资源组会对您拥有的云资源从用途、权限和归属等维度上进行分组,实现企业内部多用户、多项目的资源分级管理。一个云资源只能属于一个资源组,云资源之间的关联关系不会因加入资源组而发生变化。E-MapReduce目前支持资源组的云资源为集群和项目。本文介绍如何为云资源指定资源组及相关的示例。
背景信息
使用资源组时,您需要了解:- 一个资源组可以包含不同地域的云资源。例如,资源组A中可以包含华东1(杭州)地域的集群和华东2(上海)地域的集群。
- 一个资源组可以包含不同资源类型。例如,资源组A中可以包含集群、ECS实例和项目等多种云资源。
- 同一个账号内不同资源组中,相同地域的集群和项目可以进行关联。如果当前账号同时具有资源组A和资源组B的相关权限,则资源组A中华北2(北京)地域项目的作业可以运行在资源组B中华北2(北京)地域的集群上。
- 资源组会继承RAM用户的全局权限。即如果您授权RAM用户管理所有的阿里云资源,那么阿里云账号下所有的资源组都会在该RAM用户中显示出来。
使用限制
- 资源组的创建、管理和RAM授权都是在阿里云资源管理(Resource Management)控制台上进行,详情请参见什么是资源管理。
- E-MapReduce支持资源组的云资源为集群和项目。在创建、扩容集群或转移集群资源组时,集群每个节点会同步加入集群所属资源组,节点支持资源组的云资源包括ECS实例、云盘、镜像、弹性网卡、安全组和密钥对。
- 不允许跨账号在资源组之间转移云资源。 重要 转移节点相关资源的资源组不会同步到集群上,为了保持集群相关资源的统一管理和RAM授权,不建议在资源管理控制台上单独对节点相关资源(例如,ECS实例、云盘、镜像、弹性网卡、安全组和密钥对)转移所属资源组。
指定资源组
云资源在创建之后必须属于一个资源组,如果在创建时未指定,则会加入默认的资源组。下面介绍如何在创建集群和项目时指定资源组。
应用场景
资源组有以下两个应用场景:
场景一:将不同用途的云资源加入不同的资源组中分开管理。
场景二:为各个资源组设置完全独立的管理员,实现资源组范围内的用户与权限管理。
场景一:按云资源的用途分组
您可以将生产环境和测试环境的集群,分别放入生产环境和测试环境两个资源组中。产品测试时,建议只对测试环境资源组中的集群进行操作,避免对生产环境的集群发生误操作。当产品需要上线时,再选择生产环境资源组中的集群进行操作。
创建资源组测试环境和生产环境。
详情请参见创建资源组。
为资源组测试环境和生产环境设置同一个管理员。
详情请参见添加RAM身份并授权。
创建集群TestEnv1和TestEnv2。
创建集群时,请指定加入测试环境资源组。
创建集群ProdEnv1和ProdEnv2。
创建集群时,请指定加入生产环境资源组。
使用测试环境和生产环境资源组的管理员账号登录E-MapReduce控制台。
在顶部菜单栏处选择相应资源组。
您可以看到相应资源组的集群都显示在集群列表页面。例如,选择测试环境,您只可以看到测试环境的集群显示在集群列表页面。
场景二:资源组范围内的用户与权限管理
您可以将公司不同部门使用的集群和项目分别放入多个资源组中,并设置相应的管理员分部门管理集群和项目,实现资源组的隔离。本示例以开发部和测试部进行介绍。
创建资源组开发部和测试部。
详情请参见创建资源组。
分别为资源组开发部和测试部设置管理员。
详情请参见添加RAM身份并授权。
创建集群ITCluster,在创建时指定开发部资源组。
集群创建的详细信息请参见创建集群。
创建集群FinanceCluster1,在创建时指定测试部资源组。
使用测试部管理员账号登录E-MapReduce控制台。
在顶部菜单栏处选择测试部。
您可以看到属于测试部的集群都显示在集群列表页面。