企業可以使用資來源目錄RD(Resource Directory)將多帳號有序組織和管理,然後通過共用VPC快速實現多帳號間的網路互連。
背景資訊
隨著雲端運算的普及,越來越多的企業將業務放在了雲端,企業採購的雲資源也越來越多,隨之而來的問題是:企業如何高效地管控雲資源。按組織圖劃分業務、業務之間強隔離及多種結算模式等需求之下,單帳號模式已無法支撐企業的持續發展。如果企業只是簡單的使用多帳號模式來適應業務發展需要,就會面臨以下問題:
- 多帳號管理問題
無序、散落的多個阿里雲帳號不便於集中管理,企業需要進一步做精細化管控。
- 多帳號網路互連問題
企業可以採用雲企業網CEN(Cloud Enterprise Network)將多個帳號間的Virtual Private Cloud(Virtual Private Cloud)進行串連,以實現多帳號間的網路互連。但隨著業務複雜度的增加,會面臨如下的新問題:
- 分散配置導致無法進行網路集中營運
商業網路架構是一張經過規劃的大網,當網路設施分散在每個業務帳號之下時,商業網路營運人員很難做到網路的集中控制。
- 重複網路資源配置導致成本增加
在每個帳號內進行VPC的配置,使得企業的配置維護成本和執行個體費用成本都在增加。
- VPC數量增多導致網路複雜度提升
為了滿足企業的業務需要,VPC數量會不斷攀升,隨之而來的是網路複雜度、管理難度和配額(例如:CEN可掛載的VPC數量限制)等問題。
- 分散配置導致無法進行網路集中營運
解決方案
阿里雲提供了資來源目錄解決多帳號管理問題,提供了資源共用RS(Resource Sharing)和共用VPC解決多帳號網路互連問題。具體如下:
- 使用資來源目錄構建多帳號管理體系
阿里雲資來源目錄是面向企業提供的一套多級資源和帳號關係管理服務。企業可以基於自身的組織圖或業務形態,在資來源目錄中構建目錄結構,將企業的多個帳號分布到這個目錄結構中的相應位置,從而形成資源間的多層級關係。企業可依賴設定的組織關係進行資源的集中管理,滿足企業資源在財資、安全、審計及合規方面的管控需要。更多資訊,請參見資來源目錄。
- 使用資源共用構建成員間的共用關係
在資來源目錄內,企業可以使用阿里雲提供的資源共用服務,將一個帳號下的指定資源共用給一個或多個目標帳號使用,通過共用單元建立成員間的共用關係。更多資訊,請參見資源共用概述。
概念
說明
共用單元
共用單元是資源共用的執行個體。共用單元本身也是一種雲資源,擁有獨立的ID和ARN(Aliyun Resource Name)。共用單元包括:資源所有者、資源使用者和共用的資源。
資源所有者
資源所有者是資源共用的發起方,也是共用資源的擁有者。
資源使用者
資源使用者是資源共用的受益方,對共用的資源具有特定的操作許可權。
說明資源使用者對共用資源的具體操作許可權,由資源所屬的雲端服務定義。例如:共用Virtual Private Cloud的交換器(vSwitch)資源後,資源使用者的操作許可權請參見共用VPC許可權說明。
共用的資源
共用的資源通常為某個雲端服務的某類資源。支援共用的資源類型,請參見支援資源共用的雲端服務。
資來源目錄組織共用
資來源目錄組織共用是指將資源共用給整個資來源目錄(Root資源夾)、資源夾或成員。具體操作,請參見啟用資來源目錄組織共用。
- 共用VPC
企業可以基於資源共用機制,在資來源目錄內,將一個成員的VPC交換器(vSwitch)共用給其他成員使用,使多個成員在一個集中管理、共用的VPC內建立雲資源,例如:Elastic Compute Service、Server Load Balancer、雲資料庫RDS等。資源所有者和資源使用者在同一VPC內建立的雲資源預設私網互連。更多資訊,請參見共用VPC概述。
共用VPC的具體實現細節如下:
- 多帳號共用同一個交換器
企業可將VPC的交換器在多帳號間進行共用,不用為每個帳號單獨配置VPC,極大減少了VPC的使用數量。
- 資源所有者與資源使用者的許可權
資源所有者將交換器共用給資源使用者後,資源所有者與資源使用者對共用交換器及共用交換器內雲資源的操作許可權如下表所示。
角色
支援的操作
不支援的操作
資源所有者
支援建立、查看、修改、刪除共用交換器中的由自身建立的資源。
