全部產品
Search
文件中心

CloudOps Orchestration Service:營運中心整合事件匯流排與配置審計服務

更新時間:Nov 27, 2024

營運項代表需要調查和修複的操作問題,您可以查看每個營運項的詳細資料,包括相關資源和狀態。本文介紹如何通過EventBridgeCloudConfig服務實現營運中心自動建立營運項。

基本概念

  • EventBridge是阿里雲提供的一款無伺服器事件匯流排服務,能夠以標準化的CloudEvents 1.0協議在應用之間路由事件,協助使用者輕鬆構建松耦合、分布式的事件驅動架構。詳細資料,請參見什麼是事件匯流排EventBridge

  • CloudConfig是一項面向資源的審計服務。在面對大量資源時,配置審計可以協助您實現持續的基礎設施的合規監管。詳細資料,請參見什麼是配置審計

費用說明

前提條件

操作步驟

配置審計條件後,若發現不合規的資源,系統將發送訊息至匯流排。匯流排接收到訊息後,觸發處理常式調用建立營運項API,從而實現自動建立營運項的目標。

建立事件匯流排規則

EventBridge支援以下地區的營運中心自動建立營運項。

地區名稱

地區ID

華北1(青島)

cn-qingdao

華東2(上海)

cn-shanghai

華北2(北京)

cn-beijing

華北3(張家口)

cn-zhangjiakou

華北6(烏蘭察布)

cn-wulanchabu

華東1(杭州)

cn-hangzhou

華南1(深圳)

cn-shenzhen

華北5(呼和浩特)

cn-huhehaote

華南2(河源)

cn-heyuan

華南3(廣州)

cn-guangzhou

西南1(成都)

cn-chengdu

中國香港

cn-hongkong

日本(東京)

ap-northeast-1

新加坡

ap-southeast-1

馬來西亞(吉隆坡)

ap-southeast-3

印尼(雅加達)

ap-southeast-5

美國(矽谷)

us-west-1

美國(維吉尼亞)

us-east-1

華東2 金融雲

cn-shanghai-finance-1

泰國(曼穀)

ap-southeast-7

配置入口

  1. 登入事件匯流排EventBridge控制台
  2. 在左側導覽列,單擊事件匯流排
  3. 在頂部功能表列,選擇地區。
  4. 事件匯流排頁面,單擊雲端服務專用事件匯流排default

  5. 在左側導覽列,單擊事件規則
  6. 事件規則頁面,單擊建立規則

參數說明

建立規則頁面,完成以下操作。

  1. 配置基本資料設定精靈,在名稱文字框輸入規則名稱,在描述文字框輸入規則的描述,然後單擊下一步

  2. 配置事件模式設定精靈,事件來源類型選擇阿里雲官方事件來源,事件來源選擇acs.config事件類型下拉式功能表選擇config:CloudMonitor:ConfigurationNonCompliantNotification,單擊下一步image

