Landing Zone是阿里云的企業上云框架,可以指導企業規劃和落地云上的資源結構、訪問安全、網絡架構和安全合規體系,為企業搭建安全、高效和可管理的云環境。云治理中心基于大量的最佳實踐,通過藍圖模板的形式,幫助您一站式輕松搭建Landing Zone。同時,云治理中心集成資源目錄的多賬號管理能力,可以快速搭建企業多賬號結構。
搭建Landing Zone流程
與您自行部署實施相比,云治理中心提供的搭建Landing Zone流程簡化了操作步驟,縮短了部署時間。具體流程如下:
檢查賬號資格。
系統會自動檢查當前登錄賬號是否符合管理賬號的要求。您可以根據檢查結果,選擇合適的管理賬號。具體操作,請參見檢查賬號資格。
搭建Landing Zone。
具體操作,請參見搭建Landing Zone。
支持的藍圖
藍圖 | 說明 |
標準藍圖 | 適用于所有企業的標準模板。 包含最必須的Landing Zone搭建選項:啟用資源目錄并創建Core和Applications資源夾、創建日志賬號、指定財務管理賬號、開通云SSO、啟用必要的合規防護規則等。這些搭建選項可以適配當前企業的已有配置,也可以根據企業實際進行修改。 在完成標準模板配置以后,還可以在此基礎上繼續拓展網絡、安全、合規等進階特性。 |
標準藍圖(云企業網絡) | 適用于對網絡安全、管控、成本要求較高的企業。 在標準模板基礎上包含了基于云企業網的網絡隔離區(DMZ)搭建。一方面云企業網可以簡化復雜網絡配置,同時具備良好的可拓展性,另外一方面網絡隔離區可以幫助企業統一管控流量出入口的設置,提升安全性,節省整體成本。 |
云原生藍圖 | 適用于使用了云原生技術架構的企業。 在標準模板基礎上,可以在指定賬號中搭建一個企業級的ACK Pro集群。該集群包含負載均衡、多可用區等高可用特性,除此之外,藍圖還包含管理ACK會用到的權限設置。 |
金融行業藍圖 | 適用于金融行業的模板。 金融企業對業務隔離的要求比較嚴格,在標準模板基礎上包含了基于云企業網的網絡隔離區(DMZ)搭建,以及金融行業常見合規包的推薦啟用。 |
支持的搭建項
分類 | 搭建項 | 說明 | 啟用指導 | 推薦部署賬號 |
資源規劃 | 創建管理賬號 | 創建資源目錄的管理賬號,用于管理資源目錄。 | 必選 | 管理賬號 |
資源規劃 | 開通資源目錄 | 開通資源目錄(RD),用于搭建企業的多賬號結構。 | 必選 | 管理賬號 |
資源規劃 | 創建資源夾 | 創建Core和Applications資源夾以實現管理和業務分離。您可以根據企業實際的組織和業務架構修改命名方式或拓展資源夾結構。 | 必選 | 管理賬號 |
資源規劃 | 創建核心賬號 | 創建或指定核心管理賬號,包括財務賬號、日志賬號、安全賬號、共享服務賬號等。職能清晰的賬號可以幫助企業在后續部署日志投遞、網絡、安全等搭建項,實現良好的資源隔離。 | 必選 | 管理賬號 |
資源規劃 | 邀請已有賬號 | 邀請已有的阿里云賬號加入到資源目錄進行統一管理。云治理中心將會代理您對指定的阿里云賬號發送邀請郵件,需登錄對應賬號確認接受邀請。需注意邀請有12小時的時效限制,超時未接受時邀請失敗,您需要在資源目錄中重新發起邀請。 | 可選 | 管理賬號 |
身份權限 | 設置云SSO | 啟用并初始化云SSO,并預置常見的訪問配置,以便于企業可以更快地配置多賬號的身份權限和單點登錄。 | 推薦 | 管理賬號 |
合規審計 | 操作審計統一日志投遞 | 將多賬號的操作審計日志統一投遞到日志賬號,可以選擇投遞到對象存儲OSS實現長期存儲,也可以投遞到日志服務SLS實現實時的日志分析。 | 推薦 | 日志賬號 |
合規審計 | 配置審計統一日志投遞 | 將多賬號的配置審計日志統一投遞到日志賬號,可以選擇投遞到對象存儲OSS實現長期存儲,也可以投遞到日志服務SLS實現實時的日志分析。 | 推薦 | 日志賬號 |
合規審計 | 啟用防護規則 | 統一配置和開啟配置審計的防護規則,保證云治理中心創建的資源結構和基礎配置不被修改,同時保證多賬號環境的安全性。啟用后,您可以通過云治理中心或配置審計控制臺,統一查看企業內各個資源賬號的合規情況。 | 必選 | 管理賬號 |
合規審計 | 服務日志統一投遞 | 基于日志服務(SLS)中心化投遞運行時的日志。覆蓋存儲(OSS、NAS)、網絡(SLB、ALB、API網關、VPC)、數據庫(關系型數據庫RDS、云原生分布式數據庫PolarDB-X 1.0、云原生數據庫PolarDB)、安全(WAF、DDoS防護、云防火墻)等產品。 | 可選 | 日志賬號 |
財務 | 設置財務托管關系 | 設置財務托管方式及財務托管賬號,支撐統一結算。 | 推薦 | 財務賬號 |
網絡 | 啟用云企業網絡 | 啟用云企業網絡CEN,便于通過簡單的規則把企業內部網絡、跨地域網絡、多云網絡進行統一接入并打通。在此基礎上,推薦搭建網絡隔離區DMZ,提升網絡安全性。 | 可選 | 共享服務賬號 |
運維 | 企業級ACK集群 | 在指定賬號中搭建一個企業級的ACK Pro集群,該集群包含負載均衡、多可用區等高可用特性。 | 可選 | 任意賬號 |
解決方案庫
解決方案庫基于大量企業上云、及云上管理治理的實踐,提供了架構設計的方法論、最佳實踐文檔、工具和自動化部署的代碼等,幫助企業規劃云上資源結構、訪問控制、網絡架構、審計合規、運維管理等體系,幫助企業順利搭建安全合規、可管理、可擴展的云上IT環境,充分釋放云計算的效率。
在您搭建Landing Zone時,可以參考相關案例,提升搭建效率。
專家服務
您可以訪問專家服務頁面,聯系阿里云專家,為您量身定制更全面的云上IT治理方案。