企业上云框架 Landing Zone
手动部署
50
https://www.aliyun.com/solution/tech-solution/ecflz
方案概览
Landing Zone是阿里云的企业上云框架,它可以指导企业规划和落地云上的资源结构、访问安全、网络架构和安全合规体系,为企业搭建安全、高效和可管理的云环境。为方便您的操作,云治理中心提供了蓝图模板,您可以基于蓝图模板轻松搭建您的Landing Zone。
方案架构
本方案提供的架构如下图所示。实际搭建时您可以根据实际情况进行调整。
本方案将采用云治理中心提供的标准蓝图搭建Landing Zone,配置以下最基本的三个搭建项:
创建资源夹
资源夹是资源目录中的组织单元,通常用于指代企业的分公司、业务线或产品项目等。每个资源夹下可以放置成员,并允许嵌套子资源夹,最终形成树形的资源组织关系。您可以根据资源夹的用途进行资源分配、权限管理、安全管控、合规管控等治理工作。
根据最佳实践,建议您创建以下两个资源夹。当管理账号中不存在这两个资源夹时,云治理中心会为您自动创建。
Core资源夹:用于放置具有管控用途的成员。
Applications资源夹:用于放置开展具体业务的成员。
创建核心账号
您可以根据企业已有的职能团队,创建对应的核心管理账号,有利于您后续进行资源分配、权限管理和安全合规管控等治理工作。云治理中心建议您至少创建以下三个核心账号:
日志账号:用于统一收集所有成员的日志信息。
共享服务账号:用于部署企业共享服务。
安全账号:用于统一进行安全合规管控。
配置防护规则
您可以统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。
部署准备
10
搭建Landing Zone需要使用企业实名认证的阿里云账号。开始部署前,请按以下指引完成账号注册和实名认证。
准备账号
开通云治理中心
5
云治理中心需要开通才能使用。如果您已经开通过云治理中心,您可以跳过该步。
访问云治理中心开通页面。
在开通页面,开通云治理中心。
选择地域。
如果您的业务主要在中国内地,推荐您选择华东1(杭州)。
如果您的业务主要在中国香港、中国澳门、中国台湾或海外,推荐您选择新加坡。
说明此处选择的地域仅用于部署Landing Zone,包括存放部署模板、部署记录等相关信息。云治理中心实际治理的资源,例如:资源目录、身份权限、云资源等,不受该地域限制。您一旦在指定地域开通了云治理中心,将不允许修改地域。
单击创建服务关联角色,创建一个名为AliyunServiceRoleForGovernance的服务关联角色。
云治理中心将使用此角色访问您的资源目录等产品服务,包括开通资源目录和管理目录结构等权限, 用于建立和持续治理合理的企业资源结构。更多信息,请参见AliyunServiceRoleForGovernance。
阅读并选中服务协议。
单击立即开通。
检查账号资格
3
登录云治理中心控制台。
在概览页面的Landing Zone区域,单击快速开始。
在Landing Zone搭建页面,检查账号资格。
系统会从以下几点检查当前登录账号是否符合管理账号的要求:
检查当前登录账号是否已开通资源目录。如没有,后续搭建Landing Zone过程中会为您自动开通资源目录。
检查当前登录账号下是否存在云资源。建议管理账号下不部署其他云资源。
检查当前登录账号下的RAM用户数量。建议RAM用户数量小于5个。
检查当前登录账号是否欠费。如果存在欠费,将影响云服务正常开通和使用。
检查当前登录账号是否创建了主账号访问密钥(AccessKey)。该项仅针对主账号登录时检查。强烈建议您不要为主账号创建访问密钥。
如果以上检查项全部满足,则当前登录账号可以直接作为管理账号使用。否则,您需要修复不满足项或更换其他账号登录。当然,您也可以忽略该检测结果,操作仍可正常进行,但存在一定的安全风险。
选择蓝图模板
2
云治理中心基于大量的最佳实践,通过蓝图模板的形式,帮助您一站式轻松搭建Landing Zone。
在Landing Zone搭建页面,选择蓝图模板。本教程选择标准蓝图来搭建。标准蓝图是适用于所有企业的标准模板,提供的搭建项如下表所示。
分类 | 搭建项 | 说明 | 启用指导 | 推荐部署账号 |
资源规划 | 开通资源目录 | 开通资源目录(RD),用于搭建企业的多账号结构。 说明 系统会自动检查管理账号是否开通了资源目录,对于未开通的情况,会自动帮您开通资源目录。 | 必选 | 管理账号 |
