應(yīng)用場(chǎng)景

隨著很多企業(yè)逐漸將越來(lái)越多的業(yè)務(wù)系統(tǒng)往云上遷移，企業(yè)客戶需要將IT治理模式延伸或遷移到公有云上。公有云在安全穩(wěn)定、服務(wù)質(zhì)量、執(zhí)行效率、成本效益等方面的優(yōu)勢(shì)逐漸被企業(yè)接受和認(rèn)可，越來(lái)越多的企業(yè)也優(yōu)先采用 云原生 的方式開(kāi)發(fā)面向未來(lái)的新應(yīng)用系統(tǒng)。企業(yè)全面云化的時(shí)代已經(jīng)來(lái)臨，為了避免大規(guī)模上云帶來(lái)的管理失控、安全失控、成本失控等系列問(wèn)題，企業(yè)開(kāi)始逐漸重視云上IT治理，但在具體實(shí)踐中經(jīng)常會(huì)遇到以下各種挑戰(zhàn)。

• 如何做好業(yè)務(wù)單元（如事業(yè)部、產(chǎn)品線、部門、項(xiàng)目組等）的安全和故障隔離，確保業(yè)務(wù)單元之間的云資源、應(yīng)用和數(shù)據(jù)的隔離？
• 如何避免單點(diǎn)故障帶來(lái)雪崩效應(yīng)、減少單點(diǎn)故障的爆炸半徑？
• 企業(yè)組織架構(gòu)和業(yè)務(wù)架構(gòu)經(jīng)常調(diào)整，云上資源如何靈活應(yīng)對(duì)？
• 如何設(shè)計(jì)跨多個(gè)業(yè)務(wù)單元的網(wǎng)絡(luò)架構(gòu)、建立受控的網(wǎng)絡(luò)連接通道？
• 如何統(tǒng)一管控多個(gè)業(yè)務(wù)單元的邊界網(wǎng)絡(luò)出入口？
• 如何規(guī)劃生產(chǎn)、開(kāi)發(fā)和測(cè)試環(huán)境？
• 公共資源如何在多個(gè)業(yè)務(wù)單元之間共享？
• 如何統(tǒng)一監(jiān)控、運(yùn)維和管控多個(gè)業(yè)務(wù)單元的云資源？
• 如何統(tǒng)一管控各業(yè)務(wù)單元的預(yù)算和成本？如何優(yōu)化云成本？
• 如何避免各業(yè)務(wù)單元過(guò)度使用云資源？
• 如何劃分用戶組？應(yīng)該為用戶組設(shè)置哪些權(quán)限？
• 云資源、數(shù)據(jù)和應(yīng)用如何滿足國(guó)家、行業(yè)和企業(yè)自身的安全合規(guī)標(biāo)準(zhǔn)？
• 在盡量保留原有IT治理模式的前提下，如何將其遷移到公有云上？

要應(yīng)對(duì)上述挑戰(zhàn)，需要設(shè)計(jì)一套全面的云上IT治理方案和最佳實(shí)踐，對(duì)業(yè)務(wù)單元、人員、權(quán)限、云資源、數(shù)據(jù)、應(yīng)用、成本、安全等要素進(jìn)行全面有效管理。華為云通過(guò)Landing Zone解決方案來(lái)全面應(yīng)對(duì)云上IT治理的挑戰(zhàn)。Landing Zone本身是一個(gè)航空術(shù)語(yǔ)，指直升飛機(jī)等飛行器可以安全著陸的區(qū)域。目前國(guó)內(nèi)外多家云廠商都借用了這個(gè)航空術(shù)語(yǔ)，將企業(yè)業(yè)務(wù)系統(tǒng)安全平穩(wěn)遷移到公有云的解決方案命名為L(zhǎng)anding Zone，目的是系統(tǒng)性解決企業(yè)大規(guī)模使用云服務(wù)所帶來(lái)的IT治理和安全合規(guī)的挑戰(zhàn)。

方案架構(gòu)

Landing Zone解決方案的目標(biāo)是在云上構(gòu)建安全合規(guī)、可擴(kuò)展的多賬號(hào)運(yùn)行環(huán)境，首先要規(guī)劃組織和賬號(hào)架構(gòu)。按照康威定律，企業(yè)在華為云上的組織和賬號(hào)結(jié)構(gòu)要與企業(yè)的組織和業(yè)務(wù)架構(gòu)總體保持一致，但也不要完全照搬復(fù)制。華為云提供以下參考架構(gòu)，建議按照業(yè)務(wù)架構(gòu)、地理架構(gòu)、IT職能等維度設(shè)計(jì)組織層級(jí)和賬號(hào)。

