本文指导您选择合适的资源分组方法,通过操作步骤和案例,帮助您有效实施资源分组,为后续的权限隔离、成本分摊及运维管理奠定基础。
为什么要对资源分组?
随着企业上云深度增加和业务扩张,单账号内的资源数量激增,管理复杂度随之提升。您可以使用资源组按照部门、项目、环境等维度对单账号内的资源进行分组,进而解决资源的精细化授权、分账、分组监控等复杂问题,提升资源管理效率。
如何对资源分组?
第一阶段:规划和设计资源组
查阅支持资源组的云服务,明确您的业务使用到的资源类型是否支持资源组。
明确资源分组的维度,例如按项目、按环境、按部门等划分资源组,确保资源都可以划分到唯一的资源组,且需要考虑未来业务的发展变化,减少因划分资源组的维度不合适而导致后续调整资源组带来的成本和风险。
制定资源组统一命名规范,命名需要简单明了、具有明确的语义、便于识别和管理。
规划资源组权限,需要遵循权限最小化原则,避免出现权限过大问题。
更多信息,请参见资源组设计最佳实践。
第二阶段:实施资源分组
为新创建的资源分组
在创建资源时指定资源所属的资源组,确保资源从一开始就纳入正确的资源组管理范围,可以有效避免资源管理混乱和后续大规模调整资源分组的复杂性问题。如果不指定资源组,则资源默认会划分到默认资源组中。
您可以通过以下任意一种方式在创建资源时指定归属的资源组:
在云服务控制台创建资源时,指定对应资源组,把资源放入资源组内。具体操作请参见云服务对应文档。
下图为购买ECS实例时指定归属的资源组。
调用云服务API创建资源时,在参数中指定资源组,把资源放入资源组内。具体操作请参见云服务对应文档。
例如:调用CreateInstance - 创建实例创建ECS时,可以通过请求参数中的
ResourceGroupId指定归属的资源组。
为存量资源分组
自动转组
为已创建的存量资源分组时,建议优先使用自动转组功能,将符合条件的资源由系统自动转入指定资源组中,提升转组效率,降低运维成本。自动转组功能包含两类转组规则:
在实际场景中,可以将两种规则结合使用,进一步提升分组效率。例如:您可以使用自定义转组将符合条件的ECS实例转移到目标资源组。同时,启用关联资源跟随转组规则,确保ECS实例的关联资源(如磁盘、网卡等)同步转移。
将绑定了标签
project:project A或资源名称包含projectA的ECS实例自动转入目标资源组Project-A。
使用关联资源跟随转组,设置当ECS实例转组时,其关联的磁盘、网卡、EIP、快照等资源也自动转入同一资源组。
手动转组
对于无法使用自动转组功能的资源,您可以通过以下任意一种方式手动转组:
转组影响
资源从一个资源组转移到另一个资源组,不会影响资源本身。例如:资源实例不会重启、网络配置不会变更、资源所有者不会变更等。
但是,如果您有基于资源组范围的授权策略,则资源所属资源组发生变更,可能会导致RAM身份对资源访问权限的变更。例如:您给项目A的成员授予资源组A范围的操作权限,此时成员可以访问资源组A内的资源。 当资源从资源组A调整到资源组B时,由于成员只有资源组A的权限,则此时成员将不再具有此资源的操作权限。
因此,在资源转组之前,请仔细检查相关权限设置并评估转组对RAM身份权限的影响,必要时及时调整RAM身份的权限设置,以确保权限的有效性。
第三阶段:资源组应用
资源分组完成后,您可以在其他云服务中按资源组的维度进行资源访问控制、资源分账、自动化运维等。
云服务 | 应用场景 | 分类 | 相关文档 |
访问控制 | 不同用户,具有不同资源组范围的资源的权限。从而实现账号内资源的分组隔离。 | 精细化访问控制 | |
费用中心 | 基于资源组创建财务单元,以资源组维度汇总查询相应资源实例的账单费用。 | 资源分账 | |
配置审计 | 指定资源组作为规则生效的范围,实现多标准下的资源合规审计。 | 合规审计 | |
标签 | 通过资源组标签自动继承功能,您在资源组中创建资源或者将资源加入到资源组后,该资源会自动继承资源组的指定标签。 | 资源管理 | |
云监控 | 基于资源组创建云监控的应用分组,将指定资源组中的所有实例添加到该应用分组中进行监控管理。 | 运维管理 | |
资源编排服务(ROS) | 基于资源组选择待运维的资源,在资源编排服务(ROS)中实现高效的资源运维管理。 | 运维管理 | |
系统运维管理(OOS) | 基于资源组选择运维的资源,在系统运维管理(OOS)中实现高效的资源运维管理。 | 运维管理 |
第四阶段:持续治理
调整不合适的分组
当您发现划分资源组的维度已不能满足未来业务的发展趋势时,需要尽早调整,避免随着业务发展,进一步加大资源组调整带来的成本和风险。例如:某公司按照部门维度划分资源组,随着业务规模的增大,在未来可见范围内,每个部门都将拥有大量的业务系统。此时,按照部门划分资源组就不能满足权限隔离的诉求了,需要以业务系统维度重新划分资源组,并调整基于资源组的RAM身份权限。
清理无用的资源组
当资源组确定不再使用时,需要及时删除该资源组,减少管理成本。例如:某公司按照项目维度来划分资源组,创建了资源组“项目A”、“项目B”等,当项目A结束时,及时转出或释放资源组“项目A”下的资源,并删除资源组“项目A”,减少后续的管理成本。