在集中化IT管理模式下,中心IT部门(或者CCoE)可以针对众多业务单元实施多方面的集中管理: 集中网络管理:中心IT部门统一规划、部署和维护企业在云上的网络基础设施,包括专线、企业路由器、VPN、云连接、NAT网关、VPC等。
图1 多账号的统一安全管理 网络安全防护相关的服务,如WAF、Anti-DDoS和网络防火墙等服务,按照就近部署原则集中部署在网络运营账号,以保护网络运营账号中的NAT网关和弹性公网IP等网络连接资源。
具体的调研内容如下: 调研应用的四层部署架构 收集接入层、应用层、中间件层和数据层的详细信息,收集三种关联关系(共享数据、共享服务器、应用间通信依赖),可以参考下表收集应用的详细部署架构: 表1 应用调研表 应用类型 接入层 应用层 中间件层 数据层 接入域名 备注 应用名称 NAT
DBSS等)的管理权限 合规审计组 统一查看所有账号的审计日志和安全相关的日志(如VPC流日志和OBS访问日志等) 日志账号的Tenant Administrator权限 所有其他账号下的Tenant Guest权限 网络管理组 集中部署和管理企业的网络连接资源,如ER、VPN、DC、NATG
表1 关联分析工具表 软件名称 是否商用 说明 Dynatrace 商用 Dynatrace平台包括出色的应用程序性能管理工具,能够提供自动的应用程序依赖关系映射。它可以发现和监控微服务和应用程序,甚至是那些在容器内运行的微服务和应用程序。
在网络运营账号下集中部署企业路由器(Enterprise Router, ER),通过ER联通各账号下的VPC网络,从而实现多账号共享使用VPN和云专线与线下IDC互通,也能实现多账号共享使用公网NAT网关与互联网通信,还能共享使用云连接与其他Region进行互通。
ECS需要访问公网时,不建议直接绑定EIP,建议增加公网NAT网关统一走SNAT,便于更灵活的管控。 需要面向公网提供服务时,不建议将公网IP直接绑定到ECS,而是建议绑定到ELB或NAT网关,以便灵活扩展和管控调整。
网络资源成本 互联网带宽、公网IP地址、NAT网关、负载均衡器、VPN等网络服务的费用。 数据库成本 关系型数据库、NoSQL数据库等服务的费用,通常按实例规格、存储空间、请求次数等计费。
Organizations、资源治理中心RGC、成本中心、IAM身份中心 网络运营账号 集中部署和管理企业的网络资源,包括网络边界安全防护资源,实现多账号环境下的统一网络资源管理和多账号下VPC网络的互通,尤其需要集中管理面向互联网的出入口和面向线下IDC机房的网络出入口 网络管理团队 ER、DNS、NATG
服务控制策略 SecMaster Security Master 安全云脑 SFS Scalable File Service 弹性文件服务 SLA Service Level Agreement 服务水平协议 SLO Service Level Objective 服务水平目标 SNAT
云原生安全防护(Cloud Native Security) 云服务商提供了丰富的云原生安全服务(比如WAF、Anti-DDoS、云防火墙、秘钥管理等)。
可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑,提供访问公网和被公网访问能力。
