企業上雲的現狀與趨勢
雲計算,如今已經成為了像水和電一般關係到國計民生的國家基礎設施。雲計算為企業帶了前所未有的資源交付效率和運維效率的提公升,同時也用全新的技術幫助企業在新的價值網路中創造新的商業賽道、挖掘新的商業模式。越來越多的企業開始主動或被動地嘗試使用雲,而那些已經嚐到雲「甜頭」的企業在加速上雲節奏,不斷將創新業務、非核心的企業業務、乃至企業核心業務逐步遷移上雲。
企業的上雲步驟,一般可分為「嘗鮮」和「雲化」兩個階段。
在「嘗鮮」階段,企業初始做雲化,一般會從開發測試環境開始,或者選擇企業的創新業務、非核心業務去嘗試構建雲原生應用,嘗試雲產品,對比不同雲服務以及基礎設施架構。
在「雲化」階段,企業對基礎設施進行改造,在企業資訊保安和成本控制允許的情況下,將更多業務遷移到雲上來,既要兼顧企業雲上業務發展的便捷、高效與速度,同時需要幫助企業在雲上的安全管控、成本優化等做好保駕護航。
在「雲化」階段,隨著企業雲上業務量的增加、雲上業務對企業的重要性或者核心程度的增加,對於有著多年內部 it 管理業務和經驗的企業來說,原來「深藏不露」的企業 it 管理部門勢必被推到雲上管理的前台,配合業務部門,為企業在雲上的資源購買和使用、雲上業務應用或服務等提供雲上 it 運維管理和支援。隨之而來的,還有企業的財務與安全合規部門,他們將對企業在雲上的業務從財務管控和安全合規風控的角度提出不同的管理要求。企業在追求效率和速度的同時,不得不考慮統一管控、安全、成本控制、自動化、效能等企業管理視角的業務需求。
比較常見的場景是,當企業在「嘗鮮」階段享受到上雲的好處、做出更加大規模的上雲決策後,it、財務、安全等乙個或多各部門逐步介入,在保證企業使用者能夠簡便、高效使用雲資源、雲服務的同時,確保企業使用者在雲上的行為符合企業內部的it規定、成本控制、以及安全規範。與此同時,還需要實現企業原有的 it 管控流程、運維人員和檢驗標準與雲上業務的有效整合、而不至於在同一家企業內部形成管理斷層。
企業雲上管理的問題
當企業的業務逐漸上雲,參與雲的團隊人數增多,雲上使用的資源數量也大幅增加,隨之帶來的是管理複雜度的增加。其中,企業it部門最頭疼的問題包括:
雲上的安全風險
初期上雲許多企業,為了追求速度,缺少最基本的安全安全策略。例如所有員工共用主賬號的使用者名稱和密碼,所有員工都具有管理員許可權,使用者的身份缺乏統一的管理等。員工離職帶走密碼,或者使用者名稱密碼洩漏,對企業it設施是致命的打擊。
資源管理的混亂
在「嘗鮮」階段,少量團隊在雲上做最初的嘗試,對於資源管控的需求很弱。當雲上的資源迅速增加,大量的資源混在一起無法區分,it部門對於不同組織結構、不同專案所消耗的雲資源和產生的成本無法提供足夠的資訊。使用雲資源的不同部門也無法只管理「自己」的資源。種種問題,讓it部門備受壓力,企業開始思考是不是雲並不適合所有企業。
雲上的成本浪費
企業在雲上的成本主要來自資源的成本和運維人員的成本。閒置的資源和低下的運維效率都會造成成本的浪費。
雲上 it 治理框架
不同型別、不同規模的企業在雲上的管理複雜度也不盡相同。管理複雜度通常取決於公司研發運維的人數、組織架構的複雜度、雲上資源的規模、it**商的數量等等。為了解決雲上it管理所面臨的問題,阿里雲提供相應的訪問控制、資源管理、財資管理、合規管理等能力。這些能力可以單獨或結合起來使用。
阿里雲it治理能力說明
資源管理
資源管理是雲上it管理的核心。企業中的應用(以及應用所對應的it資源)通常會按照類似組織結構的方式進行劃分。不同部門會對應著不同的應用;也有的企業按照產品線、產品的方式劃分。
和公司的組織結構一樣,資源的組織結構通常也成樹狀。阿里雲資源管理服務可以幫助企業對映組織關係和應用的結構。通過資源目錄,企業可以定義:
資源夾:資源夾對應組織的具體結構,不同的結構可以作為賬單、管控的單元。
資源賬號或雲賬號:用來代表應用、服務(一組應用),或者應用的生產、測試環境。
下圖為阿里雲在資源結構劃分的示意圖。
阿里雲資源管理服務同時提供賬號內資源組的管理。雲賬號的所有者可以對賬號內的資源進行進一步的劃分,以滿足許可權分離的需求,從而提高多人協作的效率。資源的分組通常可以按照應用的模組,例如web前端,服務後端,網路等。
在簡單管控模型中,也可以直接將雲賬號使用為部門,並使用資源組來劃分應用。
訪問控制
和資源管理平行的是對身份的管理。企業的組織結構通常代表著企業對於職能,業務,地域的劃分,呈樹狀結構。企業對於組織、身份通常使用既有的管理系統進行集中管理,例如員工的入職、離職、密碼、匯報關係等等。在使用雲的過程中,使用雲的人員需要在雲上有相應的身份,並被授予相應的許可權去訪問雲上的環境。
阿里雲用來管理身份許可權的產品叫訪問控制。訪問控制提供兩種身份管理的方式:沒有本地人員管理系統的企業,可以直接使用阿里雲的使用者、使用者組對人員的身份進行管理;有本地人員管理系統的企業,可以使用訪問控制中sso(單點登入)功能,鏈結本地身份和阿里雲身份。
