一、方案背景
随着雲計算的普及,雲的使用被逐漸認可,企業上雲的任務需要進一步深耕。越來越多的企業将更多的業務放在了雲端,這使得企業采購的雲資源迅速增多,核心業務上雲後,企業管控的需求随之而來。業務強隔離、按組織結構劃分業務、多種結算模式以及生産賬号保護等要求之下,單個賬号已無法支撐企業的繼續發展。
企業使用多賬号來适應業務發展需要,但無序、散落的企業賬号不便于集中管理,同時基于多賬号的使用,企業需要進一步精細化管控業務,解決多賬号管理帶來的新問題。
阿裡雲提供了一套多賬号管理系統-資源目錄(Resource Directory,簡稱RD,
檢視介紹),旨在幫助企業将多賬号組織并管理起來。
網絡架構規劃是企業上雲第一步,複雜場景下企業如何将多賬号結構與網絡部署進行統一規劃?本文主要介紹基于資源目錄場景下,企業将多賬号有序組織起來後,如何快速實作它們之間的網絡互通,并避免現有方案下的一些問題。
二、現有網絡互通方案及問題
企業采用多賬号來部署其不同的業務或應用,這些賬号間經常會有網絡互通的需求。
阿裡雲推薦使用雲企業網(Cloud Enterprise Network)将多個賬号間的專有網絡(Virtual Private Cloud)進行連接配接,以實作多賬号間的網絡互通。
雲企業網是承載在阿裡雲提供的高性能、低延遲的私有全球網絡上的一張高可用網絡。
雲企業網可幫助您在不同地域VPC間,VPC與本地資料中心間搭建私網通信通道,通過自動路由分發及學習,提高網絡的快速收斂和跨網絡通信的品質和安全性,實作全網資源的互通,幫助您打造一張具有企業級規模和通信能力的網際網路絡。
企業通過上述網絡規劃,可以實作不同賬号間業務互通的目的,但随着業務複雜度的增加,新問題也在不斷産生。
Q1:分散配置無法集中網絡運維
企業網絡架構是一張經過規劃的大網,當網絡設施分散在每個業務賬号之下時,企業網絡運維人員很難做到集中的網絡統一控制
Q2:重複網絡資源配置帶來的成本增加
在每個賬号内進行VPC的配置,使得企業的人力配置維護成本和執行個體費用成本都在增加。
Q3:VPC數量上升帶來的網絡複雜度上升
為了滿足企業的業務需要,VPC數量會不斷攀升,與此同時,随之而來網絡複雜度、管理難度、及類似CEN可支援挂載的VPC數量限制等Quota問題顯現了出來。
三、使用共享VPC解決問題
随着企業業務的增長,使用的賬号數量也在增長,不可避免會使用超多的VPC,導緻上述問題的出現,那麼能否少用一些VPC,同樣滿足企業網絡架構需要呢?答案是肯定的。
阿裡雲提供企業通過共享VPC的方式來減少企業訂購和配置VPC的數量。本章節将介紹共享VPC的實作原理。
(一)建立賬号間的共享關系
建立共享VPC的先決條件是,先建立A、B兩個賬号的共享關系。
1. 資源共享機制
資源共享(Resource Sharing,簡稱RS)是阿裡雲提供的一種賬号間共享資源的機制,它支援您将一個賬号下的資源,共享給另一個或多個賬号使用。
資源共享的4個基本概念釋義如下
-
共享單元
資源共享的執行個體。共享單元本身也是一種雲資源,擁有獨立的ID和ARN(Aliyun Resource Name),您可以給共享單元分組和綁定标簽。
-
資源所有者
資源共享的發起方,也是共享資源的擁有者,通常為一個阿裡雲賬号。
-
資源使用者
資源共享的受益方,對共享的資源具有特定的操作權限,通常為一個或多個阿裡雲賬号。
-
共享的資源
用來共享的資源,通常為某雲服務的某類資源。例如,專有網絡(VPC)的交換機(VSwitch)。
注意,資源共享服務目前支援基于資源目錄中的賬号進行共享,是以建立共享的兩個賬号均需處于同一個資源目錄内。當然,如果企業使用大量的阿裡雲賬号承載業務,将這些賬号進行組織化管理,資源目錄是個很好的必要選擇。
點選此處了解資源目錄2. 資源共享使用須知
(1)基于資源目錄的共享關系建立,無需資源使用者進行确認,因為在同一個資源目錄内的賬号具備相同的企業租戶形态,共享行為将被視為企業管理行為。
(2)上圖所示,在一個共享單元中,資源所有者、資源使用者和共享的資源三者構成一組共享關系,資源所有者與資源使用者和共享的資源分别都是1:N關系,您可以在同一個共享單元内添加多個資源使用者和共享的資源。
(3)資源共享服務為Region化部署,目前已開放支援杭州、上海、新加坡、張家口、北京地域。
