创造操作系统,就是去创造一个所有应用程序赖以运行的基础环境。从根本上来说,就是在制定规则:什么可以接受,什么可以做,什么不可以做。事实上,所有的程序都是在制定规则,只不过操作系统是在制定最根本的规则。"
—— 《Linus Torvalds自传》
经常有人吐槽自己在阿里云上买完了东西又忘掉了,结果这个东西就一直扣费,以至于欠了费才发现。这样的事情发生在我自己身上就有好几次。
其实经常关注一下资源组就可以很大程度上避免这样的事情发生,在阿里云控制台右上角的“资源组”中点击“查看全部”,再点击“默认资源组”就能看到这个账号下所有的资源概览情况。另一个入口是在右上角菜单栏的“企业”下的“资源管理”。
今天要聊的重点正是阿里云的资源管理,资源管理包括资源组和资源目录两个功能模块,有了这两个东西,阿里云这个操作系统终于有了“视窗界面”。
以下内容来自阿里云2019杭州云栖大会《开放平台与合作伙伴专场》
第一个演讲题目叫做《被集成——阿里云开放平台体系架构解读》,演讲人是阿里云开放平台负责人圭多。
据圭多介绍:阿里云已累计对外开放10000+的API接口,95%的云产品对外开放了API,日调用量已达100亿次量级。阿里云开放平台包括身份管理、权限管理、资源管理、日志&审计、计费&账单等系统,其上提供了多语言SDK、CLI、API Explorer、API Inspector、Cloud Shell、Cloud Toolkit等工具和API接口。
第二个演讲嘉宾是来自SAP的多云运维总监孟总,题目叫做《SAP基于阿里云开放平台的企业云管理》
孟总介绍:在SAP内部有一套多云管理平台MCC,MCC包含账户和用户权限管理、财务运维、网络运维、安全运维、数据备份等功能,SAP的内部用户都要通过MCC来申请资源,获取访问权限。SAP通过阿里云资源目录来实现企业云管理,实现了:
- 集中管理所有(阿里)云账户
- 所有成员账户的整合账单
- 集中控制每个账户可访问的云服务和操作
- 与其他阿里云服务的横向集成,包括操作审计、配置审计、安全中心
第三个演讲嘉宾是阿里云的高级产品专家陈总,演讲的题目叫做《面向企业的IT治理实践》
陈总介绍:云上IT治理的三个关键分别是资源管理、访问控制、IT合规。
在资源管理上可以通过资源组和标签进行管理,两者的区别是:
- 资源组、代表资源管理的最小单元,常用于“项目”,不同团队管理不同的项目,资源只能从属于一个资源组。
- 标签、资源属性的扩展,常和企业运维逻辑紧密结合,如成本管理、运维流程、一个资源可以有多个标签。
针对复杂的企业组织结构,可以基于资源目录进行多账号管理,可以根据组织结构创建资源目录,同时实现多账号的集中管理和资源的强隔离,实现企业所有云账号的统一财资托管。
针对访问控制,建议不要使用ROOT AK,使用RAM AK。通过在客户一端创建SAML SP并配置阿里云的SAML SP元数据实现对接企业内部人员管理系统的单点登录系统,使用角色SSO和用户SSO来实现程序访问和用户同步。
针对配置和合规要求,可以通过配置审计来依据规则引擎来实现合规评估和自动修正。例如可以制定以下合规要求:
- 云上必须设置强密码且设置过期策略
- 用户必须绑定双因素,否则禁止管理资源
- 主账号不能创建AK
- 只能购买华北1区域的ECS实例
- 只能购买CPU 4,内存容量8G的ECs实例
- 资源必须已绑定指定标签
- 禁止配置可直接路由到互联网的路由表
- 禁止为ECS、RDS、OSS配置公网IP
- 安全组不能设置为0.0.0.0/0
- 云上磁盘必须启用加密
- 负载均衡必须开启HTTPS监听
- ECS实例挂载到指定的VPC实例上
这些都可以通过阿里云的配置审计进行检查,有一篇有关配置审计和安全合规的最佳实践可供参考:
《云上资源操作和资源审计 最佳实践》
[
https://www.aliyun.com/acts/best-practice/preview?spm=5176.12487612.0.best-practice.455d6fb0cpgXlH&&id=149808]
后面的演讲还包括两家阿里云合作伙伴以及OpenAPI规范体系的介绍。
最后是《企业IT集成与治理实战》的演讲,演讲人是阿里云高级技术专家聪戎。
聪戎的核心观点是上云是一个过程,从最开始的单应用试水到后来的单业务线实践再到最后的多业务线多环境全面上云。
开始时我们通过一个云账号就可以管理所有的资源,到后来就需要通过资源组来根据业务团队和项目组将资源分别由不同的团队和账号进行管理。
阿里云官网有关资源组的介绍:
资源组(Resource Group)是在阿里云账号下进行资源分组管理的一种机制,资源组能够帮助您解决单个云账号内的资源分组和授权管理的复杂性问题。
- 对单个云账号下多个地域、多种云资源进行集中的分组管理。
- 为每个资源组设置管理员,资源组管理员可以独立管理资源组内的所有资源。
- 按资源组维度查看您的账单消费数据,以解决不同业务的成本分摊问题。
聪戎对资源组和资源目录进行了操作演示:
默认情况下,用户购买的的所有资源都在默认资源组下,用户可以新建资源组,并将资源移入该资源组下,并为某个RAM用户在此资源组下分配一定的权限,则这个RAM的这些权限只在这个资源组下有效。
单个账号下的资源分组管理使用资源组,假如是像SAP这样的大公司大机构则需要跨多个账号实现统一资源聚合管理,这就需要使用资源目录,有关资源目录更详细的操作指引可以参考一篇阿里云最佳实践文档:
《资源管理最佳实践》
https://www.aliyun.com/acts/best-practice/preview?spm=5176.13138632.3fap8xbb8.1.30e42d396LqjF8&id=156496]![与专家面对面:Android开发入门问与答[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)