从毛坯房到精装修,阿里云企业IT治理样板间助力云上管控和治理

简介: 随着近几年云的高速发展,云原生的概念深入人心,越来越多的企业选择上云实现数字化转型。无论是将传统应用搬迁上云,还是基于云原生技术构建新的产品和业务,企业都期望利用云技术低成本、敏捷的进行业务创新,实现上云价值最大化。企业在上云之前,不只是将业务应用适配云环境,更重要的是需要给每个即将上云的业务规划和构建一个安全、可控、合规的「登陆区」(Landing Zone),让业务研发人员只用关心自身业务,大胆的依托于云上的能力快速进行业务迭代和创新,兼顾「效率」与「可控」,才能实现上云价值最大化。

iqrsbaxd.jpg

企业上云的挑战

随着近几年云的高速发展,云原生的概念深入人心,越来越多的企业选择上云实现数字化转型。无论是将传统应用搬迁上云,还是基于云原生技术构建新的产品和业务,企业都期望利用云技术低成本、敏捷的进行业务创新,实现上云价值最大化。

然而,随着云采用的深入,业务越来越多,资源类型和规模不断增大,企业也开始面临新的问题:

——如何确保云上的身份安全?
——如何实现多项目的资源隔离与权限隔离?
——如何确保不同业务之间的网络隔离和安全?
——如何将云上开支拆分到不同的业务团队?

这些问题,轻则影响业务稳定性和发展速度,重则引发安全风险,危及企业生存根基。因此,企业在上云之前,不只是将业务应用适配云环境,更重要的是需要给每个即将上云的业务规划和构建一个安全、可控、合规的「登陆区」(Landing Zone),让业务研发人员只用关心自身业务,大胆的依托于云上的能力快速进行业务迭代和创新,兼顾「效率」与「可控」,才能实现上云价值最大化。

这部分工作的核心在于企业IT治理基础设施的完善。

企业 IT 治理概述

企业 IT 治理是一系列指导企业 IT 规划和运行的策略、原则和实施流程,保证 IT 人员可以从 IT 整体层面管控业务风险,并确保企业业务高效、可靠地运行。一套完善的云上企业 IT 治理基础设施具有以下特点:

统一规范:企业需要规划统一的 IT 治理架构,并将相关规范落地到具体业务中,保障每个业务都能被管控和治理;

持续合规:不只是上云初期需要满足 IT 治理要求,在后期业务不断迭代,新业务快速增长过程中,能够持续、自动满足要求;

分治管理:当一个完善的企业 IT 治理架构成型后,除了基础设施需要 IT 运维团队介入外,业务自身运维即可交给业务方自行完成,减轻 IT 运维团队压力。

可以看出,为了实现云上价值最大化,不光需要企业花费大量精力了解云上相关能力,更重要的是在初期统一规划和实施,才能为云上业务构建出安全可控的登陆区,而不是让业务入驻一间不宜居住的「毛坯房」。近几年,多家阿里云企业客户也被这些问题所困扰,转向阿里云寻求最佳实践。为了帮助这些企业快速落地到阿里云,阿里云开放平台团队在构建了多项企业 IT 治理能力的基础上,结合多家企业上云过程中的痛点,总结出了最佳实践,在此基础上提出了阿里云企业 IT 治理样板间,和 3 套针对不同规模企业的具体实施方案,以及自动化工具帮助企业快速实施。接下来,我们以中大型企业和跨国企业为例,阐述一下企业 IT 治理样板间的设计理念。

企业 IT 治理样板间设计理念

企业IT治理样板间,主要是为企业客户在阿里云上搭建跨账号的复杂企业 IT 治理体系的基本骨架,包含以下几个方面:

640.png

企业云上资源结构:企业上云第一步,是需要通过多账号的方式构建出云上资源的基础架构,从而才能在此基础上进行有效的权限管控、合规审计、网络规划、财资托管等。通过阿里云提供的多种资源组织方式,可以方便有效的对云上资源架构进行组织,映射到企业自身各业务线的组织和划分,形成一颗清晰的资源「树」,为后续的其它几个方面的治理打下基础;

身份集成:企业往往有自己的身份管理系统,通过企业自有管理系统登录到阿里云是企业管理与合规的强诉求。通过阿里云角色 SSO,可以将企业员工身份或者用户组映射到特定权限的阿里云角色,便于组织管理。同时,企业也需要给不同角色,分配不同的权限策略,确保权限最小化。样板间方案中提供了一系列预置角色、权限策略的最佳实践和 SSO 自动化工具,帮助企业快速完成 SSO 配置;

IT 合规与审计:是企业 IT 治理过程中实现「效率」与「可控」的关键。特别是等保合规成为企业上云的硬性要求之后,合规和审计也成为企业 IT 治理的核心诉求之一。合规审计的主要实现途径分为三个:

预防性(preventive)管控:为符合企业合规准则,而禁止进行不合规操作,如禁止变更样板间的基础配置,禁止外网链接,禁止创建未加密的磁盘等;

发现性(detective)管控:对于一些建议性的合规准则,可以不用设置预防性管控,而是设置发现性规则并对企业资源进行持续监控,发现不合规资源时,进行记录、报警乃至自动修复;

审计日志持久化:对云上操作、资源变更、网络流量等日志进行持久化保存,以备审计之需;

费用与成本:成本分析是企业上云的基本需求,把支出算清楚,让成本更具备可预测性,是让企业放心上云的前提。越大型的企业,越需要关注每个业务、每个部门的预算与花费。根据不同的企业类型,有 Showback 和 Chargeback 两种分账模式,另外,根据企业的云上资源结构的规划,有账号维度分账、标签维度分账等几种常见措施;

