企业可以使用资源目录RD(Resource Directory)将多账号有序组织和管理,然后通过共享VPC快速实现多账号间的网络互通。

背景信息

随着云计算的普及,越来越多的企业将业务放在了云端,企业采购的云资源也越来越多,随之而来的问题是:企业如何高效地管控云资源。按组织结构划分业务、业务之间强隔离及多种结算模式等需求之下,单账号模式已无法支撑企业的持续发展。如果企业只是简单的使用多账号模式来适应业务发展需要,就会面临以下问题:

  • 多账号管理问题

    无序、散落的多个阿里云账号不便于集中管理,企业需要进一步做精细化管控。

  • 多账号网络互通问题

    企业可以采用云企业网CEN(Cloud Enterprise Network)将多个账号间的专有网络VPC(Virtual Private Cloud)进行连接,以实现多账号间的网络互通。但随着业务复杂度的增加,会面临如下的新问题:

    • 分散配置导致无法进行网络集中运维

      企业网络架构是一张经过规划的大网,当网络设施分散在每个业务账号之下时,企业网络运维人员很难做到网络的集中控制。

    • 重复网络资源配置导致成本增加

      在每个账号内进行VPC的配置,使得企业的配置维护成本和实例费用成本都在增加。

    • VPC数量增多导致网络复杂度提升

      为了满足企业的业务需要,VPC数量会不断攀升,随之而来的是网络复杂度、管理难度和配额(例如:CEN可挂载的VPC数量限制)等问题。

解决方案

阿里云提供了资源目录解决多账号管理问题,提供了资源共享RS(Resource Sharing)和共享VPC解决多账号网络互通问题。具体如下:

  • 使用资源目录构建多账号管理体系

    阿里云资源目录是面向企业提供的一套多级资源和账号关系管理服务。企业可以基于自身的组织结构或业务形态,在资源目录中构建目录结构,将企业的多个账号分布到这个目录结构中的相应位置,从而形成资源间的多层级关系。企业可依赖设定的组织关系进行资源的集中管理,满足企业资源在财资、安全、审计及合规方面的管控需要。更多信息,请参见资源目录

    资源目录
  • 使用资源共享构建成员间的共享关系

    在资源目录内,企业可以使用阿里云提供的资源共享服务,将一个账号下的指定资源共享给一个或多个目标账号使用,通过共享单元建立成员间的共享关系。更多信息,请参见资源共享概述

    资源共享
    概念说明
    共享单元共享单元是资源共享的实例。共享单元本身也是一种云资源,拥有独立的ID和ARN(Aliyun Resource Name)。共享单元包括:资源所有者、资源使用者和共享的资源。
    资源所有者 资源所有者是资源共享的发起方,也是共享资源的拥有者。
    资源使用者资源使用者是资源共享的受益方,对共享的资源具有特定的操作权限。
    说明 资源使用者对共享资源的具体操作权限,由资源所属的云服务定义。例如:共享专有网络(VPC)的交换机(vSwitch)资源后,资源使用者的操作权限请参见共享VPC权限说明
    共享的资源共享的资源通常为某个云服务的某类资源。支持共享的资源类型,请参见支持资源共享的云服务
    资源目录组织共享资源目录组织共享是指将资源共享给整个资源目录(Root资源夹)、资源夹或成员。具体操作,请参见启用资源目录组织共享
  • 共享VPC

    企业可以基于资源共享机制,在资源目录内,将一个成员的VPC交换机(vSwitch)共享给其他成员使用,使多个成员在一个集中管理、共享的VPC内创建云资源,例如:云服务器ECS、负载均衡SLB、云数据库RDS等。资源所有者和资源使用者在同一VPC内创建的云资源默认私网互通。更多信息,请参见共享VPC概述

    共享VPC简图

    共享VPC的具体实现细节如下:

    • 多账号共享同一个交换机

      企业可将VPC的交换机在多账号间进行共享,不用为每个账号单独配置VPC,极大减少了VPC的使用数量。

      共享VPC
    • 资源所有者与资源使用者的权限

      资源所有者将交换机共享给资源使用者后,资源所有者与资源使用者对共享交换机及共享交换机内云资源的操作权限如下表所示。

      角色支持的操作不支持的操作
      资源所有者
      • 支持创建、查看、修改、删除共享交换机中的由自身创建的资源。
      • 支持查看资源使用者在共享交换机中所创建的资源属性,当前只允许查看弹性网卡的资源属性,仅限:
        • 实例ID。
        • 私网IP地址。
        • 资源所属账号。
      		不支持修改、删除资源使用者在共享交换机中创建的任何资源。
      资源使用者当交换机处于共享状态时,资源使用者支持在共享交换机中创建、修改、删除云资源。当交换机处于共享状态时,资源使用者不支持查看、修改、删除共享交换机中其他账号(包含资源所有者和资源使用者)的任何资源。
      当交换机处于取消共享状态时,资源使用者支持继续使用共享交换机中由自身创建的已有资源,也支持查看、修改、删除共享交换机中由自身创建的已有资源。当交换机处于取消共享状态时,资源使用者不支持查看与共享交换机相关联的资源(例如VPC、路由表、私网网段、网络ACL),也不支持在已经取消共享的交换机中创建资源。

      资源所有者与资源使用者对其它网络资源的操作权限如下表所示。

      网络资源资源所有者可执行的操作资源使用者可执行的操作
      VPC全部操作权限。 仅支持查看共享给自己的交换机所属的VPC。
      交换机全部操作权限(包含开启和关闭交换机的IPv6功能)。
      说明 如果要删除交换机,请确保交换机已取消共享,且该交换机中的资源(包括资源所有者和资源使用者创建的资源)已全部删除。
      • 查看共享的交换机。
      • 在共享的交换机内创建、修改、删除云资源。
      路由表全部操作权限。仅支持查看共享给自己的交换机绑定的路由表以及路由条目。
      网络ACL全部操作权限。支持在共享给自己的交换机内绑定、解绑、查看网络ACL。
      网段查看VPC及VPC内所有交换机的网段。仅支持查看共享给自己的交换机的网段。
      流日志
      • 支持创建VPC或交换机粒度的流日志,对资源使用者的交换机下的弹性网卡生效。
      • 支持创建弹性网卡粒度的流日志,仅对资源所有者的弹性网卡生效。
      		支持创建弹性网卡粒度的流日志,仅对资源所有者的弹性网卡生效。
      NAT网关公网NAT网关和VPC NAT网关的全部操作权限。
      说明
      • 交换机中的资源(包括资源所有者和资源使用者创建的资源)可以通过公网NAT网关与互联网通信。
      • 公网NAT网关仅支持绑定资源所有者的弹性公网IP。
      		无操作权限。
      VPN网关全部操作权限。
      说明 交换机中的资源(包括资源所有者和资源使用者创建的资源)可以通过VPN网关与VPC外部网络互通。
      		无操作权限。
      云企业网全部操作权限。
      说明 交换机中的资源(包括资源所有者和资源使用者创建的资源)可以通过云企业网与VPC外部网络互通。
      		无操作权限。
      VPC对等连接全部操作权限。
      说明 交换机中的资源(包括资源所有者和资源使用者创建的资源)可以通过VPC对等连接与VPC外部网络互通。
      		无操作权限。
      标签共享行为不影响资源所有者为资源配置的标签。

      资源所有者将交换机共享给资源使用者后,资源所有者与资源使用者都可以为各自的资源配置标签,且标签互不可见也互不影响。当共享交换机取消共享后,系统会删除资源使用者在该共享交换机上配置的标签。

    • 安全隔离

      企业将单个VPC中的不同交换机共享给不同账号后,网络是默认连通的。在某些场景下,企业希望将不同的交换机进行隔离。企业可通过以下两种方式进行隔离:

      • 网络ACL:实现跨交换机级别的访问控制。
      • 安全组:实现实例级别的访问控制,并且支持跨账号安全组的互相引用。
      VPC隔离
      说明 使用安全组设置两个实例间禁止访问规则实现网络隔离,该方法主要用以弥补在相同交换机内的实例之间无法采用网络ACL进行网络隔离的缺失。当然,企业仍然可以使用安全组跨账号引用能力,在安全组内配置源IP地址和目标IP地址,实现不同交换机、不同账号间的网络隔离。

方案优势

该方案具备以下优势:

  • 运维部门集中规划、配置和管理VPC,并将VPC的交换机共享给业务部门。方案优势-运维
  • 业务部门只能查看和管理自己交换机中的资源,可以根据业务需求添加或删除交换机中的云服务器、数据库等资源。集中管理VPC
  • 企业采用统一的网络架构和安全策略,业务部门可以聚焦自身业务需求。
  • 企业可以将网络和安全能力作为一个服务供业务部门使用,将运维体系标准化和流程化,并提升整个组织的IT效率。