定义

如果把上云框架的搭建比作建设社区,那么企业的中心IT团队就是社区的总设计师。一个好的社区通常具备较为完善的顶层设计,最终才能提供优质服务给社区租户。社区规划首先要考虑的是基础设施的布局和建设,包括道路的规划、门禁的管理、停车场的布局、楼房规格的规划等。其次,社区一般也会提供通用服务,例如垃圾分类、水电维修等,以及制定相应的社区规约来管理租户,例如装修时间规定、噪音规定。作为增值服务,高档社区还会提供统一的不同类型的样板间,比如统一水电、装修等。

在阿里云,我们建议企业在第一个应用上云前,需要有一整套顶层设计和一系列基础框架,为后续的业务上云扫清障碍。否则,可能会导致后续业务上云面临成本、网络、安全、效率等多方面的问题。业界通常把这些基础框架叫做Landing Zone,我们也遵循这一命名方法。

如上所述,在成熟的运维模型中,通常由企业的中心IT团队负责集中管理和管控,然后将云环境交付到业务团队。为了高效地提供安全、稳定的云环境,中心IT团队需要搭建一套企业级的管理和治理框架作为云环境的基础设施,为企业上云打好基础。

例如,某跨国企业使用阿里云支撑公司多个业务系统,其中包含公司的互联网业务和ERP,以及内部的OA等系统,这些系统由不同的团队负责。为了更高效地使用云,公司成立新的“云平台”部门负责和云的对接。“云平台”的内部定位是公司负责提供云能力的部门,以此加速IT和业务升级。具体而言,“云平台”部门负责云上资源的快速交付、成本控制、质量保证,同时赋能业务部门在安全的前提下进行创新。“云平台”在阿里云提供的Landing Zone的基础上,构建了整个云服务体系。

跨国组织结构案例

架构

那么,一个完整的Landing Zone,究竟包括哪些方面?在参考了众多企业客户的实践之后,我们定义了Landing Zone,其包含如下几个功能模块。

LZ架构

下表简要描述了上述功能模块。

Landing Zone模块 描述
资源规划 规划云上账号及其组织结构。根据公司的运维模式,定义所需要的管控关系。
财务管理 管理云平台的合同、优惠、付款关系、账单,以及认证公司在云平台的实体、发票抬头等财务相关的属性。
网络规划 规划云上VPC的拓扑结构、混合云网络的互联、网络的流量走向、相关的安全措施,以及如何构建高可用和可扩展的网络架构。
身份权限 规划谁能够访问云,并通过单点登录SSO和细粒度授权实现人员按需访问。
安全防护 通过在云上构建基础的安全环境,帮助业务系统在云上快速的安全落地。
合规审计 设计治理的目标和流程,并通过相应的工具来实现对于治理规则的监督。
运维管理 构建以CMDB为核心的运维管理体系,包含标准的发布变更流程,应用和基础设施的统一监控,集成企业的ITSM系统,提供自助服务。
自动化 定义自动化场景和目标,并通过相应的工具实现自动化。常见的场景如Landing Zone自身的搭建以及CI/CD流水线的自动化。