多账号共享VPC方案
提供在多账号间共享VPC的实施方法,根据企业实际场景,不同账号间都可以进行VPC共享,帮助企业实现网络互通、快速支撑业务发展。
方案概述
本方案提供了在多账号间共享VPC的实施方法,当企业在多账号场景下希望对网络进行统一管控、业务孵化快速进行账号间网络互通时可以使用该方案。
企业可以采用云企业网CEN将多个账号间的专有网络VPC进行连接实现多账号间的网络互通,但随着业务复杂度的增加,也会面临分散配置无法集中运维、每个账号重复网络资源配置、网络管理复杂维护成本增加等问题。
通过资源目录管理的账号能够使用资源共享功能,能够帮助企业IT团队在单账号内对网络资源统一管控,业务方在相应账号内可专注于管理业务云资源且无权修改网络配置。根据企业实际场景,不同账号间都可以进行VPC共享,帮助企业实现网络互通、快速支撑业务发展。
方案优势
网络统一管控
可以在单账号内对VPC进行集中规划、统一管理,采用统一的网络架构和安全策略。权限按账号隔离,只有VPC所在账号可以进行管理操作,业务部门资源使用者无权操作,只能按需在网络下挂载云资源,可聚焦自身业务需求。
资源共享可视化
在共享账号内利用资源目录的资源共享功能仅需创建共享单元、指定要共享的网络及资源使用者信息即可进行共享,并能够批量指定资源使用者、快捷管理共享的资源和资源使用者信息。
资源便捷使用
共享VPC后资源使用者可以像在自身账号内一样查看交换机信息并挂载云资源,网络即时互通。
提升IT效率
企业可以将网络和安全能力作为一个服务供业务部门使用,将运维体系标准化和流程化,并提升整个组织的IT效率。业务账号的云资源账单费用归属各个业务,共享VPC账号的账单费用可按业务规则按比例分摊。
客户场景
网络统一管控
场景描述
企业希望由运维团队在一个账号下对网络进行统一管控,然后将网络共享给其它业务账号使用,业务账号可以在共享的网络中创建ECS、RDS等云资源,但无法对网络进行变更操作。ECS、RDS等资源费用归属业务账号,共享账号的网络费用由业务进行分摊。
适用客户
使用资源目录管理多账号,对网络有统一管控的企业客户。
业务孵化网络快速互通
场景描述
企业需要对新业务进行合作探索、快速孵化,例如业务A账号下的新项目要使用B账号的服务、希望进行网络层面的直接互通,可以将账号B网络直接共享给账号A,账号A可以在共享的网络下直接创建ECS、RDS等云资源与账号B的共享网络互通,业务账号A不必关心网络细节,从而支撑业务快速成长。
适用客户
使用资源目录管理多账号,需要进行业务孵化、对账号间有网络快速互通诉求的企业客户。
方案架构
针对多账号共享网络的业务场景,使用账号间共享VPC的方案支持企业诉求,帮助使用多账号体系的企业实现统一的网络规划和管理。使用资源目录将企业的多账号有序组织和集中管理起来后,可使用资源共享功能,成员账号可以将自己VPC下的交换机(vSwitch)直接共享给其他成员使用,可以将需要连接交换机的云服务加入进来,实现成员间的网络互通,满足快速共享网络的诉求。
推荐使用LandingZone企业级统一账号架构方案进行账号规划管理,将网络等共享资源统一放到共享服务账号下,将该账号下的VPC资源通过共享单元共享给成员账号使用。资源使用者无权修改共享服务账号VPC的路由、网络ACL等配置,包括VPC/vSwitch在内的所有基础网络资源都由同一账号进行管理维护。
产品费用及名词
产品费用
|
产品名称 |
产品说明 |
产品费用 |
|
资源目录RD |
资源目录RD(Resource Directory)是阿里云面向企业客户提供的一套多级账号和资源关系管理服务。 |
免费,详情参见产品定价。 |
|
资源共享 |
资源共享(Resource Sharing)是指多账号间通过共享的方式将一个账号下的指定资源共享给一个或多个目标账号使用。 |
免费,详情参见产品定价。 |
|
专有网络VPC |
专有网络VPC(Virtual Private Cloud)是您专有的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源,如云服务器、云数据库RDS和负载均衡等。 |
免费,详情参见产品计费。 |
|
交换机vSwitch |
交换机(vSwitch)是组成专有网络的基础网络模块,用来连接不同的云资源。成功创建交换机后,您可以在交换机中创建云资源、绑定自定义路由表或者绑定网络ACL。 |
免费,详情参见VPC产品计费。 |
|
访问控制RAM |
访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。 |
免费,详情参见产品定价。 |
名词解释
|
名称 |
说明 |
|
