營運項代表需要調查和修複的操作問題,您可以查看每個營運項的詳細資料,包括相關資源和狀態。本文介紹如何通過EventBridge與CloudConfig服務實現營運中心自動建立營運項。
基本概念
EventBridge是阿里雲提供的一款無伺服器事件匯流排服務,能夠以標準化的CloudEvents 1.0協議在應用之間路由事件,協助使用者輕鬆構建松耦合、分布式的事件驅動架構。詳細資料,請參見什麼是事件匯流排EventBridge。
CloudConfig是一項面向資源的審計服務。在面對大量資源時,配置審計可以協助您實現持續的基礎設施的合規監管。詳細資料,請參見什麼是配置審計。
費用說明
前提條件
您已開通EventBridge,詳細資料,請參見開通事件匯流排EventBridge並授權。
您已開通CloudConfig,詳細資料,請參見開通配置審計服務。
操作步驟
配置審計條件後,若發現不合規的資源,系統將發送訊息至匯流排。匯流排接收到訊息後,觸發處理常式調用建立營運項API,從而實現自動建立營運項的目標。
建立事件匯流排規則
EventBridge支援以下地區的營運中心自動建立營運項。
地區名稱 | 地區ID |
華北1(青島) | cn-qingdao |
華東2(上海) | cn-shanghai |
華北2(北京) | cn-beijing |
華北3(張家口) | cn-zhangjiakou |
華北6(烏蘭察布) | cn-wulanchabu |
華東1(杭州) | cn-hangzhou |
華南1(深圳) | cn-shenzhen |
華北5(呼和浩特) | cn-huhehaote |
華南2(河源) | cn-heyuan |
華南3(廣州) | cn-guangzhou |
西南1(成都) | cn-chengdu |
中國香港 | cn-hongkong |
日本(東京) | ap-northeast-1 |
新加坡 | ap-southeast-1 |
馬來西亞(吉隆坡) | ap-southeast-3 |
印尼(雅加達) | ap-southeast-5 |
美國(矽谷) | us-west-1 |
美國(維吉尼亞) | us-east-1 |
華東2 金融雲 | cn-shanghai-finance-1 |
泰國(曼穀) | ap-southeast-7 |
配置入口
- 登入事件匯流排EventBridge控制台。
- 在左側導覽列,單擊事件匯流排。
- 在頂部功能表列,選擇地區。
在事件匯流排頁面,單擊雲端服務專用事件匯流排default。
- 在左側導覽列,單擊事件規則。
在事件規則頁面,單擊建立規則。
參數說明
在建立規則頁面,完成以下操作。
在配置基本資料設定精靈,在名稱文字框輸入規則名稱,在描述文字框輸入規則的描述,然後單擊下一步。
在配置事件模式設定精靈,事件來源類型選擇阿里雲官方事件來源,事件來源選擇
acs.config
,事件類型下拉式功能表選擇config:CloudMonitor:ConfigurationNonCompliantNotification
,單擊下一步。說明此配置會監聽所有配置審計開啟的不合規規則。
在配置事件目標設定精靈,服務類型選擇
acs.openapi.oos
,介面版本選擇2019-06-01
,介面參數說明如下。樣本值已審計不合規事件訊息為例。欄位
類型
說明
樣本值
RegionId
部分事件
建立營運項的地區。
$.aliyunregionid
Title
部分事件
建立營運項的標題
$.data.evaluationResultIdentifier.evaluationResultQualifier.configRuleName
Description
部分事件
建立營運項的描述資訊
$.data.evaluationResultIdentifier.evaluationResultQualifier.configRuleId
Severity
固定值
嚴重程度,取值Critical、 High、 Medium、 Low,可以根據需要進行填寫。
Medium
Source
部分事件
建立營運項的來源
$.source
Category
固定值
分類,取值Availability、Cost、Performance、Recovery、Security。
Availability
Priority
固定值
優先順序,取值範圍1-5,1為最高優先順序
3
DedupString
部分事件
去重字串,對於同一規則中相同資源的不合規事件就不會重複建立營運項。
$.data.evaluationResultIdentifier.evaluationResultQualifier.configRuleName
Resources
模板
與營運項關聯的資源ARN列表
變數填寫
{ "resourceArn":"$.data.evaluationResultIdentifier.evaluationResultQualifier.resourceArn" }
模板填寫
["${resourceArn}"]
Solutions
模板
解決方案列表
變數填寫
{ "document_url": "$.data.evaluationResultIdentifier.evaluationResultQualifier.helpUrls" }
模板填寫
[{ "priority": 1, "type": "url", "url": "${document_url}", "description": "請參考文檔處理" }]
配置擁有OOS CreateOpsitem OpenAPI許可權的角色,如果您沒有該角色,請單擊授權建立新角色快速建立角色。
建立配置審計規則
配置審計建立規則有以下三種方式。
方式 | 說明 |
快捷的配置審計從網路安全、資料安全、帳號安全、資源管理等角度為您提供系統託管的模板建立規則。 | |
相對於模板更加靈活的建立方式,您可以通過資源特徵、操作符和預期值來自訂建立規則。 | |
如果您想要通過自訂函數來檢測某些指標,如CPU核心數等,使用Function Compute建立自訂規則。 |
下面以使用多可用性區域的RDS執行個體為例,示範模板建立規則。
登入配置審計控制台,在左側功能表列選擇 ,在規則頁面點擊建立規則。
在搜尋方塊輸入多可用性區域,選擇使用多可用性區域的RDS執行個體,單擊下一步。
設定基本屬性保持預設值,單擊下一步。
設定生效範圍保持預設值,單擊下一步。
設定修正保持預設值,單擊提交,完成建立。
查看效果
登入配置審計控制台。在左側導覽列,選擇 。查看不合規資源。
登入CloudOps Orchestration Service控制台,左側導覽列選擇營運中心。選擇營運項選項卡,查看到不合規資源已自動建立營運項。