全部產品
Search
文件中心

Cloud Governance Center:搭建Landing Zone

更新時間:Jul 13, 2024

Landing Zone是阿里雲的企業上雲架構,它可以指導企業規劃和落地雲上的資源結構、訪問安全、網路架構和安全合規體系,為企業搭建安全、高效和可管理的雲環境。為方便您的操作,雲治理中心提供了藍圖模板,您可以基於藍圖模板輕鬆搭建您的Landing Zone。本文將以標準藍圖為例,為您介紹搭建Landing Zone的操作。

背景資訊

系統會自動檢查您指定的管理帳號是否開通了資來源目錄,對於未開通的情況,會自動幫您開通資來源目錄。

步驟一:配置搭建項

  1. 登入雲治理中心控制台

  2. 在左側導覽列,單擊Landing Zone搭建

  3. Landing Zone搭建頁面的選擇藍圖地區,選擇標準藍圖,然後單擊搭建

  4. 配置藍圖頁面的已添加搭建項地區,查看藍圖中已經添加的搭建項,您可以根據需要添加或刪除搭建項。

    • 單擊添加搭建項,添加新的搭建項。

      部分搭建項存在依賴關係,需要同時添加。

    • 單擊已有搭建項旁邊的刪除表徵圖,刪除不需要的搭建項。

      藍圖中必選的搭建項,不允許刪除。

    本樣本中,僅保留建立資源夾建立核心帳號防護規則三個必選搭建項。

步驟二:建立資源夾

資源夾是資來源目錄中的組織單元,通常用於指代企業的分公司、業務線或產品專案等。每個資源夾下可以放置成員,並允許嵌套子資源夾,最終形成樹形的資源群組織關係。您可以根據資源夾的用途進行資源分派、許可權管理、安全管控、合規管控等治理工作。

根據最佳實務,建議您建立以下兩個資源夾。當管理帳號中不存在這兩個資源夾時,雲治理中心會為您自動建立。

  • Core資源夾:用於放置具有管控用途的成員。

  • Applications資源夾:用於放置開展具體業務的成員。

您可以在已添加搭建項地區,單擊建立資源夾,查看系統自動產生的如上兩個資源夾。您可以修改資源夾名稱。如果確定不需要的時候,也可以將其刪除。

除了自動建立的Core資源夾和Applications資源夾以外,您還可以在資來源目錄的目標節點下,單擊建立資源夾,按照部門和業務環境等建立更細粒度的資源夾。

步驟三:建立核心帳號

您可以根據企業已有的職能團隊,建立對應的核心管理帳號,有利於您後續進行資源分派、許可權管理和安全合規管控等治理工作。

  1. 建立核心帳號地區的預設資源夾下拉式清單中,選擇核心帳號歸屬的資源夾。

    本樣本中,選擇步驟二:建立資源夾中建立的Core資源夾,即在Core資源夾下建立核心帳號。

  2. 設定財務託管方式。

    • 財務託管:財務託管是一項阿里雲推薦的可選設定,啟用以後您可以把所有帳號的財務結算、分賬等統一在此帳號管理。

    • 財務管理:相對財務託管,財務管理可以只指定部分財務能力使用統一帳號管理。選用此方式各個帳號預設使用自主結算方式,在搭建完成後,通過登入財務管理帳號進行配置。

    • 各帳號自主結算:保持各帳號自主結算,暫不設定財務統一的管理方式。

  3. 可選:如果您選擇了財務託管,那麼您需要設定財務託管帳號。

    您可以採用以下幾種方式設定財務託管帳號:

    • 指定已有帳號:指定當前管理帳號或資來源目錄中的成員為財務託管帳號。

      系統會自動判斷資來源目錄的成員是否合適擔任財務託管帳號,根據判斷結果,設定合適的財務託管帳號。

      說明

      如果系統提示成員不滿足要求,可能存在未完善財務資訊等情況,請前往費用與成本控制台完善。

    • 建立帳號:建立一個新的成員,指定其為財務託管帳號。

    • 邀請帳號:邀請一個阿里雲帳號加入資來源目錄,指定其為財務託管帳號。

  4. 指定核心帳號。

    本樣本中,將指定以下三個核心帳號:

    • 日誌帳號:用於統一收集所有成員的日誌資訊。預設啟用,不能選擇關閉。

    • 共用服務帳號:用於部署企業共用服務。預設啟用,可以選擇關閉。

    • 安全帳號:用於統一進行安全合規管控。預設啟用,可以選擇關閉。

    對於每一類帳號,您可以選擇建立帳號指定已有帳號。當您選擇建立帳號時,您需要配置帳號基本資料。

  5. 單擊配置下一項

步驟四:配置防護規則

您可以統一配置和開啟配置審計的防護規則,保證雲治理中心建立的資源結構和基礎配置不被修改,同時保證多帳號環境的安全性。

防護規則地區,查看並選中您需要的規則。關於防護規則的詳情,請參見統一配置防護規則

步驟五:執行Landing Zone搭建任務

  1. 各項參數配置完成後,單擊預覽配置,檢查各個搭建項配置。

  2. 檢查無誤後,單擊開始執行

  3. 查看執行狀態,等待任務全部執行完成後,單擊關閉

後續步驟

繼續搭建Landing Zone

上述步驟僅完成了Landing Zone的基礎搭建項,您可以在Landing Zone搭建頁面的右上方,單擊繼續搭建,配置更多的搭建項,一步步完善您的Landing Zone。更多資訊,請參見支援的搭建項

建立成員帳號

您可以在帳號工廠頁面,查看上述步驟中建立的核心帳號詳情,也可以統一配置帳號基準,基於帳號基準建立新的成員帳號。更多資訊,請參見使用帳號基準建立帳號

管理多帳號

  • 查看多帳號結構

    查看企業的多帳號結構概覽、資源夾和成員等。更多資訊,請參見查看帳號結構

  • 統一配置身份許可權

    對資來源目錄中的多個成員進行統一身份許可權配置。更多資訊,請參見統一配置身份許可權

  • 管理防護規則

    查看搭建Landing Zone時配置的防護規則詳情、查看資源合規結果、開啟或關閉推薦規則和可選規則的開關等。更多資訊,請參見統一配置防護規則

  • 統一投遞審計日誌

    將資來源目錄中所有成員的Action Trail日誌和配置審計日誌統一投遞到指定的日誌帳號,可以選擇投遞到Object Storage Service實現長期儲存,也可以投遞到Log ServiceSLS實現即時的日誌分析。更多資訊,請參見統一投遞審計日誌

  • 查看資源清單

    資源中心跨帳號、跨產品、跨地區查看資源。更多資訊,請參見資源中心概述

查看治理成熟度等級檢測結果

治理成熟度等級檢測可以持續檢測企業的雲上IT治理水平,並提供友好的治理引導,協助企業完善雲上IT治理的配置,降低雲上IT治理的風險。雲治理中心可以對企業資源目錄下的成員進行自動檢測,協助您及時發現治理缺失和潛在風險。更多資訊,請參見查看檢測資料並下載檢測報告