當(dāng)我們上云后��,又該如何對云環(huán)境進(jìn)行治理��?針對這個(gè)問題�,微軟云采用框架(Microsoft Cloud Adoption Framework for Azure)為我們提供了思路����。
各位IT小能手在公司剛開始上云時(shí)���,大家也許都是很歡迎的吧�����!通過日常的管理工作(Management)配置好整個(gè)環(huán)境����,給需要的人創(chuàng)建帳號�����,接下來大家需要什么云資源�,自己訪問門戶申請就能開通使用���。簡單����,快速�����,省事����!
不過時(shí)間一長���,有些問題開始顯現(xiàn)……云資源的申請和使用固然方便�,然而所有人都會(huì)想著圖省事���,不管是否真的需要�����,不管需要多少,反正一股腦申請下來就行�。至于這些資源的數(shù)據(jù)安全��、網(wǎng)絡(luò)安全���、法規(guī)�、制度合規(guī)等問題,以及不再需要后的釋放和回收�,貌似考慮的很少……盡管公司可能針對這些問題都有規(guī)定�����,可沒人聽咋辦?
云環(huán)境的治理了解一下吧
治理(Governance)這事情大家都經(jīng)常聽說�����,上至整個(gè)國家,下至一個(gè)公司�,甚至每個(gè)人的住宅小區(qū)����,都離不開妥善的治理�����。借助相關(guān)法律�����、法規(guī)、規(guī)章制度等條款�,并通過治理規(guī)范行為��,確保大家都能夠遵守這些要求,進(jìn)而保證整個(gè)大環(huán)境井然有序�����。
那么當(dāng)我們上云后��,又該如何對云環(huán)境進(jìn)行治理����?針對這個(gè)問題���,微軟云采用框架(Microsoft Cloud Adoption Framework for Azure)為我們提供了思路。
適用于Azure的Microsoft云采用框架示意圖
借助這種思路對云端治理進(jìn)行迭代,同時(shí)隨著云采用框架系統(tǒng)的使用而日益完善����,微軟為使用Azure的企業(yè)提供了一整套治理解決方案��。
這是一個(gè)非常龐大的話題,作為新手入門���,下文將從安全�、身份驗(yàn)證�����、部署資源一致性�����、成本控制等幾個(gè)方面提供八條建議����,幫助大家通過實(shí)施治理策略從而開啟云環(huán)境的治理旅程����。
01清晰的云端資源管理框架
使用Azure資源時(shí)���,首先需要建立賬號��,借此將資源部署在不同資源組中并進(jìn)行統(tǒng)一訂閱管理。企業(yè)在創(chuàng)建資源時(shí)需要對資源進(jìn)行合理命名�,設(shè)定基本的企業(yè)策略�,例如允許哪些區(qū)域部署資源、部署資源的虛機(jī)類型�、部署云端環(huán)境需要符合SOC 1����、SOC 2等法律法規(guī)����。
基礎(chǔ)建設(shè)完成之后�,企業(yè)就可以開展系統(tǒng)架構(gòu)���,進(jìn)行電商網(wǎng)站、ERP或者是容器化的搭建�����,并通過安全中心監(jiān)視器進(jìn)行相應(yīng)的運(yùn)維監(jiān)控工作��,幫助企業(yè)完善云端的實(shí)施和運(yùn)維,進(jìn)行現(xiàn)代化構(gòu)建�����。微軟運(yùn)用云端將傳統(tǒng)的運(yùn)維模式進(jìn)行轉(zhuǎn)變和迭代�����,極大地提高了云端資源使用率。
