本次会介绍landing zone的方案、landing zone的场景,以及今年新发布的landing zone相关功能。因为landing zone从21年开始做到现在,在阿里云这边landing zone的整体解决方案已经非常成熟了,并且也有非常多的行业解决方案,所以今天会用尽量短的时间帮助大家review整体的情况。后面还会有两家客户分享他们具体的时间案例。
一、landing zone方案简介
1.landing zone的定义
landing zone是云上安全可控、可扩展的云上架构。为什么需要一个架构?其实很多企业在做业务上云的时候,都是业务驱动上云,业务方需要上云。所以运维团队需要帮助他们在云上搭建云上的财务、网络日志监控,所有的这些东西都是由业务方推着他们去做的。但他们发现这些东西做完之后,再做其他业务上云的时候,所有的东西都需要重做一遍,而且这些东西很容易出现冲突。所以很多客户上云实践后,很多事情都可以在事先做一个统一的设计。完全可以把统一公共的,像成本监控、日志、安全、网络权限、资源隔离这些东西都作为基础框架。在这个基础框架之上,业务团队上云的时候,会更加简单、更加容易,更加快速的完成上云的操作。
2.企业在IT治理框架内敏捷地创新
把所有客户服务的经验沉淀下来,就是landing zone的八大模块。这八大模块也是阿里云将近两年时间不断的跟客户讲的。
(1)资源规划
资源规划重点解决客户在云上关于资源隔离、账号管理的解决方案。
(2)财务管理
财务管理是围绕客户在云上做多账号的财资规划、多账号的预算管理,结合成本分析相关的解决方案。
(3)身份权限
身份权限主要是为客户提供云上对于企业内部统一的身份管理,以及企业内部安全可控的权限设置的最佳实践。
(4)合规审计
合规审计主要是围绕企业级,针对企业内部各个团队、各个国家区域、各个业务关于合规审计的要求。这里的最佳实践都会在合规审计解决方案中涵盖到。
(5)网络规划
网络规划是帮企业设计企业级的网络架构。
(6)安全防护
安全防护是围绕企业上云所需要的最基础的云上安全机械,然后给企业建立相关的统一的安全防护的整体方案。
(7)运维管理
运维管理是围绕企业云上整体的配置监控日志的统一管控。
(8)自动化模块
自动化模块是更高阶的,是围绕企业做云上landing zone的部署自动化,或对云上做管云治理的自动化的相关解决方案。
二、landing zone应用场景
接下来会结合具体的行业案例,讲这些模块在具体行业中如何去进行落地。
1. 零售行业
零售行业的一个特征是它有多个品牌线。这些品牌线的资金管理相对来说是比较隔离的。要对云上的资源人员、财资进行独立的管理。但是集团又希望对所有的品牌进行统一的管控。这种情况下通过landing zoom的资源模块就能帮助他设计一个多账号的管理架构。在多账号管理架构下,每一个品牌线所有的资源、人员、财务都会有独立的账号进行单独的管理。在单独管理基础上也可以帮助他把这些模块中公共的资源。比如企业内部想要做统一管理的财务、安全、合规、网络,都可以抽象出一个独立的共享账号,由共享账号统一管控所有品牌线业务方的安全、材质、合规的机械。这就是在零售行业中最佳时间的落地方案。
2.生命科学
在生命科学行业中的方案场景是什么样子的呢?因为生命科学行业有一个很高的要求是它的网络环境要求安全和稳定。同时他又需要与第三方的供应商进行数据的互换。基于这个场景在做网络架构设计的时候,需要先考虑安全,考虑landing zoom的VPC的设计。所有的公网出路全部走landing zoom进行统一的管控。同时云上业务把它拆分出生产的VPC和非生产的VPC进行环境上的隔离。另外一点是他有一个要求是第三方供应商数据的互换。这个互换需要将它设计成独立的缓冲区,即交换区。然后通过交换区的in point,与第三方的VPC网络进行数据互换,对于他的网络安全稳定,就能够实现整体的可控。
3.自动驾驶
自动驾驶行业是近两年比较新兴、比较热门的行业。自动驾驶行业有一个特征是需要有测绘资质的图商,对所有自动驾驶相关的业务进行监管。那么这个监管如何实现?其实landing zone就能帮助他去实现,通过权限、合规审计的管控,实现自动驾驶的管控方案。自动驾驶厂商需要把非自动驾驶的业务隔离出非自动驾驶的业务账号。因为非自动驾驶业务账号是不会由图商进行统一监管、管控的,那么就需要进行统一监管、管控的账号隔离出共享账号和自动驾驶业务账号,这两个账号。图商只要对这两个账号进行数据面的管控,以及操作上的审计。他可以对这两个账号对他们的人员身份信息的变更、人员操作日志进行留存、对网络的变更,和相关网络,比如EIP net网关的变更进行相关的管控。对于审计日志他可以投递到图像的审计日志账号中进行统一的审计。这样就能确保对于自动驾驶厂商来能确保自己核心数据不会被图商看到。同时图商也能对自动驾驶的监管的业务进行统一的监管查看。
4. 金融行业
因为金融行业它很特殊,它的合规要求是特别严格的。无论是来自行业的、各个国家地区的,以及企业内部自己的规范。这些合规的要求在云上如何以一套自动化的方式对云上进行管控呢?其实就是landing zoom的合规审计模块,基于多账号的架构帮他去搭建一个多账号合规审计、企业级的合规审计的架构。首先所有企业内部的合规规范都可以由企业管理账号进行统一的下发、管控。包括金融行业的合规政策,也是可以由企业管理账号进行统一的管控。针对不同国家区域的业务账号,可以把相关的比如国内等保三级、人民银行的标准,以及欧洲的GDPR相关的政策,下发到具体国家区域的账号中。这样审计的团队就可以在企业管理账号中,实现对企业内部无论各个国家、地区所有业务是否符合当地的要求规范的资源,将他统一的审计出来,从而减少人工审计的工作量。
三、新功能介绍
接下来将介绍landing zoom今年发布的新的功能。这些功能主要集中在两块。
1.财年新上线功能
我们会提供更多的统一管控的产品功能,包括配额的管理、普罗米修斯监控的管控和网络的IPAM方案。
(1)网络IPAM方案
今年在网络的station的网络话题分享中会重点发布这个方案。这个方案的可以对云上,从云上的EIP进行统一的规划和精细化的管理。(2)安全模块
安全模块更多是降低云上统一管控的门槛。对安全的同跨账号的使用会有比较高的门槛和费用。今年会把这部分门槛尽量降到按量付费,能够让客户使用到所有的传跨账号能力。