圖1 華為云Landing Zone參考架構(gòu)

1. 按照業(yè)務(wù)架構(gòu)在華為云上劃分不同的組織層級(jí)和OU，每個(gè)業(yè)務(wù)OU下面可以按照業(yè)務(wù)系統(tǒng)創(chuàng)建獨(dú)立的子賬號(hào)。規(guī)模較大的業(yè)務(wù)系統(tǒng)或安全隔離要求嚴(yán)格（如需要遵守PCI-DSS、HIPPA等合規(guī)標(biāo)準(zhǔn)）的業(yè)務(wù)系統(tǒng)對(duì)應(yīng)一個(gè)獨(dú)立的子賬號(hào)，安全隔離要求不高的多個(gè)小型業(yè)務(wù)系統(tǒng)可以共享一個(gè)子賬號(hào)。以銷售部為例，可以為銷售管理系統(tǒng)、數(shù)字化營(yíng)銷系統(tǒng)等較大的業(yè)務(wù)系統(tǒng)創(chuàng)建獨(dú)立的子賬號(hào)；以研發(fā)部為例，可以將圍繞單個(gè)產(chǎn)品的設(shè)計(jì)、研發(fā)等系統(tǒng)部署在一個(gè)子賬號(hào)中。
2. 按照地理架構(gòu)在華為云上劃分不同的組織層級(jí)和OU，每個(gè)地理區(qū)域OU下面可以按照國(guó)家或地區(qū)創(chuàng)建獨(dú)立的子賬號(hào)，在上面可部署本地的客戶關(guān)系管理系統(tǒng)、客戶服務(wù)系統(tǒng)等。上述參考架構(gòu)把中國(guó)區(qū)等區(qū)域組織映射為華為云的OU，為其下屬的北京、上海等分公司創(chuàng)建獨(dú)立的子賬號(hào)以承載本地化的應(yīng)用系統(tǒng)。
3. 針對(duì)企業(yè)的中心IT部門，在華為云上創(chuàng)建對(duì)應(yīng)的組織單元，并按照IT職能創(chuàng)建以下子賬號(hào)，一方面實(shí)現(xiàn)IT管理領(lǐng)域的職責(zé)和權(quán)限隔離，另一方面對(duì)企業(yè)內(nèi)多個(gè)子賬號(hào)進(jìn)行統(tǒng)一的IT管理。

   表1 IT職能賬號(hào)

