开发者社区> 阿里云开放平台小助手> 正文

从毛坯房到精装修,阿里云企业IT治理样板间助力云上管控和治理

简介: 随着近几年云的高速发展,云原生的概念深入人心,越来越多的企业选择上云实现数字化转型。无论是将传统应用搬迁上云,还是基于云原生技术构建新的产品和业务,企业都期望利用云技术低成本、敏捷的进行业务创新,实现上云价值最大化。 企业在上云之前,不只是将业务应用适配云环境,更重要的是需要给每个即将上云的业务规划和构建一个安全、可控、合规的「登陆区」(Landing Zone),让业务研发人员只用关心自身业务,大胆的依托于云上的能力快速进行业务迭代和创新,兼顾「效率」与「可控」,才能实现上云价值最大化。
+关注继续查看

iqrsbaxd.jpg

企业上云的挑战

随着近几年云的高速发展,云原生的概念深入人心,越来越多的企业选择上云实现数字化转型。无论是将传统应用搬迁上云,还是基于云原生技术构建新的产品和业务,企业都期望利用云技术低成本、敏捷的进行业务创新,实现上云价值最大化。

然而,随着云采用的深入,业务越来越多,资源类型和规模不断增大,企业也开始面临新的问题:

——如何确保云上的身份安全?
——如何实现多项目的资源隔离与权限隔离?
——如何确保不同业务之间的网络隔离和安全?
——如何将云上开支拆分到不同的业务团队?

这些问题,轻则影响业务稳定性和发展速度,重则引发安全风险,危及企业生存根基。因此,企业在上云之前,不只是将业务应用适配云环境,更重要的是需要给每个即将上云的业务规划和构建一个安全、可控、合规的「登陆区」(Landing Zone),让业务研发人员只用关心自身业务,大胆的依托于云上的能力快速进行业务迭代和创新,兼顾「效率」与「可控」,才能实现上云价值最大化。

这部分工作的核心在于企业IT治理基础设施的完善。

企业 IT 治理概述

企业 IT 治理是一系列指导企业 IT 规划和运行的策略、原则和实施流程,保证 IT 人员可以从 IT 整体层面管控业务风险,并确保企业业务高效、可靠地运行。一套完善的云上企业 IT 治理基础设施具有以下特点:

统一规范:企业需要规划统一的 IT 治理架构,并将相关规范落地到具体业务中,保障每个业务都能被管控和治理;

持续合规:不只是上云初期需要满足 IT 治理要求,在后期业务不断迭代,新业务快速增长过程中,能够持续、自动满足要求;

分治管理:当一个完善的企业 IT 治理架构成型后,除了基础设施需要 IT 运维团队介入外,业务自身运维即可交给业务方自行完成,减轻 IT 运维团队压力。

可以看出,为了实现云上价值最大化,不光需要企业花费大量精力了解云上相关能力,更重要的是在初期统一规划和实施,才能为云上业务构建出安全可控的登陆区,而不是让业务入驻一间不宜居住的「毛坯房」。近几年,多家阿里云企业客户也被这些问题所困扰,转向阿里云寻求最佳实践。为了帮助这些企业快速落地到阿里云,阿里云开放平台团队在构建了多项企业 IT 治理能力的基础上,结合多家企业上云过程中的痛点,总结出了最佳实践,在此基础上提出了阿里云企业 IT 治理样板间,和 3 套针对不同规模企业的具体实施方案,以及自动化工具帮助企业快速实施。接下来,我们以中大型企业和跨国企业为例,阐述一下企业 IT 治理样板间的设计理念。

企业 IT 治理样板间设计理念

企业IT治理样板间,主要是为企业客户在阿里云上搭建跨账号的复杂企业 IT 治理体系的基本骨架,包含以下几个方面:

