一、方案背景
隨著雲計算的普及,雲的使用被逐漸認可,企業上雲的任務需要進一步深耕。越來越多的企業將更多的業務放在了雲端,這使得企業採購的雲資源迅速增多,核心業務上雲後,企業管控的需求隨之而來。業務強隔離、按組織結構劃分業務、多種結算模式以及生產賬號保護等要求之下,單個賬號已無法支撐企業的繼續發展。
企業使用多賬號來適應業務發展需要,但無序、散落的企業賬號不便於集中管理,同時基於多賬號的使用,企業需要進一步精細化管控業務,解決多賬號管理帶來的新問題。
阿里雲提供了一套多賬號管理系統-資源目錄(Resource Directory,簡稱RD,查看介紹),旨在幫助企業將多賬號組織並管理起來。
網絡架構規劃是企業上雲第一步,複雜場景下企業如何將多賬號結構與網絡部署進行統一規劃?本文主要介紹基於資源目錄場景下,企業將多賬號有序組織起來後,如何快速實現它們之間的網絡互通,並避免現有方案下的一些問題。
二、現有網絡互通方案及問題
企業採用多賬號來部署其不同的業務或應用,這些賬號間經常會有網絡互通的需求。
阿里雲推薦使用雲企業網(Cloud Enterprise Network)將多個賬號間的專有網絡(Virtual Private Cloud)進行連接,以實現多賬號間的網絡互通。
雲企業網是承載在阿里雲提供的高性能、低延遲的私有全球網絡上的一張高可用網絡。
雲企業網可幫助您在不同地域VPC間,VPC與本地數據中心間搭建私網通信通道,通過自動路由分發及學習,提高網絡的快速收斂和跨網絡通信的質量和安全性,實現全網資源的互通,幫助您打造一張具有企業級規模和通信能力的互聯網絡。
企業通過上述網絡規劃,可以實現不同賬號間業務互通的目的,但隨著業務複雜度的增加,新問題也在不斷產生。
Q1:分散配置無法集中網絡運維
企業網絡架構是一張經過規劃的大網,當網絡設施分散在每個業務賬號之下時,企業網絡運維人員很難做到集中的網絡統一控制
Q2:重複網絡資源配置帶來的成本增加
在每個賬號內進行VPC的配置,使得企業的人力配置維護成本和實例費用成本都在增加。
Q3:VPC數量上升帶來的網絡複雜度上升
為了滿足企業的業務需要,VPC數量會不斷攀升,與此同時,隨之而來網絡複雜度、管理難度、及類似CEN可支持掛載的VPC數量限制等Quota問題顯現了出來。
三、使用共享VPC解決問題
隨著企業業務的增長,使用的賬號數量也在增長,不可避免會使用超多的VPC,導致上述問題的出現,那麼能否少用一些VPC,同樣滿足企業網絡架構需要呢?答案是肯定的。
阿里雲提供企業通過共享VPC的方式來減少企業訂購和配置VPC的數量。本章節將介紹共享VPC的實現原理。
(一)建立賬號間的共享關係
建立共享VPC的先決條件是,先建立A、B兩個賬號的共享關係。
1. 資源共享機制
資源共享(Resource Sharing,簡稱RS)是阿里雲提供的一種賬號間共享資源的機制,它支持您將一個賬號下的資源,共享給另一個或多個賬號使用。
資源共享的4個基本概念釋義如下
- 共享單元
資源共享的實例。共享單元本身也是一種雲資源,擁有獨立的ID和ARN(Aliyun Resource Name),您可以給共享單元分組和綁定標籤。 - 資源所有者
資源共享的發起方,也是共享資源的擁有者,通常為一個阿里雲賬號。 - 資源使用者
資源共享的受益方,對共享的資源具有特定的操作權限,通常為一個或多個阿里雲賬號。 - 共享的資源
用來共享的資源,通常為某雲服務的某類資源。例如,專有網絡(VPC)的交換機(VSwitch)。
注意,資源共享服務目前支持基於資源目錄中的賬號進行共享,所以建立共享的兩個賬號均需處於同一個資源目錄內。當然,如果企業使用大量的阿里雲賬號承載業務,將這些賬號進行組織化管理,資源目錄是個很好的必要選擇。點擊此處瞭解資源目錄
2. 資源共享使用須知
(1)基於資源目錄的共享關係建立,無需資源使用者進行確認,因為在同一個資源目錄內的賬號具備相同的企業租戶形態,共享行為將被視為企業管理行為。
(2)上圖所示,在一個共享單元中,資源所有者、資源使用者和共享的資源三者構成一組共享關係,資源所有者與資源使用者和共享的資源分別都是1:N關係,您可以在同一個共享單元內添加多個資源使用者和共享的資源。
(3)資源共享服務為Region化部署,目前已開放支持杭州、上海、新加坡、張家口、北京地域。
