Landing Zone Accelerator
Landing Zone Accelerator是阿里云提供的自动化搭建Landing Zone的解决方案,加速云上Landing Zone架构搭建。
背景
过去您可以通过阿里云云治理中心流程化地按需搭建Landing Zone架构,或参考阿里云Landing Zone解决方案在阿里云控制台可视化地手动搭建。为了提升企业Landing Zone的搭建效率,我们推出了Landing Zone Accelerator (LZA),以支持您通过自动化的方式快速为上云业务构建符合云上最佳实践的Landing Zone架构,无论要搭建的是面向传统云资源的Landing Zone还是面向AI业务的AI Landing Zone,都可以通过Landing Zone Accelerator自动化搭建。
阿里云 Landing Zone Accelerator (LZA) 的设计符合阿里云Landing Zone最佳实践。如果您有以下需求可以采用Landing Zone Accelerator来搭建Landing Zone:
计划通过基于Terraform的IaC技术来管理阿里云资源
希望通过自动化方式搭建Landing Zone或AI Landing Zone架构
期望构建一套可复用的、状态化的、版本化的Landing Zone基础架构
本解决方案本身并不能确保您完全合规。它提供基础架构,其他配套解决方案可在此基础上进行集成。本解决方案实施指南中的信息并不详尽。您必须根据组织内部的特定安全功能、工具和配置,审查、评估并批准本解决方案。您和您的组织有责任确定哪些监管要求适用,并确保遵守所有要求。尽管本解决方案讨论了技术和管理要求,但它并不帮助您遵守非技术性的管理要求。
方案介绍
Landing Zone Accelerator是一个开源项目,它完全基于Terraform构建,您可以下载完整的开源代码,从而完全访问Landing Zone Accelerator中的Terraform代码。通过基于Terraform的基础设施即代码(IaC),您可以搭建符合上云最佳实践和满足企业要求的云上IT治理架构,同时可自由扩展阿里云Landing Zone中提供的解决方案。注意,部署Landing Zone Accelerator后,Landing Zone Accelerator自身并无法保障企业在云上资源的合规性,依赖于您的实际资源配置和合规规则配置。
Landing Zone Accelerator 本身是免费的开源解决方案,您只需为开通的收费云资源进行付费。
Landing Zone Accelerator支持在所有支持Landing Zone的区域部署,包含阿里云公共云中的中国站和国际站。
开源地址
https://github.com/aliyun/landing-zone-accelerator-on-alibaba-cloud
方案支持
Landing Zone Accelerator开源代码中默认包含了Landing Zone六大核心模块的搭建代码,包含:资源管理、身份权限、财务管理、网络规划、安全防护、合规审计。下载源码后,您可以根据企业自身的实际需求选择保留需要的模块和源码,Landing Zone Accelerator中的默认资源配置都仅作为示例,而非可直接用于企业中的实际配置,下载源码后请根据实际需要修改资源配置以满足企业实际部署需求。
Landing Zone Accelerator可用于在阿里云上构建Landing Zone和AI Landing Zone架构,可一次部署后在同一套Landing Zone架构中统一管理传统云资源和AI资源,也可以根据实际情况选择独立部署两份分别管理。
工程结构
Landing Zone Accelerator架构中包含3个模块:modules、components、test,定义如下:
modules
最底层的细粒度模块,通常满足以下条件才被抽象为一个Module:
负责单个产品的创建和配置
使用到的Terraform Resource或Datasource 数量 >= 2
components
components是module的上层封装,开发规范与 Terraform Module 方式相同。Landing Zone 的功能模块或子模块会被抽象为一个 component。
test
test是对components模块进行测试的模块,覆盖components中的所有子模块,在实际应用中可以参考test模块中的调用方法对components模块进行业务封装调用。
完整的工程结构如下:
.
├── README-CN.md
├── README.md
├── components/
│ ├── account-factory/
│ │ ├── account/
│ │ └── baseline/
│ ├── guardrails/
│ │ ├── detective/
│ │ └── preventive/
│ ├── identity/
│ │ └── cloudsso/
│ ├── log-archive/
│ │ ├── actiontrail/
│ │ ├── config/
│ │ └── log-audit/
│ ├── network/
│ │ ├── cen/
│ │ └── dmz/
│ ├── resource-structure/
│ │ ├── accounts/
│ │ └── folders/
│ ├── security/
│ │ ├── bastion-host/
│ │ ├── cloud-firewall/
│ │ ├── kms/
│ │ ├── security-center/
│ │ └── wafv3/
│ └── wafv3-template/
├── modules/
│ ├── cen-vpc-attach/
│ ├── cloudsso-users-and-groups/
│ ├── cms/
│ ├── config-configuration-recorder/
│ ├── contact/
│ ├── dmz-vpc-egress/
│ ├── eip/
│ ├── kms-instance/
│ ├── nat-gateway/
│ ├── oss-bucket/
│ ├── preset-tag/
│ ├── private-zone/
│ ├── ram-role/
│ ├── ram-security-preference/
│ ├── sls-logstore/
│ ├── sls-project/
│ ├── vpc/
│ └── wafv3-template/
└── test/
└── components/
├── account-factory/
├── cloudsso/
├── guardrails/
├── log-archive/
├── network/
├── resource-structure/
├── security/
└── wafv3-template/
运行环境
在企业中,我们建议您将Landing Zone Accelerator集成到您企业内部的IaC CICD流程中,构建企业级的IaC管理能力。如果您当前还没有企业内部的IaC架构或希望将Landing Zone Accelerator部署到一个云上托管的运行时环境中,您可以与您的商务经理取得联系以获取到适合您的企业级IaC架构方案。
多环境应用
由于modules和components都遵守了Terraform Module开发规范,因此您可以在components之上进行多环境的业务封装以支持在一个工程中同时进行多环境管理或统一管理多套独立的Landing Zone架构,以满足企业中的多环境、多子公司等场景。
示例:
.
├── deployments/
│ ├── dev
│ ├── beta
│ ├── prod
├── components/
├── modules/
└── test/
策略分离
如果您的策略配置类内容较多,希望进行策略内容与Terraform代码的分离,Landing Zone Accelerator中也提供了支持,您可以参考test/components/guardrails/preventive/main.tf中的实现方式。
常见问题
Landing Zone Accelerator由谁开源,是否支持社区贡献?
Landing Zone Accelerator由阿里云官方开源,支持来自社区的贡献,您可在开源仓库中提交PR或Issues。
Landing Zone Accelerator是否包含了阿里云Landing Zone中所有解决方案?
Landing Zone Accelerator包含了Landing Zone六大核心模块中的基础框架搭建,涵盖了最常用到的云上IT治理架构解决方案,但并不包含所有Landing Zone中的解决方案,您可以按需进行扩展。
Landing Zone Accelerator是否是一套完整可直接使用的企业级IaC架构?
Landing Zone Accelerator仅包含Landing Zone搭建的业务代码,并不包含CICD流程、多人协作等企业级IaC能力,您需要在企业部署过程中添加企业内部的CICD等企业级IaC能力,如果您当前还没有企业内部的IaC架构或希望将Landing Zone Accelerator部署到一个云上托管的运行时环境中,您可以与您的商务经理取得联系以获取到适合您的企业级IaC架构方案。