Landing Zone是阿里云的企业上云框架,它可以指导企业规划和落地云上的资源结构、访问安全、网络架构和安全合规体系,为企业搭建安全、高效和可管理的云环境。为方便您的操作,云治理中心提供了蓝图模板,您可以基于蓝图模板轻松搭建您的Landing Zone。本文将以标准蓝图为例,为您介绍搭建Landing Zone的操作。

背景信息

系统会自动检查您指定的管理账号是否开通了资源目录,对于未开通的情况,会自动帮您开通资源目录。

步骤一:配置搭建项

  1. 登录云治理中心控制台
  2. 在左侧导航栏,单击Landing Zone搭建
  3. Landing Zone搭建页面的选择蓝图区域,选择标准蓝图,然后单击搭建
  4. 配置蓝图页面的已添加搭建项区域,查看蓝图中已经添加的搭建项,您可以根据需要添加或删除搭建项。
    • 单击添加搭建项,添加新的搭建项。

      部分搭建项存在依赖关系,需要同时添加。

    • 单击已有搭建项旁边的删除图标,删除不需要的搭建项。

      蓝图中必选的搭建项,不允许删除。

    本示例中,仅保留创建资源夹创建核心账号防护规则三个必选搭建项。

步骤二:创建资源夹

资源夹是资源目录中的组织单元,通常用于指代企业的分公司、业务线或产品项目等。每个资源夹下可以放置成员,并允许嵌套子资源夹,最终形成树形的资源组织关系。您可以根据资源夹的用途进行资源分配、权限管理、安全管控、合规管控等治理工作。

根据最佳实践,建议您创建以下两个资源夹。当管理账号中不存在这两个资源夹时,云治理中心会为您自动创建。

  • Core资源夹:用于放置具有管控用途的成员。
  • Applications资源夹:用于放置开展具体业务的成员。

您可以在已添加搭建项区域,单击创建资源夹,查看系统自动生成的如上两个资源夹。您可以修改资源夹名称。如果确定不需要的时候,也可以将其删除。

除了自动创建的Core资源夹和Applications资源夹以外,您还可以在资源目录的目标节点下,单击新建资源夹,按照部门和业务环境等创建更细粒度的资源夹。

步骤三:创建核心账号

您可以根据企业已有的职能团队,创建对应的核心管理账号,有利于您后续进行资源分配、权限管理和安全合规管控等治理工作。

  1. 创建核心账号区域的默认资源夹下拉列表中,选择核心账号归属的资源夹。
    本示例中,选择步骤二:创建资源夹中创建的Core资源夹,即在Core资源夹下创建核心账号。
  2. 设置财务托管方式。
    • 财务托管:财务托管是一项阿里云推荐的可选设置,启用以后您可以把所有账号的财务结算、分账等统一在此账号管理。
    • 财务管理:相对财务托管,财务管理可以只指定部分财务能力使用统一账号管理。选用此方式各个账号默认使用自主结算方式,在搭建完成后,通过登录财务管理账号进行配置。
    • 各账号自主结算:保持各账号自主结算,暂不设置财务统一的管理方式。
  3. 可选:如果您选择了财务托管,那么您需要设置财务托管账号。
    您可以采用以下几种方式设置财务托管账号:
    • 指定已有账号:指定当前管理账号或资源目录中的成员为财务托管账号。

      系统会自动判断资源目录的成员是否合适担任财务托管账号,根据判断结果,设置合适的财务托管账号。

      说明 如果系统提示成员不满足要求,可能存在未完善财务信息等情况,请前往用户中心完善。
    • 新建账号:创建一个新的成员,指定其为财务托管账号。
    • 邀请账号:邀请一个阿里云账号加入资源目录,指定其为财务托管账号。
  4. 指定核心账号。
    本示例中,将指定以下三个核心账号:
    • 日志账号:用于统一收集所有成员的日志信息。默认启用,不能选择关闭。
    • 共享服务账号:用于部署企业共享服务。默认启用,可以选择关闭。
    • 安全账号:用于统一进行安全合规管控。默认启用,可以选择关闭。

    对于每一类账号,您可以选择新建账号指定已有账号。当您选择新建账号时,您需要配置账号基本信息。

  5. 单击配置下一项

步骤四:配置防护规则

您可以统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。

防护规则区域,查看并选中您需要的规则。关于防护规则的详情,请参见统一配置防护规则

步骤五:执行Landing Zone搭建任务

  1. 各项参数配置完成后,单击下一步:预览,检查各个搭建项配置。
  2. 检查无误后,单击开始执行
  3. 查看执行状态,等待任务全部执行完成后,单击关闭