Azure云采用框架小課堂|實現(xiàn)高效云治理的基本思路

中國人到底有多愛“吃”？學習前人經(jīng)驗心得叫“吃一塹長一智”，遇到不公平待遇我們會“不吃這一套”！甚至連古代先賢都離不開吃：“治大國，若烹小鮮?！薄献印兜赖陆?jīng)》這句名言的意思是國家的治理應該像烹飪小魚蝦那樣，火候、調(diào)料、手法一切都要保證恰到好處，不能過頭，也不能缺位。

不僅是國家如此，連企業(yè)上云也逃不出先賢的道理。當企業(yè)成功上云之后，為了確保整個云環(huán)境能夠始終保持安全和穩(wěn)定地運行，“烹小鮮”的治理手段同樣不可或缺。那么，這種“烹小鮮”的治理方式具體該如何實踐呢？ 

今天我們將主要圍繞“云治理”這個目標，更深入地談?wù)?CAF（Azure 云采用框架）能為上云企業(yè)提供的幫助。

何為 Azure 云采用框架？

Azure 云采用框架（Cloud Adoption Framework，下文簡稱 CAF）是一個包含文檔、實施指南、最佳做法和工具的集合，所有內(nèi)容均由微軟提供，并經(jīng)歷了實踐檢驗，可用來幫助云架構(gòu)師、IT 專業(yè)人員和業(yè)務(wù)決策者成功實現(xiàn)短期和長期目標，進而加速云采用旅程。

CAF 涵蓋了云采用全生命周期內(nèi)完整的戰(zhàn)略定義、規(guī)劃、就緒、采用、治理和管理等不同環(huán)節(jié)，可幫助大家在執(zhí)行云采用工作時，將技術(shù)、業(yè)務(wù)和人員策略用于推動所需的業(yè)務(wù)成果，借此輕松地在正確的時間，以正確的方法執(zhí)行正確的工作。

上云是過程，而非終點

云采用是一個過程，而非終點。在支持業(yè)務(wù)轉(zhuǎn)型的技術(shù)方面，云開創(chuàng)了全新的模式，而這些新模式也會改變治理方式。

舉例來說，當幾乎整個數(shù)據(jù)中心都可以通過一個無人值守進程所執(zhí)行的一行代碼來銷毀和重新創(chuàng)建時，我們就必須反思傳統(tǒng) IT 治理方法。對于具有治理本地 IT 策略經(jīng)驗的組織，云治理應對這些策略進行補充。本地 IT 環(huán)境和云之間的治理策略會有差異。隨著云資產(chǎn)的逐漸變化，云治理流程和策略也隨之變化。而 Azure 云采用框架治理原則和 Azure 云平臺提供的豐富的治理服務(wù)工具可以幫助企業(yè)成功實現(xiàn)治理策略有效執(zhí)行。

然而沒有目標的旅程只是盲目漫游。如何制定有效的 Azure 治理策略？CAF 中的治理部分從以下五個方面的規(guī)則來指導企業(yè)云治理策略，每個規(guī)則都可幫助公司避免潛在陷阱。

• 成本管理：成本是云用戶最關(guān)心的問題。制定適用于所有云平臺成本控制的策略。

• 安全基線：安全性是一個復雜的主題，每個公司都是唯一的。建立安全要求后，云治理策略和實施將跨網(wǎng)絡(luò)、數(shù)據(jù)和資產(chǎn)配置應用這些要求。