   賬號(hào)名稱	賬號(hào)履行的IT職能	責(zé)任團(tuán)隊(duì)	資源或云服務(wù)
   網(wǎng)絡(luò)運(yùn)營(yíng)賬號(hào)	集中部署和管理企業(yè)的網(wǎng)絡(luò)資源，包括網(wǎng)絡(luò)邊界安全防護(hù)資源，實(shí)現(xiàn)多賬號(hào)環(huán)境下的統(tǒng)一網(wǎng)絡(luò)資源管理和多賬號(hào)下 VPC DMA網(wǎng)絡(luò)絡(luò)的互通，尤其需要集中管理面向互聯(lián)網(wǎng)的出入口和面向線下IDC機(jī)房的網(wǎng)絡(luò)出入口	網(wǎng)絡(luò)管理團(tuán)隊(duì),安全管理團(tuán)隊(duì)	NATG, EIP , VPC, 專線, 云連接 , VPN , CFW ， WAF , Anti-DDoS
   公共服務(wù)賬號(hào)	集中部署和管理企業(yè)的公共資源、服務(wù)和應(yīng)用系統(tǒng)，并共享給其他所有子賬號(hào)使用	公共服務(wù)管理團(tuán)隊(duì)	NTP服務(wù)器、AD服務(wù)器、自建DNS服務(wù)器、 OBS 桶、 容器鏡像 庫(kù)、協(xié)作辦公系統(tǒng)等
   安全運(yùn)營(yíng)賬號(hào)	作為企業(yè)安全運(yùn)營(yíng)中心，統(tǒng)一管控整個(gè)企業(yè)的安全策略、安全規(guī)則和安全資源，為其他賬號(hào)設(shè)置安全配置基線，對(duì)整個(gè)企業(yè)的信息安全負(fù)責(zé)	安全管理團(tuán)隊(duì)	統(tǒng)一部署具備跨賬號(hào)安全管控的服務(wù)，如 DEW 、SCM、VSS等
   運(yùn)維監(jiān)控賬號(hào)	統(tǒng)一監(jiān)控和運(yùn)維各個(gè)子賬號(hào)下的資源和應(yīng)用，及時(shí)發(fā)現(xiàn)預(yù)警	運(yùn)維團(tuán)隊(duì)	云堡壘機(jī) 、Grafana, Prometheus或第三方運(yùn)維監(jiān)控系統(tǒng)
   日志賬號(hào)	集中存儲(chǔ)其他賬號(hào)的運(yùn)行日志、審計(jì)日志	日志分析 團(tuán)隊(duì),合規(guī)審計(jì)團(tuán)隊(duì)	日志服務(wù) LTS 、OBS桶、SIEM系統(tǒng)
   數(shù)據(jù)平臺(tái)賬號(hào)	集中部署企業(yè)的大數(shù)據(jù)平臺(tái)，將其他賬號(hào)的業(yè)務(wù)數(shù)據(jù)統(tǒng)一采集到數(shù)據(jù)平臺(tái)進(jìn)行存儲(chǔ)、處理和分析	數(shù)據(jù)處理團(tuán)隊(duì),業(yè)務(wù)分析團(tuán)隊(duì)	數(shù)據(jù)湖 、大數(shù)據(jù)分析平臺(tái)、 數(shù)據(jù)接入服務(wù) 、 數(shù)據(jù)治理 平臺(tái)
   DevOps賬號(hào)	統(tǒng)一管理整個(gè)企業(yè)的CI/CD流水線，并進(jìn)行跨賬號(hào)部署	軟件研發(fā)團(tuán)隊(duì)	DevCloud，或自建DevOps流水線
   沙箱賬號(hào)	用于進(jìn)行各種云服務(wù)的功能測(cè)試、安全策略的測(cè)試等	測(cè)試團(tuán)隊(duì)	按需部署各種需要測(cè)試驗(yàn)證的資源和服務(wù)

4. 除了上述子賬號(hào)之外，中心IT部門可以根據(jù)自己的職責(zé)和權(quán)限隔離需求創(chuàng)建更多的子賬號(hào)。比如獨(dú)立的應(yīng)用集成賬號(hào)、協(xié)同辦公賬號(hào)等。
5. 需要注意的是在組織的根下面會(huì)默認(rèn)關(guān)聯(lián)一個(gè)主賬號(hào)，主賬號(hào)下不建議部署任何云資源，主要是做好以下管理工作：
   • 統(tǒng)一組織和賬號(hào)管理：創(chuàng)建和管理組織結(jié)構(gòu)和組織單元，為組織單元?jiǎng)?chuàng)建子賬號(hào)，或者邀請(qǐng)已有賬號(hào)作為組織單元的子賬號(hào)。
   • 統(tǒng)一財(cái)務(wù)管理：針對(duì)整個(gè)企業(yè)在華為云上的成本進(jìn)行分析和統(tǒng)計(jì)；統(tǒng)一在華為云上充值、申請(qǐng)信用額度和激活代金券，再劃撥給各個(gè)子賬號(hào)，定期審視子賬號(hào)的資金、信用額度和代金券的使用情況，及時(shí)進(jìn)行回收。
   • 統(tǒng)一組織策略管理：為各個(gè)組織單元和子賬號(hào)設(shè)置組織策略，強(qiáng)制限定子賬號(hào)下用戶（包括賬號(hào)管理員）的權(quán)限上限，避免用戶權(quán)限過(guò)大帶來(lái)安全風(fēng)險(xiǎn)，創(chuàng)建組織策略時(shí)可以將其應(yīng)用到某一個(gè)組織單元，該組織策略可以繼承到關(guān)聯(lián)的子賬號(hào)和下層組織單元。
6. 在每個(gè)子賬號(hào)下面還可以通過(guò)企業(yè)項(xiàng)目（Enterprise Project, EP）對(duì)資源進(jìn)行細(xì)粒度的邏輯分組，比如將一個(gè)應(yīng)用系統(tǒng)的子系統(tǒng)、一個(gè)產(chǎn)品的子產(chǎn)品映射為華為云上的一個(gè)企業(yè)項(xiàng)目，用戶還可以按照EP進(jìn)行成本分?jǐn)偤图?xì)粒度授權(quán)。
   圖2 網(wǎng)絡(luò)運(yùn)營(yíng)賬號(hào)
   