在我們服務大型企業的過程中,發現很多企業已經使用身份認證系統,如微軟active directory, azure active directory, okta等,並且希望人員的管理依然在原有的身份認證系統中。阿里雲提供兩種sso的方式:
角色sso:it管理員預先在阿里雲上建立管理角色,如「管理員」,「運維」,「監控」,並為角色分配對應的許可權。在企業身份認證系統中,不同的使用者會對映到不同的角色。阿里雲上無需進行使用者同步。
使用者sso:it管理員同步本地人員登陸資訊到阿里雲,並在阿里雲上建立使用者組以及管理許可權。
以下示例為使用角色sso登陸阿里雲:
資源、人員的問題解決後,it管理員可以對人員許可權作出規劃。【訪問控制】中的許可權策略提供了常用的系統策略,同時支援使用者自定義許可權策略。許可權策略定義了使用者可以執行操作,以及執行的條件。
阿里雲【訪問控制】支援三種級別的授權:賬號級別,資源組級別,資源級別。
許可權控制中需要注意的問題是:
控制root賬號。root賬號具有所有的許可權,因此也帶來更大的安全隱患。通常情況下,您無需使用root賬號。
授權策略遵守最小夠用原則。
在較高的層次授權來減少管理的複雜性。盡可能使用賬號或資源組級別的授權。
審計與合規
雖然有了授權機制讓使用者沒有許可權做不符合企業規定的事情,但在許可權範圍內使用者依然有可能由於多種原因作出錯誤的操作。因此,審計作為it部門最後一道防線,記錄所有發生的事情。一旦發生不符合預期的事情,it部門有可以調出歷史記錄,追溯事故發生的原因。另一方面,為了避免事故發生,企業根據業界標準和企業過往的最佳實踐,制定出內部it規定,例如密碼策略規定,公網訪問規定等。 這些規定需要系統化的方式被監控,確保企業時刻處於「合規「的狀態。 阿里雲在審計和合規方面提供豐富的能力。
操作審計
操作審計(actiontrail)會記錄您的雲賬戶資源操作,提供操作記錄查詢,並可以將審計事件儲存到您指定的日誌服務logstore或者oss儲存空間。通過actiontrail儲存的所有操作記錄,您可以實現安全分析、資源變更追蹤以及合規性審計。
actiontrail收集雲服務的api呼叫記錄(包括使用者通過控制台觸發的api呼叫記錄),規格化處理後將操作記錄以日誌的形式儲存到指定的日誌服務logstore中,或者以檔案形式儲存到指定的oss儲存空間。使用者可以使用儲存產品豐富的管理功能來管理這些審計資料,比如授權、開啟生命週期管理、歸檔管理、檢索、分析、報警等。
配置審計(cloud config)
配置審計是本次雲棲大會發布公測的重量級產品。它為您提供您在阿里雲上的資源列表、當前配置快照、歷史配置快照等資訊,幫助您了解資源配置的歷史變更詳情。同時它還支援您配置合規審計規則,來監控資源部署和資源配置的合規性。當您的資源配置發生變更時,config會將變更快照以檔案的形式儲存到您指定的oss中。當出現「不合規」情況時,config將按照您的訂閱設定向您傳送告警。幫助您在面對大量資源時,輕鬆的實現基礎設施的自主監管,持續保證合規性。
財資管理
企業作為乙個整體通常在財務方面有統一的管理。常見的兩種場景是:
統一支付:絕大多數的企業使用者和雲廠商已企業維度進行結算。對應的阿里雲提供資源目錄下的財資託管,讓企業可以對於名下的多個賬號進行統一結算和支付。
成本分析和chargeback:對於雲上成本重視的企業,通常會按照不同維度進行成本分析,例如按照專案、負責人、組織結構等。更進一步,有的企業會根據每個部門產生的成本做內部結算。在阿里雲,使用者可以通過資源組、標籤等方式來標識資源,並最終在賬單中得到體現。企業通過賬單api獲取賬單詳細資訊,並根據這些標識來進行分賬。未來阿里雲也會提供更優質的賬單、成本方面的體驗。
寫在結尾的話
上雲不同階段的企業,在it治理方面會遇到不同的挑戰。上雲早期的企業,了解it治理框架,可以為企業日後規模化的上雲做好準備。上雲成熟的企業,了解阿里雲上it治理最佳實踐,能夠讓效率事半功倍。
來杭州雲棲大會,全面了解企業如何實現雲上IT治理
雲計算,如今已經成為了像水和電一般關係到國計民生的國家基礎設施。雲計算為企業帶了前所未有的資源交付效率和運維效率的提公升,同時也用全新的技術幫助企業在新的價值網路中創造新的商業賽道 挖掘新的商業模式。越來越多的企業開始主動或被動地嘗試使用雲,而那些已經嚐到雲 甜頭 的企業在加速上雲節奏,不斷將創新業...
2015杭州雲棲大會
昨天去由阿里巴巴主辦的雲棲大會湊了下熱鬧。作為一名物理出身的手遊開發者,對以下三件事特別感興趣。1.量子計算 潘建偉院士不愧是物理界的明星,把科研結合應用落到了實處。這次量子加密通訊作為大會重磅產品推出,可見量子計算已經開始進入應用領域。2.雲和大資料 阿里雲憑藉強大資金和技術支援,正在不斷推進全球...
龔胤全雲棲大會 2018杭州 雲棲大會
cachekey aliyun erwei waitpic weibolink 杭州 雲棲大會 pic title 2018杭州雲棲大會 targeturl content 9月19日 22日杭州雲棲小鎮 170餘場前沿技術 產品及行業峰會 daychoose count daychoose all...