《企业迁云实战》——3.2 云上运维管理架构设计

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,内容安全 1000次 1年
对象存储 OSS,恶意文件检测 1000次 1年
简介: 本节书摘来自华章计算机《企业迁云实战》一书中的第3章,第3.2节,作者:何强、谭虎、何龙著, 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.2 云上运维管理架构设计

为保证云上运维管理操作的安全性和便捷性,客户需要根据业务对云上网络环境进行规划和隔离并对内部用户访问进行管理和权限规划。下面将会从这两方面介绍如何利用阿里云产品实现云上运维管理架构设计。
3.2.1 基于RAM实现账号权限管理方案
本节将介绍基于阿里云RAM账号体系在内部用户访问资源时如何进行管理和权限规划。
1 . RAM简介
RAM(Resource Access Management)是阿里云为客户提供的用户身份管理与访问控制服务。使用RAM,可以创建、管理用户账号(比如员工、系统或应用程序),并可以控制这些用户账号对相关资源的操作权限。当企业中存在多用户协同操作资源时,使用RAM可以避免用户之间共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。
2 . RAM应用场景
RAM主要的应用场景包括企业子账号管理与分权、不同企业之间的资源操作与授权管理、针对不可信客户端App的临时授权管理。
(1)企业子账号管理与分权
企业A购买了多种云资源(如ECS实例、RDS实例、SLB实例、OSS存储桶等)。A的员工需要操作这些云资源,但每个人的操作内容不同,比如有的负责购买,有的负责运维,还有的负责线上应用。由于每个员工的工作职责不一样,因此需要的权限也不一样。出于安全或信任的考虑,A不希望将云账号密钥直接透露给所有员工,而是希望能给每个员工创建相应的用户账号。用户账号只能在授权的前提下操作资源,不需要对用户账号进行独立的计量/计费,所有开销都算在A的头上。当然,A随时可以撤销用户账号的权限,也可以随时删除其创建的用户账号。
(2)不同企业之间的资源操作与授权管理
假设A和B是两个不同的企业。A购买了多种云资源(如ECS实例、RDS实例、SLB实例、OSS存储桶等)来开展业务。A希望能专注于业务系统,而将云资源运维、监控、管理等任务委托或授权给企业B。当然,企业B可以进一步将代运维任务分配给其公司员工完成。利用RAM,企业B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止,A随时可以撤销对B的授权。
(3)针对不可信客户端APP的临时授权管理
假设企业A开发了一款移动APP,并购买了OSS服务。该移动APP需要上传数据到OSS(或从OSS下载数据),A不希望APP通过应用服务器来进行数据中转,而希望APP能直连OSS上传/下载数据。由于移动APP运行在用户自己的终端设备上,这些设备并不受A的控制。出于安全考虑,A不能将访问密钥保存到移动APP中。A希望将安全风险控制到最小,比如,每个移动APP直连OSS时都必须使用最小权限的访问令牌,而且访问时效也要很短(比如30分钟)。这种情况下可以通过RAM来进行账号权限的设置。
3 . RAM账号权限设计原则
在使用RAM设计账号权限时,需要遵循如下原则:
(1)为根账户和RAM用户启用MFA
建议为根账户绑定MFA(多因素认证),每次使用根账户时都强制使用MFA,以免无关人员轻易使用用户密码登录到阿里云,保证用户账号的安全性。