7. 在上述多賬號(hào)架構(gòu)下，網(wǎng)絡(luò)運(yùn)營(yíng)賬號(hào)作為L(zhǎng)anding Zone的網(wǎng)絡(luò)樞紐，該賬號(hào)集中管理多賬號(hào)的邊界網(wǎng)絡(luò)出入口，并打通多賬號(hào)下VPC之間的網(wǎng)絡(luò)。在網(wǎng)絡(luò)運(yùn)營(yíng)賬號(hào)下集中部署 企業(yè)路由器 （ Enterprise Router , ER），通過(guò)ER聯(lián)通各賬號(hào)下的VP CDM A網(wǎng)絡(luò)絡(luò)，從而實(shí)現(xiàn)多賬號(hào)共享使用VPN和 云專線 與線下IDC互通，也能實(shí)現(xiàn)多賬號(hào)共享使用公網(wǎng) NAT網(wǎng)關(guān) 與互聯(lián)網(wǎng)通信，還能共享使用云連接與其他Region進(jìn)行互通。在該賬號(hào)下統(tǒng)一管理網(wǎng)絡(luò)資源，一方面可以減少管理工作量，另外也有利于制定和實(shí)施統(tǒng)一的網(wǎng)絡(luò)安全策略，例如統(tǒng)一部署面向互聯(lián)網(wǎng)連接的DDoS高仿、 云防火墻 CFW、WAF等安全資源并統(tǒng)一配置具體的安全防護(hù)策略
   圖3 多賬號(hào)資源共享和統(tǒng)一管控
   
8. 在多賬號(hào)網(wǎng)絡(luò)互通的基礎(chǔ)上，可以進(jìn)一步實(shí)現(xiàn)多賬號(hào)的資源共享和統(tǒng)一管控。資源共享主要是針對(duì)公共資源的共享，比如NTP服務(wù)器、AD服務(wù)器、自建DNS服務(wù)器、OBS桶、容器 鏡像 庫(kù)等，也可以是DevCloud等PaaS服務(wù)，在一個(gè)或多個(gè)獨(dú)立的子賬號(hào)中集中部署和維護(hù)這些公共資源，并共享給其他賬號(hào)使用，沒(méi)有必要在每一個(gè)子賬號(hào)中單獨(dú)部署和維護(hù)。統(tǒng)一管控主要針對(duì)的是管理類系統(tǒng)，如監(jiān)控運(yùn)維、資源治理、安全防護(hù)、財(cái)務(wù)管理等，集中管理多賬號(hào)環(huán)境下的監(jiān)控、運(yùn)維、資源、安全、財(cái)務(wù)等，避免在每個(gè)子賬號(hào)中分散式管理帶來(lái)的管理成本高、標(biāo)準(zhǔn)不統(tǒng)一的問(wèn)題。統(tǒng)一管控可以有效制定和實(shí)施企業(yè)范圍內(nèi)的IT治理策略。

方案優(yōu)勢(shì)