若想管理資源����,首先需要構(gòu)建一個(gè)明確的資源管理框架���。微軟Azure云為企業(yè)提供的標(biāo)準(zhǔn)資源管理框架Azure Resource Manager(簡稱ARM)可以統(tǒng)一管理超過170種云資源。Azure門戶可通過CLI��、Azure策略����、RBAC對資源進(jìn)行統(tǒng)一管理��、監(jiān)控和運(yùn)維����。
統(tǒng)一化的管控可通過借用統(tǒng)一的工具、統(tǒng)一的流程����、統(tǒng)一的方式對資源進(jìn)行管理。隨著Azure云技術(shù)發(fā)展����,ARM將會(huì)逐漸實(shí)現(xiàn)200種甚至300種云資源的統(tǒng)一管理��。不斷上線的新資源會(huì)隨著ARM模式進(jìn)行統(tǒng)一管理,這無疑會(huì)對云端資源自然種類和資源數(shù)量的橫向擴(kuò)展起到重大幫助�,助力企業(yè)通過云端統(tǒng)一模式管理海量的云端資源����。
02統(tǒng)一IT策略
企業(yè)在進(jìn)行云端管理的同時(shí)��,也需要制定基本IT策略����,同時(shí)協(xié)同企業(yè)各部門遵循這些基礎(chǔ)策略�����。例如對資源進(jìn)行合理命名,在資源出現(xiàn)問題�����,或資費(fèi)花費(fèi)過多時(shí)��,能夠快速找到相應(yīng)負(fù)責(zé)同事進(jìn)行協(xié)調(diào)優(yōu)化或?qū)︻A(yù)算進(jìn)行調(diào)整。
與此同時(shí)��,企業(yè)可限定云資源的管理部署區(qū)域和云資源使用范圍����。通過這些限定��,一方面可以控制云成本��,更好地利用資源�;另一方面則可從法律�、法規(guī)角度確保某個(gè)區(qū)域內(nèi)提供的服務(wù)和存儲(chǔ)的數(shù)據(jù)符合當(dāng)?shù)胤煞ㄒ?guī)要求���,保證企業(yè)不會(huì)超出這個(gè)區(qū)域的范疇隨意部署。
對此�,微軟制定了一系列“規(guī)章制度”,也就是所謂的Azure云端規(guī)則引擎����。根據(jù)最新統(tǒng)計(jì)��,每100名使用Azure的客戶中�,就有超過92位客戶已經(jīng)在使用Azure策略��。
借助Azure策略�����,用戶可以把制定好的規(guī)章策略翻譯成應(yīng)用環(huán)境中的規(guī)則�����,并利用引擎對環(huán)境中的現(xiàn)有資源和未來創(chuàng)建地資源進(jìn)行統(tǒng)一監(jiān)控和管理�����,助力企業(yè)實(shí)現(xiàn)自動(dòng)化智能化管理整個(gè)云環(huán)境。
同時(shí)Azure策略的建立并不是從0到1的構(gòu)建,微軟運(yùn)營Azure期間總結(jié)了超過100條內(nèi)置的策略�����,可以幫助企業(yè)快速構(gòu)建針對于安全����、成本���、命名規(guī)則和相關(guān)法律法規(guī)的基本規(guī)則�,并將已有基本規(guī)則應(yīng)用到現(xiàn)有環(huán)境中���,幫助客戶根據(jù)實(shí)際環(huán)境自行選擇相應(yīng)配置進(jìn)行調(diào)整。
03標(biāo)準(zhǔn)化命名與資源標(biāo)簽
對云端資源進(jìn)行有意義的命名并添加合理的標(biāo)簽�����,會(huì)對資源分配、后續(xù)監(jiān)控運(yùn)維���、快速部署以及資源優(yōu)化起到?jīng)Q定性作用���。
例如在云端����,如果將虛擬機(jī)都命名稱為vm01、vm02��、vm03,一旦虛擬機(jī)vm01出現(xiàn)故障�,運(yùn)維人員根本無法判斷這臺(tái)機(jī)器的歸屬���、部署位置和涉及到的應(yīng)用���,將嚴(yán)重阻礙運(yùn)維響應(yīng)速度�。因此對資源進(jìn)行合理的命名至關(guān)重要�。
