企業上雲的挑戰
隨著近幾年雲的高速發展,雲原生的概念深入人心,越來越多的企業選擇上雲實現數字化轉型。無論是將傳統應用搬遷上雲,還是基於雲原生技術構建新的產品和業務,企業都期望利用雲技術低成本、敏捷的進行業務創新,實現上雲價值最大化。
然而,隨著雲採用的深入,業務越來越多,資源類型和規模不斷增大,企業也開始面臨新的問題:
——如何確保雲上的身份安全?
——如何實現多項目的資源隔離與權限隔離?
——如何確保不同業務之間的網絡隔離和安全?
——如何將雲上開支拆分到不同的業務團隊?
這些問題,輕則影響業務穩定性和發展速度,重則引發安全風險,危及企業生存根基。因此,企業在上雲之前,不只是將業務應用適配雲環境,更重要的是需要給每個即將上雲的業務規劃和構建一個安全、可控、合規的「登陸區」(Landing Zone),讓業務研發人員只用關心自身業務,大膽的依託於雲上的能力快速進行業務迭代和創新,兼顧「效率」與「可控」,才能實現上雲價值最大化。
這部分工作的核心在於企業IT治理基礎設施的完善。
企業 IT 治理概述
企業 IT 治理是一系列指導企業 IT 規劃和運行的策略、原則和實施流程,保證 IT 人員可以從 IT 整體層面管控業務風險,並確保企業業務高效、可靠地運行。一套完善的雲上企業 IT 治理基礎設施具有以下特點:
統一規範:企業需要規劃統一的 IT 治理架構,並將相關規範落地到具體業務中,保障每個業務都能被管控和治理;
持續合規:不只是上雲初期需要滿足 IT 治理要求,在後期業務不斷迭代,新業務快速增長過程中,能夠持續、自動滿足要求;
分治管理:當一個完善的企業 IT 治理架構成型後,除了基礎設施需要 IT 運維團隊介入外,業務自身運維即可交給業務方自行完成,減輕 IT 運維團隊壓力。
可以看出,為了實現雲上價值最大化,不光需要企業花費大量精力瞭解雲上相關能力,更重要的是在初期統一規劃和實施,才能為雲上業務構建出安全可控的登陸區,而不是讓業務入駐一間不宜居住的「毛坯房」。近幾年,多家阿里雲企業客戶也被這些問題所困擾,轉向阿里雲尋求最佳實踐。為了幫助這些企業快速落地到阿里雲,阿里雲開放平臺團隊在構建了多項企業 IT 治理能力的基礎上,結合多家企業上雲過程中的痛點,總結出了最佳實踐,在此基礎上提出了阿里雲企業 IT 治理樣板間,和 3 套針對不同規模企業的具體實施方案,以及自動化工具幫助企業快速實施。接下來,我們以中大型企業和跨國企業為例,闡述一下企業 IT 治理樣板間的設計理念。
企業 IT 治理樣板間設計理念
企業IT治理樣板間,主要是為企業客戶在阿里雲上搭建跨賬號的複雜企業 IT 治理體系的基本骨架,包含以下幾個方面:
企業雲上資源結構:企業上雲第一步,是需要通過多賬號的方式構建出雲上資源的基礎架構,從而才能在此基礎上進行有效的權限管控、合規審計、網絡規劃、財資託管等。通過阿里雲提供的多種資源組織方式,可以方便有效的對雲上資源架構進行組織,映射到企業自身各業務線的組織和劃分,形成一顆清晰的資源「樹」,為後續的其它幾個方面的治理打下基礎;
身份集成:企業往往有自己的身份管理系統,通過企業自有管理系統登錄到阿里雲是企業管理與合規的強訴求。通過阿里雲角色 SSO,可以將企業員工身份或者用戶組映射到特定權限的阿里雲角色,便於組織管理。同時,企業也需要給不同角色,分配不同的權限策略,確保權限最小化。樣板間方案中提供了一系列預置角色、權限策略的最佳實踐和 SSO 自動化工具,幫助企業快速完成 SSO 配置;