1. 為了實(shí)現(xiàn)業(yè)務(wù)單元的安全和故障隔離，華為云的推薦做法是將不同業(yè)務(wù)單元的應(yīng)用系統(tǒng)分別部署在不同的賬號(hào)中。華為云賬號(hào)具備以下三個(gè)屬性。
   • 華為云賬號(hào)是一個(gè)資源容器，用戶可以在其中部署任意云資源和上層業(yè)務(wù)應(yīng)用系統(tǒng)，不同的賬號(hào)相當(dāng)于不同的資源容器，賬號(hào)之間是完全隔離的。因此在一個(gè)賬號(hào)中的故障和安全風(fēng)險(xiǎn)不會(huì)影響和傳播到其他賬號(hào)。
   • 華為云賬號(hào)也是安全管理邊界，每個(gè)賬號(hào)都有獨(dú)立的身份和權(quán)限管理系統(tǒng)，一個(gè)賬號(hào)內(nèi)的用戶只能訪問(wèn)和管理本賬號(hào)的資源，未經(jīng)允許，一個(gè)賬號(hào)內(nèi)的用戶不能訪問(wèn)其他賬號(hào)的資源、數(shù)據(jù)和應(yīng)用。
   • 華為云賬號(hào)還可以作為獨(dú)立的賬單實(shí)體，每個(gè)賬號(hào)可以單獨(dú)在華為云上充值、購(gòu)買云資源、結(jié)算和開(kāi)票。
2. 因此華為云賬號(hào)可以針對(duì)業(yè)務(wù)單元進(jìn)行有效的故障和安全隔離，還可以進(jìn)一步進(jìn)行管理和財(cái)務(wù)隔離。
3. 另外，為了避免單點(diǎn)故障帶來(lái)雪崩效應(yīng)、減少單點(diǎn)故障的爆炸半徑，核心辦法就是不要把所用業(yè)務(wù)系統(tǒng)及其云資源部署在單一賬號(hào)，也就是不要“把雞蛋放在一個(gè)籃子里”。單一賬號(hào)存在兩個(gè)嚴(yán)重的問(wèn)題：其一是單一賬號(hào)的爆炸半徑太大，如果該賬號(hào)發(fā)生崩潰將導(dǎo)致企業(yè)所有業(yè)務(wù)系統(tǒng)不可用；其二是云平臺(tái)上賬號(hào)的資源配額是有上限的，不能在一個(gè)賬號(hào)內(nèi)無(wú)限擴(kuò)容云資源。
4. 因此當(dāng)企業(yè)全面上云時(shí)通常需要采用多賬號(hào)架構(gòu)。按照康威定律，企業(yè)的多賬號(hào)架構(gòu)通常會(huì)與其組織架構(gòu)或業(yè)務(wù)架構(gòu)保持一致，即按照業(yè)務(wù)單元、地理單元、職能單元等維度劃分賬號(hào)。采用多賬號(hào)架構(gòu)后可以實(shí)現(xiàn)職責(zé)分離，不同的賬號(hào)負(fù)責(zé)不同的事情、承載不同的業(yè)務(wù)，每個(gè)賬號(hào)的管理員可以對(duì)本賬號(hào)內(nèi)的資源進(jìn)行自治管理，但同時(shí)從IT治理角度肯定要求一定程度的統(tǒng)一管控，比如多賬號(hào)的統(tǒng)一運(yùn)維管理、安全管控、資源管理、網(wǎng)絡(luò)管理、財(cái)務(wù)管理等。針對(duì)這些核心訴求，華為云提出了Landing Zone解決方案來(lái)幫助企業(yè)在云上構(gòu)建安全合規(guī)、可擴(kuò)展的多賬號(hào)運(yùn)行環(huán)境，實(shí)現(xiàn)多賬號(hào)的資源共享和“人財(cái)物權(quán)法”的統(tǒng)一管控。
   • 人的管理：多賬號(hào)環(huán)境下對(duì)業(yè)務(wù)單元、賬號(hào)、用戶、用戶組、角色等進(jìn)行統(tǒng)一管理；
   • 財(cái)?shù)墓芾?/strong>：多賬號(hào)環(huán)境下對(duì)資金、預(yù)算、成本、發(fā)票、折扣等進(jìn)行統(tǒng)一管理；
   • 物的管理：多賬號(hào)環(huán)境下對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等云資源進(jìn)行統(tǒng)一運(yùn)維、監(jiān)控和管理；
   • 權(quán)的管理：多賬號(hào)環(huán)境下對(duì)云資源的訪問(wèn)權(quán)限進(jìn)行統(tǒng)一管理，確保訪問(wèn)權(quán)限符合最小授權(quán)原則；
   • 法的管理：多賬號(hào)環(huán)境下對(duì)安全合規(guī)進(jìn)行統(tǒng)一管理，確保符合國(guó)家、行業(yè)和企業(yè)自身的安全合規(guī)要求。
5. 企業(yè)成功實(shí)施了Landing Zone解決方案之后，可以有效規(guī)避大規(guī)模上云之后的管理失控、安全失控、成本失控的風(fēng)險(xiǎn)，全面應(yīng)對(duì)各種IT治理挑戰(zhàn)，幫助企業(yè)建立分統(tǒng)結(jié)合的IT治理體系和完善的安全合規(guī)體系。
   • 分統(tǒng)結(jié)合的IT治理體系：即在分權(quán)分域分級(jí)管理的基礎(chǔ)上進(jìn)行一定程度的統(tǒng)一管控，如統(tǒng)一運(yùn)維、統(tǒng)一安全等；
   • 完善的安全合規(guī)體系：云上運(yùn)行環(huán)境（包括云資源、數(shù)據(jù)、應(yīng)用等）滿足國(guó)家、行業(yè)和企業(yè)自身的安全合規(guī)標(biāo)準(zhǔn)。