企业上云系统

应用场景

随着很多企业逐渐将越来越多的业务系统往云上迁移，企业客户需要将IT治理模式延伸或迁移到公有云上。公有云在安全稳定、服务质量、执行效率、成本效益等方面的优势逐渐被企业接受和认可，越来越多的企业也优先采用 云原生 的方式开发面向未来的新应用系统。企业全面云化的时代已经来临，为了避免大规模上云带来的管理失控、安全失控、成本失控等系列问题，企业开始逐渐重视云上IT治理，但在具体实践中经常会遇到以下各种挑战。

• 如何做好业务单元（如事业部、产品线、部门、项目组等）的安全和故障隔离，确保业务单元之间的云资源、应用和数据的隔离？
• 如何避免单点故障带来雪崩效应、减少单点故障的爆炸半径？
• 企业组织架构和业务架构经常调整，云上资源如何灵活应对？
• 如何设计跨多个业务单元的网络架构、建立受控的网络连接通道？
• 如何统一管控多个业务单元的边界网络出入口？
• 如何规划生产、开发和测试环境？
• 公共资源如何在多个业务单元之间共享？
• 如何统一监控、运维和管控多个业务单元的云资源？
• 如何统一管控各业务单元的预算和成本？如何优化云成本？
• 如何避免各业务单元过度使用云资源？
• 如何划分用户组？应该为用户组设置哪些权限？
• 云资源、数据和应用如何满足国家、行业和企业自身的安全合规标准？
• 在尽量保留原有IT治理模式的前提下，如何将其迁移到公有云上？

要应对上述挑战，需要设计一套全面的云上IT治理方案和最佳实践，对业务单元、人员、权限、云资源、数据、应用、成本、安全等要素进行全面有效管理。华为云通过Landing Zone解决方案来全面应对云上IT治理的挑战。Landing Zone本身是一个航空术语，指直升飞机等飞行器可以安全着陆的区域。目前国内外多家云厂商都借用了这个航空术语，将企业业务系统安全平稳迁移到公有云的解决方案命名为Landing Zone，目的是系统性解决企业大规模使用云服务所带来的IT治理和安全合规的挑战。

方案架构

Landing Zone解决方案的目标是在云上构建安全合规、可扩展的多账号运行环境，首先要规划组织和账号架构。按照康威定律，企业在华为云上的组织和账号结构要与企业的组织和业务架构总体保持一致，但也不要完全照搬复制。华为云提供以下参考架构，建议按照业务架构、地理架构、IT职能等维度设计组织层级和账号。

图1 华为云Landing Zone参考架构

1. 按照业务架构在华为云上划分不同的组织层级和OU，每个业务OU下面可以按照业务系统创建独立的子账号。规模较大的业务系统或安全隔离要求严格（如需要遵守PCI-DSS、HIPPA等合规标准）的业务系统对应一个独立的子账号，安全隔离要求不高的多个小型业务系统可以共享一个子账号。以销售部为例，可以为销售管理系统、数字化营销系统等较大的业务系统创建独立的子账号；以研发部为例，可以将围绕单个产品的设计、研发等系统部署在一个子账号中。
2. 按照地理架构在华为云上划分不同的组织层级和OU，每个地理区域OU下面可以按照国家或地区创建独立的子账号，在上面可部署本地的客户关系管理系统、客户服务系统等。上述参考架构把中国区等区域组织映射为华为云的OU，为其下属的北京、上海等分公司创建独立的子账号以承载本地化的应用系统。
3. 针对企业的中心IT部门，在华为云上创建对应的组织单元，并按照IT职能创建以下子账号，一方面实现IT管理领域的职责和权限隔离，另一方面对企业内多个子账号进行统一的IT管理。

