創造作業系統,就是去創造一個所有應用程式賴以運作的基礎環境。從根本上來說,就是在制定規則:什麼可以接受,什麼可以做,什麼不可以做。事實上,所有的程式都是在制定規則,隻不過作業系統是在制定最根本的規則。"
—— 《Linus Torvalds自傳》
經常有人吐槽自己在阿裡雲上買完了東西又忘掉了,結果這個東西就一直扣費,以至于欠了費才發現。這樣的事情發生在我自己身上就有好幾次。
其實經常關注一下資源組就可以很大程度上避免這樣的事情發生,在阿裡雲控制台右上角的“資源組”中點選“檢視全部”,再點選“預設資源組”就能看到這個賬号下所有的資源概覽情況。另一個入口是在右上角菜單欄的“企業”下的“資源管理”。
今天要聊的重點正是阿裡雲的資源管理,資源管理包括資源組和資源目錄兩個功能子產品,有了這兩個東西,阿裡雲這個作業系統終于有了“視窗界面”。
以下内容來自阿裡雲2019杭州雲栖大會《開放平台與合作夥伴專場》
第一個演講題目叫做《被內建——阿裡雲開放平台體系架構解讀》,演講人是阿裡雲開放平台負責人圭多。
據圭多介紹:阿裡雲已累計對外開放10000+的API接口,95%的雲産品對外開放了API,日調用量已達100億次量級。阿裡雲開放平台包括身份管理、權限管理、資源管理、日志&審計、計費&賬單等系統,其上提供了多語言SDK、CLI、API Explorer、API Inspector、Cloud Shell、Cloud Toolkit等工具和API接口。
第二個演講嘉賓是來自SAP的多雲運維總監孟總,題目叫做《SAP基于阿裡雲開放平台的企業雲管理》
孟總介紹:在SAP内部有一套多雲管理平台MCC,MCC包含賬戶和使用者權限管理、财務運維、網絡運維、安全運維、資料備份等功能,SAP的内部使用者都要通過MCC來申請資源,擷取通路權限。SAP通過阿裡雲資源目錄來實作企業雲管理,實作了:
- 集中管理所有(阿裡)雲賬戶
- 所有成員賬戶的整合賬單
- 集中控制每個賬戶可通路的雲服務和操作
- 與其他阿裡雲服務的橫向內建,包括操作審計、配置審計、安全中心
第三個演講嘉賓是阿裡雲的進階産品專家陳總,演講的題目叫做《面向企業的IT治理實踐》
陳總介紹:雲上IT治理的三個關鍵分别是資源管理、通路控制、IT合規。
在資源管理上可以通過資源組和标簽進行管理,兩者的差別是:
- 資源組、代表資源管理的最小單元,常用于“項目”,不同團隊管理不同的項目,資源隻能從屬于一個資源組。
- 标簽、資源屬性的擴充,常和企業運維邏輯緊密結合,如成本管理、運維流程、一個資源可以有多個标簽。
針對複雜的企業組織結構,可以基于資源目錄進行多賬号管理,可以根據組織結建構立資源目錄,同時實作多賬号的集中管理和資源的強隔離,實作企業所有雲賬号的統一财資托管。
針對通路控制,建議不要使用ROOT AK,使用RAM AK。通過在客戶一端建立SAML SP并配置阿裡雲的SAML SP中繼資料實作對接企業内部人員管理系統的單點登入系統,使用角色SSO和使用者SSO來實作程式通路和使用者同步。
針對配置和合規要求,可以通過配置審計來依據規則引擎來實作合規評估和自動修正。例如可以制定以下合規要求:
- 雲上必須設定強密碼且設定過期政策
- 使用者必須綁定雙因素,否則禁止管理資源
- 主賬号不能建立AK
- 隻能購買華北1區域的ECS執行個體
- 隻能購買CPU 4,記憶體容量8G的ECs執行個體
- 資源必須已綁定指定标簽
- 禁止配置可直接路由到網際網路的路由表
- 禁止為ECS、RDS、OSS配置公網IP
- 安全組不能設定為0.0.0.0/0
- 雲上磁盤必須啟用加密
- 負載均衡必須開啟HTTPS監聽
- ECS執行個體挂載到指定的VPC執行個體上
這些都可以通過阿裡雲的配置審計進行檢查,有一篇有關配置審計和安全合規的最佳實踐可供參考:
《雲上資源操作和資源審計 最佳實踐》
[
https://www.aliyun.com/acts/best-practice/preview?spm=5176.12487612.0.best-practice.455d6fb0cpgXlH&&id=149808]
後面的演講還包括兩家阿裡雲合作夥伴以及OpenAPI規範體系的介紹。
最後是《企業IT內建與治理實戰》的演講,演講人是阿裡雲進階技術專家聰戎。
聰戎的核心觀點是上雲是一個過程,從最開始的單應用試水到後來的單業務線實踐再到最後的多業務線多環境全面上雲。
開始時我們通過一個雲賬号就可以管理所有的資源,到後來就需要通過資源組來根據業務團隊和項目組将資源分别由不同的團隊和賬号進行管理。
阿裡雲官網有關資源組的介紹:
資源組(Resource Group)是在阿裡雲賬号下進行資源分組管理的一種機制,資源組能夠幫助您解決單個雲賬号内的資源分組和授權管理的複雜性問題。
- 對單個雲賬号下多個地域、多種雲資源進行集中的分組管理。
- 為每個資源組設定管理者,資源組管理者可以獨立管理資源組内的所有資源。
- 按資源組次元檢視您的賬單消費資料,以解決不同業務的成本分攤問題。
聰戎對資源組和資源目錄進行了操作示範:
預設情況下,使用者購買的的所有資源都在預設資源組下,使用者可以建立資源組,并将資源移入該資源組下,并為某個RAM使用者在此資源組下配置設定一定的權限,則這個RAM的這些權限隻在這個資源組下有效。
單個賬号下的資源分組管理使用資源組,假如是像SAP這樣的大公司大機構則需要跨多個賬号實作統一資源聚合管理,這就需要使用資源目錄,有關資源目錄更詳細的操作指引可以參考一篇阿裡雲最佳實踐文檔:
《資源管理最佳實踐》
https://www.aliyun.com/acts/best-practice/preview?spm=5176.13138632.3fap8xbb8.1.30e42d396LqjF8&id=156496]![與專家面對面:Android開發入門問與答[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)