演讲人:洛蒙,阿里云弹性计算高级技术专家
今天给大家介绍高效管理多账号的标签规范。我是来自阿里云弹性计算高级技术专家洛蒙。
我们就某企业在资源管理和治理上的一些诉求来看看,在客户场景上,其实资源本身要进行分类管理。这种思想是从上古结绳记事就开始演化过来的资产管理的理念。所以我们希望用户在分权、分账、运维等场景上,可以标准的去使用这个分类。首先要保证分类的准确性。
所以我们需要进行规范的治理。比如说某企业在多账号的管理下,就遇到了标签漏打或者误打的情况。
如何规范的去避免这种问题,保障后续在财务业务运维管理上的使用呢?也就是如何保障在新增资源的情况下能够符合规范?如何快速的去治理存量不符合规范的资源?如何在多账号下以统一标准或者不同的标准去执行标签策略?这是我们本次的主题。
我们接下来看如何快速的进行多账号下的标签实践呢?首先,跟进用户的账号体系进行资源管理体系的规划。其次,设计并定义标签规范。然后在验证标签规范下的规范质量,确保在增量资源的规范下能够快速的去识别出来不规范的资源禁止创建。这样的话就可以保证在后续分权、分账、运维等场景在使用的时候能够标准的去使用对应的分类。在使用过程当中,我们如果遇到问题的话,需要进行持续的规范改进。比如说我新增了一个值,是之前在场景上没有考虑到的,这样的话就可以形成一个飞轮,为管理进行提效。这个就是在多账号下进行标签实践的路径。
如何为企业进行设计规范的设计呢?在使用场景上,比如管理、分权运维分账。在定义完我需要使用的场景的时候,需要一个维度来标识资源的归属者。
这里的定义就是英文单词owner,分类值是哪个员工的名称,可以用拼音表示,也就是全字母的规范。确定该规范应用于ECS和VPC的资源范围。这个确认完以后,确定应用的所有的子公司,也就是应用的账号范围。这是一个示例,这是不确定的值。如果是一个确定的值,比如说我们需要定义一个公司,它的标识是所属公司,比如成员账号为上海分公司,则需要为这个分公司下的所有资源都带上这个标签。而成员为北京分公司,则需要北京分公司下的资源,都带有北京分公司的标签。我们结合场景来说明一下。
通过此规范,我们可以在运维的场景上根据标签件为公司找到对应子公司,向管理的资源进行统一的运维。通过此标签,我们只需要在分账上开启此标签键的,公司就可以快速的看到,在不同的子公司下费用的分摊情况。当然,这里也可以根据我们这里设定的另外一个值,比如说归属者。快速的看到每个归属者他的账单情况,分摊情况。通过子标签规范的设计,可以基于标签分权能力,对于不同的归属者,只看到归属于自己的资源,也就是一个设计多促场景复用。
我们从上面的这个场景里面,真实的从企业真实的应用场景来讲讲标签规范的设计。我们从产品能力上来看,如何进行标签规范的设计?首先要通过资源目录的管理员账号进行登录,开通标签策略的多账号模式。这里为什么要强调多账号呢?因为多账号模式下的账号是可以以单账号模式开通的。这里要特别说明一下管理员账号不是归属于资源目录这棵树的。也就是它是可以单独管理自己资源账号里面的资源的。
第二步就是创建标签策略。也就是把刚才那个标签键跟标签值的规范,按照产品的定义把它定义好。我们这里支持,比如说标签值,确定标签值以及模糊标签值的设定。支持以基于资源组的标签来进行标签继承的设定,支持去指定标签值的正折的方式进行设定。
第三步,就是绑定成员,确定策略要生效的账号范围。绑定完了以后,紧接着我们就要去查看有效策略,也就是绑定后如果策略存在冲突的话,最终的策略结果是什么样子的。最后通过在成员账号上去判断他对应的这个不规范的资源进行一个修复。再来看看标签策略的检测结果,是不是有被检测出来。