   表1 IT职能账号

   账号名称	账号履行的IT职能	责任团队	资源或云服务
   网络运营账号	集中部署和管理企业的网络资源，包括网络边界安全防护资源，实现多账号环境下的统一网络资源管理和多账号下 VPC DMA网络络的互通，尤其需要集中管理面向互联网的出入口和面向线下IDC机房的网络出入口	网络管理团队,安全管理团队	NATG, EIP , VPC, 专线, 云连接 , VPN , CFW ， WAF , Anti-DDoS
   公共服务账号	集中部署和管理企业的公共资源、服务和应用系统，并共享给其他所有子账号使用	公共服务管理团队	NTP服务器、AD服务器、自建DNS服务器、 OBS 桶、 容器镜像 库、协作办公系统等
   安全运营账号	作为企业安全运营中心，统一管控整个企业的安全策略、安全规则和安全资源，为其他账号设置安全配置基线，对整个企业的信息安全负责	安全管理团队	统一部署具备跨账号安全管控的服务，如 DEW 、SCM、VSS等
   运维监控账号	统一监控和运维各个子账号下的资源和应用，及时发现预警	运维团队	云堡垒机 、Grafana, Prometheus或第三方运维监控系统
   日志账号	集中存储其他账号的运行日志、审计日志	日志分析 团队,合规审计团队	日志服务 LTS 、OBS桶、SIEM系统
   数据平台账号	集中部署企业的大数据平台，将其他账号的业务数据统一采集到数据平台进行存储、处理和分析	数据处理团队,业务分析团队	数据湖 、大数据分析平台、 数据接入服务 、 数据治理 平台
   DevOps账号	统一管理整个企业的CI/CD流水线，并进行跨账号部署	软件研发团队	DevCloud，或自建DevOps流水线
   沙箱账号	用于进行各种云服务的功能测试、安全策略的测试等	测试团队	按需部署各种需要测试验证的资源和服务

4. 除了上述子账号之外，中心IT部门可以根据自己的职责和权限隔离需求创建更多的子账号。比如独立的应用集成账号、协同办公账号等。
5. 需要注意的是在组织的根下面会默认关联一个主账号，主账号下不建议部署任何云资源，主要是做好以下管理工作：
   • 统一组织和账号管理：创建和管理组织结构和组织单元，为组织单元创建子账号，或者邀请已有账号作为组织单元的子账号。
   • 统一财务管理：针对整个企业在华为云上的成本进行分析和统计；统一在华为云上充值、申请信用额度和激活代金券，再划拨给各个子账号，定期审视子账号的资金、信用额度和代金券的使用情况，及时进行回收。
   • 统一组织策略管理：为各个组织单元和子账号设置组织策略，强制限定子账号下用户（包括账号管理员）的权限上限，避免用户权限过大带来安全风险，创建组织策略时可以将其应用到某一个组织单元，该组织策略可以继承到关联的子账号和下层组织单元。
6. 在每个子账号下面还可以通过企业项目（Enterprise Project, EP）对资源进行细粒度的逻辑分组，比如将一个应用系统的子系统、一个产品的子产品映射为华为云上的一个企业项目，用户还可以按照EP进行成本分摊和细粒度授权。
   图2 网络运营账号
   
7. 在上述多账号架构下，网络运营账号作为Landing Zone的网络枢纽，该账号集中管理多账号的边界网络出入口，并打通多账号下VPC之间的网络。在网络运营账号下集中部署 企业路由器 （ Enterprise Router , ER），通过ER联通各账号下的VP CDM A网络络，从而实现多账号共享使用VPN和 云专线 与线下IDC互通，也能实现多账号共享使用公网 NAT网关 与互联网通信，还能共享使用云连接与其他Region进行互通。在该账号下统一管理网络资源，一方面可以减少管理工作量，另外也有利于制定和实施统一的网络安全策略，例如统一部署面向互联网连接的DDoS高仿、 云防火墙 CFW、WAF等安全资源并统一配置具体的安全防护策略
   图3 多账号资源共享和统一管控
   