(4) 限制:每個賬号的共享單元數量和共享的資源數量預設為10個。企業可以根據自己的需要向阿裡雲申請擴大限制數量的要求。
更多資源共享詳情,請轉至産品介紹頁面了解在本文中,我們着重介紹的是基于資源共享,将一個賬号内VPC下的交換機(VSwitch)作為共享資源share給另一個賬号使用。
(二)共享VPC
共享VPC允許多個賬号在一個集中管理、共享的VPC内建立雲資源,例如雲伺服器ECS、負載均衡SLB、雲資料庫RDS等。共享VPC基于資源共享RS(Resource Sharing)機制,VPC的所有者可以将VPC内的交換機共享給其阿裡雲企業賬号組織内的其他賬号使用。
檢視産品詳情 1.多賬号共享同一個VSwitch
企業可将VSwitch粒度的資源進行共享,極大減少了VPC的使用數量,有效降低由VPC數量上升帶來的問題。
2.共享VPC所有者擁有的權限
所有者作為VPC資源的Owner,擁有該VPC的所有權限。
所有者能夠擷取使用者在共享VSwitch中放入資源的如下屬性:
- 執行個體id資訊
- 私網IP位址資訊
- 資源歸屬賬号的ID資訊
請注意,VPC所有者不能修改、删除使用者在共享Vswitch中的任何資源。
3.共享VPC使用者擁有的權限
VPC使用者作為共享的參與方,在VSwitch共享狀态處于開啟和關閉時,擁有不同的權限和限制。
• 當VSwitch處于共享狀态時
- 使用者僅能檢視與該共享VSwitch相關聯的VPC、路由表、網絡ACL資訊;
- 使用者不能檢視該VPC内其他賬号的任何資源;
- 使用者可以将自己的資源建立在該共享的VSwitch中。
• 當VSwitch取消共享狀态時
- 使用者不再具有之前共享的VPC/VSwitch的相關資訊檢視權限;
- 使用者配置在該VSwitch上的tag資訊将被清除;
- 使用者不能繼續在該VSwitch中建立資源;
- 之前建立在共享VSwitch中的資源,使用者能夠繼續管理并操作。
注意,使用者可以對共享的VSwitch進行tag标記,此标記與VPC Owner的tag标記互不可見、互不影響。
(三)共享VPC中的隔離需求
企業将單個VPC中的不同VSwitch共享給不同賬号後,網絡是預設連通的。
在某些場景下,企業希望将不同的VSwitch進行隔離。
企業可通過以下兩種方式進行隔離:
- 網絡ACL:實作跨VSwitch粒度的通路控制管理;
- 安全組:實作執行個體粒度的通路控制,并且支援跨賬号安全組的互相引用。
小提示:使用安全組設定兩個執行個體間禁止通路規則以達到網絡隔離效果。這種辦法主要用以彌補在相同VSwitch内的執行個體之間隔離無法采用網絡ACL的缺失。當然,您仍然可以使用安全組跨賬号引用能力實作跨VSwitch的不同賬号下資源間的隔離,隻需要您在安全組内配置好源IP和目标IP即可。
四、使用共享VPC的優勢及注意
(一)企業運維提供标準化網絡服務
- 企業運維部負責搭建整體網絡架構,并将子網共享給業務部門,每個業務部門隻能看到和操作自己的資源。
- 業務部門根據實際的業務需求添加或删除子網中的伺服器,資料庫等資源。
- 整個組織采用統一的網絡架構和安全政策,業務方可聚焦自身業務邏輯和需求
- 網絡和安全能力作為一個的服務供業務方使用,将運維體系标準化和流程化,并提升整個組織的IT效率。
(二)集中管理的VPC
職責分工更為清晰,使得網絡配置管理集中,網絡規劃和運維由專門的團隊負責,業務人員更專注于管理應用服務。
(三)避免建立一個“巨大”的VPC
對于共享VPC的優勢而言,每個産品都存在相對的劣勢,企業需要根據自身業務進行“适度”配置,以免造成風險。
- 考慮是否有強隔離需求,使用VPC是最好最簡單的隔離方法。建議适當使用VPC和VSwitch的配比,在必要時使用CEN連接配接不同VPC,避免單個VPC過于臃腫巨大;
- VPC所有者無法修改使用者的資源,是以需要考慮當共享取消後,無法将使用者放入VSwitch中的資源剝離出去。
五、持續企業IT治理,實作“生産就緒”
阿裡雲開放平台提供了“生産就緒”的企業IT治理能力。
不同企業的形态不同,網絡規劃選型不可一概而論。企業上雲需要做好規劃,網絡規劃是第一步,未完待續。
歡迎企業客戶探讨企業IT治理方法論。
https://open.aliyun.com/governance