闲置资源治理方案
方案概述
企业用户在云上资源生命周期管理过程中通常存在创建测试资源、资源申请误操作、资源申请过多、应用下线等情况,无法完全精细化管理资源可能会造成云资源未及时释放或未及时使用,从而产生闲置资源。闲置资源会产生不必要的费用,本文指导用户快速发现多账号场景下EIP、NAT网关、云盘、ALB、ECS、ACR等闲置资源,对闲置资源进行治理,从而减少云资源浪费、节省云上成本。
方案优势
闲置资源快速发现及成本节省
本方案能够指导用户及时发现常见的闲置云资源,并对闲置资源进行治理,通过释放无用云资源或对闲置资源重新利用来减少浪费,为企业用户提升资源利用率、节省云上成本。
客户场景
通过闲置资源治理优化云上成本
场景描述
云上资源生命周期管理过程中做完全精细化管理是企业用户在管云过程中面临的挑战之一,用户在创建测试资源、误申请资源、资源申请过多、应用资源下线等情况下,可能会产生未及时释放或未及时使用的闲置资源,造成资源浪费并增加费用成本。
适用客户
对闲置资源进行治理及成本优化有诉求的企业客户。
方案架构
方案目前通过配置审计、监控、控制台、API等方式,帮助用户检测及发现未绑定的EIP、无EIP的共享带宽包、闲置NAT网关、闲置ALB、闲置云盘等闲置资源,发现后用户可根据实际情况对其进行释放或重新使用。支持的闲置资源治理说明如下:
闲置资源 | 闲置判断标准 | 建议发现方式 | 处理建议 |
弹性公网IP | 购买7天后,EIP未绑定资源实例,如ECS实例、CLB实例、NAT网关实例及弹性网卡实例 |
|
|
共享带宽 | 购买7天后共享带宽中未添加任何EIP |
|
|
应用型负载均衡ALB | 购买7天后:
|
|
|
传统型负载均衡CLB | 购买7天后:
|
|
|
公网NAT网关 | 购买7天后:
|
|
|
VPC NAT网关 | 购买7天后,NAT网关未设置SNAT及DNAT条目 |
|
|
VPN网关 | 购买7天后:
|
|
|
转发路由器CEN-TR | 购买7天后,转发路由器无网络实例连接:
|
|
|
云盘 | 购买7天后,云盘未挂载到ECS实例,云盘为待挂载状态 |
|
|
文件存储NAS | 购买7天后,NAS文件系统未添加挂载点 |
|
|
容器镜像服务 | 购买7天后:
|
|
|
ECS预留实例券 | 购买7天后,预留实例券未匹配ECS实例 |
|
|
云服务器ECS | 购买7天后,过去7天ECS实例CPU平均利用率低于3% |
|
|
云数据库RDS | 购买7天后,过去7天RDS实例平均连接数小于1或连接利用率小于0.1% |
|
|
说明:上述判断标准中的购买天数请根据实际情况进行调整。
产品费用及名词
产品费用
产品名称 | 产品说明 | 产品费用 |
弹性公网IP | 弹性公网IP(Elastic IP Address,简称EIP)是可以独立购买和持有的公网IP地址资源。 | 收费,详情参见产品计费。 |
共享带宽包 | 共享带宽提供地域级带宽共享和复用功能。创建共享带宽实例后,您可以将同地域下的弹性公网IP(EIP)添加到共享带宽实例中,复用共享带宽中的带宽,节省公网带宽使用成本。 | 收费,详情参见产品计费。 |
应用型负载均衡ALB | 应用型负载均衡ALB(Application Load Balancer)是阿里云推出的专门面向HTTP、HTTPS和QUIC等应用层负载场景的负载均衡服务,具备超强弹性及大规模应用层流量处理能力 | 收费,详情参见产品计费。 |
NAT网关 | NAT网关(NAT Gateway)是一种网络地址转换服务,提供NAT代理(SNAT和DNAT)能力。阿里云NAT网关分为公网NAT网关和VPC NAT网关。 | 收费,详情参见产品计费。 |
云盘 | 云盘是阿里云为云服务器ECS提供的数据块级别的块存储产品,具有低时延、高性能、持久性、高可靠等特点。 | 收费,详情参见产品计费。 |
云服务器ECS | 云服务器ECS(Elastic Compute Service)是阿里云提供的性能卓越、稳定可靠、弹性扩展的IaaS(Infrastructure as a Service)级别云计算服务。 | 收费,详情参见产品计费。 |
ECS预留实例券 | 预留实例券是一种抵扣券,可以抵扣按量付费实例(不含抢占式实例)的账单,也能够预留实例资源。相比包年包月实例,预留实例券与按量付费实例这种组合模式可以兼顾灵活性和成本。 | 收费,详情参见产品计费。 |
云数据库RDS | 阿里云关系型数据库RDS(Relational Database Service)是一种稳定可靠、可弹性伸缩的在线数据库服务。 | 收费,详情参见产品计费。 |
