演讲人:知意,阿里云开放平台资源管理产品专家
内容介绍:
一、云上多账号管理与治理需求
二、多账号资源检索的难点
三、资源中心介绍
四、企业云上多账号规划方案实例
五、高级搜索
本节课主要学习在多账号的云环境下,资源的全局可见和检索相关的解决方案。
一、云上多账号管理与治理需求
首先,通过一个具体的客户场景了解企业云上多账号管理与治理的需求。
如上图所示,一家集团企业,其下属有10余家子公司,各个子公司之间期望在云上做到业务的强隔离,则会采用多账号的架构来部署云资源。以往,这些子公司的运维、安全管理等都是自治的,分别由各个子公司的负责人管理。
但是,随着管理的推进,过程中会暴露出一些安全风险问题。如有的公司对安全、合规相关的情况较为重视,则会投入相对较多的精力在安全合规上,但有的公司则无法投入相当的精力,导致不同公司的安全水位参差不齐,有的子公司就会出现AK泄露、黑产攻击等安全风险问题。在这种背景下,集团企业决定对各个子公司进行统一管控。
二、多账号资源检索的难点
在企业云上多账号管理的大背景之下,由于云上多账号管理的资源部署的结构,不同的职能部门在安全合规、运维等方面会面临着一些挑战。接下来了解在多账号的环境下,在资源的可见和检索方面会面临的难点。
b
1、看不清全局资源
首先,对于集团运维或子公司运维,由于在云上是多账号的,资源分布在不同的账号内,因此他们很难了解云上资源的分布。而资源也会分布在不同云产品和不同的地域下,要实现资源分布的全局掌控,如云上ECS总数、资产总额等,会变得非常困难。
2、运维效率低下
上图中,在“运维效率低”的相应位置列了一些常见的运维告警消息,这些消息通知中经常体现实例名称或ID信息,如果要在云上对资源进行运维管理,则需要进入对应的云产品控制台,且切到对应的地域下才能搜索到资源,如某资源是杭州地域的,在北京或上海则无法搜集到资源。对运维人员而言,则会面临需要频繁切换不同地域才能找到资源的问题。
3、资源场景化分析成本高
若要知道哪些资源即将到期,避免到期未续费带来的风险;哪些云盘未挂载,造成了资源的闲置;或要盘点最近一周创建的新资源。这些场景化的分析在以前是没有产品能力支持的。
三、资源中心介绍
1、简介
资源中心是一款解决客户在云上统一的资源视图以及资源检索的服务。资源中心对客户屏蔽了不同产品之间的差异性,使用API或控制台,不同云产品属性的定义、命名的体验等是有差异的,但是资源中心屏蔽了这种差异性,对客户来说,资源中心提供的是统一的资源中心操作界面,或统一的API。
另外,对云上的所有资源的操作都是可审计的,如对一台ECS进行了变更,则在操作审计中就能够看到这台ECS在某时刻被某人执行了哪些操作。创建新资源在操作审计中也是可审计的。因此,资源中心是基于操作审计事件来触发资源的更新。在云上,资源变更后几分钟内就可以在资源中心中看到最新资源的情况。
2、核心能力
资源中心提供的核心能力,主要包括四个方面,如下图所示:
(1)跨账号、跨产品、跨地域
对于客户来说,无需再去选择对应的产品,切到对应的地域去浏览资源。在账号层面,除了能够看到当前账号的资源,也能够看到整个组织在云上多个账号的全局资源。
(2)一键点击进入云实例控制台
在搜索到具体的资源之后,一键点击就可以跳转到具体的云资源的控制台进行进一步的操作。
(3)集成操作记录等常用运维管理工具
在资源中心界面中,集成了一些常用的操作审计和配置审计的运维工具,可以看到资源在某个时间点进行了的操作,以及具体的操作和资源属性变更。
(4)借助SQL查询实现强大的检索能力
近期新上线了高级搜索能力,可以支持我们通过SQL查询实现强大的搜索能力,以满足一些定制化或复杂的资源查询的场景。
3、多账号资源搜索
多账号搜索的过程如下图所示:
首先,开通资源目录,在资源目录中搭建多账号的账号结构;然后使用管理账号或委派管理账号登录到资源中心中,就可以看到资源管理数、各个节点或整个组织在云上所有的资源。
课程开始提到的集团企业多账号规划,是Landing Zone上云最佳实践的多账号的架构。如下图:
企业在云上开通资源目录之后会有企业管理账号,其权限相对较大,包括人员和身份权限相关的管理。除此之外,还会有一些职能账号,如日志账号、安全账号、运维账号,以承担相应的职能管理工作。对于资源的搜索和查看,通常由运维账号管理,一些公司是在安全账号下,因为需要全局查看资源,这些账号可以被设置成具体的资源中心的委派管理账号,集中查看所有账号下资源的情况。
四、多账号资源搜索的解决方案
1、方案简述
如下图所示:
以往,要搜索、浏览具体的云资源,需要登录到不同的账号内,进入到具体的某云服务,再切到具体的地域下才能实现。当前,只需要使用资源目录的管理账号或资源中心的委派管理账号登录到资源中心的跨账号资源搜索页面,就能够看到全局的资源,包括所有账号、所有地域和所有服务的资源。同时搜索过程也十分便利,使用资源ID或其他通用的搜索条件,就可以定位到具体的资源。
