企業可以使用資來源目錄RD(Resource Directory)將多帳號有序組織和管理,然後通過共用VPC快速實現多帳號間的網路互連,確保業務部門可以聚焦自身業務需求,從而提升整個組織的IT效率。
背景資訊
隨著雲端運算的普及,越來越多的企業將業務放在了雲端,企業採購的雲資源也越來越多,隨之而來的問題是:企業如何高效地管控雲資源。按組織圖劃分業務、業務之間強隔離及多種結算模式等需求之下,單帳號模式已無法支撐企業的持續發展。如果企業只是簡單的使用多帳號模式來適應業務發展需要,就會面臨以下問題:
- 多帳號管理問題
無序、散落的多個阿里雲帳號不便於集中管理,企業需要進一步做精細化管控。
- 多帳號網路互連問題
企業可以採用雲企業網CEN(Cloud Enterprise Network)將多個帳號間的Virtual Private Cloud(Virtual Private Cloud)進行串連,以實現多帳號間的網路互連。但隨著業務複雜度的增加,會面臨如下的新問題:
- 分散配置導致無法進行網路集中營運
商業網路架構是一張經過規劃的大網,當網路設施分散在每個業務帳號之下時,商業網路營運人員很難做到網路的集中控制。
- 重複網路資源配置導致成本增加
在每個帳號內進行VPC的配置,使得企業的配置維護成本和執行個體費用成本都在增加。
- VPC數量增多導致網路複雜度提升
為了滿足企業的業務需要,VPC數量會不斷攀升,隨之而來的是網路複雜度、管理難度和配額(例如:CEN可掛載的VPC數量限制)等問題。
- 分散配置導致無法進行網路集中營運
應用情境
實際生產過程中,企業使用多帳號模式適應業務發展需要,滿足按組織圖劃分業務、保證業務之間的強隔離等需求。為了保證多帳號的集中管理,企業營運部門基於自身的組織圖或業務形態,使用資來源目錄集中規劃、配置和管理VPC;使用共用VPC將非預設交換器共用給業務部門,以解決伴隨業務複雜度增加而帶來的成本增加與網路複雜度提升的問題。
業務部門只能查看和管理自己交換器中的資源,可以根據業務需求添加或刪除交換器中的雲端服務器、資料庫等資源。
方案概述
使用資來源目錄構建多帳號管理體系
阿里雲資來源目錄是面向企業提供的一套多級資源和帳號關係管理服務。企業可以基於自身的組織圖或業務形態,在資來源目錄中構建目錄結構,將企業的多個帳號分布到這個目錄結構中的相應位置,從而形成資源間的多層級關係。企業可依賴設定的組織關係進行資源的集中管理,滿足企業資源在財資、安全、審計及合規方面的管控需要。更多資訊,請參見資來源目錄概述。
使用資源共用構建成員間的共用關係
在資來源目錄內,企業可以使用阿里雲提供的資源共用服務,將一個帳號(資源所有者)下的指定資源共用給一個或多個目標帳號(資源使用者)使用,通過共用單元建立成員間的共用關係。更多資訊,請參見資源共用概述。
共用VPC
企業可以基於資源共用機制,在資來源目錄內,將一個成員(資源所有者)的非預設VPC交換器共用給其他成員(資源使用者)使用,使多個成員在一個集中管理、共用的VPC內建立雲資源,例如:Elastic Compute Service、Server Load Balancer、雲資料庫RDS等。資源所有者和資源使用者在同一VPC內建立的雲資源預設私網互連。
說明在某些情境下,企業希望將不同的交換器進行隔離。企業可通過以下兩種方式進行隔離:
網路ACL:實現跨交換器層級的存取控制。
安全性群組:實現執行個體層級的存取控制,並且支援跨帳號安全性群組的互相引用。
企業可將VPC的非預設交換器在多帳號間進行共用,無需為每個帳號單獨配置VPC,極大減少了VPC的使用數量,從而解決重複網路資源配置導致成本增加、VPC數量增多導致網路複雜度提升等問題。
關於資源所有者與資源使用者對共用交換器及網路資源的操作許可權,請參見共用VPC概述。
操作步驟
步驟一:在資來源目錄內共用交換器
資來源目錄的管理帳號或成員,可以在資來源目錄內,將資源共用給整個資來源目錄及其下的資源夾或成員。
具體操作,請參見開啟VPC共用。
使用資來源目錄管理多帳號
啟動資來源目錄組織共用
資源所有者建立共用單元
步驟二:資源使用者查看和使用共用的交換器
資源所有者共用交換器後,資源使用者無需確認,預設直接接受共用的交換器。資源使用者可以查看共用給自己的交換器,並在共用的交換器中建立雲資源,例如:Elastic Compute Service、Server Load Balancer、雲資料庫RDS等。
具體操作,請參見資源使用者在共用交換器中建立雲資源。