(4) 限制:每個賬號的共享單元數量和共享的資源數量默認為10個。企業可以根據自己的需要向阿里雲申請擴大限制數量的要求。
在本文中,我們著重介紹的是基於資源共享,將一個賬號內VPC下的交換機(VSwitch)作為共享資源share給另一個賬號使用。
(二)共享VPC
共享VPC允許多個賬號在一個集中管理、共享的VPC內創建雲資源,例如雲服務器ECS、負載均衡SLB、雲數據庫RDS等。共享VPC基於資源共享RS(Resource Sharing)機制,VPC的所有者可以將VPC內的交換機共享給其阿里雲企業賬號組織內的其他賬號使用。查看產品詳情
1.多賬號共享同一個VSwitch
企業可將VSwitch粒度的資源進行共享,極大減少了VPC的使用數量,有效降低由VPC數量上升帶來的問題。
2.共享VPC所有者擁有的權限
所有者作為VPC資源的Owner,擁有該VPC的所有權限。
所有者能夠獲取使用者在共享VSwitch中放入資源的如下屬性:
- 實例id信息
- 私網IP地址信息
- 資源歸屬賬號的ID信息
請注意,VPC所有者不能修改、刪除使用者在共享Vswitch中的任何資源。
3.共享VPC使用者擁有的權限
VPC使用者作為共享的參與方,在VSwitch共享狀態處於開啟和關閉時,擁有不同的權限和限制。
• 當VSwitch處於共享狀態時
- 使用者僅能查看與該共享VSwitch相關聯的VPC、路由表、網絡ACL信息;
- 使用者不能查看該VPC內其他賬號的任何資源;
- 使用者可以將自己的資源創建在該共享的VSwitch中。
• 當VSwitch取消共享狀態時
- 使用者不再具有之前共享的VPC/VSwitch的相關信息查看權限;
- 使用者配置在該VSwitch上的tag信息將被清除;
- 使用者不能繼續在該VSwitch中創建資源;
- 之前創建在共享VSwitch中的資源,使用者能夠繼續管理並操作。
注意,使用者可以對共享的VSwitch進行tag標記,此標記與VPC Owner的tag標記互不可見、互不影響。
(三)共享VPC中的隔離需求
企業將單個VPC中的不同VSwitch共享給不同賬號後,網絡是默認連通的。
在某些場景下,企業希望將不同的VSwitch進行隔離。
企業可通過以下兩種方式進行隔離:
- 網絡ACL:實現跨VSwitch粒度的訪問控制管理;
- 安全組:實現實例粒度的訪問控制,並且支持跨賬號安全組的互相引用。
小提示:使用安全組設置兩個實例間禁止訪問規則以達到網絡隔離效果。這種辦法主要用以彌補在相同VSwitch內的實例之間隔離無法採用網絡ACL的缺失。當然,您仍然可以使用安全組跨賬號引用能力實現跨VSwitch的不同賬號下資源間的隔離,只需要您在安全組內配置好源IP和目標IP即可。
四、使用共享VPC的優勢及注意
(一)企業運維提供標準化網絡服務
- 企業運維部負責搭建整體網絡架構,並將子網共享給業務部門,每個業務部門只能看到和操作自己的資源。
- 業務部門根據實際的業務需求添加或刪除子網中的服務器,數據庫等資源。
- 整個組織採用統一的網絡架構和安全策略,業務方可聚焦自身業務邏輯和需求
- 網絡和安全能力作為一個的服務供業務方使用,將運維體系標準化和流程化,並提升整個組織的IT效率。
(二)集中管理的VPC
職責分工更為清晰,使得網絡配置管理集中,網絡規劃和運維由專門的團隊負責,業務人員更專注於管理應用服務。
(三)避免創建一個“巨大”的VPC
對於共享VPC的優勢而言,每個產品都存在相對的劣勢,企業需要根據自身業務進行“適度”配置,以免造成風險。
- 考慮是否有強隔離需求,使用VPC是最好最簡單的隔離方法。建議適當使用VPC和VSwitch的配比,在必要時使用CEN連接不同VPC,避免單個VPC過於臃腫巨大;
- VPC所有者無法修改使用者的資源,因此需要考慮當共享取消後,無法將使用者放入VSwitch中的資源剝離出去。
五、持續企業IT治理,實現“生產就緒”
阿里雲開放平臺提供了“生產就緒”的企業IT治理能力。
不同企業的形態不同,網絡規劃選型不可一概而論。企業上雲需要做好規劃,網絡規劃是第一步,未完待續。點擊查看下篇>>>
歡迎企業客戶探討企業IT治理方法論。
https://open.aliyun.com/governance