2、方案演示
接下来通过具体的云产品的控制台,演示多账号资源搜索的使用。
(1)过程
①搭建云上多账号的云环境
在使用跨账号资源搜索前,首先要开通资源目录,进而搭建云上多账号的云环境。就如前面介绍的集团企业,它在云上有10余个账号,可以开通资源目录,把云上的10余个账号通过邀请或创建的方式,在资源目录中集中管理。然后,使用选择使用资源目录的管理账号去开通和查看全球资源,若是不想用权限较大的全局管理账号,也可以delegate具体的委派管理账号,由委派管理账号来执行账号的全局查看和搜索。此时,要设置其他的账号,则可以在可信服务界面找到资源中心服务,设置委派管理员账号。在设置了委派管理员账号之后,就可以选择登录到该成员账号,开通跨账号资源搜索。
②多账号搜索
进入资源管理的控制台,到达资源中心跨账号资源搜索界面。在完成账号环境的搭建后,开启多账号搜索的功能。在开启时,系统会自动判断当前账号是否具备开启的条件。当功能开通后,资源中心构建数据。在跨账号资源搜索界面,不仅能看到当前账号的资源,还可以看到资源目录管理的所有的云上账号的资源情况。
此时,也可以切换对应的节点查看具体的账号资源。如切换到Core节点下,就能看到该节点下三个账号的所有资源。
(2)补充
①关于搜索条件
通用的搜索条件包含资源类型、地域、标签(在给资源打上标签之后,即可通过标签定位资源)、资源ID、资源名称或IP地址等。如当天收到了一条运维告警通知,通知中体现了交换机的ID信息,可以直接将交换机的ID作为搜索条件,就能在全局中搜索到资源,查询该资源对应的账号、地域、该资源的情况等信息。而不需要切到对应的地域,再切到VPC资源类型下搜索,关于搜索结果,点击“查看”,可以看到资源通用属性信息以及一些扩展的业务属性。
②其他
对于跨账号的搜索,当前不支持跳转到云产品控制台。但若是搜索的资源在当前账号下,点击控制台可以直接跳转到对应实例详情页面,并做进一步的运维管控操作。
此外,对于经常使用的搜索条件,也可以保存搜索条件,若关注杭州地域的资源,就可以为其打上具体标签,如打上“某开发环境”的标签,对于这样常关注的搜索,可以将其保存成常用搜索条件,下次搜索时就可以直接进行搜索,而不需要再去选具体的搜索条件。
除资源搜索之外,对已经搜索到的资源,也可以点击下载,把资源下载到本地做进一步分析。
五、高级搜索
1、简介
近期新上线的高级搜索能力支持使用自定义SQL语句进行资源的查询。在左上角区域,可以定义资源查询的范围,默认查询当前账号的资源,若要查询整个组织的资源即选择跨账号。若选择整个组织在云上的所有账号的资源,选择根节点将范围定位在整个组织账号下的所有资源,下面区域会列出资源的属性信息。这里的核心属性即在搜索界面显示的固定属性,搜索条件在跨账号资源搜索中它是固定的,不同的资源类型无法显示不同的属性。除了核心属性之外,还会列出其目前支持的所有云产品,如ECS,在云服务器ECS下有多种资源,包括磁盘、镜像、实例等。点击对应的资源类型,则会列出资源类型下的具体的业务属性信息,如ECS实例自动释放的时间、集群ID、CPU数等相关的业务属性。点击这些属性,在右侧会生成对应的查询语句,可以将其替换成需要的value值。
除自定义产品之外,系统还内置了很多查询模板,帮助用户快速启用。用户可以在模板的基础上修改相关的语句,来满足自己个性化的查询需求。利用常用的计数模板,可以完成一些统计工作,可以按地域或资源类型等统计资源数量做关联查询,如查询ECS关联的磁盘信息,或查询具体的业务属性的信息,列出磁盘容量是大于40的ECS磁盘,或查询具体某种资源类型即将到期的实例信息等。
2、演示
若要列出不同资源组的资源数量,点击模板下的打开查询,就会自动填充到上面的SQL编写框中,点击“运行”就能够看到不同资源组中的资源。该模块支持格式转化,如当前显示的是资源组ID,转换格式后就会显示资源组的名称。操作结果也支持下载到本地,对于满足条件的搜索结果,还支持图表格式展示,可以切换成柱状图或饼状图,查看资源的分布情况。对于不同资源组,点击具体的实例相关的属性信息,会自动填充到搜索的结尾,就可以在产品语句的基础之上做修改。
例如,由于经常要做一些统计分析相关的搜索,则可以将常用搜索保存成常用的搜索条件,如某用户最常用的是列出不同资源组的数量,则可以将其保存成自定义查询的模板,在下一次登入时,除了示例视力模板之外,上面一行区域可以看到保存的常用模板,直接点击保存的自定义查询模板即可运行。
以上就是跨账号资源搜索的全部内容,其余相关问题查看对应的帮助文档,做进一步的了解。