配置审计Config | 配置审计(Config)是一项资源审计服务,为您提供面向资源的配置历史追踪、配置合规审计等能力。面对大量资源,帮您轻松实现基础设施的自主监管,确保持续性合规 | 公测免费,详情参见计费说明。 |
云监控 | 云监控(CloudMonitor)是一项针对阿里云资源和互联网应用进行监控的服务。云监控为云上用户提供开箱即用的企业级开放型一站式监控解决方案 | 部分收费,详情参见产品计费。 |
名词解释
名称 | 说明 |
企业管理主账号 | 在企业拥有多个阿里云账号时,特指拥有管理其他账号资源权限的管理员账号。用于管理多账号,统一配置多账号身份权限,统一查看各云账号账单,统一配置审计规则并下发到各成员账号。 |
委派管理员账号 | 资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。 |
安全性
闲置资源释放风险
资源释放存在业务风险,发现闲置资源后若需要对闲置资源执行释放,请务必根据企业实际情况确认资源可以执行释放,包括但不限于与资源责任人确认、确认影响范围、确保数据已迁移等,确认无风险后再执行释放操作。
注意事项
请阅读并了解安全性章节中的资源释放风险。
使用在用户中心-成本管理-成本优化中使用资源智能水位分析功能会产生一定费用,该费用由云监控收取,与资源实例个数、统计天数及报表个数有关,详情参见智能水位分析计费。
实施步骤
实施准备
已阅读方案架构及注意事项章节,了解操作影响面及可能的风险。
如果要使用API与企业CMP对接查询闲置资源,需已拥有Python运行环境,本方案中使用Python版本为3.9.7。
实施时长
在实施准备工作完成的情况下,本方案实施预计时长:30分钟。
操作步骤
根据方案架构中的闲置资源发现方式,结合企业实际情况选择下述优化项进行具体操作,建议优先使用配置审计从资源配置角度快速发现闲置资源,ECS、RDS等负载类使用资源监控发现闲置资源,其次再使用云产品控制台。
使用配置审计发现闲置资源
新建账号组
使用企业管理账号或委派管理员账号登录配置审计控制台,新建全局账号组。详细操作步骤请参考新建账号组。
注意:若已有全局账号组请跳过该步骤。
启用闲置检测合规包
在配置审计控制台选择“合规包”菜单,选择新建的全局账号组,单击启用合规包,填写合规包信息后单击下一步。
在合规包模版中选择“资源空闲检测最佳实践”,支持的资源类型详情参见控制台规则列表。对规则进行批量勾选规则,单击下一步。
根据实际情况选择是否要调整购买天数判断参数(默认7天),单击完成。
查看检测结果
在合规包页面单击合规包详情查看是否存在闲置资源。
单击资源ID可查看详情。
使用API发现闲置资源
说明:除有API对接需求的情况外,优先推荐使用上述配置审计的方式发现闲置资源。已使用配置审计发现闲置资源可跳过本步骤。
本步骤使用Python代码调用OpenAPI查询EIP、共享带宽、ALB、NAT网关、云盘、预留实例券等闲置资源信息。
创建RAM用户、角色并授权
登录企业管理账号RAM控制台创建RAM用户,不启用控制台访问、启用OpenAPI调用访问,生成AccessKey并妥善保存,详情参见创建RAM用户。
为RAM用户授予
AliyunSTSAssumeRoleAccess
权限,详情参见为RAM用户授权。
运行环境准备
执行下列命令完成OpenAPI相关Python包安装。
pip install alibabacloud_tea_util
pip install alibabacloud_tea_openapi
pip install alibabacloud_sts20150401
pip install alibabacloud_vpc20160428
pip install alibabacloud_alb20200616
pip install alibabacloud_bssopenapi20171214
pip install alibabacloud_ecs20140526
下载代码并进行配置
配置代码中的AccessKey、企业管理账号UID、要查询闲置资源的成员账号UID以及要查询的地域ID。
rd_management_account_access_key_id = 'yourAccessKeyId'
rd_management_account_access_key_secret = 'yourAccessKeySecret'
rd_management_account_readonly_role_name = 'readOnly'
rd_management_account_id = 'yourRdManagementAccountId'