640.png

企业云上资源结构:企业上云第一步,是需要通过多账号的方式构建出云上资源的基础架构,从而才能在此基础上进行有效的权限管控、合规审计、网络规划、财资托管等。通过阿里云提供的多种资源组织方式,可以方便有效的对云上资源架构进行组织,映射到企业自身各业务线的组织和划分,形成一颗清晰的资源「树」,为后续的其它几个方面的治理打下基础;

身份集成:企业往往有自己的身份管理系统,通过企业自有管理系统登录到阿里云是企业管理与合规的强诉求。通过阿里云角色 SSO,可以将企业员工身份或者用户组映射到特定权限的阿里云角色,便于组织管理。同时,企业也需要给不同角色,分配不同的权限策略,确保权限最小化。样板间方案中提供了一系列预置角色、权限策略的最佳实践和 SSO 自动化工具,帮助企业快速完成 SSO 配置;

IT 合规与审计:是企业 IT 治理过程中实现「效率」与「可控」的关键。特别是等保合规成为企业上云的硬性要求之后,合规和审计也成为企业 IT 治理的核心诉求之一。合规审计的主要实现途径分为三个:

预防性(preventive)管控:为符合企业合规准则,而禁止进行不合规操作,如禁止变更样板间的基础配置,禁止外网链接,禁止创建未加密的磁盘等;

发现性(detective)管控:对于一些建议性的合规准则,可以不用设置预防性管控,而是设置发现性规则并对企业资源进行持续监控,发现不合规资源时,进行记录、报警乃至自动修复;

审计日志持久化:对云上操作、资源变更、网络流量等日志进行持久化保存,以备审计之需;

费用与成本:成本分析是企业上云的基本需求,把支出算清楚,让成本更具备可预测性,是让企业放心上云的前提。越大型的企业,越需要关注每个业务、每个部门的预算与花费。根据不同的企业类型,有 Showback 和 Chargeback 两种分账模式,另外,根据企业的云上资源结构的规划,有账号维度分账、标签维度分账等几种常见措施;

网络规划、安全防护与监控:网络架构对于一个企业来说是至关重要的,关系到企业业务的运行、应用之间的调用、业务的扩展、企业的信息安全等。这部分主要包含企业网络 IP 地址规划、网络联通和访问控制。在该部分中,重点需要规划企业网络内部哪些安全域的服务是可以互通的,哪些服务可以访问公网或者被公网访问,同时,如何对 VPC 东西向、南北向的流量进行控制,保障企业安全;最后,对相关的网络资源、业务资源进行统一监控规则、报警规则的配置,实现业务问题早发现早治理;

新账号基线:在企业通过新账号开展新的业务时,也需要满足企业 IT 治理规范要求。对应的内容也就是前面提到的这些设计原则在新的账号中落地,比如身份集成、初始化网络架构、配置安全防护和监控报警等,同时结合预防性的管控策略保护账号合规基线,避免业务人员误操作导致业务不满足合规诉求,给企业造成风险。

样板间实施

有了样板间的设计理念,接下来就是如何根据企业自身特点以及所处阶段进行方案搭建和实施,协助企业快速将「毛坯房」进行精装修。在实际应用当中,很难有一种实施方案能够完美匹配每一家企业的诉求,每家企业都需要结合设计原则,根据自身诉求进行定制和组合。上文提到的 3 套有代表性的方案,就是阿里云分别针对初创企业、中大型企业以及跨国企业所提出的最佳“样板间”方案。您可以在阿里云开放平台官网浏览这些方案的具体介绍,其中初创企业样板间可在官网直接获取操作步骤和自动化代码,其他样板间方案请联系您的阿里云销售代表或服务经理。

实施过程,最理想的状态即是完全自动化。我们基于 IaC(Infrastructure as Code)的理念,结合 Terraform 等工具提供了自动化部署脚本和代码,并开源到了 Github( Aliyun Landing Zone Github),协助您快速部署一套样板间方案或整合到企业内部自动化流程系统中。

结语

随着云原生时代的到来,企业在云上会面临更多新的挑战。阿里云开放平台团队也会不断打磨自身产品和解决方案,沉淀更多的最佳实践,协助企业管好云、用好云,让企业业务能够更加敏捷的基于云原生能力进行创新。