资源规划 | 创建资源夹 | 创建Core和Applications资源夹以实现管理和业务分离。您可以根据企业实际的组织和业务架构修改命名方式或拓展资源夹结构。 | 必选 | 管理账号 |
资源规划 | 创建核心账号 | 创建或指定核心管理账号,包括财务账号、日志账号、安全账号、共享服务账号等。职能清晰的账号可以帮助企业在后续部署日志投递、网络、安全等搭建项,实现良好的资源隔离。 | 必选 | 管理账号 |
资源规划 | 邀请已有账号 | 邀请已有的阿里云账号加入到资源目录进行统一管理。云治理中心将会代理您对指定的阿里云账号发送邀请邮件,需登录对应账号确认接受邀请。需注意邀请有12小时的时效限制,超时未接受时邀请失败,您需要在资源目录中重新发起邀请。 | 可选 | 管理账号 |
身份权限 | 设置云SSO | 启用并初始化云SSO,并预置常见的访问配置,以便于企业可以更快地配置多账号的身份权限和单点登录。 | 推荐 | 管理账号 |
合规审计 | 操作审计统一日志投递 | 将多账号的操作审计日志统一投递到日志账号,可以选择投递到对象存储OSS实现长期存储,也可以投递到日志服务SLS实现实时的日志分析。 | 推荐 | 日志账号 |
合规审计 | 配置审计统一日志投递 | 将多账号的配置审计日志统一投递到日志账号,可以选择投递到对象存储OSS实现长期存储,也可以投递到日志服务SLS实现实时的日志分析。 | 推荐 | 日志账号 |
合规审计 | 启用防护规则 | 统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。启用后,您可以通过云治理中心或配置审计控制台,统一查看企业内各个资源账号的合规情况。 | 必选 | 管理账号 |
合规审计 | 服务日志统一投递 | 基于日志服务(SLS)中心化投递运行时的日志。覆盖存储(OSS、NAS)、网络(SLB、ALB、API网关、VPC)、数据库(关系型数据库RDS、云原生分布式数据库PolarDB-X 1.0、云原生数据库PolarDB)、安全(WAF、DDoS防护、云防火墙)等产品。 | 可选 | 日志账号 |
财务 | 设置财务托管关系 | 设置财务托管方式及财务托管账号,支撑统一结算。 | 推荐 | 财务账号 |
网络 | 启用云企业网络 | 启用云企业网络CEN,便于通过简单的规则把企业内部网络、跨地域网络、多云网络进行统一接入并打通。在此基础上,推荐搭建网络隔离区DMZ,提升网络安全性。 | 可选 | 共享服务账号 |
运维 | 企业级ACK集群 | 在指定账号中搭建一个企业级的ACK Pro集群,该集群包含负载均衡、多可用区等高可用特性。 | 可选 | 任意账号 |
以上这些搭建项可以适配当前企业的已有配置,也可以根据企业实际进行修改。在完成标准模板配置以后,还可以在此基础上继续拓展网络、安全、合规等进阶特性。
配置搭建项及参数
15
在配置蓝图页面的已添加搭建项区域,单击添加搭建项,添加搭建项。
本教程为演示方便,仅选择创建资源夹、创建核心账号、防护规则三个必选搭建项。其他搭建项请根据界面提示自行添加。
在已添加搭建项区域,单击创建资源夹,配置资源夹参数。
云治理中心会为您自动创建Core和Applications两个资源夹:
Core资源夹:用于放置具有管控用途的成员。
Applications资源夹:用于放置开展具体业务的成员。
在已添加搭建项区域,单击创建核心账号,配置核心账号参数。
选择核心账号归属的资源夹。
设置财务托管方式。
指定核心账号。
本教程中,将指定以下三个核心账号:
日志账号:用于统一收集所有成员的日志信息。默认启用,不能选择关闭。
共享服务账号:用于部署企业共享服务。默认启用,可以选择关闭。
安全账号:用于统一进行安全合规管控。默认启用,可以选择关闭。
在已添加搭建项区域,单击防护规则,配置防护规则参数。
统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。
执行搭建任务
5
各项参数配置完成后,单击下一步:预览,检查各个搭建项配置。
检查无误后,单击开始执行。
查看执行状态,等待任务全部执行完成后,单击关闭。
完成
5
完成以上操作后,您可以登录云治理中心控制台,分别查看以下信息:
后续
5
您可以在LandingZone搭建页面,单击继续搭建,配置更多的搭建项,一步步完善您的Landing Zone。更多信息,请参见支持的搭建项。