如果將虛擬機(jī)命名從vm01調(diào)整為vm website���、China east01等描述性名稱,即可幫助運(yùn)維人員第一時(shí)間判斷這臺(tái)機(jī)器屬于網(wǎng)站��,部署在東一區(qū)�����,同時(shí)還可通過標(biāo)簽設(shè)定了解該機(jī)器所屬的負(fù)責(zé)人,設(shè)定好成本中心和BU等信息����,均可幫助運(yùn)維人員在第一時(shí)間聯(lián)系到相關(guān)人員,而一些自動(dòng)化告警系統(tǒng)也會(huì)及時(shí)把相關(guān)問題通過郵件或短信發(fā)給負(fù)責(zé)人�,方便快速開展救治工作���,最大限度降低系統(tǒng)宕機(jī)�。
04明晰數(shù)據(jù)風(fēng)險(xiǎn)
在本地環(huán)境中�,物理硬件網(wǎng)絡(luò)環(huán)境或數(shù)據(jù)都是相對可控的��。但遷移上云后,除了創(chuàng)建方式的改變��,資源運(yùn)維模式�,包括資源部署方式也發(fā)生了轉(zhuǎn)變。觀念和技術(shù)的轉(zhuǎn)變會(huì)帶來很多不確定性和恐懼性�����,例如云端是否安全,是否會(huì)導(dǎo)致業(yè)務(wù)存在潛在風(fēng)險(xiǎn)����,如數(shù)據(jù)泄漏或網(wǎng)絡(luò)攻擊導(dǎo)致系統(tǒng)宕機(jī)等����。
唯有明確業(yè)務(wù)風(fēng)險(xiǎn)才能開始進(jìn)行云端治理,進(jìn)而采用合理的手段制定相應(yīng)規(guī)則�。例如數(shù)據(jù)泄漏���,企業(yè)需要明確業(yè)務(wù)風(fēng)險(xiǎn)�����,之后對云資源進(jìn)行數(shù)據(jù)區(qū)分�,對存儲(chǔ)數(shù)據(jù)的資源要區(qū)分它存儲(chǔ)的是低優(yōu)先級����、高優(yōu)先級,還是關(guān)鍵業(yè)務(wù)數(shù)據(jù)�。隨后即可選用合適的工具來保護(hù)數(shù)據(jù)��,例如對關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行加密和備份。
篩選出資源是否存儲(chǔ)數(shù)據(jù),資源存儲(chǔ)數(shù)據(jù)的保護(hù)級別���,這些是選擇Azure云端工具一個(gè)很好的依據(jù)。明確云業(yè)務(wù)風(fēng)險(xiǎn)并制定云策略后,即可選擇合適的工具去彌補(bǔ)并完善業(yè)務(wù)風(fēng)險(xiǎn)�,使系統(tǒng)變得更穩(wěn)定�����。
05堅(jiān)持最小權(quán)限
云端通常會(huì)存在很多運(yùn)維管理員、IT管理員和用戶,這就需要遵循最小權(quán)限劃分原則:能分配只讀的權(quán)限不分配讀寫權(quán)限���,能分配讀寫權(quán)限就不分配管理員權(quán)限��。
通過這種最小權(quán)限劃分���,可以確保每個(gè)用戶都獲得合理的權(quán)限分配,在不影響工作開展的同時(shí)也能防止用戶讀取到其它項(xiàng)目或跟其身份無關(guān)的數(shù)據(jù)����,從而避免修改與身份無關(guān)的數(shù)據(jù)�����,確保云資源的安全性��。
06提高云資源部署的一致性
接下來就是云資源的部署�。在云端部署資源時(shí)其實(shí)有很多選擇�,例如通過門戶部署���,或者通過CLI��、第三方自動(dòng)化運(yùn)維工具來部署���。
