概述
企业用户上云后,随着云资源数量的增多和使用云产品类型的增多,资源管理的成本不断增大。通过对资源进行标识分类可以帮助提升管理效率。标签是阿里云提供的用于标识云资源的一种工具,越来越多的企业客户通过标签从不同维度对云资源进行分类,进而服务于运维、监控、账单等场景。
标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。标签键在标签管理中用于定义一个分类的值(key),多由用户定义来代表不同的分类标准。标签值用来陈述一个标签键代表的分类下都有哪些选项。一个资源上可以有多个标签,这使得标签非常灵活可以按照不同的标准进行资源的分类。
然而在标签的实际使用过程中,存在着不少的问题。创建资源后,忘了绑定标签;只绑定了部分标签,例如:绑定了运维相关的标签,遗漏了财务相关的标签;资源没有及时绑定标签;绑定的标签拼写错误等情况。这可能导致企业在标签分账时,出现未分配账单,费用无法分摊,业务成本无法准确衡量。自动化运维时,无法快速查询资源,无法进行批量操作,疏忽遗漏部分资源。在监控时,资源未被业务监控,资源不能告警,带来潜在业务稳定性风险。
标签策略统一提供标签事前管控和事后合规的能力,从而解决资源未绑定标签的问题,帮助企业标签分账、自动化运维等场景提升管理效率。并同时支持单账号和多账号模式,满足企业在不同阶段对标签规范的管控。
标签策略能力
标签自动检测
资源创建后,标签策略定时进行资源的检测,检测可以发现未正确绑定标签的资源,包含2种情况:
1.绑定了标签但不规范的资源
2.没有绑定指定标签的资源
自动检测的方式可以自动化地、全面地提早发现问题。
标签自动修复
在自动检测的基础上,如果您的规则符合自动修复的条件,并开启了自动修复,则无需人工操作,标签策略会进行自动标签修复。
创建资源时必须指定标签
由于自动检测具有一定时延,存在资源创建后到检测触发时间段内,资源是未绑定标签的情况。部分企业要求能够从源头进行标签规范化控制:资源创建时就必须绑定标签。没有绑定标签,则资源创建不成功,这样就不存在资源在某些时段是未绑定标签的。
标签策略机制
了解事前/事后的运行机制:
事前强制:
当用户通过控制台或者API方式进行资源创建或资源打标操作时,如果不符合标签策略的规范,则资源不能被生产或者绑定标签失败。
事后合规:
资源生产后,标签策略监听资源配置信息及时进行资源检测,如果发现不符合标签策略的规范,则会生成不合规的报告,如果设置了自动修复,则会对不合规资源进行修复。
标签策略的示例
痛点
1.企业使用标签进行分账,大量使用ECS资源,由于资源漏打标签,造成大量未分配的费用。
2.用户有意识去建立集团的标签规范,但是苦于没有合理的工具帮助实现规范的落地。
3.用户企业拥有多个业务线多个独立账号,需要一个能够统一进行多账户管控的方式落地标签规范。
4.事后审计追溯的方式还是需要较多人力成本,希望能在创建资源时就要求绑定标签。
方案
1.使用资源目录管理多个账号,管理员启用标签策略。
2.创建标签策略,在策略中指定需要绑定的标签键,并设置强制执行和强制执行的资源类型。
3.将标签策略绑定在root资源夹。
在企业中实施标签策略
step1 建议:选择测试账号或者资源较少的账号
· 确认企业范围需要绑定标签键。 分账、监控等场景使用到的标签如costcenter、project等
· 设置自动检测
· 绑定策略
· 等待第一次的检测结果
step2 根据当前标签绑定的合规水平选择合规方式
如果标签绑定普遍较低,建议选择事后合规。如果标签绑定普遍较高,可以选择事前管制方式。
选择事前管制方式,需要和资源创建及相关人员同步标签强制的风险。绑定的标签不合规会导致资源生产失败。
step3 在单个生产账号上启用
在生产账号上重复step1、step2。
step4 推广到多账号
如果您在阿里云上没有多个账号,或者还没有使用资源目录可先跳过该步骤。
对于使用资源目录的企业,可以先在root资源夹设置统一的策略,运行一段时间。
step5 策略的迭代优化
根据资源组等范围指定更详细的自动修复规则。
根据不同部门的具体要求完善策略。
END
