Cloud Governance Center：Landing Zone搭建概述

藍圖

說明

標準藍圖

適用於所有企業的標準模板。

包含最必須的Landing Zone搭建選項：啟用資來源目錄並建立Core和Applications資源夾、建立日誌帳號、指定財務管理帳號、開通雲SSO、啟用必要的合規防護規則等。這些搭建選項可以適配當前企業的已有配置，也可以根據企業實際進行修改。

在完成標準模板配置以後，還可以在此基礎上繼續拓展網路、安全、合規等進階特性。

標準藍圖（雲商業網路）

適用於對網路安全、管控、成本要求較高的企業。

在標準模板基礎上包含了雲端式企業網的網路隔離區（DMZ）搭建。一方面雲企業網可以簡化複雜網路設定，同時具備良好的可拓展性，另外一方面網路隔離區可以協助企業統一管控流量出入口的設定，提升安全性，節省整體成本。

雲原生藍圖

適用於使用了雲原生技術架構的企業。

在標準模板基礎上，可以在指定帳號中搭建一個企業級的ACK Pro叢集。該叢集包含負載平衡、多可用性區域等高可用特性，除此之外，藍圖還包含管理ACK會用到的使用權限設定。

金融行業藍圖

適用於金融行業的模板。

金融企業對業務隔離的要求比較嚴格，在標準模板基礎上包含了雲端式企業網的網路隔離區（DMZ）搭建，以及金融行業常見合規包的推薦啟用。

分類

搭建項

說明

啟用指導

推薦部署帳號

資源規劃

建立管理帳號

建立資來源目錄的管理帳號，用於管理資來源目錄。

必選

管理帳號

資源規劃

開通資來源目錄

開通資來源目錄（RD），用於搭建企業的多帳號結構。

必選

管理帳號

資源規劃

建立資源夾

建立Core和Applications資源夾以實現管理和業務分離。您可以根據企業實際的組織和業務架構修改命名方式或拓展資源夾結構。

必選

管理帳號

資源規劃

建立核心帳號

建立或指定核心管理帳號，包括財務帳號、日誌帳號、安全帳號、共用服務帳號等。職能清晰的帳號可以協助企業在後續部署日誌投遞、網路、安全等搭建項，實現良好的資源隔離。

必選

管理帳號

資源規劃

邀請已有帳號

邀請已有的阿里雲帳號加入到資來源目錄進行統一管理。雲治理中心將會代理您對指定的阿里雲帳號發送邀請郵件，需登入對應帳號確認接受邀請。需注意邀請有12小時的時效限制，逾時未接受時邀請失敗，您需要在資來源目錄中重新發起邀請。

可選

管理帳號

身份許可權

設定雲SSO

啟用並初始化雲SSO，並預置常見的訪問配置，以便於企業可以更快地配置多帳號的身份許可權和單點登入。

推薦

管理帳號

合規審計

Action Trail統一日誌投遞

將多帳號的Action Trail日誌統一投遞到日誌帳號，可以選擇投遞到Object Storage Service實現長期儲存，也可以投遞到Log ServiceSLS實現即時的日誌分析。

推薦

日誌帳號

合規審計

配置審計統一日誌投遞

將多帳號的配置審計日誌統一投遞到日誌帳號，可以選擇投遞到Object Storage Service實現長期儲存，也可以投遞到Log ServiceSLS實現即時的日誌分析。

推薦

日誌帳號

合規審計

啟用防護規則

統一配置和開啟配置審計的防護規則，保證雲治理中心建立的資源結構和基礎配置不被修改，同時保證多帳號環境的安全性。啟用後，您可以通過雲治理中心或配置審計控制台，統一查看企業內各個資源帳號的合規情況。

必選

管理帳號

合規審計

服務日誌統一投遞

基於Log Service（SLS）中心化投遞運行時的日誌。覆蓋儲存（OSS、NAS）、網路（SLB、ALB、API Gateway、VPC）、資料庫（關係型資料庫RDS、雲原生分散式資料庫PolarDB-X 1.0、雲原生資料庫PolarDB）、安全（WAF、DDoS防護、Cloud Firewall）等產品。

可選

日誌帳號

財務

設定財務裝載關聯性

設定財務託管方式及財務託管帳號，支撐統一結算。

推薦

財務帳號

網路

啟用雲商業網路

啟用雲商業網路CEN，便於通過簡單的規則把企業內部網路、跨地區網路、多雲網路進行統一接入並打通。在此基礎上，推薦搭建網路隔離區DMZ，提升網路安全性。

可選

共用服務帳號

營運

企業級ACK叢集

在指定帳號中搭建一個企業級的ACK Pro叢集，該叢集包含負載平衡、多可用性區域等高可用特性。

可選

任意帳號