不僅是國(guó)家如此���,連企業(yè)上云也逃不出先賢的道理�。當(dāng)企業(yè)成功上云之后�,為了確保整個(gè)云環(huán)境能夠始終保持安全和穩(wěn)定地運(yùn)行,“烹小鮮”的治理手段同樣不可或缺���。那么�����,這種“烹小鮮”的治理方式具體該如何實(shí)踐呢����?
中國(guó)人到底有多愛“吃”����?學(xué)習(xí)前人經(jīng)驗(yàn)心得叫“吃一塹長(zhǎng)一智”����,遇到不公平待遇我們會(huì)“不吃這一套”���!甚至連古代先賢都離不開吃:“治大國(guó),若烹小鮮�。”——老子《道德經(jīng)》這句名言的意思是國(guó)家的治理應(yīng)該像烹飪小魚蝦那樣�,火候、調(diào)料����、手法一切都要保證恰到好處,不能過(guò)頭���,也不能缺位�����。
不僅是國(guó)家如此�,連企業(yè)上云也逃不出先賢的道理���。當(dāng)企業(yè)成功上云之后�,為了確保整個(gè)云環(huán)境能夠始終保持安全和穩(wěn)定地運(yùn)行�����,“烹小鮮”的治理手段同樣不可或缺。那么����,這種“烹小鮮”的治理方式具體該如何實(shí)踐呢?
今天我們將主要圍繞“云治理”這個(gè)目標(biāo)�����,更深入地談?wù)?CAF(Azure 云采用框架)能為上云企業(yè)提供的幫助����。
何為 Azure 云采用框架?
Azure 云采用框架(Cloud Adoption Framework�,下文簡(jiǎn)稱 CAF)是一個(gè)包含文檔、實(shí)施指南����、最佳做法和工具的集合,所有內(nèi)容均由微軟提供���,并經(jīng)歷了實(shí)踐檢驗(yàn)���,可用來(lái)幫助云架構(gòu)師、IT 專業(yè)人員和業(yè)務(wù)決策者成功實(shí)現(xiàn)短期和長(zhǎng)期目標(biāo),進(jìn)而加速云采用旅程����。
CAF 涵蓋了云采用全生命周期內(nèi)完整的戰(zhàn)略定義�、規(guī)劃、就緒���、采用�、治理和管理等不同環(huán)節(jié)�����,可幫助大家在執(zhí)行云采用工作時(shí)�,將技術(shù)、業(yè)務(wù)和人員策略用于推動(dòng)所需的業(yè)務(wù)成果�����,借此輕松地在正確的時(shí)間����,以正確的方法執(zhí)行正確的工作。
上云是過(guò)程�����,而非終點(diǎn)
云采用是一個(gè)過(guò)程,而非終點(diǎn)�。在支持業(yè)務(wù)轉(zhuǎn)型的技術(shù)方面,云開創(chuàng)了全新的模式�����,而這些新模式也會(huì)改變治理方式����。
舉例來(lái)說(shuō),當(dāng)幾乎整個(gè)數(shù)據(jù)中心都可以通過(guò)一個(gè)無(wú)人值守進(jìn)程所執(zhí)行的一行代碼來(lái)銷毀和重新創(chuàng)建時(shí)����,我們就必須反思傳統(tǒng) IT 治理方法。對(duì)于具有治理本地 IT 策略經(jīng)驗(yàn)的組織����,云治理應(yīng)對(duì)這些策略進(jìn)行補(bǔ)充。本地 IT 環(huán)境和云之間的治理策略會(huì)有差異����。隨著云資產(chǎn)的逐漸變化,云治理流程和策略也隨之變化�。而 Azure 云采用框架治理原則和 Azure 云平臺(tái)提供的豐富的治理服務(wù)工具可以幫助企業(yè)成功實(shí)現(xiàn)治理策略有效執(zhí)行���。
然而沒(méi)有目標(biāo)的旅程只是盲目漫游。如何制定有效的 Azure 治理策略����?CAF 中的治理部分從以下五個(gè)方面的規(guī)則來(lái)指導(dǎo)企業(yè)云治理策略�,每個(gè)規(guī)則都可幫助公司避免潛在陷阱。
成本管理:成本是云用戶最關(guān)心的問(wèn)題�����。制定適用于所有云平臺(tái)成本控制的策略����。
安全基線:安全性是一個(gè)復(fù)雜的主題,每個(gè)公司都是唯一的�。建立安全要求后,云治理策略和實(shí)施將跨網(wǎng)絡(luò)�、數(shù)據(jù)和資產(chǎn)配置應(yīng)用這些要求。
身份管理基線:應(yīng)用程序中標(biāo)識(shí)要求的不一致性可能會(huì)增加泄露的風(fēng)險(xiǎn)�����。身份基線規(guī)則重點(diǎn)確保在云采用工作上一致地應(yīng)用標(biāo)識(shí)����。
資源一致性:云操作依賴于一致的資源配置���。通過(guò)治理工具,可以一致地配置資源�����,以管理與加入�����、偏移�����、可發(fā)現(xiàn)性和恢復(fù)相關(guān)的風(fēng)險(xiǎn)�。
部署加速:部署和配置方法的集中化、標(biāo)準(zhǔn)化和一致性改進(jìn)了治理做法�����。在通過(guò)基于云的治理工具提供時(shí)����,它們會(huì)創(chuàng)建可加速部署活動(dòng)的云因素�����。
通過(guò)豐富的工具服務(wù)讓治理策略順利落地
那么企業(yè)制定的治理策略如何落地執(zhí)行�����?Azure 提供了豐富的工具服務(wù)����。
通過(guò)工具分析優(yōu)化成本
