现在经常可以看到某某企业已经使用阿里云多年,承载的业务也越来越多、越来越复杂,应用涉及到企业内部的部门、外部的供应商的数量也水涨船高,IT部门会逐渐发现由于分公司或者不同业务部门需求,云账号都是由各方独自负责,很多例如网络、安全之类可以复用的产品各业务也是各管各的,不但造成了管理上的不便,产生企业资源的浪费,甚至还带来了人员权限的管理混乱、数据泄露等安全风险。
下图就是一个很经典的传统架构:
不难看出这样存在一系列问题:
多账号下都有WAF等实例,造成资源浪费
每个应用账号下log各自管理,增加了运维和管理成本
多账号的权限和角色没有集中管理等等
这就给了企业一个很好的警示,我们在上云前或者初期,需要更好的来规划企业整体的阿里云使用规范,企业可以从资源结构的规划和搭建、身份权限的设置、财务管理配置这几个角度来进行规划。
资源结构的规划和搭建:
可以通过阿里云的资源目录进行多账号的统一管理,按照业务的组织架构来规划账号的组织架构,比较典型的结构是在企业管理账号(根资源夹)下规划两个资源夹,分别也用来放置共享服务账号(集中部署横向管理类服务,例如WAF、NAT网关等)和Application账号。下图即在典型的账号管理架构上进一步演化而来的大型企业账号结构以供参考。
身份权限的设置:
在云上创建云资源之前,更应该考虑的应该是设计身份管理和访问控制的方式,目标是根据用户在企业身份中的指定属性,来对应云上不同账号、不同资源的操作权限。在各类外部身份凭证中,企业自有的身份系统提供的基于SAML 2.0协议的身份凭证是最常用的,可以在阿里云上基于SAML 2.0协议的SSO能力来满足企业使用外部身份凭证登陆阿里云的需求。如果企业不需要和现有的身份系统关联,需要一套独立的身份管理能力,也可以使用云SSO原生的身份目录,管理用户和用户组。
财务管理配置:
财务管理在云上依然是账单、资金、发票等环节的管理,但是在云上相较于自建,财务会面临不同的挑战,例如多账号情景下如何统一的管理云厂商的合同、付款和发票,如何集中监控成本等。这部分比较好理解,结合刚才提到的第一部分账号体系内,可以将企业管理账号(根资源夹)指定为财务结算账号,以整合所有阿里云账户的计费信息和发票信息。在这种结构下,财务管理部门负责评估和确认整体云业务的预算,为业务部门做统一结算,对财务人员来说也需要持续的关注和分析费用的趋势。
综上所述,企业在云上搭建第一个应用前,还是需要一整套的基础框架设计和规范设计,才可以为后续的业务上云扫清障碍,同时也增加了企业云上架构的兼容性,避免后续可能面临的成本,安全,效率等多方面的问题,为企业上云打好基础。