IT 合規與審計:是企業 IT 治理過程中實現「效率」與「可控」的關鍵。特別是等保合規成為企業上雲的硬性要求之後,合規和審計也成為企業 IT 治理的核心訴求之一。合規審計的主要實現途徑分為三個:
預防性(preventive)管控:為符合企業合規準則,而禁止進行不合規操作,如禁止變更樣板間的基礎配置,禁止外網鏈接,禁止創建未加密的磁盤等;
發現性(detective)管控:對於一些建議性的合規準則,可以不用設置預防性管控,而是設置發現性規則並對企業資源進行持續監控,發現不合規資源時,進行記錄、報警乃至自動修復;
審計日誌持久化:對雲上操作、資源變更、網絡流量等日誌進行持久化保存,以備審計之需;
費用與成本:成本分析是企業上雲的基本需求,把支出算清楚,讓成本更具備可預測性,是讓企業放心上雲的前提。越大型的企業,越需要關注每個業務、每個部門的預算與花費。根據不同的企業類型,有 Showback 和 Chargeback 兩種分賬模式,另外,根據企業的雲上資源結構的規劃,有賬號維度分賬、標籤維度分賬等幾種常見措施;
網絡規劃、安全防護與監控:網絡架構對於一個企業來說是至關重要的,關係到企業業務的運行、應用之間的調用、業務的擴展、企業的信息安全等。這部分主要包含企業網絡 IP 地址規劃、網絡聯通和訪問控制。在該部分中,重點需要規劃企業網絡內部哪些安全域的服務是可以互通的,哪些服務可以訪問公網或者被公網訪問,同時,如何對 VPC 東西向、南北向的流量進行控制,保障企業安全;最後,對相關的網絡資源、業務資源進行統一監控規則、報警規則的配置,實現業務問題早發現早治理;
新賬號基線:在企業通過新賬號開展新的業務時,也需要滿足企業 IT 治理規範要求。對應的內容也就是前面提到的這些設計原則在新的賬號中落地,比如身份集成、初始化網絡架構、配置安全防護和監控報警等,同時結合預防性的管控策略保護賬號合規基線,避免業務人員誤操作導致業務不滿足合規訴求,給企業造成風險。
樣板間實施
有了樣板間的設計理念,接下來就是如何根據企業自身特點以及所處階段進行方案搭建和實施,協助企業快速將「毛坯房」進行精裝修。在實際應用當中,很難有一種實施方案能夠完美匹配每一家企業的訴求,每家企業都需要結合設計原則,根據自身訴求進行定製和組合。上文提到的 3 套有代表性的方案,就是阿里雲分別針對初創企業、中大型企業以及跨國企業所提出的最佳“樣板間”方案。您可以在阿里雲開放平臺官網瀏覽這些方案的具體介紹,其中初創企業樣板間可在官網直接獲取操作步驟和自動化代碼,其他樣板間方案請聯繫您的阿里雲銷售代表或服務經理。
實施過程,最理想的狀態即是完全自動化。我們基於 IaC(Infrastructure as Code)的理念,結合 Terraform 等工具提供了自動化部署腳本和代碼,並開源到了 Github( Aliyun Landing Zone Github),協助您快速部署一套樣板間方案或整合到企業內部自動化流程系統中。
結語
隨著雲原生時代的到來,企業在雲上會面臨更多新的挑戰。阿里雲開放平臺團隊也會不斷打磨自身產品和解決方案,沉澱更多的最佳實踐,協助企業管好雲、用好雲,讓企業業務能夠更加敏捷的基於雲原生能力進行創新。
如果在上雲的過程中遇到了任何問題,或者有任何建議,歡迎隨時與我們取得聯繫。也歡迎關注我們團隊的最新動態,及時瞭解最新的企業上雲最佳實踐。