支援查看資源使用者在共用交換器中所建立的資源屬性,當前只允許查看彈性網卡的資源屬性,僅限:
執行個體ID。
私網IP地址。
資源所屬帳號。
不支援修改、刪除資源使用者在共用交換器中建立的任何資源。
資源使用者
當交換器處於共用狀態時,資源使用者支援在共用交換器中建立雲資源,修改、刪除由自身建立的雲資源。
當交換器處於共用狀態時,資源使用者不支援查看、修改、刪除共用交換器中其他帳號(包含資源所有者和資源使用者)的任何資源。
當交換器處於不共用狀態時,資源使用者支援繼續使用共用交換器中由自身建立的已有資源,也支援查看、修改、刪除共用交換器中由自身建立的已有資源。
當交換器處於不共用狀態時,資源使用者不支援查看與共用交換器相關聯的資源(例如VPC、路由表、私網網段、網路ACL),也不支援在已經不共用的交換器中建立資源。
資源所有者與資源使用者對其它網路資源的操作許可權如下表所示。
網路資源
資源所有者可執行檔操作
資源使用者可執行檔操作
VPC
全部操作許可權。
僅支援查看共用給自己的交換器所屬的VPC。
交換器
全部操作許可權(包含開啟和關閉交換器的IPv6功能)。
說明如果要刪除交換器,請確保交換器已不共用,且該交換器中的資源(包括資源所有者和資源使用者建立的資源)已全部刪除。
查看共用的交換器。
在共用的交換器內建立、修改、刪除雲資源。
路由表
全部操作許可權。
僅支援查看共用給自己的交換器綁定的路由表以及路由條目。
網路ACL
全部操作許可權。
僅支援查看共用給自己的交換器綁定的ACL。
網段
查看VPC及VPC內所有交換器的網段。
僅支援查看共用給自己的交換器的網段。
流日誌
支援建立VPC或交換器粒度的流日誌,對資源所有者的交換器下的彈性網卡生效。
支援建立彈性網卡粒度的流日誌,僅對資源所有者的彈性網卡生效。
支援建立彈性網卡粒度的流日誌,僅對資源使用者的彈性網卡生效。
NAT Gateway
公網NAT Gateway和VPC NAT Gateway的全部操作許可權。
說明交換器中的資源(包括資源所有者和資源使用者建立的資源)可以通過公網NAT Gateway與互連網通訊。
公網NAT Gateway僅支援綁定資源所有者的Elastic IP Address。
無操作許可權。
VPN網關
全部操作許可權。
說明交換器中的資源(包括資源所有者和資源使用者建立的資源)可以通過VPN網關與VPC外部網路互連。
無操作許可權。
雲企業網
全部操作許可權。
說明交換器中的資源(包括資源所有者和資源使用者建立的資源)可以通過雲企業網與VPC外部網路互連。
無操作許可權。
VPC對等串連
全部操作許可權。
說明交換器中的資源(包括資源所有者和資源使用者建立的資源)可以通過VPC對等串連與VPC外部網路互連。
無操作許可權。
標籤
共用行為不影響資源所有者為資源配置的標籤。
資源所有者將交換器共用給資源使用者後,資源所有者與資源使用者都可以為各自的資源配置標籤,且標籤互不可見也互不影響。當共用交換器不共用後,系統會刪除資源使用者在該共用交換器上配置的標籤。
- 安全隔離
企業將單個VPC中的不同交換器共用給不同帳號後,網路是預設連通的。在某些情境下,企業希望將不同的交換器進行隔離。企業可通過以下兩種方式進行隔離:
- 網路ACL:實現跨交換器層級的存取控制。
- 安全性群組:實現執行個體層級的存取控制,並且支援跨帳號安全性群組的互相引用。
說明 使用安全性群組設定兩個執行個體間禁止訪問規則實現網路隔離,該方法主要用以彌補在相同交換器內的執行個體之間無法採用網路ACL進行網路隔離的缺失。當然,企業仍然可以使用安全性群組跨帳號引用能力,在安全性群組內配置源IP地址和目標IP地址,實現不同交換器、不同帳號間的網路隔離。
- 多帳號共用同一個交換器
方案優勢
該方案具備以下優勢:
- 營運部門集中規劃、配置和管理VPC,並將VPC的交換器共用給業務部門。
- 業務部門只能查看和管理自己交換器中的資源,可以根據業務需求添加或刪除交換器中的雲端服務器、資料庫等資源。
- 企業採用統一的網路架構和安全性原則,業務部門可以聚焦自身業務需求。
- 企業可以將網路和安全能力作為一個服務供業務部門使用,將營運體系標準化和流程化,並提升整個組織的IT效率。