搭建Landing Zone

Landing Zone是阿里云的企业上云框架,它可以指导企业规划和落地云上的资源结构、访问安全、网络架构和安全合规体系,为企业搭建安全、高效和可管理的云环境。为方便您的操作,云治理中心提供了蓝图模板,您可以基于蓝图模板轻松搭建您的Landing Zone。本文将以标准蓝图为例,为您介绍搭建Landing Zone的操作。

背景信息

系统会自动检查您指定的管理账号是否开通了资源目录,对于未开通的情况,会自动帮您开通资源目录。

步骤一:配置搭建项

  1. 登录云治理中心控制台

  2. 在左侧导航栏,选择Landing Zone > Landing Zone搭建

  3. Landing Zone搭建页面的选择蓝图区域,选择标准蓝图,然后单击搭建

  4. 配置蓝图页面的已添加搭建项区域,查看蓝图中已经添加的搭建项,您可以根据需要添加或删除搭建项。

    • 单击添加搭建项,添加新的搭建项。

      部分搭建项存在依赖关系,需要同时添加。

    • 单击已有搭建项旁边的删除图标,删除不需要的搭建项。

      蓝图中必选的搭建项,不允许删除。

    本示例中,仅保留创建资源夹创建核心账号防护规则三个必选搭建项。

步骤二:创建资源夹

资源夹是资源目录中的组织单元,通常用于指代企业的分公司、业务线或产品项目等。每个资源夹下可以放置成员,并允许嵌套子资源夹,最终形成树形的资源组织关系。您可以根据资源夹的用途进行资源分配、权限管理、安全管控、合规管控等治理工作。

根据最佳实践,建议您创建以下两个资源夹。当管理账号中不存在这两个资源夹时,云治理中心会为您自动创建。

  • Core资源夹:用于放置具有管控用途的成员。

  • Applications资源夹:用于放置开展具体业务的成员。

您可以在已添加搭建项区域,单击创建资源夹,查看系统自动生成的如上两个资源夹。您可以修改资源夹名称。如果确定不需要的时候,也可以将其删除。

除了自动创建的Core资源夹和Applications资源夹以外,您还可以在资源目录的目标节点下,单击新建资源夹,按照部门和业务环境等创建更细粒度的资源夹。

步骤三:创建核心账号

您可以根据企业已有的职能团队,创建对应的核心管理账号,有利于您后续进行资源分配、权限管理和安全合规管控等治理工作。

  1. 创建核心账号区域的默认资源夹下拉列表中,选择核心账号归属的资源夹。

    本示例中,选择步骤二:创建资源夹中创建的Core资源夹,即在Core资源夹下创建核心账号。

  2. 设置财务托管方式。

    • 财务托管:财务托管是一项阿里云推荐的可选设置,启用以后您可以把所有账号的财务结算、分账等统一在此账号管理。

    • 财务管理:相对财务托管,财务管理可以只指定部分财务能力使用统一账号管理。选用此方式各个账号默认使用自主结算方式,在搭建完成后,通过登录财务管理账号进行配置。

    • 各账号自主结算:保持各账号自主结算,暂不设置财务统一的管理方式。

  3. 可选:如果您选择了财务托管,那么您需要设置财务托管账号。

    您可以采用以下几种方式设置财务托管账号:

    • 指定已有账号:指定当前管理账号或资源目录中的成员为财务托管账号。

      系统会自动判断资源目录的成员是否适合担任财务托管账号,根据判断结果,设置合适的财务托管账号。

      说明

      如果系统提示成员不满足要求,可能存在未完善财务信息等情况,请前往费用与成本完善。

    • 新建账号:创建一个新的成员,指定其为财务托管账号。

    • 邀请账号:邀请一个阿里云账号加入资源目录,指定其为财务托管账号。

  4. 指定核心账号。

    本示例中,将指定以下三个核心账号:

    • 日志账号:用于统一收集所有成员的日志信息。默认启用,不能选择关闭。

    • 共享服务账号:用于部署企业共享服务。默认启用,可以选择关闭。

    • 安全账号:用于统一进行安全合规管控。默认启用,可以选择关闭。

    对于每一类账号,您可以选择新建账号指定已有账号。当您选择新建账号时,您需要配置账号基本信息。

  5. 单击配置下一项

步骤四:配置防护规则

您可以统一配置和开启配置审计的防护规则,保证云治理中心创建的资源结构和基础配置不被修改,同时保证多账号环境的安全性。

防护规则区域,查看并选中您需要的规则。关于防护规则的详情,请参见统一配置防护规则

步骤五:执行Landing Zone搭建任务

  1. 各项参数配置完成后,单击预览配置,检查各个搭建项配置。

  2. 检查无误后,单击开始执行

  3. 查看执行状态,等待任务全部执行完成后,单击关闭

后续步骤

继续搭建Landing Zone

上述步骤仅完成了Landing Zone的基础搭建项,您可以在Landing Zone搭建页面的右上角,单击继续搭建,配置更多的搭建项,一步步完善您的Landing Zone。更多信息,请参见支持的搭建项

创建成员账号

您可以在账号工厂页面,查看上述步骤中创建的核心账号详情,也可以统一配置账号基线,基于账号基线创建新的成员账号。更多信息,请参见使用账号基线创建账号

管理多账号

  • 查看多账号结构

    查看企业的多账号结构概览、资源夹和成员等。更多信息,请参见查看账号结构

  • 统一配置身份权限

    对资源目录中的多个成员进行统一身份权限配置。更多信息,请参见统一配置身份权限

  • 管理防护规则

    查看搭建Landing Zone时配置的防护规则详情、查看资源合规结果、打开或关闭推荐规则和可选规则的开关等。更多信息,请参见统一配置防护规则

  • 统一投递审计日志

    将资源目录中所有成员的操作审计日志和配置审计日志统一投递到指定的日志账号,可以选择投递到对象存储OSS实现长期存储,也可以投递到日志服务SLS实现实时的日志分析。更多信息,请参见统一投递审计日志

  • 查看资源列表

    资源中心跨账号、跨产品、跨地域查看资源。更多信息,请参见资源中心概述

查看治理成熟度检测结果

治理成熟度检测可以持续检测企业的云上IT治理水平,并提供友好的治理引导,帮助企业完善云上IT治理的配置,降低云上IT治理的风险。云治理中心可以对企业资源目录下的成员进行自动检测,帮助您及时发现治理缺失和潜在风险。更多信息,请参见查看检测数据并下载检测报告