為確保正在使用的云資源消耗與計(jì)劃預(yù)算保持一致�����,必須建立成本監(jiān)控和成本超支風(fēng)險(xiǎn)的治理流程�。Azure 中國(guó)用戶可以通過(guò) Azure 企業(yè)門戶查看詳細(xì)的計(jì)費(fèi)及成本�����。從 Azure 訂閱開始�����,我們可以全面了解 Azure 資源消耗的成本信息�����。結(jié)合 Azure Policy 等治理工具強(qiáng)制執(zhí)行特定的人員、特定的項(xiàng)目只能使用特定的云資源類型及層級(jí)����,避免不必要的浪費(fèi)。并且通過(guò) Azure Monitor 及 Azure Advisor 分析資源使用效率�,從而彈性調(diào)整云資源配置來(lái)降低成本。
建立安全基線
安全基線需要從統(tǒng)一安全管理���、網(wǎng)絡(luò)安全����、數(shù)據(jù)安全���、業(yè)務(wù)容災(zāi)���、合規(guī)性等多方面建立規(guī)則策略。Azure 安全中心提供統(tǒng)一的安全管理和高級(jí)威脅防護(hù)���,定義各種應(yīng)用安全策略���,保護(hù)資源和響應(yīng)安全事件�����。從云基礎(chǔ)架構(gòu)設(shè)計(jì)上就要使用 Azure 虛擬網(wǎng)絡(luò)����,確保受保護(hù)數(shù)據(jù)的網(wǎng)絡(luò)子網(wǎng)必須與其他子網(wǎng)隔離���。并且定期審核受保護(hù)數(shù)據(jù)子網(wǎng)之間的網(wǎng)絡(luò)流量�。通過(guò) Azure Backup���、Azure Site Recovery 確保任務(wù)關(guān)鍵型應(yīng)用程序和受保護(hù)數(shù)據(jù)正確實(shí)現(xiàn)了備份����、恢復(fù)和 SLA 遵從性���。基于 Azure 上十幾種常用的安全服務(wù)����,可以制定數(shù)十種關(guān)鍵性安全基線。
身份管理基線
身份管理基線是所有治理的基本起始點(diǎn)����。嘗試應(yīng)用治理前�����,必須先確立身份管理策略���。然后治理解決方案將強(qiáng)制執(zhí)行確立的標(biāo)識(shí)策略。Azure Active Directory(Azure AD)是微軟基于云的身份和訪問(wèn)管理服務(wù)�,可幫助用戶安全登錄和訪問(wèn) Azure 中的資源,滿足安全性和合規(guī)性要求�。系統(tǒng)地采用基于角色的訪問(wèn)控制 Azure RBAC,可以將客戶 IT 及運(yùn)維團(tuán)隊(duì)中的職責(zé)權(quán)限細(xì)粒度分開�����,并僅向用戶授予其執(zhí)行工作所需的最小訪問(wèn)權(quán)限�����。
保持資源一致性
不一致的部署流程可能會(huì)導(dǎo)致安全漏洞�����,從而導(dǎo)致數(shù)據(jù)泄露或中斷�����。所有已部署的資產(chǎn)必須按照重要程度和數(shù)據(jù)分類進(jìn)行分類。在部署到云之前�,將由云調(diào)控團(tuán)隊(duì)和應(yīng)用程序所有者查看分類。治理流程必須包括部署時(shí)的審核和周期性審核�����,通過(guò)使用 Azure Policy�、Azure Resource Manager、Azure Resource Graph 以確保所有資產(chǎn)的一致性�。
實(shí)現(xiàn)部署加速
使用 Azure Tag(標(biāo)記)對(duì) Azure 資源和管理層次結(jié)構(gòu)進(jìn)行組織,實(shí)現(xiàn)必須根據(jù)定義的 Tag 策略對(duì)所有資產(chǎn)進(jìn)行分組和標(biāo)記�����。使用 Azure Policy 可以執(zhí)行所有資產(chǎn)都必須使用已批準(zhǔn)的部署模型�。Azure 自動(dòng)化提供基于云的自動(dòng)化和配置服務(wù)�,用于支持 Azure 環(huán)境和非 Azure 環(huán)境之間的一致管理。Azure Automation 包括流程自動(dòng)化���、配置管理�����、更新管理�����、共享功能等�。在部署、操作期間���,自動(dòng)化可以提供全面的控制�����,從而加速部署周期����。
為幫助客戶評(píng)估當(dāng)前治理水平�����,CAF 也提供了治理評(píng)估分析服務(wù)�����,為客戶提供個(gè)性化的評(píng)估報(bào)告,并且與客戶所在行業(yè)平均水平做對(duì)比(參考下圖)����。幫助企業(yè)正確指定治理策略的起點(diǎn)和未來(lái)目標(biāo)。
最后同樣需要強(qiáng)調(diào)�,別忘了持續(xù)改進(jìn)!隨著企業(yè)云資產(chǎn)的逐漸變化���,云治理流程和策略也隨之變化�����。在實(shí)現(xiàn)云采用計(jì)劃的整個(gè)過(guò)程中����,以迭代方式添加治理控制�����,從以上講述的五個(gè)方面階段性的制定新策略,使用 Azure 提供的治理工具有效執(zhí)行治理策略,幫助企業(yè)降低云采用過(guò)程風(fēng)險(xiǎn)����。
立即登錄,閱讀全文
版權(quán)說(shuō)明:
本文內(nèi)容來(lái)自于微軟科技,本站不擁有所有權(quán)���,不承擔(dān)相關(guān)法律責(zé)任�����。文章內(nèi)容系作者個(gè)人觀點(diǎn)���,不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán)�,請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除!
閩公網(wǎng)安備 35010202001226號(hào)