    說明

    此配置會監聽所有配置審計開啟的不合規規則。

  3. 配置事件目標設定精靈,服務類型選擇acs.openapi.oos介面版本選擇2019-06-01,介面參數說明如下。樣本值已審計不合規事件訊息為例。

    審計不合規事件訊息

    {
        "datacontenttype": "application/json;charset=utf-8",
        "aliyunaccountid": "15634*******22",
        "data": {
            "annotation": "{\"configuration\":\"\",\"desiredValue\":\"i-bp*******z0tptjbgu\",\"operator\":\"Contains\",\"property\":\"$.Propertys[*].InstanceId\",\"reason\":\"FeaturePath not exist\"}",
            "accountId": 15634*******22,
            "riskLevel": "Warning",
            "requestId": "f9bce983-1460-4b83-ac81-724b*******3a",
            "dataType": "NonCompliantNotification",
            "eventName": "NonCompliant",
            "evaluationResultIdentifier": {
                "orderingTimestamp": 1726747626751,
                "evaluationResultQualifier": {
                    "resourceId": "i-bp*******z0tptjbgu",
                    "configRuleName": "ECS執行個體運行了指定名稱的進程",
                    "sourceIdentifier": "ecs-instance-running-process-check",
                    "configRuleId": "cr-8315e6183e*******b1",
                    "configRuleArn": "acs:config::15634*******22:rule/cr-8315e6183*******b1",
                    "captureTime": 1726747626751,
                    "regionId": "cn-hangzhou",
                    "resourceName": "ESS-asg-asg-bp1efisbt64zu16lebhm",
                    "resourceArn": "acs:ecs:cn-hangzhou:15634*******22:instance/i-bp*******z0tptjbgu",
                    "resourceGroupId": "rg-acfmzmhzoaad5oq",
                    "resourceOwnerId": 15634*******22,
                    "resourceType": "ACS::ECS::Instance"
                }
            },
            "eventType": "ResourceCompliance",
            "invokingEventMessageType": "ScheduledNotification",
            "notificationCreationTime": 1726749483808,
            "complianceType": "NON_COMPLIANT"
        },
        "subject": "acs:config:cn-hangzhou:1563457855438522:instance/i-bp*******z0tptjbgu",
        "aliyunoriginalaccountid": "15634*******22",
        "source": "acs.config",
        "type": "config:CloudMonitor:ConfigurationNonCompliantNotification",
        "aliyunpublishtime": "2024-09-19T12:38:18.889Z",
        "specversion": "1.0",
        "aliyuneventbusname": "default",
        "id": "315C0C75DB4E0B4CBA0DA*******AF6EB802C92E7-CMS",
        "time": "2024-09-19T12:38:04.000Z",
        "aliyunregionid": "cn-hangzhou"
    }

    欄位

    類型

    說明

    樣本值

    RegionId

    部分事件

    建立營運項的地區。

    $.aliyunregionid

    Title

    部分事件

    建立營運項的標題

    $.data.evaluationResultIdentifier.evaluationResultQualifier.configRuleName

    Description

    部分事件

    建立營運項的描述資訊

    $.data.evaluationResultIdentifier.evaluationResultQualifier.configRuleId

    Severity

    固定值

    嚴重程度,取值Critical、 High、 Medium、 Low,可以根據需要進行填寫。

    Medium

    Source

    部分事件

    建立營運項的來源

    $.source

    Category

    固定值

    分類,取值Availability、Cost、Performance、Recovery、Security。

    Availability

    Priority

    固定值

    優先順序,取值範圍1-5,1為最高優先順序

    3

    DedupString

    部分事件

    去重字串,對於同一規則中相同資源的不合規事件就不會重複建立營運項。

    $.data.evaluationResultIdentifier.evaluationResultQualifier.configRuleName

    Resources

    模板

    與營運項關聯的資源ARN列表

    變數填寫

    {
      "resourceArn":"$.data.evaluationResultIdentifier.evaluationResultQualifier.resourceArn"
    }

    模板填寫

    ["${resourceArn}"]

    Solutions

    模板

    解決方案列表

    變數填寫

    {
    "document_url": "$.data.evaluationResultIdentifier.evaluationResultQualifier.helpUrls"
    }

    模板填寫

    [{
        "priority": 1,
        "type": "url",
        "url": "${document_url}",
        "description": "請參考文檔處理"
    }]
  4. 配置擁有OOS CreateOpsitem OpenAPI許可權的角色,如果您沒有該角色,請單擊授權建立新角色快速建立角色。image

建立配置審計規則

配置審計建立規則有以下三種方式。

方式

說明

基於模板建立規則

快捷的配置審計從網路安全、資料安全、帳號安全、資源管理等角度為您提供系統託管的模板建立規則。

基於條件建立自訂規則

相對於模板更加靈活的建立方式,您可以通過資源特徵、操作符和預期值來自訂建立規則。

基於Function Compute建立自訂規則

如果您想要通過自訂函數來檢測某些指標,如CPU核心數等,使用Function Compute建立自訂規則。

下面以使用多可用性區域的RDS執行個體為例,示範模板建立規則。

  1. 登入配置審計控制台,在左側功能表列選擇合規審計 > 規則,在規則頁面點擊建立規則

  2. 在搜尋方塊輸入多可用性區域,選擇使用多可用性區域的RDS執行個體,單擊下一步image

  3. 設定基本屬性保持預設值,單擊下一步

  4. 設定生效範圍保持預設值,單擊下一步

  5. 設定修正保持預設值,單擊提交,完成建立。

查看效果

  1. 登入配置審計控制台。在左側導覽列,選擇合規審計 > 規則。查看不合規資源。image

  2. 登入CloudOps Orchestration Service控制台,左側導覽列選擇營運中心。選擇營運項選項卡,查看到不合規資源已自動建立營運項。image