大型企业云上资源的精细化管理之道

如果无法正常显示,请先停止浏览器的去广告插件。
分享至:
1. 大型企业云上资源的精细化管理之道 阿里云·解决方案架构师 肖建明 vivo·云运营负责人 陈伟德
2.
3. Agenda 1.大型企业云资源管理的挑战 2.云资源管理的框架 3.vivo上云的精细化管理实战
4. 大型企业云资源管理的挑战 复杂组织的 云资源的 资源利用率提升 业务隔离性要求 全生命周期管理 和成本优化
5. 云资源管理的四个维度 基于RBAC的资源访问权限 基于组织构建资源结构 云资源 管理 全生命周期的资源标识管理 资源利用率监控与成本分析
6. 基于组织构建资源架构 集团 向上聚合 解决多账号管理问题 向下分组 解决单账号管理问题 分公司 2 分公司 1 部⻔ 2 部⻔ 1 云 账 号 云 账 号 云 账 号 多组织多部⻔的需求 云 账 号 云 账 号 数据中心安全. 数据清理 部⻔ 3 云 账 号 云 账 号 云账号作为租户实现强隔离 资源组 资源组作为租户内的分组管理
7. 基于RBAC的资源访问控制 资源组B 资源组A 管理员 访问 控制 开发 财务 DBA 谁(Who) - 用户:一个员工 或者一组程序 - 用户组 做怎样操作(How) EIP ECS SLB RDS 共享带宽 OSS NAT网关 Redis MongoDB 在何条件(Condition) 对何(What)资源 - 系统策略 - 发起访问的IP或者网段 - 指定的实例 - 自定义策略 - 登录的时间段 - 指定的云服务类型 - 是否MFA认证 - 资源组 - 是否使用HTTPS
8. 全生命周期的资源标识管理 基于业务特征,规划标签 标签 标签Key 标签值Value 体系,制定流程和规范。 • 通过Config进行 准确性检查 • 配置标签策略 标签 修正 标签 元数据 标签准确性 新增资源 打标 检查 标签 维护 •通过云产品控制台 •通过API打标签 •通过IaC工具打标签 成本中心 CostCenter dept1/dept2/hr… 环境 Environment prod/dev/sandbox 责任人 Owner name@company.com 应用 Application crm/erp/bigdata/bi 项目 Project ProjectName 审查时间 ReviewOn MM-DD-YYYY 重要性 Importance low/medium/high/critical 管理部⻔ ManagedBy netops/dev/dba/security
9. 资源利用率监控与成本分析 闲置资源发现 业务系统资源优化 基于水位监控对资源容量和使用 基于容量优化建议优化网络层、应用层、数据 效率进行分析,发现闲置资源 层资源配置,节约成本支出,保障系统稳定
10. vivo上云的精细化管理 云运营负责人 陈伟德
11. vivo的上云历程 业务诉求: 03 全面拥抱云原生 • 第一,业务迭代快; • 第二,要求云上持续稳定可靠; • 第三,控制安全生产⻛险。 02 大规模上云 数字化转型,自研VRS零 售系统上线 2019-2021 01 尝试上云 商业化营销系统上线 2019年前 业务容器化改造 自动化运维监控 2021至今
12. 管理与治理痛点 管理挑战 成本失控 业务散乱 合规⻛险 • 软件架构混乱 • 成本可⻅性差 • 账号和资源管理混乱 • 缺乏业务合规评审 • 系统之间互通性差 • 闲置资源浪费 • 网络冲突或混乱 • 内部合规挑战 • 业务数据无保护 • 预算难以管理 • 人肉运维效率低下 • 主机和网络安全
13. vivo云治理的框架 权限体系 账号体系 ● 一套资源目录 (资源管理平面) ● 资源账号与云账号的共存 (财务 管理平面) ● ● ● ● 成本管控 ● ● ● ● 云上资源价值最大化 基于账号或标签进行成本分摊 资源利用率考核 预算管理 企业级内部权限体系打通 用户权限与⻆色权限分离 权限控制及资源策略 开启MFA双因素认证和秘钥轮转 安全与合规 ● ● ● ● 云安全中心实现主机安全 配置审计实现云配置合规 云防火墙实现网络安全 ActionTrail实现动作审计 网络架构 ● 云企业网实现全互通 ● 专线接入实现云企互联 ● 云防火墙实现东⻄向和南北向隔 离 ● VPC互访的路由策略优化 运维监控 ● 完善统一监控体系和指标 ● 监控与企业自有工单系统打通 ● 推动故障自愈落地
14. 云上资源结构实战 企业管理 账号 企业 集团 子公司 … IT云运营团队 企业IT 互联网 BU1 组织 单元 BU2 • 云策略 • 云架构 生产 • DevOps平台 测试 生产 成员 账号 测试 • 技术支持和运营 • 技术和业务咨询 资源组1 资源组2 资源组 … … … 资源组 资源组 … 云资源 • 需求对接 • 成本管控
15. 身份和权限的精细化管理实战 ⻆色名称 CloudAdmin NetworkAdmin DBAdmin SecurityAdmin ⻆色用途 云管理员 网络管理员 数据库管理员 安全管理员 权限原则 • 拥有授权能力和云上所有资源的权限,相当于 超级管理员 • 拥有云上网络产品和服务的权限 • 针对不同项目细分不同的网络资源范围 • 限制其对财务信息的查看策略。 • 拥有云上数据库产品和服务的权限 • 针对不同项目细分不同的数据库资源范围 • 限制其对财务信息的查看策略。 • 拥有云上安全产品和服务的权限 • 针对不同项目细分不同的安全资源范围 • 涉及计算、存储和网络相关安全资源策略,进 行特定可管理权限划分。 资源策略 { "Action": "*", "Effect": "Allow", "Resource": "*" } { "Effect": "Allow", "Action": "cdt:OpenCdtService", "Resource": "acs:cdt:*:*:*" } { "Action": "ecs:Describe*", "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:List*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "alb:Describe*", "alb:List*", "alb:Get*" ], "Resource": "*", "Effect": "Allow" },
16. 身份和权限的精细化管理实战 权限 限制 发现 处理 事前 事中 • 做好RAM⻆色与用户组规划,制 • 申请权限按最小化原则,建立权 定权限策略、密码管理策略、用 户安全策略等,并在公司内部发 布《公有云系统账号管理规范》 限开通流程 • 实时扫描组织人员变动并及时回 收权限 • 高危操作告警 谁 何时 哪里 哪些 什么操作 事后 • 开启审计日志,做到操作回溯 • 定期与业务负责人及用户校对信息
17. 云财务管理实践(FinOps)
18. 云资源利用率考核及技术降本 30% 通过技术降本手段,使得云上资源效益提升了 降配 云主机 容器化 离在线混部 RDS 数据库实例 AutoScaling SLB Serverless 云资源利用率考核 技术降本手段
19. 收益总结 细粒度 资源集 中管理 体系化 的资源 结构 权限 管控 资源 标签化 降低 成本 成本 分摊
20.
21.

Accueil - Wiki
Copyright © 2011-2024 iteam. Current version is 2.137.1. UTC+08:00, 2024-11-15 23:39
浙ICP备14020137号-1 $Carte des visiteurs$