• 身份管理基線：應用程序中標識要求的不一致性可能會增加泄露的風險。身份基線規(guī)則重點確保在云采用工作上一致地應用標識。

• 資源一致性：云操作依賴于一致的資源配置。通過治理工具，可以一致地配置資源，以管理與加入、偏移、可發(fā)現(xiàn)性和恢復相關(guān)的風險。

• 部署加速：部署和配置方法的集中化、標準化和一致性改進了治理做法。在通過基于云的治理工具提供時，它們會創(chuàng)建可加速部署活動的云因素。

通過豐富的工具服務(wù)讓治理策略順利落地

那么企業(yè)制定的治理策略如何落地執(zhí)行？Azure 提供了豐富的工具服務(wù)。

通過工具分析優(yōu)化成本

為確保正在使用的云資源消耗與計劃預算保持一致，必須建立成本監(jiān)控和成本超支風險的治理流程。Azure 中國用戶可以通過 Azure 企業(yè)門戶查看詳細的計費及成本。從 Azure 訂閱開始，我們可以全面了解 Azure 資源消耗的成本信息。結(jié)合 Azure Policy 等治理工具強制執(zhí)行特定的人員、特定的項目只能使用特定的云資源類型及層級，避免不必要的浪費。并且通過 Azure Monitor 及 Azure Advisor 分析資源使用效率，從而彈性調(diào)整云資源配置來降低成本。

建立安全基線

安全基線需要從統(tǒng)一安全管理、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、業(yè)務(wù)容災、合規(guī)性等多方面建立規(guī)則策略。Azure 安全中心提供統(tǒng)一的安全管理和高級威脅防護，定義各種應用安全策略，保護資源和響應安全事件。從云基礎(chǔ)架構(gòu)設(shè)計上就要使用 Azure 虛擬網(wǎng)絡(luò)，確保受保護數(shù)據(jù)的網(wǎng)絡(luò)子網(wǎng)必須與其他子網(wǎng)隔離。并且定期審核受保護數(shù)據(jù)子網(wǎng)之間的網(wǎng)絡(luò)流量。通過 Azure Backup、Azure Site Recovery 確保任務(wù)關(guān)鍵型應用程序和受保護數(shù)據(jù)正確實現(xiàn)了備份、恢復和 SLA 遵從性?；?Azure 上十幾種常用的安全服務(wù)，可以制定數(shù)十種關(guān)鍵性安全基線。

身份管理基線

身份管理基線是所有治理的基本起始點。嘗試應用治理前，必須先確立身份管理策略。然后治理解決方案將強制執(zhí)行確立的標識策略。Azure Active Directory（Azure AD）是微軟基于云的身份和訪問管理服務(wù)，可幫助用戶安全登錄和訪問 Azure 中的資源，滿足安全性和合規(guī)性要求。系統(tǒng)地采用基于角色的訪問控制 Azure RBAC，可以將客戶 IT 及運維團隊中的職責權(quán)限細粒度分開，并僅向用戶授予其執(zhí)行工作所需的最小訪問權(quán)限。

保持資源一致性

不一致的部署流程可能會導致安全漏洞，從而導致數(shù)據(jù)泄露或中斷。所有已部署的資產(chǎn)必須按照重要程度和數(shù)據(jù)分類進行分類。在部署到云之前，將由云調(diào)控團隊和應用程序所有者查看分類。治理流程必須包括部署時的審核和周期性審核，通過使用 Azure Policy、Azure Resource Manager、Azure Resource Graph 以確保所有資產(chǎn)的一致性。

實現(xiàn)部署加速

使用 Azure Tag（標記）對 Azure 資源和管理層次結(jié)構(gòu)進行組織，實現(xiàn)必須根據(jù)定義的 Tag 策略對所有資產(chǎn)進行分組和標記。使用 Azure Policy 可以執(zhí)行所有資產(chǎn)都必須使用已批準的部署模型。Azure 自動化提供基于云的自動化和配置服務(wù)，用于支持 Azure 環(huán)境和非 Azure 環(huán)境之間的一致管理。Azure Automation 包括流程自動化、配置管理、更新管理、共享功能等。在部署、操作期間，自動化可以提供全面的控制，從而加速部署周期。

為幫助客戶評估當前治理水平，CAF 也提供了治理評估分析服務(wù)，為客戶提供個性化的評估報告，并且與客戶所在行業(yè)平均水平做對比（參考下圖）。幫助企業(yè)正確指定治理策略的起點和未來目標。

最后同樣需要強調(diào)，別忘了持續(xù)改進！隨著企業(yè)云資產(chǎn)的逐漸變化，云治理流程和策略也隨之變化。在實現(xiàn)云采用計劃的整個過程中，以迭代方式添加治理控制，從以上講述的五個方面階段性的制定新策略，使用 Azure 提供的治理工具有效執(zhí)行治理策略，幫助企業(yè)降低云采用過程風險。