隊和項目組將資源分別由不同的團隊和賬號進行管理。

阿里雲官網有關資源組的介紹:
資源組(Resource Group)是在阿里雲賬號下進行資源分組管理的一種機制,資源組能夠幫助您解決單個雲賬號內的資源分組和授權管理的複雜性問題。

  • 對單個雲賬號下多個地域、多種雲資源進行集中的分組管理。
  • 為每個資源組設置管理員,資源組管理員可以獨立管理資源組內的所有資源。
  • 按資源組維度查看您的賬單消費數據,以解決不同業務的成本分攤問題。

聰戎對資源組和資源目錄進行了操作演示:
默認情況下,用戶購買的的所有資源都在默認資源組下,用戶可以新建資源組,並將資源移入該資源組下,併為某個RAM用戶在此資源組下分配一定的權限,則這個RAM的這些權限只在這個資源組下有效。

單個賬號下的資源分組管理使用資源組,假如是像SAP這樣的大公司大機構則需要跨多個賬號實現統一資源聚合管理,這就需要使用資源目錄,有關資源目錄更詳細的操作指引可以參考一篇阿里雲最佳實踐文檔:
《資源管理最佳實踐》
[https://www.aliyun.com/acts/best-practice/preview?spm=5176.13138632.3fap8xbb8.1.30e42d396LqjF8&id=156496]

Leave a Reply

Your email address will not be published. Required fields are marked *