一、方案背景
随着云计算的普及,云的使用被逐渐认可,企业上云的任务需要进一步深耕。越来越多的企业将更多的业务放在了云端,这使得企业采购的云资源迅速增多,核心业务上云后,企业管控的需求随之而来。业务强隔离、按组织结构划分业务、多种结算模式以及生产账号保护等要求之下,单个账号已无法支撑企业的继续发展。
企业使用多账号来适应业务发展需要,但无序、散落的企业账号不便于集中管理,同时基于多账号的使用,企业需要进一步精细化管控业务,解决多账号管理带来的新问题。
阿里云提供了一套多账号管理系统-资源目录(Resource Directory,简称RD,查看介绍),旨在帮助企业将多账号组织并管理起来。
网络架构规划是企业上云第一步,复杂场景下企业如何将多账号结构与网络部署进行统一规划?本文主要介绍基于资源目录场景下,企业将多账号有序组织起来后,如何快速实现它们之间的网络互通,并避免现有方案下的一些问题。
二、现有网络互通方案及问题
企业采用多账号来部署其不同的业务或应用,这些账号间经常会有网络互通的需求。
阿里云推荐使用云企业网(Cloud Enterprise Network)将多个账号间的专有网络(Virtual Private Cloud)进行连接,以实现多账号间的网络互通。
云企业网是承载在阿里云提供的高性能、低延迟的私有全球网络上的一张高可用网络。
云企业网可帮助您在不同地域VPC间,VPC与本地数据中心间搭建私网通信通道,通过自动路由分发及学习,提高网络的快速收敛和跨网络通信的质量和安全性,实现全网资源的互通,帮助您打造一张具有企业级规模和通信能力的互联网络。
企业通过上述网络规划,可以实现不同账号间业务互通的目的,但随着业务复杂度的增加,新问题也在不断产生。
Q1:分散配置无法集中网络运维
企业网络架构是一张经过规划的大网,当网络设施分散在每个业务账号之下时,企业网络运维人员很难做到集中的网络统一控制
Q2:重复网络资源配置带来的成本增加
在每个账号内进行VPC的配置,使得企业的人力配置维护成本和实例费用成本都在增加。
Q3:VPC数量上升带来的网络复杂度上升
为了满足企业的业务需要,VPC数量会不断攀升,与此同时,随之而来网络复杂度、管理难度、及类似CEN可支持挂载的VPC数量限制等Quota问题显现了出来。
三、使用共享VPC解决问题
随着企业业务的增长,使用的账号数量也在增长,不可避免会使用超多的VPC,导致上述问题的出现,那么能否少用一些VPC,同样满足企业网络架构需要呢?答案是肯定的。
阿里云提供企业通过共享VPC的方式来减少企业订购和配置VPC的数量。本章节将介绍共享VPC的实现原理。
(一)建立账号间的共享关系
建立共享VPC的先决条件是,先建立A、B两个账号的共享关系。
1. 资源共享机制
资源共享(Resource Sharing,简称RS)是阿里云提供的一种账号间共享资源的机制,它支持您将一个账号下的资源,共享给另一个或多个账号使用。
资源共享的4个基本概念释义如下
- 共享单元
资源共享的实例。共享单元本身也是一种云资源,拥有独立的ID和ARN(Aliyun Resource Name),您可以给共享单元分组和绑定标签。 - 资源所有者
资源共享的发起方,也是共享资源的拥有者,通常为一个阿里云账号。 - 资源使用者
资源共享的受益方,对共享的资源具有特定的操作权限,通常为一个或多个阿里云账号。 - 共享的资源
用来共享的资源,通常为某云服务的某类资源。例如,专有网络(VPC)的交换机(VSwitch)。
注意,资源共享服务目前支持基于资源目录中的账号进行共享,所以建立共享的两个账号均需处于同一个资源目录内。当然,如果企业使用大量的阿里云账号承载业务,将这些账号进行组织化管理,资源目录是个很好的必要选择。点击此处了解资源目录
2. 资源共享使用须知
(1)基于资源目录的共享关系建立,无需资源使用者进行确认,因为在同一个资源目录内的账号具备相同的企业租户形态,共享行为将被视为企业管理行为。
(2)上图所示,在一个共享单元中,资源所有者、资源使用者和共享的资源三者构成一组共享关系,资源所有者与资源使用者和共享的资源分别都是1:N关系,您可以在同一个共享单元内添加多个资源使用者和共享的资源。
(3)资源共享服务为Region化部署,目前已开放支持杭州、上海、新加坡、张家口、北京地域。