(2)使用群组给RAM用户分配权限
一般情况下,用户不必对RAM用户直接绑定授权策略,更方便的做法是创建与人员工作职责相关的群组(如admins、developers、accounting等),为每个群组绑定合适的授权策略,然后把用户加入这些群组。
(3)将用户管理、权限管理与资源管理分离
一个好的分权体系应该支持权力制衡,从而尽可能地降低安全风险。在使用RAM时,应该考虑创建不同的RAM用户,其职责分别是管理RAM用户、管理RAM权限以及各产品的资源操作管理。
(4)为用户登录配置强密码策略
如果需要允许用户更改登录密码,那么应该要求他们创建强密码并且定期更换。用户可以通过RAM控制台为RAM用户创建密码策略,如要求最短长度、是否需要非字母字符、多长时间必须进行更换等。
(5)定期更换用户登录密码和访问密钥
建议RAM用户要定期更换登录密码或访问密钥。
(6)及时撤销用户不再需要的权限
当一个用户由于工作职责变更而不再使用某个权限时,应该及时撤销该用户的权限。
(7)将控制台用户与API用户分离
不建议给一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。通常只给员工创建登录密码,只给系统或应用程序创建访问密钥。
(8)使用策略限制条件来增强安全性
建议给用户授权时设置策略限制条件,这样可以增强安全性。比如,授权用户Alice可以关停ECS实例,限制条件是Alice必须在指定时间在公司网络中执行该操作。
(9)不要为根账户创建访问密钥
由于根账户对名下资源有完全控制权限,因此为了避免因访问密钥泄露所带来的灾难性损失,我们不建议创建根账号访问密钥并使用该密钥进行日常工作。
(10)遵循最小授权原则
最小授权原则是安全设计的基本原则。当需要给用户授权时,应授予刚好满足他工作所需的权限,而不要过度授权。
3.2.2 云上开发、测试、生产环境管理方案
本节将介绍如何在阿里云上构架开发、测试、生产环境,从而实现不同环境之间的云资源和访问权限隔离。目前可以使用两种方案,一是使用阿里云多租户体系实现不同开发、测试、生产租户之间的资源逻辑隔离;另外一种方案是利用VPC基础网络产品划分多个不同的网络环境,从而实现开发、测试、生产环境资源的物理隔离。
1 . 多租户逻辑隔离方案
多租户逻辑隔离方案的原理是,基于阿里云账号系统,通过申请不同的阿里云账号,利用阿里云不同账号之间资源默认无法共享和互通的特点,规划好不同账号的管理职责和权限,从而达到用户开发、测试、生产环境的隔离。多租户隔离方案是基于阿里云账号体系实现的,主要应用于需要逻辑隔离的场景。此时,客户需要维护多个阿里云账号,并进行资源管理和维护。多个阿里云账号之间完全隔离,无法实现相互调用和访问。
图3-2给出了某政府部门开发、测试、生产环境使用阿里云账号实现资源逻辑隔离的示意图。
2 . 多VPC隔离方案
多VPC隔离方案是采用阿里云网络虚拟化产品VPC,从而在同一个企业账号下,将开发、生产、测试资源划分到不同的VPC网络集群中,实现用户环境的隔离。多VPC隔离方案是基于网络层实现客户不同业务环境的隔离和管理,和未上云前自建IDC下开发、测试、生产环境隔离方案非常相似。实施VPC隔离方案后,VPC之间默认是无法通信的,但可以通过高速通道实现VPC打通,也可以使用阿里云网络安全组产品或云市场上的防火墙镜像,对不同网络环境之间的访问进行安全策略设置。
图3-3给出了某企业基于阿里云VPC网络环境实现开发、测试、生产环境的网络和业务隔离。