如果在上云的过程中遇到了任何问题,或者有任何建议,欢迎随时与我们取得联系。也欢迎关注我们团队的最新动态,及时了解最新的企业上云最佳实践。

0922开发者社区内容引导图.png

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【活动报名】与 EMQ、阿里云和MongoDB共同应对海量IoT数据治理挑战
来自三方的技术专家将与大家分享和探讨如何利用 EMQ 物联网数据基础设施软件、阿里云 Lindorm 数据库以及 MongoDB 数据库,应对海量多结构物联网数据带来的挑战与机遇。
54 0
阿里云DataWorks荣获DAMA中国数据治理优秀产品奖
2022年12月3日,2022 DAMA中国数据管理峰会(线上部分)成功举行,汇聚多位世界级数据大咖分享,阿里云DataWorks凭借全链路数据治理产品体系,丰富的行业客户最佳实践案例,获得“DAMA中国数据治理优秀产品奖”。
586 0
《阿里云数据治理方案及案例分享》|学习笔记
快速学习《阿里云数据治理方案及案例分享》
357 0
重磅发布!阿里云全链路数据湖开发治理解决方案
阿里云重磅发布全链路数据湖解决方案,主要包含开源大数据平台E-MapReduce(EMR) + 一站式大数据数据开发治理平台DataWorks + 数据湖构建DLF + 对象存储OSS等核心产品。
1547 0
注册配置、微服务治理、云原生网关三箭齐发,阿里云 MSE 持续升级
MSE 云原生网关作为托管型的独享实例,与部署业务应用的资源解耦,并支持过载保护、故障自愈、限流降级等功能,确保流量高峰时的稳定性。其优异的性能表现使费芮不需要高规格的资源配置即可支撑大规模的业务调用。
165 0
注册配置、微服务治理、云原生网关三箭齐发,阿里云 MSE 持续升级
微服务引擎MSE面向业界主流开源微服务项目, 提供注册配置中心和分布式协调(原生支持Nacos/ZooKeeper/Eureka)、云原生网关(原生支持Ingress/Envoy)、微服务治理(原生支持Spring Cloud/Dubbo/Sentinel,遵循 OpenSergo 服务治理规范)能力。
147 0
阿里云云原生一体化数仓 — 数据治理新能力解读
本文介绍大数据开发治理平台DataWorks在数据治理领域的最新产品进展,包括基于事前、事中、事后的全链路理念构建的核心产品功能和数据治理量化评估机制解读,以及围绕降本增效的成本治理最佳实践。
1903 0
IDC:阿里云获2021中国数据治理平台市场份额第一
近日,领先的IT市场研究和咨询公司IDC发布《中国数据治理市场份额,2021:广泛落地,持续增长》报告,报告统计显示2021 年中国数据治理平台市场规模达 23.9 亿元。阿里云以23.4%份额获得2021中国数据治理平台市场份额第一。
741 0
始于架构,精于治理|阿里云中间件开发者大会火热报名中
6 月 16 日,主题为“始于架构、精于治理”的阿里云首届中间件开发者大会将在线上进行直播。
125 0
阿里云首家通过《可信云·云成本优化工具能力要求》评估,云原生企业 IT 成本治理方案助力企业 FinOps 落地
5 月 19 日,由中国信息通信研究院(以下简称“中国信通院”)和中国通信标准化协会联合主办的“2022 云管和云网大会”通过线上直播的形式成功召开。会上发布了《可信云•云成本优化工具能力要求 - 第1部分 原生工具》标准及首批评测结果。
288 0
+关注
来源圈子
更多
相关文档: OpenAPI Explorer
文章排行榜
最热
最新
相关电子书
更多
Elastic与阿里云合作宣传信息白皮书
立即下载
阿里云&信通院《Serverless数据库技术研究报告》
立即下载
降本增效,阿里云数据治理Workshop上海站
立即下载