企业管理主账号 |
在企业拥有多个阿里云账号时,特指拥有管理其他账号资源权限的管理员账号。用于管理多账号,统一配置多账号身份权限,统一查看各云账号账单,统一配置审计规则并下发到各成员账号。 |
|
共享服务账号 |
企业共享服务会部署在这个账号内,如网络的部署。推荐这个账号的费用由统一的某个团队来承担,比如基础设施团队。 |
安全性
VPC安全性
专有网络VPC具有安全可靠、灵活可控、灵活可用以及较强的可扩展性,详情参见产品优势。
资源目录角色权限
资源目录服务关联角色(AliyunServiceRoleForResourceDirectory)为资源目录集成服务提供可信访问通道,详情参见资源目录服务关联角色。
资源共享角色权限
资源共享服务通过资源共享服务关联角色(AliyunServiceRoleForResourceSharing)获取资源目录的组织结构信息,实现基于资源目录组织结构的资源共享,详情参见资源共享服务关联角色。
安全隔离
企业将单个VPC中的不同交换机共享给不同账号后,网络是默认连通的。在某些场景下,企业希望将不同的交换机进行隔离。企业可通过以下两种方式进行隔离:
注意事项
VPC使用限制
使用专有网络VPC(Virtual Private Cloud)前,请了解VPC的相关使用限制及提升配额方式。详情参见限制与配额及VPC支持的地域信息。
资源目录及资源共享使用限制
资源目录及资源共享使用限制详情参见使用限制。
实施步骤
实施准备
- 已开通资源目录并在资源目录中完成账号关系构建,详情参见企业级统一账号架构方案。
- 企业管理账号下已创建RAM User并能够登录成员账号,权限是AdministratorAccess,详情参见创建RAM用户。
操作步骤
操作步骤中将在资源目录中邀请已有业务账号,使用共享服务账号创建VPC并进行资源共享,在业务成员账号中进行验证。其它账号场景下的VPC共享操作步骤也相同,账号都纳入资源目录管理后,主要操作为在共享账号下选择要共享的资源和填入目标账号信息、在资源共享页面创建共享单元。
邀请已有账号
共享网络的资源使用者账号已在资源目录中管理可跳过该步骤。同一资源目录的成员才可以共享VPC中的交换机,您也可以在资源目录中创建成员。发起邀请前,请确保:
- 被邀请方不存在待确认状态的邀请记录,若存在待确认状态的邀请记录时,不能被再次邀请。
- 被邀请方的法律主体和邀请方一致,即企业账号认证的法律主体一致。
- 每日邀请数量不超过20条。
- 资源目录成员的邀请数量不超过20个
操作步骤
- 在企业管理账号资源目录控制台,选择邀请成员,填入业务账号UID等信息,点击确定。
- 登录被邀请的业务账号,在资源目录控制台内可以看到被邀请信息,查看邀请并接受。
- 登录企业管理账号资源目录控制台,将业务成员账号移动至相应的业务资源夹。
创建VPC及交换机
共享服务账号下已存在要共享的VPC和交换机可跳过该步骤。
创建共享单元
- 进入共享服务账号的资源共享控制台,点击创建共享单元。
- 填写共享单元名称,勾选要共享的交换机,点击添加。
- 选择资源使用者类型,本示例选择阿里云账号,填写业务账号UID,点击添加,然后点击确定创建共享单元。
- 共享成功后会看到关联状态为已关联。
- 后续可以在共享单元详情页点击编辑继续添加其它资源使用者。
查看共享信息
- 返回企业管理账号资源目录控制台,选择业务账号登入。
- 在业务账号的资源目录控制台选择共享给我,能够看到共享服务账号的共享信息。
- 在专有网络控制台能够看到共享的VPC和交换机,后续在业务账号下就可以直接向共享的交换机下挂载ECS、RDS等云资源。
故障排除
资源目录
下面列出资源目录几种常见问题,详情参见链接。
开通资源目录常见问题
为什么无法开通资源目录?
可能有如下两个原因:
- 当前账号没有进行企业实名认证。关于企业实名认证,请参见企业实名认证。
- 当前账号已经在资源目录内,无法重复开通。
什么样的账号不适合作为资源目录的管理账号?
- 账号下有待处理的邀请。建议:先处理邀请后再开通资源目录。
- 账号下已经有云资源部署了业务或应用。建议:由于管理账号将承载整个资源目录的架构管理、用户权限管控以及所有资源的付款结算等高权限操作,为了确保管理账号的安全,建议您创建一个新的阿里云账号作为管理账号,避免将已有用途的阿里云账号作为管理账号。
邀请成员常见问题
邀请成员有几种失效情况?
有两种失效情况:
- 被邀请方超出14天未确认。
- 邀请方取消邀请。
被邀请方确认是否有时间限制?
有。邀请成员从发起到结束必须限定在14天内。邀请记录过期后,系统自动将状态变更为已超时。
无效的邀请记录是否可以删除?
无效的邀请记录在30天后会自动删除,无需手动操作。
