Resource Directoryサービスは、さまざまなAlibaba Cloudアカウントのリソースを管理し、仮想プライベートクラウド (VPC) を他のAlibaba Cloudアカウントと共有するのに役立ちます。 これにより、複数のAlibaba Cloudアカウント間のネットワーク通信が確立され、各部門が独自のビジネスに集中できるため、組織のIT管理効率が向上します。
背景情報
クラウドコンピューティングが普及するにつれて、ますます多くの企業がクラウド上にサービスをデプロイし、より多くのクラウドリソースを購入しています。 そこで問題が発生します。企業がクラウドリソースを効率的に管理するためには、どうしたら良いのでしょうか。 企業は、ビジネスの分割、ビジネスの分離、複数の支払い方法の使用について、厳しい要件を定めています。 シングルアカウントモードでは、企業の持続可能な発展をサポートできなくなっています。 企業がマルチアカウントモードを採用し、ビジネスが発展するための要件を満たすことで、この問題を解決することができます。 ただし、マルチアカウントモードを使用する場合、以下の問題が発生する可能性があります。
- 複数アカウントの管理
企業は、複数の分離された Alibaba Cloud アカウントを一元管理できないことがあります。 したがって、より洗練された管理方法が必要です。
- 複数アカウント間の通信
企業はCloud Enterprise Network (CEN) を使用して、異なるアカウントが属する VPC を接続します。 このようにして、異なるアカウント内のクラウドリソースが互いに通信できるようになります。 ただし、ビジネスが複雑化するにつれ、以下のの問題が発生する可能性があります。
- ネットワークリソースを分離してデプロイすることよる、ネットワークの O&M の複雑化
企業ネットワークは、ネットワークリソースが異なるアカウントによってデプロイおよび管理される場合があり、その結果、巨大化、複雑化します。 その結果、O&M 担当者が企業ネットワークを一元管理することは困難になります。
- 頻繁なネットワークリソース設定によるコストの増加
異なるアカウントによる VPC 設定が頻繁に行われると、O&M とインスタンスのコストが増大します。
- VPC 数の増加によるネットワークの複雑化
ビジネス要件を満たすには、ますます多くの VPC を展開する必要があります。 その結果、複合ネットワーク、管理の困難さ、およびリソース割り当て制限などの問題が発生します。 たとえば、CEN インスタンスにアタッチされた VPC 数が上限に達する場合があります。
- ネットワークリソースを分離してデプロイすることよる、ネットワークの O&M の複雑化
上記の問題に対処するために、リソースディレクトリサービスを使用して、さまざまなAlibaba Cloudアカウントのリソースを管理できます。 たとえば、リソースとVPCを共有して、Alibaba Cloudアカウント間でネットワーク通信を確立できます。
シナリオ
ワークロード生産中、企業は複数のアカウントを使用してワークロードを分割および分離することができる。 これらのアカウントをより適切に管理するために、企業はリソースディレクトリを使用して、組織構造またはワークロードのステータスに基づいてVPCをデプロイ、構成、および管理します。 たとえば、企業はVPCを共有して、デフォルトのvSwitchを除くvSwitchを異なる部門間で共有できます。 これにより、ワークロードの複雑さが増加した場合に、企業がネットワークのO&Mコストとネットワークトポロジを制御できます。
ビジネス部門は、共有vSwitchにデプロイされたリソースのみを表示および管理できます。 さらに、ビジネス部門は、ビジネス要件に基づいて、クラウドインスタンスやデータベースなどの共有vSwitch内のリソースを作成または削除できます。
解決策
リソースディレクトリを使用した複数のAlibaba Cloudアカウントの管理
Alibaba Cloud が提供する リソースディレクトリサービスを使用すると、リソースとアカウント間の関係を複数レベルで管理できます。 ビジネス要件に基づいてサブディレクトリを作成することで、リソースディレクトリを作成できます。 必要に応じて、企業のAlibaba Cloudアカウントをサブディレクトリにデプロイできます。 これにより、組織内の関係に基づいて、アカウントとリソースを一元管理できます。 さらに、財務、セキュリティ、監査、およびコンプライアンスに関する要件を満たすことができます。 詳細については、「リソースディレクトリの概要」をご参照ください。
リソース共有を使用して同一リソースディレクトリ内のメンバーとリソースを共有
リソースディレクトリ内で、企業はリソース共有サービスを使用して、リソース共有を作成することにより、アカウント (リソース所有者) 内の指定されたリソースを1つ以上のアカウント (プリンシパル) と共有できます。 詳細については、「リソース共有の概要」をご参照ください。
同一リソースディレクトリ内のメンバーと VPC を共有
企業は、リソース共有サービスを使用して、デフォルトのvSwitchを除くVPC vSwitchをリソースディレクトリ内の他のメンバー (プリンシパル) と共有できます。 リソースディレクトリのメンバーは、ECS (Elastic Compute Service) インスタンス、SLB (Server Load Balancer) インスタンス、ApsaraDB RDSインスタンスなどのリソースを同じVPCにデプロイできます。 この方法により、リソース管理を容易に実行できます。 リソース所有者とプリンシパルによって作成されたリソースは、共有 VPC 内で通信できます。
説明一部のシナリオでvSwitchを分離する場合は、次の方法を使用します。
ネットワークアクセス制御リスト (ACL) を設定して、vSwitch を分離します。
セキュリティグループを設定して、vSwitchのインスタンスを分離します。 他のアカウントに属するセキュリティグループを使用することもできます。
カスタムVPC vSwitchは、複数のアカウントで共有できます。 アカウントごとに個別のVPCを作成する必要はありません。 より少ないVPCを使用して、ネットワークリソースの費用を管理し、ネットワークの複雑さを軽減できます。
共有vSwitchおよびリソースに対する権限の詳細については、「VPC共有の概要」をご参照ください。
手順
ステップ1: リソースディレクトリ内でvSwitchを共有する
管理者またはリソースディレクトリのメンバーは、リソースディレクトリ内のすべてのメンバー、リソースディレクトリの特定のフォルダー内のすべてのメンバー、またはリソースディレクトリ内の特定のメンバーとリソースを共有できます。
詳細については、「VPC共有の有効化」をご参照ください。
リソースディレクトリを使用して複数のアカウントを管理する
リソース共有の有効化
リソース所有者としてリソース共有を作成
ステップ2: 共有vSwitchをリソース所有者として表示して使用する
既定では、リソース所有者がvSwitchを共有した後、プリンシパルはそれ以上の権限なしで共有vSwitchを使用できます。 プリンシパルは、他のアカウントが共有する vSwitch を表示できます。 ECSインスタンス、SLBインスタンス、ApsaraDB RDSインスタンスなどのクラウドリソースを共有vSwitchに作成することもできます。
詳細については、「共有vSwitchにプリンシパルとしてクラウドリソースを作成する」をご参照ください。