上面的标签策略的设计,包含对于存量业务的治理。对于增量业务我们如何限制呢?也就是怎么保证新增的资源是符合规范的呢?这里就是要把不符合规范的标签的资源进行拦截创建。在默认的情况下,未绑定相关标签键的是不检测的,也就是不拦截创建。如果需要更强制的控制能力,就需要找我们申请体验资格。这里简单说明一下情况。比如说在默认情况下,标签键的大小写输入错误会报错,标签键输入正确但是标签值输入错误也会报错。但是如果没有输入相关的标签键或者标签键的拼写错误,那么也就没有命中这个标签键的情况下不会报错。
在增强场景下,也就是腰侧情况下,我们前面两种的情况是一样的,但是不包含标签键,也就是或者说标签键拼写错误。这个时候是会拦截创建的。这也就从资源的生产维度上控制了必须要满足规范要求。
我们除了通过标签策略来进行是规范的设定以外,还可以通过预先设置好标签防止在使用的时候拼写错误。也就是可以通过云治理中心开启多账号的基线,配置预置标签作用到多账号下。这样的话就可以在应用的账号下快速的去创建预支标签了。通过多账号下开启创建者标签的方式,可以在未规范管理的标签上快速的识别资源的来源,对企业的资源管理进行补充。使用该方法的话可以在云治理中心的控制台上配置基线,选择开通云产品。在开通的云产品列表下,选择创建者标签勾选创建的标签然后配置基线所应用的账号范围。这样的话就可以快速的开启多账号下的创建标签这个功能的强大之处在于,只要开启就行了。其他的能力系统都帮助你完成了,你就可以知道这个资源是由哪个子账号或者哪个主账号,或者哪个角色,或者哪个服务账号哪个产品,帮你创建出来的。
再从产品能力上来看看整个规范的设定,包括标签策略,预制标签,创建者标签可以快速的解决在多账号下使用标签不规范的问题。标签本身是资源的属性,可以具备多场景的复用。我们刚才的例子里面也反复的讲到了,在跨账号、跨产品、跨地域的业务串联里面也有非常强大的能力。快速结合在分账、运维、分权等场景上能够进行快速的应用,并且可以提供多视角的能力。比如分账视角、应用视角、管理视角等等。这就是标签化的价值。
我们来看一下,用了landing zone来规划企业上云的多账号体系的话,大概是这样子的。这也就是我们基于标签策略去实现多账号下的规范管理。
接下来来进行一个演示。找到资源管理到标签策略。
我这边是已经开通了,我可以先禁用一下。这个时候再启用可以选择多账号,也可以选择当前账号开通,然后创建策略。
比如归属者,要用正则的方式去检测。比如说owner,然后它允许的值是小写的,A到Z大写的。因为我只检测,但是不进行修复。点击创建,这个时候绑定账号,选择我要作用的账号范围。我们看一下这个公司的策略。
公司的策略的话是它是指定值,同时它允许的只是北京子公司选择对应的资源类型。我们比如说选择VPC,选择ECS实例,然后选择上海,启用自动修复,全部不合规的资源都修复成北京子公司。当然我也可以指定范围,比如说我的tag,某一个tag的范围。
事前拦截就是对于ecs实例或者创建的时候,如果不符合规范,我要进行一个拦截,点击提交。这个时候我们去绑定资源,也是把它绑定到对应的资源上。绑定资源以后,我们看一下有效策略情况。
也就是看到两个资源都进行一个当前的一个情况。我们看一下检测结果。
我们看到了owner这一个的话,检测出了当前有29个不符合规范的资源
company,这个的话因为已经自动修正了,所以当前是没有不规范的资源。我们看一下修正任务,也可以看到刚才那个账号下他的修正任务是成功的,这个是标签策略的设定。
如果假设是要设定创建者标签搜索云治理中心,然后选择账号工厂,设置基线,创建新建基线,选择标签,预制标签。
这个时候再选择一个开通云账号,可以选择刚才配置owner,我们选择云账号,选择创建者,开通云服务,选择保存确定。
选择应用的账号,选择我刚才创建的基线,对应的资源的基线,选择账号应用的账号范围,选择确认,点击下一步预览开始执行。这个时候就把对应的这个账号以及域中给创建出来了。我们登录到对应的这个账号上去看一下。
这时候我们已经切换到另外一个账号上了。
我们看一下搜索标签资源管理,我们看一下创建者标签被开通了。预制标签被创建了。