网络规划、安全防护与监控:网络架构对于一个企业来说是至关重要的,关系到企业业务的运行、应用之间的调用、业务的扩展、企业的信息安全等。这部分主要包含企业网络 IP 地址规划、网络联通和访问控制。在该部分中,重点需要规划企业网络内部哪些安全域的服务是可以互通的,哪些服务可以访问公网或者被公网访问,同时,如何对 VPC 东西向、南北向的流量进行控制,保障企业安全;最后,对相关的网络资源、业务资源进行统一监控规则、报警规则的配置,实现业务问题早发现早治理;

新账号基线:在企业通过新账号开展新的业务时,也需要满足企业 IT 治理规范要求。对应的内容也就是前面提到的这些设计原则在新的账号中落地,比如身份集成、初始化网络架构、配置安全防护和监控报警等,同时结合预防性的管控策略保护账号合规基线,避免业务人员误操作导致业务不满足合规诉求,给企业造成风险。

样板间实施

有了样板间的设计理念,接下来就是如何根据企业自身特点以及所处阶段进行方案搭建和实施,协助企业快速将「毛坯房」进行精装修。在实际应用当中,很难有一种实施方案能够完美匹配每一家企业的诉求,每家企业都需要结合设计原则,根据自身诉求进行定制和组合。上文提到的 3 套有代表性的方案,就是阿里云分别针对初创企业、中大型企业以及跨国企业所提出的最佳“样板间”方案。您可以在阿里云开放平台官网浏览这些方案的具体介绍,其中初创企业样板间可在官网直接获取操作步骤和自动化代码,其他样板间方案请联系您的阿里云销售代表或服务经理。

实施过程,最理想的状态即是完全自动化。我们基于 IaC(Infrastructure as Code)的理念,结合 Terraform 等工具提供了自动化部署脚本和代码,并开源到了 Github( Aliyun Landing Zone Github),协助您快速部署一套样板间方案或整合到企业内部自动化流程系统中。

结语

随着云原生时代的到来,企业在云上会面临更多新的挑战。阿里云开放平台团队也会不断打磨自身产品和解决方案,沉淀更多的最佳实践,协助企业管好云、用好云,让企业业务能够更加敏捷的基于云原生能力进行创新。

如果在上云的过程中遇到了任何问题,或者有任何建议,欢迎随时与我们取得联系。也欢迎关注我们团队的最新动态,及时了解最新的企业上云最佳实践。

0922开发者社区内容引导图.png

相关文章
|
27天前
|
弹性计算 运维 Serverless
阿里云Elasticsearch Serverless助力大型企业咨询公司大幅提升效能
阿里云Elasticsearch Serverless服务,提升了某大型企业咨询公司的数据查询速度和准确性,在实现成本可控的同时,帮助提高了企业效能并加强了客户服务能力。
278 0
|
20天前
|
弹性计算 运维 监控
【阿里云弹性计算】从物理机到阿里云ECS:企业IT架构转型升级之路
【5月更文挑战第29天】随着云计算兴起,企业正转向阿里云ECS以应对传统物理机的挑战。本文详述了这一转型过程,包括现状评估、迁移计划制定、测试环境搭建、应用数据迁移及后期监控优化。转型升级可提升资源利用率,降低运维成本,加快业务响应,并增强数据安全。示例代码展示了使用阿里云Python SDK创建ECS实例的过程。
147 1
|
24天前
|
Dubbo Cloud Native 应用服务中间件
【阿里云云原生专栏】云原生环境下的微服务治理:阿里云 Dubbo 与 Nacos 的深度整合
【5月更文挑战第25天】阿里云Dubbo和Nacos提供微服务治理的强大工具,整合后实现灵活高效的治理。Dubbo是高性能RPC框架,Nacos则负责服务发现和配置管理。整合示例显示,通过Nacos注册中心,服务能便捷注册发现,动态管理配置。简化部署,提升适应性,但也需注意服务稳定性和策略规划。这种整合为云原生环境的微服务架构带来强大支持,未来应用前景广阔。
214 2
|
26天前
|
存储 弹性计算 运维
阿里云Elasticsearch Serverless助力医疗科技企业实现业务提效和加速创新
通过采用阿里云Elasticsearch Serverless服务,某医疗科技企业解决了大规模智能床垫数据存储和分析的挑战。Serverless架构帮助客户降低50%以上的成本,实现资源弹性伸缩,免去运维负担,提高业务弹性和稳定性,企业能更专注于产品创新和用户体验优化。
292 1
|
1月前
|
存储 人工智能 运维
|
20天前
|
存储 固态存储 安全
阿里云4核CPU云服务器价格参考,最新收费标准和活动价格
阿里云4核CPU云服务器多少钱?阿里云服务器核数是指虚拟出来的CPU处理器的核心数量,准确来讲应该是vCPU。CPU核心数的大小代表了云服务器的运算能力,CPU越高,云服务器的性能越好。阿里云服务器1核CPU就是一个超线程,2核CPU2个超线程,4核CPU4个超线程,这样云服务器可以同时处理多个任务,计算性能更强。如果网站流程较小,少量图片展示的企业网站,建议选择2核及以上CPU;如果网站流量较大,动态页面比较多,有视频等,建议选择4核、8核以上CPU。
阿里云4核CPU云服务器价格参考,最新收费标准和活动价格
|
1天前
|
弹性计算 缓存 安全
云服务器 ECS产品使用问题之如何解决阿里云幻兽帕鲁服务器游戏版本不兼容
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
1天前
|
弹性计算 Linux 云计算
云服务器 ECS产品使用问题之如何解决阿里云幻兽帕鲁服务器转移后无法进入的问题
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
1天前
|
SQL 弹性计算 API
云服务器 ECS产品使用问题之如何通过API调用阿里云服务器上SQL Server数据库中的数据
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。

热门文章

最新文章