(4) 限制:每个账号的共享单元数量和共享的资源数量默认为10个。企业可以根据自己的需要向阿里云申请扩大限制数量的要求。
在本文中,我们着重介绍的是基于资源共享,将一个账号内VPC下的交换机(VSwitch)作为共享资源share给另一个账号使用。
(二)共享VPC
共享VPC允许多个账号在一个集中管理、共享的VPC内创建云资源,例如云服务器ECS、负载均衡SLB、云数据库RDS等。共享VPC基于资源共享RS(Resource Sharing)机制,VPC的所有者可以将VPC内的交换机共享给其阿里云企业账号组织内的其他账号使用。查看产品详情
1.多账号共享同一个VSwitch
企业可将VSwitch粒度的资源进行共享,极大减少了VPC的使用数量,有效降低由VPC数量上升带来的问题。
2.共享VPC所有者拥有的权限
所有者作为VPC资源的Owner,拥有该VPC的所有权限。
所有者能够获取使用者在共享VSwitch中放入资源的如下属性:
- 实例id信息
- 私网IP地址信息
- 资源归属账号的ID信息
请注意,VPC所有者不能修改、删除使用者在共享Vswitch中的任何资源。
3.共享VPC使用者拥有的权限
VPC使用者作为共享的参与方,在VSwitch共享状态处于开启和关闭时,拥有不同的权限和限制。
• 当VSwitch处于共享状态时
- 使用者仅能查看与该共享VSwitch相关联的VPC、路由表、网络ACL信息;
- 使用者不能查看该VPC内其他账号的任何资源;
- 使用者可以将自己的资源创建在该共享的VSwitch中。
• 当VSwitch取消共享状态时
- 使用者不再具有之前共享的VPC/VSwitch的相关信息查看权限;
- 使用者配置在该VSwitch上的tag信息将被清除;
- 使用者不能继续在该VSwitch中创建资源;
- 之前创建在共享VSwitch中的资源,使用者能够继续管理并操作。
注意,使用者可以对共享的VSwitch进行tag标记,此标记与VPC Owner的tag标记互不可见、互不影响。
(三)共享VPC中的隔离需求
企业将单个VPC中的不同VSwitch共享给不同账号后,网络是默认连通的。
在某些场景下,企业希望将不同的VSwitch进行隔离。
企业可通过以下两种方式进行隔离:
- 网络ACL:实现跨VSwitch粒度的访问控制管理;
- 安全组:实现实例粒度的访问控制,并且支持跨账号安全组的互相引用。
小提示:使用安全组设置两个实例间禁止访问规则以达到网络隔离效果。这种办法主要用以弥补在相同VSwitch内的实例之间隔离无法采用网络ACL的缺失。当然,您仍然可以使用安全组跨账号引用能力实现跨VSwitch的不同账号下资源间的隔离,只需要您在安全组内配置好源IP和目标IP即可。
四、使用共享VPC的优势及注意
(一)企业运维提供标准化网络服务
- 企业运维部负责搭建整体网络架构,并将子网共享给业务部门,每个业务部门只能看到和操作自己的资源。
- 业务部门根据实际的业务需求添加或删除子网中的服务器,数据库等资源。
- 整个组织采用统一的网络架构和安全策略,业务方可聚焦自身业务逻辑和需求
- 网络和安全能力作为一个的服务供业务方使用,将运维体系标准化和流程化,并提升整个组织的IT效率。
(二)集中管理的VPC
职责分工更为清晰,使得网络配置管理集中,网络规划和运维由专门的团队负责,业务人员更专注于管理应用服务。
(三)避免创建一个“巨大”的VPC
对于共享VPC的优势而言,每个产品都存在相对的劣势,企业需要根据自身业务进行“适度”配置,以免造成风险。
- 考虑是否有强隔离需求,使用VPC是最好最简单的隔离方法。建议适当使用VPC和VSwitch的配比,在必要时使用CEN连接不同VPC,避免单个VPC过于臃肿巨大;
- VPC所有者无法修改使用者的资源,因此需要考虑当共享取消后,无法将使用者放入VSwitch中的资源剥离出去。
五、持续企业IT治理,实现“生产就绪”
阿里云开放平台提供了“生产就绪”的企业IT治理能力。
不同企业的形态不同,网络规划选型不可一概而论。企业上云需要做好规划,网络规划是第一步,未完待续。
欢迎企业客户探讨企业IT治理方法论。
https://open.aliyun.com/governance