8. 在多账号网络互通的基础上，可以进一步实现多账号的资源共享和统一管控。资源共享主要是针对公共资源的共享，比如NTP服务器、AD服务器、自建DNS服务器、OBS桶、容器 镜像 库等，也可以是DevCloud等PaaS服务，在一个或多个独立的子账号中集中部署和维护这些公共资源，并共享给其他账号使用，没有必要在每一个子账号中单独部署和维护。统一管控主要针对的是管理类系统，如监控运维、资源治理、安全防护、财务管理等，集中管理多账号环境下的监控、运维、资源、安全、财务等，避免在每个子账号中分散式管理带来的管理成本高、标准不统一的问题。统一管控可以有效制定和实施企业范围内的IT治理策略。

方案优势

1. 为了实现业务单元的安全和故障隔离，华为云的推荐做法是将不同业务单元的应用系统分别部署在不同的账号中。华为云账号具备以下三个属性。
   • 华为云账号是一个资源容器，用户可以在其中部署任意云资源和上层业务应用系统，不同的账号相当于不同的资源容器，账号之间是完全隔离的。因此在一个账号中的故障和安全风险不会影响和传播到其他账号。
   • 华为云账号也是安全管理边界，每个账号都有独立的身份和权限管理系统，一个账号内的用户只能访问和管理本账号的资源，未经允许，一个账号内的用户不能访问其他账号的资源、数据和应用。
   • 华为云账号还可以作为独立的账单实体，每个账号可以单独在华为云上充值、购买云资源、结算和开票。
2. 因此华为云账号可以针对业务单元进行有效的故障和安全隔离，还可以进一步进行管理和财务隔离。
3. 另外，为了避免单点故障带来雪崩效应、减少单点故障的爆炸半径，核心办法就是不要把所用业务系统及其云资源部署在单一账号，也就是不要“把鸡蛋放在一个篮子里”。单一账号存在两个严重的问题：其一是单一账号的爆炸半径太大，如果该账号发生崩溃将导致企业所有业务系统不可用；其二是云平台上账号的资源配额是有上限的，不能在一个账号内无限扩容云资源。
4. 因此当企业全面上云时通常需要采用多账号架构。按照康威定律，企业的多账号架构通常会与其组织架构或业务架构保持一致，即按照业务单元、地理单元、职能单元等维度划分账号。采用多账号架构后可以实现职责分离，不同的账号负责不同的事情、承载不同的业务，每个账号的管理员可以对本账号内的资源进行自治管理，但同时从IT治理角度肯定要求一定程度的统一管控，比如多账号的统一运维管理、安全管控、资源管理、网络管理、财务管理等。针对这些核心诉求，华为云提出了Landing Zone解决方案来帮助企业在云上构建安全合规、可扩展的多账号运行环境，实现多账号的资源共享和“人财物权法”的统一管控。
   • 人的管理：多账号环境下对业务单元、账号、用户、用户组、角色等进行统一管理；
   • 财的管理：多账号环境下对资金、预算、成本、发票、折扣等进行统一管理；
   • 物的管理：多账号环境下对计算、存储、网络、数据、应用等云资源进行统一运维、监控和管理；
   • 权的管理：多账号环境下对云资源的访问权限进行统一管理，确保访问权限符合最小授权原则；
   • 法的管理：多账号环境下对安全合规进行统一管理，确保符合国家、行业和企业自身的安全合规要求。
5. 企业成功实施了Landing Zone解决方案之后，可以有效规避大规模上云之后的管理失控、安全失控、成本失控的风险，全面应对各种IT治理挑战，帮助企业建立分统结合的IT治理体系和完善的安全合规体系。
   • 分统结合的IT治理体系：即在分权分域分级管理的基础上进行一定程度的统一管控，如统一运维、统一安全等；
   • 完善的安全合规体系：云上运行环境（包括云资源、数据、应用等）满足国家、行业和企业自身的安全合规标准。