摘要:越來越多的企業客戶開始遷雲,然而客戶上雲後所回報最多的一類問題就是雲資源的管理問題。究其原因,我們發現本質問題是企業上雲的雲賬号規劃問題。于是産出本文,首先介紹阿裡雲賬号的基本概念及其功能,然後全面解釋阿裡雲所提供的四種雲資源管理基礎模型,最後再提供一個案例分析,以幫助上雲客戶有效解決雲資源的安全管理問題。
雲賬号又稱租戶賬号,它是阿裡雲客戶的身份辨別。要正确了解一個雲賬号,我們需要從四個方面來看:
雲賬号是多租戶資源隔離的基本主體。在雲平台上,不同客戶所購買的雲資源是預設隔離的,比如,賬号A在ECS上購買的虛拟機在預設時不會被其它雲賬号看見。
雲賬号是雲資源的屬主(ResourceOwner)。任何雲資源都有唯一的屬主,該屬主就是雲賬号,屬主将要確定對所租用資源的合規、合法使用。
雲賬号是雲資源使用計量及财務結算主體。雲賬号具有獨立的财務管理能力,比如申請信用額度、充值續費、賬單結算、開具發票等。
雲賬号是雲資源的權限管理者(root)。雲賬号是資源的屬主,對資源擁有完全控制權限,而且可以将這些權限授予給其他使用者。
注意:盡管雲财務管理提供對多個賬号的财務合并管理功能,但不同賬号之家的資源仍然是完全隔離的。多賬号的财務合并管理并不會打破多租戶資源隔離這一基本原則。
這是企業上雲的原始模型。該模型僅僅依賴雲賬号所提供的基礎功能,如下圖所示:
适用場景:
單個項目上雲
單使用者使用與管理
僅适合于個人學習或測試場景
__注意:__由于該模型沒有遵循最佳安全實踐,我們不推薦任何企業客戶使用,而強烈建議客戶使用Type-III(單賬号+RAM)模型來取代該模型。
該模型支援多個雲賬号以及多賬号的合并财務管理,比較适合于多個獨立項目或子公司上雲的場景,不同項目或子公司的機器/網絡資源無需互通,并且希望在财務方面能提供統一結算、合并賬單、統一開票、共享資金和信用額度等功能。
模型描述如下圖所示:
集團型企業,多個子公司上雲
不同子公司資源隔離,網絡或機器不需要互通
需要合并不同子公司的賬單、支付和開票管理
每個子公司有獨立的運維管理者
普通企業單項目上雲
多使用者運維管理,實作不同職責的權限分離
最佳安全實踐,滿足最小權限原則
普通企業多項目上雲
資源按項目進行分組管理
每個項目分組可以實作獨立的分級權限管理
多使用者運維,實作不同職責的權限分離
按照項目分組次元檢視賬單
有了上述四種基礎模型,很大程度上能直接滿足大部分的客戶場景。然而有的企業客戶場景和需求比較複雜,而且業務模型也可能不斷演變,是以有時候并不能給出一個絕對正确的方案。
比如,很多客戶可能都會問到 —— “我的企業到底應該使用單個賬号還是多個賬号呢?” 但這個問題并沒有一個千篇一律的标準答案。很多企業可能已經建立了多個賬号,那麼也許隻能沿着多賬号結構繼續走下去(因為跨賬号資源過戶及資料遷移是一件更加挑戰的事情)。如果你的企業正在規劃上雲的賬号結構,那麼如下建議可供參考。
__如果你的企業在财務管理或安全管理方面有如下訴求,那麼建議使用多賬号結構__:
不同BU (business unit) 或 CC (cost center) 之間的成本預算和賬單消費要求100%的隔離,比如部門A的花費不能記在部門B的賬上。
不同項目之間或運作環境之間需要做到最進階别的資源和安全隔離,比如要求“開發環境”與“生産環境”有嚴格的資源隔離和清晰的安全邊界。
我們提供的上述四種基本模型,很大程度上就能直接滿足大部分的客戶場景。然而有的企業客戶場景和需求比較複雜,需要足夠了解這四種模型的優劣之後才能得到有效的解決方案。
如下是一個真實的客戶案例:
企業A有超過1萬員工,有企業本地資料中心,資訊安全系統健全,企業内部正在使用Windows AD進行員工域賬号管理。企業有10個新項目要上雲,平均每個項目大約需要50台ECS虛拟機及其它相關雲資源,目前各個項目的資源不需要互通,但希望後續也能支援互通的可能性。希望每個項目能有獨立的管理者,項目管理者能獨立管理項目資源、項目成員及其權限管理。所有雲資源操作人員要求使用企業本地域賬号認證,禁止繞過企業本地身份認證系統而直接操作雲資源。所有項目希望能合并記賬,統一支付和賬單管理。
針對這個客戶場景,簡單方案是采用Type-II模型(多賬号+合并财務管理)。比如,一共申請11個雲賬号,每個項目對應一個雲賬号,最後一個雲賬号用于合并财務管理。然而,這一做法存在的問題有兩個:(1) 如果企業未來需要實作不同項目的資源互通,盡管技術上存在可行性,但會導緻相當高的管理成本;(2) 由于要實作與企業本地AD系統的身份聯盟,那麼就要在11個雲賬号下都開通RAM,域賬号資料同步到每個RAM,并且還要為每個RAM都配置外部賬号SSO,這也會導緻相當高的技術管理成本。
是以我們會推薦采用Type-IV模型(單賬号+RAM+資源組管理)來解決該客戶場景問題:客戶一共隻需要申請1個雲賬号,開啟RAM服務,企業域賬号同步到RAM,并在RAM中開啟使用外部賬号SSO。在這個雲賬号下建立10個項目,為不同項目設定獨立的管理者,那麼管理者可以自治管理項目的資源和權限。雲财務管理系統也将為客戶提供基于資源組次元的賬單管理和财務功能,是以可以更好地滿足客戶需要,真正有效地降低客戶上雲的安全管理成本。
基于多租戶的雲資源管理與傳統的企業資源管理有着本質的差别。上雲之前,客戶隻有充分了解了雲平台所提供的雲資源管理模型和能力時,遷雲才可能是一件充滿無限魅力的事情。