部署云資源時(shí),企業(yè)需要考慮這套資源是否符合相應(yīng)的合理標(biāo)準(zhǔn)�。因?yàn)楹芏鄷r(shí)候在部署云環(huán)境的時(shí)候是手動(dòng)展開的部署����,可能任意一位同事在云端通過門戶部署的虛機(jī)���,搭建了網(wǎng)站系統(tǒng)��,進(jìn)行的配置在手動(dòng)進(jìn)行的時(shí)候沒有做好相應(yīng)記錄,也沒有做相應(yīng)的標(biāo)準(zhǔn)化處理���。這會(huì)導(dǎo)致這套系統(tǒng)極難被復(fù)制��。
這就與達(dá)芬奇畫雞蛋一樣�,我們很難把這套系統(tǒng)從中國復(fù)制到南非�����。而當(dāng)我們在南非開展全球業(yè)務(wù)時(shí),就很難以標(biāo)準(zhǔn)化的方式復(fù)制這套系統(tǒng)�,這會(huì)給業(yè)務(wù)上線和系統(tǒng)開展帶來很多困難。甚至一旦當(dāng)同事在部署完系統(tǒng)后離職�����,則其他同事很難在同一個(gè)環(huán)境里對這套系統(tǒng)進(jìn)行重現(xiàn),這對云端運(yùn)維的展開也是非常不利的�����。
因此部署時(shí)需要明確兩點(diǎn):
1.需要有一個(gè)標(biāo)準(zhǔn)化合理的手段�,無論這個(gè)手段是自動(dòng)化的,還是手工與自動(dòng)化結(jié)合的�,都需要一個(gè)標(biāo)準(zhǔn)化的流程來完成部署,使云端的資源部署實(shí)現(xiàn)冪等��。這也是很多第三方開源工具所強(qiáng)調(diào)的內(nèi)容�����。所謂冪等,是指無論部署一次或部署一百次��,每次都能獲得完全相同的結(jié)果�。
2.注意配置的修改,當(dāng)今業(yè)務(wù)風(fēng)險(xiǎn)里面一個(gè)很重要的潛在風(fēng)險(xiǎn)是:當(dāng)某些資源配置改變之后���,會(huì)導(dǎo)致業(yè)務(wù)出現(xiàn)宕機(jī)����,例如改變網(wǎng)站配置系統(tǒng)后會(huì)導(dǎo)致整個(gè)網(wǎng)站出現(xiàn)問題���,這就是云的潛在風(fēng)險(xiǎn)��。為了彌補(bǔ)這個(gè)風(fēng)險(xiǎn)�,企業(yè)在更改云端系統(tǒng)配置時(shí)��,需要盡量對更改后的配置文件進(jìn)行審閱和批準(zhǔn)����,盡量通過自動(dòng)化手段和工具把配置應(yīng)用到生產(chǎn)環(huán)境中。例如可以先應(yīng)用到開發(fā)測試環(huán)境,確認(rèn)沒問題后再應(yīng)用到生產(chǎn)環(huán)境中�,從而確保系統(tǒng)不會(huì)出現(xiàn)宕機(jī)。
07資源可見性
隨后還需要考慮云資源的可見性���。云端有成百上千個(gè)資源����,如何管理�,哪些資源使用率最高��,所有這些問題都可以通過Azure Resource Graph來查詢�。Azure Resource Graph查詢工具可通過類SQL的語言對云資源進(jìn)行查詢,甚至對資源的改動(dòng)進(jìn)行查詢���,并將查詢到的結(jié)果以表格這種可視化方式呈現(xiàn)�����,從而幫助企業(yè)直觀看到云資源是怎么樣分布的�,在哪些區(qū)域有哪些資源��,在哪些區(qū)域資源的使用比較多���。
