雲計算,如今已經成為了像水和電一般關係到國計民生的國家基礎設施。雲計算為企業帶了前所未有的資源交付效率和運維效率的提公升,同時也用全新的技術幫助企業在新的價值網路中創造新的商業賽道、挖掘新的商業模式。越來越多的企業開始主動或被動地嘗試使用雲,而那些已經嚐到雲「甜頭」的企業在加速上雲節奏,不斷將創新業務、非核心的企業業務、乃至企業核心業務逐步遷移上雲。
企業的上雲步驟,一般可分為「嘗鮮」和「雲化」兩個階段。
在「雲化」階段,隨著企業雲上業務量的增加、雲上業務對企業的重要性或者核心程度的增加,對於有著多年內部 it 管理業務和經驗的企業來說,原來「深藏不露」的企業 it 管理部門勢必被推到雲上管理的前台,配合業務部門,為企業在雲上的資源購買和使用、雲上業務應用或服務等提供雲上 it 運維管理和支援。隨之而來的,還有企業的財務與安全合規部門,他們將對企業在雲上的業務從財務管控和安全合規風控的角度提出不同的管理要求。企業在追求效率和速度的同時,不得不考慮統一管控、安全、成本控制、自動化、效能等企業管理視角的業務需求。
比較常見的場景是,當企業在「嘗鮮」階段享受到上雲的好處、做出更加大規模的上雲決策後,it、財務、安全等乙個或多各部門逐步介入,在保證企業使用者能夠簡便、高效使用雲資源、雲服務的同時,確保企業使用者在雲上的行為符合企業內部的it規定、成本控制、以及安全規範。與此同時,還需要實現企業原有的 it 管控流程、運維人員和檢驗標準與雲上業務的有效整合、而不至於在同一家企業內部形成管理斷層。
當企業的業務逐漸上雲,參與雲的團隊人數增多,雲上使用的資源數量也大幅增加,隨之帶來的是管理複雜度的增加。其中,企業it部門最頭疼的問題包括:
不同型別、不同規模的企業在雲上的管理複雜度也不盡相同。管理複雜度通常取決於公司研發運維的人數、組織架構的複雜度、雲上資源的規模、it**商的數量等等。為了解決雲上it管理所面臨的問題,阿里雲提供相應的訪問控制、資源管理、財資管理、合規管理等能力。這些能力可以單獨或結合起來使用。
資源管理
資源管理是雲上it管理的核心。企業中的應用(以及應用所對應的it資源)通常會按照類似組織結構的方式進行劃分。不同部門會對應著不同的應用;也有的企業按照產品線、產品的方式劃分。
和公司的組織結構一樣,資源的組織結構通常也成樹狀。阿里雲資源管理服務可以幫助企業對映組織關係和應用的結構。通過資源目錄,企業可以定義:
下圖為阿里雲在資源結構劃分的示意圖。
阿里雲資源管理服務同時提供賬號內資源組的管理。雲賬號的所有者可以對賬號內的資源進行進一步的劃分,以滿足許可權分離的需求,從而提高多人協作的效率。資源的分組通常可以按照應用的模組,例如web前端,服務後端,網路等。
在簡單管控模型中,也可以直接將雲賬號使用為部門,並使用資源組來劃分應用。
訪問控制
和資源管理平行的是對身份的管理。企業的組織結構通常代表著企業對於職能,業務,地域的劃分,呈樹狀結構。企業對於組織、身份通常使用既有的管理系統進行集中管理,例如員工的入職、離職、密碼、匯報關係等等。在使用雲的過程中,使用雲的人員需要在雲上有相應的身份,並被授予相應的許可權去訪問雲上的環境。
阿里雲用來管理身份許可權的產品叫訪問控制。訪問控制提供兩種身份管理的方式:沒有本地人員管理系統的企業,可以直接使用阿里雲的使用者、使用者組對人員的身份進行管理;有本地人員管理系統的企業,可以使用訪問控制中sso(單點登入)功能,鏈結本地身份和阿里雲身份。
在我們服務大型企業的過程中,發現很多企業已經使用身份認證系統,如微軟active directory, azure active directory, okta等,並且希望人員的管理依然在原有的身份認證系統中。阿里雲提供兩種sso的方式:
以下示例為使用角色sso登陸阿里雲:
資源、人員的問題解決後,it管理員可以對人員許可權作出規劃。【訪問控制】中的許可權策略提供了常用的系統策略,同時支援使用者自定義許可權策略。許可權策略定義了使用者可以執行操作,以及執行的條件。
阿里雲【訪問控制】支援三種級別的授權:賬號級別,資源組級別,資源級別。
許可權控制中需要注意的問題是:
審計與合規
雖然有了授權機制讓使用者沒有許可權做不符合企業規定的事情,但在許可權範圍內使用者依然有可能由於多種原因作出錯誤的操作。因此,審計作為it部門最後一道防線,記錄所有發生的事情。一旦發生不符合預期的事情,it部門有可以調出歷史記錄,追溯事故發生的原因。另一方面,為了避免事故發生,企業根據業界標準和企業過往的最佳實踐,制定出內部it規定,例如密碼策略規定,公網訪問規定等。 這些規定需要系統化的方式被監控,確保企業時刻處於「合規「的狀態。 阿里雲在審計和合規方面提供豐富的能力。
操作審計
操作審計(actiontrail)會記錄您的雲賬戶資源操作,提供操作記錄查詢,並可以將審計事件儲存到您指定的日誌服務logstore或者oss儲存空間。通過actiontrail儲存的所有操作記錄,您可以實現安全分析、資源變更追蹤以及合規性審計。
actiontrail收集雲服務的api呼叫記錄(包括使用者通過控制台觸發的api呼叫記錄),規格化處理後將操作記錄以日誌的形式儲存到指定的日誌服務logstore中,或者以檔案形式儲存到指定的oss儲存空間。使用者可以使用儲存產品豐富的管理功能來管理這些審計資料,比如授權、開啟生命週期管理、歸檔管理、檢索、分析、報警等。
配置審計(cloud config)
配置審計是本次雲棲大會發布公測的重量級產品。它為您提供您在阿里雲上的資源列表、當前配置快照、歷史配置快照等資訊,幫助您了解資源配置的歷史變更詳情。同時它還支援您配置合規審計規則,來監控資源部署和資源配置的合規性。當您的資源配置發生變更時,config會將變更快照以檔案的形式儲存到您指定的oss中。當出現「不合規」情況時,config將按照您的訂閱設定向您傳送告警。幫助您在面對大量資源時,輕鬆的實現基礎設施的自主監管,持續保證合規性。
財資管理
企業作為乙個整體通常在財務方面有統一的管理。常見的兩種場景是:
財資管理
上雲不同階段的企業,在it治理方面會遇到不同的挑戰。上雲早期的企業,了解it治理框架,可以為企業日後規模化的上雲做好準備。上雲成熟的企業,了解阿里雲上it治理最佳實踐,能夠讓效率事半功倍。
來杭州雲棲大會,全面了解企業如何實現雲上IT治理
企業上雲的現狀與趨勢 雲計算,如今已經成為了像水和電一般關係到國計民生的國家基礎設施。雲計算為企業帶了前所未有的資源交付效率和運維效率的提公升,同時也用全新的技術幫助企業在新的價值網路中創造新的商業賽道 挖掘新的商業模式。越來越多的企業開始主動或被動地嘗試使用雲,而那些已經嚐到雲 甜頭 的企業在加速...
2015杭州雲棲大會
昨天去由阿里巴巴主辦的雲棲大會湊了下熱鬧。作為一名物理出身的手遊開發者,對以下三件事特別感興趣。1.量子計算 潘建偉院士不愧是物理界的明星,把科研結合應用落到了實處。這次量子加密通訊作為大會重磅產品推出,可見量子計算已經開始進入應用領域。2.雲和大資料 阿里雲憑藉強大資金和技術支援,正在不斷推進全球...
龔胤全雲棲大會 2018杭州 雲棲大會
cachekey aliyun erwei waitpic weibolink 杭州 雲棲大會 pic title 2018杭州雲棲大會 targeturl content 9月19日 22日杭州雲棲小鎮 170餘場前沿技術 產品及行業峰會 daychoose count daychoose all...