image

image

相关实践学习
借助OSS搭建在线教育视频课程分享网站
本教程介绍如何基于云服务器ECS和对象存储OSS,搭建一个在线教育视频课程分享网站。
相关文章
|
4月前
|
运维 监控 Cloud Native
自动化运维的魔法书云原生之旅:从容器化到微服务架构的演变
【8月更文挑战第29天】本文将带你领略自动化运维的魅力,从脚本编写到工具应用,我们将一起探索如何通过技术提升效率和稳定性。你将学会如何让服务器自主完成更新、监控和故障修复,仿佛拥有了一本能够自动翻页的魔法书。
|
1月前
|
运维 Serverless 数据处理
Serverless架构通过提供更快的研发交付速度、降低成本、简化运维、优化资源利用、提供自动扩展能力、支持实时数据处理和快速原型开发等优势,为图像处理等计算密集型应用提供了一个高效、灵活且成本效益高的解决方案。
Serverless架构通过提供更快的研发交付速度、降低成本、简化运维、优化资源利用、提供自动扩展能力、支持实时数据处理和快速原型开发等优势,为图像处理等计算密集型应用提供了一个高效、灵活且成本效益高的解决方案。
80 1
|
2月前
|
分布式计算 大数据 Serverless
云栖实录 | 开源大数据全面升级:Native 核心引擎、Serverless 化、湖仓架构引领云上大数据发展
在2024云栖大会开源大数据专场上,阿里云宣布推出实时计算Flink产品的新一代向量化流计算引擎Flash,该引擎100%兼容Apache Flink标准,性能提升5-10倍,助力企业降本增效。此外,EMR Serverless Spark产品启动商业化,提供全托管Serverless服务,性能提升300%,并支持弹性伸缩与按量付费。七猫免费小说也分享了其在云上数据仓库治理的成功实践。其次 Flink Forward Asia 2024 将于11月在上海举行,欢迎报名参加。
214 6
云栖实录 | 开源大数据全面升级:Native 核心引擎、Serverless 化、湖仓架构引领云上大数据发展
|
2月前
|
运维 Serverless 数据处理
Serverless架构通过提供更快的研发交付速度、降低成本、简化运维、优化资源利用、提供自动扩展能力、支持实时数据处理和快速原型开发等优势,为图像处理等计算密集型应用提供了一个高效、灵活且成本效益高的解决方案。
Serverless架构通过提供更快的研发交付速度、降低成本、简化运维、优化资源利用、提供自动扩展能力、支持实时数据处理和快速原型开发等优势,为图像处理等计算密集型应用提供了一个高效、灵活且成本效益高的解决方案。
61 3
|
2月前
|
存储 运维 监控
高效运维:从基础架构到自动化管理的全面指南
【10月更文挑战第11天】 本文将深入探讨如何通过优化基础架构和引入自动化管理来提升企业IT运维效率。我们将从服务器的选择与配置、存储解决方案的评估,到网络的设计与监控,逐一解析每个环节的关键技术点。同时,重点讨论自动化工具在现代运维中的应用,包括配置管理、持续集成与部署(CI/CD)、自动化测试及故障排除等方面。通过实际案例分析,展示这些技术如何协同工作,实现高效的运维管理。无论是IT初学者还是经验丰富的专业人员,都能从中获得有价值的见解和实操经验。
82 1
|
23天前
|
机器学习/深度学习 运维 监控
智能运维在现代IT架构中的转型之路####
【10月更文挑战第29天】 本文旨在探讨智能运维(AIOps)如何成为现代IT架构不可或缺的一部分,通过分析其核心价值、关键技术及实践案例,揭示AIOps在提升系统稳定性、优化资源配置及加速故障响应中的关键作用。不同于传统运维模式的被动响应,智能运维强调预测性维护与自动化处理,为企业数字化转型提供强有力的技术支撑。 ####
68 0
|
2月前
|
存储 运维 监控
高效运维管理:从基础架构优化到自动化实践
在当今数字化时代,高效运维管理已成为企业IT部门的重要任务。本文将探讨如何通过基础架构优化和自动化实践来提升运维效率,确保系统的稳定性和可靠性。我们将从服务器选型、存储优化、网络配置等方面入手,逐步引导读者了解运维管理的核心内容。同时,我们还将介绍自动化工具的使用,帮助运维人员提高工作效率,降低人为错误的发生。通过本文的学习,您将掌握高效运维管理的关键技巧,为企业的发展提供有力支持。
|
2月前
|
存储 运维 Cloud Native
阿里云国际CloudOps的优势和云上运维的特点
阿里云国际CloudOps的优势和云上运维的特点
|
3月前
|
敏捷开发 运维 Prometheus
构建高效运维体系:从基础架构到自动化管理
本文探讨了如何通过优化基础架构、引入自动化工具和流程,以及加强团队协作,构建高效的运维体系。通过案例分析和实践建议,帮助运维人员实现系统的稳定性、可靠性和可维护性。
103 21
|
3月前
|
运维 Cloud Native Devops
云原生架构的崛起与实践云原生架构是一种通过容器化、微服务和DevOps等技术手段,帮助应用系统实现敏捷部署、弹性扩展和高效运维的技术理念。本文将探讨云原生的概念、核心技术以及其在企业中的应用实践,揭示云原生如何成为现代软件开发和运营的主流方式。##
云原生架构是现代IT领域的一场革命,它依托于容器化、微服务和DevOps等核心技术,旨在解决传统架构在应对复杂业务需求时的不足。通过采用云原生方法,企业可以实现敏捷部署、弹性扩展和高效运维,从而大幅提升开发效率和系统可靠性。本文详细阐述了云原生的核心概念、主要技术和实际应用案例,并探讨了企业在实施云原生过程中的挑战与解决方案。无论是正在转型的传统企业,还是寻求创新的互联网企业,云原生都提供了一条实现高效能、高灵活性和高可靠性的技术路径。 ##
218 3