使用资源目录和共享VPC实现多账号网络互通

企业可以使用资源目录RD(Resource Directory)将多账号有序组织和管理,然后通过共享VPC快速实现多账号间的网络互通,确保业务部门可以聚焦自身业务需求,从而提升整个组织的IT效率。

背景信息

随着云计算的普及,越来越多的企业将业务放在了云端,企业采购的云资源也越来越多,随之而来的问题是:企业如何高效地管控云资源。按组织结构划分业务、业务之间强隔离及多种结算模式等需求之下,单账号模式已无法支撑企业的持续发展。如果企业只是简单的使用多账号模式来适应业务发展需要,就会面临以下问题:

  • 多账号管理问题

    无序、散落的多个阿里云账号不便于集中管理,企业需要进一步做精细化管控。

  • 多账号网络互通问题

    企业可以采用云企业网CEN(Cloud Enterprise Network)将多个账号间的专有网络VPC(Virtual Private Cloud)进行连接,以实现多账号间的网络互通。但随着业务复杂度的增加,会面临如下的新问题:

    • 分散配置导致无法进行网络集中运维

      企业网络架构是一张经过规划的大网,当网络设施分散在每个业务账号之下时,企业网络运维人员很难做到网络的集中控制。

    • 重复网络资源配置导致成本增加

      在每个账号内进行VPC的配置,使得企业的配置维护成本和实例费用成本都在增加。

    • VPC数量增多导致网络复杂度提升

      为了满足企业的业务需要,VPC数量会不断攀升,随之而来的是网络复杂度、管理难度和配额(例如:CEN可挂载的VPC数量限制)等问题。

针对上述问题,您可以使用资源目录实现多账号集中管理,结合资源共享共享VPC解决多账号网络互通问题。

应用场景

实际生产过程中,企业使用多账号模式适应业务发展需要,满足按组织结构划分业务、保证业务之间的强隔离等需求。为了保证多账号的集中管理,企业运维部门基于自身的组织结构或业务形态,使用资源目录集中规划、配置和管理VPC;使用共享VPC将非默认交换机共享给业务部门,以解决伴随业务复杂度增加而带来的成本增加与网络复杂度提升的问题。

方案优势-运维

业务部门只能查看和管理自己交换机中的资源,可以根据业务需求添加或删除交换机中的云服务器、数据库等资源。

集中管理VPC

方案概述

  • 使用资源目录构建多账号管理体系

    阿里云资源目录是面向企业提供的一套多级资源和账号关系管理服务。企业可以基于自身的组织结构或业务形态,在资源目录中构建目录结构,将企业的多个账号分布到这个目录结构中的相应位置,从而形成资源间的多层级关系。企业可依赖设定的组织关系进行资源的集中管理,满足企业资源在财资、安全、审计及合规方面的管控需要。更多信息,请参见资源目录概述

  • 使用资源共享构建成员间的共享关系

    在资源目录内,企业可以使用阿里云提供的资源共享服务,将一个账号(资源所有者)下的指定资源共享给一个或多个目标账号(资源使用者)使用,通过共享单元建立成员间的共享关系。更多信息,请参见资源共享概述

  • 共享VPC

    企业可以基于资源共享机制,在资源目录内,将一个成员(资源所有者)的非默认VPC交换机共享给其他成员(资源使用者)使用,使多个成员在一个集中管理、共享的VPC内创建云资源,例如:云服务器ECS、负载均衡SLB、云数据库RDS等。资源所有者和资源使用者在同一VPC内创建的云资源默认私网互通。

    说明

    在某些场景下,企业希望将不同的交换机进行隔离。企业可通过以下两种方式进行隔离:

    • 网络ACL:实现跨交换机级别的访问控制。

    • 安全组:实现实例级别的访问控制,并且支持跨账号安全组的互相引用。

    企业可将VPC的非默认交换机在多账号间进行共享,无需为每个账号单独配置VPC,极大减少了VPC的使用数量,从而解决重复网络资源配置导致成本增加、VPC数量增多导致网络复杂度提升等问题。

    关于资源所有者与资源使用者对共享交换机及网络资源的操作权限,请参见共享VPC概述

操作步骤

步骤一:在资源目录内共享交换机

资源目录的管理账号或成员,可以在资源目录内,将资源共享给整个资源目录及其下的资源夹或成员。

具体操作,请参见开启VPC共享

  1. 使用资源目录管理多账号

  2. 启动资源目录组织共享

  3. 资源所有者创建共享单元

步骤二:资源使用者查看和使用共享的交换机

资源所有者共享交换机后,资源使用者无需确认,默认直接接受共享的交换机。资源使用者可以查看共享给自己的交换机,并在共享的交换机中创建云资源,例如:云服务器ECS、负载均衡SLB、云数据库RDS等。

具体操作,请参见资源使用者在共享交换机中创建云资源