例如用戶在亞洲有100臺(tái)虛機(jī)�����,在歐洲可能有50臺(tái)虛機(jī)��,在南非可能只有10臺(tái)虛機(jī)��。這樣可以對虛機(jī)數(shù)量�,包括虛機(jī)種類獲得合理直觀的直方圖分布,從而在定期審查過程中與業(yè)務(wù)部門進(jìn)行更好的溝通���,進(jìn)而得到需要的結(jié)論����,例如目前的區(qū)域部署是否是想要的環(huán)境���,是否存在忘記清理的資源部署����,是否可以對這部分資源進(jìn)行優(yōu)化����,從而幫助企業(yè)優(yōu)化治理云端環(huán)境。
在除了云資源的可見性,云資源的利用率也同樣重要�����。CPU利用率過高會(huì)導(dǎo)致潛在宕機(jī)風(fēng)險(xiǎn)�����,所以需要合理提高利用率�;CPU利用率過低則可以通過降低使用率從而節(jié)約成本。所有使用情況都可以通過Azure Monitor直觀查看����,同時(shí)也可以通過Azure Advisor獲得合理建議。例如在Azure Advisor中���,我們可以針對資源的使用效率獲得相關(guān)建議以及后續(xù)操作,包括建議改變的類型和虛機(jī)是否購買RI等�����。
08成本管理
最后也不能忘了成本管理�。在云端,成本相比于本地是一種成本模型的改變�。企業(yè)從CAPEX(資本支出)的費(fèi)用改變成了OPEX(運(yùn)營支出)費(fèi)用,其實(shí)相當(dāng)于是從資產(chǎn)成本變成了運(yùn)維成本。所以云資源使用效率就決定了對業(yè)務(wù)產(chǎn)生的影響����,云資源利用率越高,對業(yè)務(wù)的產(chǎn)出就越大���,云的投入才會(huì)越有價(jià)值�����。因而需要定期對云資源進(jìn)行管控��。
而在管理云費(fèi)用時(shí)遇到的最大問題就是不知道是否會(huì)發(fā)現(xiàn)系統(tǒng)中資源暴增��,花費(fèi)突然增加��,但卻不知道這部分資源屬于哪一個(gè)部門����,屬于哪一個(gè)項(xiàng)目�。這就是在云資費(fèi)管理方面的潛在業(yè)務(wù)風(fēng)險(xiǎn)。
Azure針對資費(fèi)管理提供了Azure Cost Management�����,借助該工具,我們能對Azure所有云資源實(shí)現(xiàn)圖形化的管理��,實(shí)時(shí)了解目前花費(fèi)���,當(dāng)月花費(fèi)預(yù)期以及以往花費(fèi)的詳細(xì)清單�����,同時(shí)能夠看到按照資源地域和特定的標(biāo)簽���、BU、每個(gè)成本中心的花費(fèi)狀態(tài)��,并根據(jù)這些數(shù)據(jù)設(shè)置相應(yīng)預(yù)算告警���。這樣對于項(xiàng)目的負(fù)責(zé)人�、每個(gè)BU的負(fù)責(zé)人以及財(cái)務(wù)部門管理整個(gè)云資源就有了明確的數(shù)據(jù)依靠���。
在定期每月、每季度�,甚至每年的財(cái)務(wù)回顧時(shí),就可以通過更準(zhǔn)確的數(shù)據(jù)依托從而計(jì)算好下一年度的云花費(fèi)預(yù)算�����,從而更好地規(guī)劃使用云環(huán)境。
云端治理的基本條件就是需要了解Azure云資源管理的組織方式�����,設(shè)定好企業(yè)基礎(chǔ)IT規(guī)則��,同時(shí)做好命名規(guī)則��。針對任何一個(gè)上云系統(tǒng)�����,都要做好安全身份部署資源管理�,以及云成本花費(fèi)管理,通過所有這些環(huán)節(jié)的實(shí)施和不斷迭代��,把云端環(huán)境管理的越來越好���,為企業(yè)云端之旅提供保障�。更多詳情可點(diǎn)擊文末閱讀原文查看微軟官方文檔�。
閩公網(wǎng)安備 35010202001226號