rd_member_account_id_list = ['yourRdMemberAccountId', 'yourRdMemberAccountId']
region_id_list = ['cn-shanghai', 'cn-xxx']
运行代码
在命令行执行命令python3 idle_resource.py
,查看闲置资源信息及闲置原因。
使用云产品控制台发现闲置资源
转发路由器
登录云企业网控制台,单击云企业网实例ID查看详情,单击转发路由器ID查看地域内连接详情,若无实例连接则为闲置转发路由器。
ECS预留实例券
登录预留实例券控制台,选择时间规格查看资源,使用率为0%则为闲置预留实例券。
使用监控发现闲置ECS、RDS
方式一:通过成本管理中的智能水位分析发现闲置资源
多账号或大量资源场景建议使用该方法获取闲置实例信息。
注意:
使用云监控提供的资源智能水位分析会产生一定费用,费用与资源实例个数、天数及报表个数有关,详情参见智能水位分析计费。
若站点中不支持下文的成本优化控制台,可直接使用云监控智能水位分析功能,操作详情参见管理智能水位分析报表。
登录成本管理-成本优化控制台,在优化分析中选择智能水位分析,单击查看详情、开通服务。
在资源使用优化-智能水位分析页面单击创建/查看更多报告,单击创建分析任务。选择单次任务,选择要获取实例的资源使用监控数据时间范围,本示例选择当前时间前7天(根据实际情况调整),选择ECS及RDS产品,单击确定。
任务运行需要一段时间,查看所有报表可看到任务状态。
任务运行完成后单击下载最新详细报表,查看资源水位情况,参考方案架构中的ECS CPU利用率及RDS连接使用率发现闲置资源。
方式二:使用基础监控判断闲置
该方式相对繁琐,若不涉及多账号、不想使用云监控智能水位分析、仅少量资源等情况才使用该方式。
使用每个账号下的云监控控制台,ECS可以到在云监控主机监控、RDS可以在云监控云产品监控页面查看每个实例的监控信息判断是否为闲置。
使用每个账号下的云产品控制台,ECS可以到在产品控制台选择地域及相应实例单击监控按钮查看CPU监控数据,RDS可以在产品控制台选择地域及相应实例详情-监控与报警查看会话监控数据,判断是否为闲置。
使用或释放闲置资源
弹性公网IP
与相关责任人确认EIP是否继续使用,若继续使用可对其进行资源实例绑定,若确认不再使用且EIP为按量付费可对其进行释放。
共享带宽包
与相关责任人确认实例是否继续使用,若继续使用可点击添加IP将EIP加入共享带宽中,若确认不再使用且为按量付费类型可删除共享带宽。
应用型负载均衡ALB
与相关责任人确认实例是否继续使用,若继续使用可为ALB实例配置监听,转发服务器组中无服务器的向其中添加后端服务器,若确认不再使用可释放实例。
NAT网关
与相关责任人确认实例是否继续使用,若继续使用可对NAT网关进行配置,否则按量付费实例可进行释放。
云盘
与相关责任人确认云盘是否继续使用,若继续使用将数据盘其挂载到ECS实例,若云盘为按量付费、确认不再使用、且云盘上无有效数据再释放云盘,如需数据备份可参考创建云盘快照。
转发路由器
与相关责任人确认转发路由器是否继续使用,若继续使用请创建网络实例连接,若不在使用请删除转发路由器实例。
ECS预留实例券
根据使用ECS的实际使用情况,将可用区级预留实例券进行合并或拆分,使其规格满足ECS实例抵扣条件,避免实例券闲置浪费。例如企业已使用了ecs.g7 4 vCPU/16 GiB
的ECS实例,可以将两张闲置的ecs.g7 2 vCPU/8 GiB
实例券进行合并,使合并后的实例券满足抵扣条件,避免实例券闲置浪费。匹配规则详情参见预留实例券与实例的匹配,合并拆分详细信息请参见拆分预留实例券和合并预留实例券。
若不满足预留实例券拆分、合并条件,根据实际情况可考虑创建与实例券相匹配的ECS实例供需要的应用使用,避免实例券闲置情况出现。
ECS、RDS实例
与相关责任人确认RDS及ECS实例是否为闲置实例,若ECS实例为按量付费且确认不再继续使用可释放实例,若RDS实例不再继续使用可释放实例。
注意:请详细阅读相应释放实例文档中的注意事项,确认是否存在有效数据、做好数据备份。
故障排除
预留实例券的匹配规则是怎样的?
详情参见预留实例券与实例的匹配。
预留实例券可以退款吗?
以下情况下,您可以申请退款:
购买预留实例券的五天内,可以申请无理由退款。
说明 每个阿里云账号每年只有一次五天无理由退款的机会。例如,您同时购买了一台ECS实例和一张预留实例券,如果ECS实例无理由退款,则同年内无法再申请预留实例券无理由退款。
拆分、合并预留实例券或者调整预留实例券范围后,目标地域或可用区下的实例资源库存不足。
详情参见官网说明。