Landing Zone是阿里云的企业上云框架,它可以指导企业规划和落地云上的资源结构、访问安全、网络架构和安全合规体系,为企业搭建安全、高效和可管理的云环境。为方便您的操作,云治理中心提供了蓝图模板,您可以基于蓝图模板轻松搭建您的Landing Zone。本文将以标准蓝图为例,为您介绍搭建Landing Zone的操作。
背景信息
系统会自动检查您指定的管理账号是否开通了资源目录,对于未开通的情况,会自动帮您开通资源目录。
步骤一:配置搭建项
登录云治理中心控制台。
在左侧导航栏,选择 。
在Landing Zone搭建页面的选择蓝图区域,选择标准蓝图,然后单击搭建。
在配置蓝图页面的已添加搭建项区域,查看蓝图中已经添加的搭建项,您可以根据需要添加或删除搭建项。
单击添加搭建项,添加新的搭建项。
部分搭建项存在依赖关系,需要同时添加。
单击已有搭建项旁边的图标,删除不需要的搭建项。
蓝图中必选的搭建项,不允许删除。
本示例中,仅保留创建资源夹、创建核心账号和防护规则三个必选搭建项。
步骤二:创建资源夹
资源夹是资源目录中的组织单元,通常用于指代企业的分公司、业务线或产品项目等。每个资源夹下可以放置成员,并允许嵌套子资源夹,最终形成树形的资源组织关系。您可以根据资源夹的用途进行资源分配、权限管理、安全管控、合规管控等治理工作。
根据最佳实践,建议您创建以下两个资源夹。当管理账号中不存在这两个资源夹时,云治理中心会为您自动创建。
Core资源夹:用于放置具有管控用途的成员。
Applications资源夹:用于放置开展具体业务的成员。
您可以在已添加搭建项区域,单击创建资源夹,查看系统自动生成的如上两个资源夹。您可以修改资源夹名称。如果确定不需要的时候,也可以将其删除。
除了自动创建的Core资源夹和Applications资源夹以外,您还可以在资源目录的目标节点下,单击新建资源夹,按照部门和业务环境等创建更细粒度的资源夹。
步骤三:创建核心账号
您可以根据企业已有的职能团队,创建对应的核心管理账号,有利于您后续进行资源分配、权限管理和安全合规管控等治理工作。
在创建核心账号区域的默认资源夹下拉列表中,选择核心账号归属的资源夹。
本示例中,选择步骤二:创建资源夹中创建的Core资源夹,即在Core资源夹下创建核心账号。
设置财务托管方式。
财务托管:财务托管是一项阿里云推荐的可选设置,启用以后您可以把所有账号的财务结算、分账等统一在此账号管理。
财务管理:相对财务托管,财务管理可以只指定部分财务能力使用统一账号管理。选用此方式各个账号默认使用自主结算方式,在搭建完成后,通过登录财务管理账号进行配置。
各账号自主结算:保持各账号自主结算,暂不设置财务统一的管理方式。
可选:如果您选择了财务托管,那么您需要设置财务托管账号。
您可以采用以下几种方式设置财务托管账号:
指定已有账号:指定当前管理账号或资源目录中的成员为财务托管账号。
系统会自动判断资源目录的成员是否适合担任财务托管账号,根据判断结果,设置合适的财务托管账号。
说明如果系统提示成员不满足要求,可能存在未完善财务信息等情况,请前往费用与成本完善。
新建账号:创建一个新的成员,指定其为财务托管账号。
邀请账号:邀请一个阿里云账号加入资源目录,指定其为财务托管账号。
指定核心账号。
本示例中,将指定以下三个核心账号:
日志账号:用于统一收集所有成员的日志信息。默认启用,不能选择关闭。
共享服务账号:用于部署企业共享服务。默认启用,可以选择关闭。
安全账号:用于统一进行安全合规管控。默认启用,可以选择关闭。
对于每一类账号,您可以选择新建账号或指定已有账号。当您选择新建账号时,您需要配置账号基本信息。
单击配置下一项。
步骤四:配置防护规则
您可以统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。
在防护规则区域,查看并选中您需要的规则。关于防护规则的详情,请参见统一配置防护规则。
步骤五:执行Landing Zone搭建任务
各项参数配置完成后,单击预览配置,检查各个搭建项配置。
检查无误后,单击开始执行。
查看执行状态,等待任务全部执行完成后,单击关闭。
后续步骤
继续搭建Landing Zone
上述步骤仅完成了Landing Zone的基础搭建项,您可以在Landing Zone搭建页面的右上角,单击继续搭建,配置更多的搭建项,一步步完善您的Landing Zone。更多信息,请参见支持的搭建项。
创建成员账号
您可以在账号工厂页面,查看上述步骤中创建的核心账号详情,也可以统一配置账号基线,基于账号基线创建新的成员账号。更多信息,请参见使用账号基线创建账号。
管理多账号
查看治理成熟度检测结果
治理成熟度检测可以持续检测企业的云上IT治理水平,并提供友好的治理引导,帮助企业完善云上IT治理的配置,降低云上IT治理的风险。云治理中心可以对企业资源目录下的成员进行自动检测,帮助您及时发现治理缺失和潜在风险。更多信息,请参见查看检测数据并下载检测报告。