Landing Zone是阿里雲的企業上雲架構,它可以指導企業規劃和落地雲上的資源結構、訪問安全、網路架構和安全合規體系,為企業搭建安全、高效和可管理的雲環境。為方便您的操作,雲治理中心提供了藍圖模板,您可以基於藍圖模板輕鬆搭建您的Landing Zone。本文將以標準藍圖為例,為您介紹搭建Landing Zone的操作。
背景資訊
系統會自動檢查您指定的管理帳號是否開通了資來源目錄,對於未開通的情況,會自動幫您開通資來源目錄。
步驟一:配置搭建項
登入雲治理中心控制台。
在左側導覽列,選擇 。
在Landing Zone搭建頁面的選擇藍圖地區,選擇標準藍圖,然後單擊搭建。
在配置藍圖頁面的已添加搭建項地區,查看藍圖中已經添加的搭建項,您可以根據需要添加或刪除搭建項。
單擊添加搭建項,添加新的搭建項。
部分搭建項存在依賴關係,需要同時添加。
單擊已有搭建項旁邊的表徵圖,刪除不需要的搭建項。
藍圖中必選的搭建項,不允許刪除。
本樣本中,僅保留建立資源夾、建立核心帳號和防護規則三個必選搭建項。
步驟二:建立資源夾
資源夾是資來源目錄中的組織單元,通常用於指代企業的分公司、業務線或產品專案等。每個資源夾下可以放置成員,並允許嵌套子資源夾,最終形成樹形的資源群組織關係。您可以根據資源夾的用途進行資源分派、許可權管理、安全管控、合規管控等治理工作。
根據最佳實務,建議您建立以下兩個資源夾。當管理帳號中不存在這兩個資源夾時,雲治理中心會為您自動建立。
Core資源夾:用於放置具有管控用途的成員。
Applications資源夾:用於放置開展具體業務的成員。
您可以在已添加搭建項地區,單擊建立資源夾,查看系統自動產生的如上兩個資源夾。您可以修改資源夾名稱。如果確定不需要的時候,也可以將其刪除。
除了自動建立的Core資源夾和Applications資源夾以外,您還可以在資來源目錄的目標節點下,單擊建立資源夾,按照部門和業務環境等建立更細粒度的資源夾。
步驟三:建立核心帳號
您可以根據企業已有的職能團隊,建立對應的核心管理帳號,有利於您後續進行資源分派、許可權管理和安全合規管控等治理工作。
在建立核心帳號地區的預設資源夾下拉式清單中,選擇核心帳號歸屬的資源夾。
本樣本中,選擇步驟二:建立資源夾中建立的Core資源夾,即在Core資源夾下建立核心帳號。
設定財務託管方式。
財務託管:財務託管是一項阿里雲推薦的可選設定,啟用以後您可以把所有帳號的財務結算、分賬等統一在此帳號管理。
財務管理:相對財務託管,財務管理可以只指定部分財務能力使用統一帳號管理。選用此方式各個帳號預設使用自主結算方式,在搭建完成後,通過登入財務管理帳號進行配置。
各帳號自主結算:保持各帳號自主結算,暫不設定財務統一的管理方式。
可選:如果您選擇了財務託管,那麼您需要設定財務託管帳號。
您可以採用以下幾種方式設定財務託管帳號:
指定已有帳號:指定當前管理帳號或資來源目錄中的成員為財務託管帳號。
系統會自動判斷資來源目錄的成員是否適合擔任財務託管帳號,根據判斷結果,設定合適的財務託管帳號。
說明如果系統提示成員不滿足要求,可能存在未完善財務資訊等情況,請前往費用與成本完善。
建立帳號:建立一個新的成員,指定其為財務託管帳號。
邀請帳號:邀請一個阿里雲帳號加入資來源目錄,指定其為財務託管帳號。
指定核心帳號。
本樣本中,將指定以下三個核心帳號:
日誌帳號:用於統一收集所有成員的日誌資訊。預設啟用,不能選擇關閉。
共用服務帳號:用於部署企業共用服務。預設啟用,可以選擇關閉。
安全帳號:用於統一進行安全合規管控。預設啟用,可以選擇關閉。
對於每一類帳號,您可以選擇建立帳號或指定已有帳號。當您選擇建立帳號時,您需要配置帳號基本資料。
單擊配置下一項。
步驟四:配置防護規則
您可以統一配置和開啟配置審計的防護規則,保證雲治理中心建立的資源結構和基礎配置不被修改,同時保證多帳號環境的安全性。
在防護規則地區,查看並選中您需要的規則。關於防護規則的詳情,請參見統一配置防護規則。
步驟五:執行Landing Zone搭建任務
各項參數配置完成後,單擊預覽配置,檢查各個搭建項配置。
檢查無誤後,單擊開始執行。
查看執行狀態,等待任務全部執行完成後,單擊關閉。
後續步驟
繼續搭建Landing Zone
上述步驟僅完成了Landing Zone的基礎搭建項,您可以在Landing Zone搭建頁面的右上方,單擊繼續搭建,配置更多的搭建項,一步步完善您的Landing Zone。更多資訊,請參見支援的搭建項。
建立成員帳號
您可以在帳號工廠頁面,查看上述步驟中建立的核心帳號詳情,也可以統一配置帳號基準,基於帳號基準建立新的成員帳號。更多資訊,請參見使用帳號基準建立帳號。
管理多帳號
查看多帳號結構
查看企業的多帳號結構概覽、資源夾和成員等。更多資訊,請參見查看帳號結構。
統一配置身份許可權
對資來源目錄中的多個成員進行統一身份許可權配置。更多資訊,請參見統一配置身份許可權。
管理防護規則
查看搭建Landing Zone時配置的防護規則詳情、查看資源合規結果、開啟或關閉推薦規則和可選規則的開關等。更多資訊,請參見統一配置防護規則。
統一投遞審計日誌
將資來源目錄中所有成員的Action Trail日誌和配置審計日誌統一投遞到指定的日誌帳號,可以選擇投遞到Object Storage Service實現長期儲存,也可以投遞到Log ServiceSLS實現即時的日誌分析。更多資訊,請參見統一投遞審計日誌。
查看資源清單
查看治理成熟度等級檢測結果
治理成熟度等級檢測可以持續檢測企業的雲上IT治理水平,並提供友好的治理引導,協助企業完善雲上IT治理的配置,降低雲上IT治理的風險。雲治理中心可以對企業資源目錄下的成員進行自動檢測,協助您及時發現治理缺失和潛在風險。更多資訊,請參見查看檢測資料並下載檢測報告。