本篇将主要描述云上账号相关概念,以及云上账号的规划设计,可基于公司组织结构、项目维度、部门等多个不同的维度进行不同账号模式的设计来进行规划设计。合理的账号规划设计,会促使从云上的业务扩展、资源隔离、安全与细粒度的管控能够得到很好的体现,同时云上运维管理将会更加简单与高效。在介绍账号设计模式之前,这里先与大家分享几个与账号相关的产品和概念。
1.云上账号相关概念
1.1集团账号管理
腾讯云集团账号管理是多账号管理方案,可以用该服务创建集团组织,并通过邀请或创建的方式将子公司的云账号统一加入到组织中进行管理。根据实际需求为账号设置财务管理策略、共享资源及管理日志等权限。这些功能也能够更好地满足企业的预算、安全性和合规性需求。(与AWS 的 Organization 服务功能类似)
1.2.腾讯云主账号
腾讯云主账号即腾讯云官网入口注册成功,生成的账号为主账号。
1.3.根
组织中所有账号的父容器。(目前仅支持组中包含一个根。当创建组织时,腾讯云集团账号管理会自动创建根。)
1.4.组织
创建用于整合腾讯云账号的层级关系,可以通过 腾讯云集团账号管理控制台 集中查看和管理组织内的所有账号。一个组织有一个管理账号以及零个或多个成员账号。可以使用分层树状结构组织账号,根节点放在树顶部,部门嵌套在根节点下。每个账号都可以直接放在根节点中,也可以放在层次结构的其中一个部门中。
1.5.部门
根节点下用于存放账号的节点,部门中还可以包含其他部门。这样能够创建类似于倒置树的层次结构,根节点位于顶部,部门分支向下延伸。
1.6.CAM权限管理
访问管理CAM是腾讯云提供的一套 Web 服务,用于帮助客户安全地管理腾讯云账户的访问权限,资源管理和使用权限。通过 CAM,可以创建、管理和销毁用户(组),并通过身份管理和策略管理控制哪些账号可以使用哪些腾讯云资源。
2.云上账号规划设计
云上账户作为云上资源的基本安全边界。它们相当于资源容器,提供了有用的隔离级别。同时隔离资源和用户的能力也是建立安全、良好云上管理的环境的必备要求。客户在云上构建业务时,均在安全控制、资源隔离、团队协作、权限管控、数据隔离、账单计费等不同维度有不同的需求,这时需要有个合理的账号设计体系来满足特定的需求。下面几种常见的云上账号结构模式设计供参考,推荐采用腾讯云多账号结构来规划设计云上业务,详情可参考多账号模式设计的优势。
2.1.单账号模式设计
基于云上客户的了解,仍不少客户采用的是单账号模式,如测试、预生产、生产、运维等环境都在一个账号下,且从云上资源的隔离基本都是通过VPC的维度进行不同环境的资源隔离,如下图:
单账号模式设计当前优势的是初期管理简单,适合业务量少,规模较小,客户业务部门单一的情况,不好的地方是1)不利于未来云上业务扩展,2)资源安全隔离性较差,只能通过VPC的方式进行;3)资源存在混用,不利于部门成本分摊4)随着业务增加, 云上运维管理排障难度系数较高等等 …
2.2.多账号模式设计
上图可以理解为是一个通用的多账号设计模式,客户可结合实际的业务需求进行合理的调整(万事求合理即是最佳的,方案也没有绝对的,只是适合当前及未来的长期发展即可)。
这里说明下账号用途,为什么进行多账号模式设计?多账号模式的设计的好处有哪些:
账号用途说明:
- 生产账号:用于承载实际生产对外的业务,也是企业的核心。
- 测试账号:主要存放用于测试业务的开发或调试,独立于生产和预生产环境,减少业务影响
- 预生产账号:用于预生产业务的开发与管理工作,同时确保业务上线架构及稳定性,还可以在此账号进行混沌工程的演练,在上线前促进业务的健壮性。
- 网络账号/infra账号: 此账号主要用于云上运维团队统一管控的。
- 日志账号:进行日志集中采集与分析,便于后期公司内外部门的安全管控和审计。
- 共享服务账号: 云上共享服务,提供云上各账号的共享服务调用。
优势:
- 资源隔离性更好: 首先账号维度进行资源隔离,可以起到第一层的资源隔离与独立性,
- 可将潜在风险与安全威胁与其他资源或账号隔离,减少影响
- 团队需求管理:不同的业务单位或团队可能具有完全不同需求,将团队移动到分开来防止他们互相干扰
- 账单管理:可以统一结算,也可按账号维度进行结算,也适用于团队/项目分担费用。
- 业务扩展;多账号的模式下,可以灵活根据业务的需求进行调整,来满足业务的不同需求。
- 灵活的安全管控: 可以从账号维度、CAM权限管控,以及安全等保等各种安全需求的管控。
2.3.集团账号管理—部门维度多账号模式设计
此多账号模式设计结合不同的业务部门进行了多账号模式设计,这里部门也可以理解组织单元(OU),部门也可细分子部门,这样能够创建类似于倒置树的层次结构,根位于顶部,OU 分支向下延伸。此账号模式较通用多账号模式设计的优势在于1)其业务单元可以扩展,
2)可按组织单元来规划设计账户类型,通常推荐设计两种类型的账户, 一类为管理员类账户,一类为成员账户。
3)账单费用可以算,可以基于不同的部门或业务单元进行费用独立计算,同时结合云上标签功能进行。
2.4.集团账号管理—子公司 部门维度的多账号模式设计
此多账号模式设计较2.3集团账号管理—部门维度多账号模式设计,除继承多账号模式的优势之外,此模式更多从子公司的云上IT成本结算、子公司的云上管理、财务分账等维度考虑,可将云上的资源成本划分到各个项目组/业务部门,可以方便梳理云上的成本结构,便于云上的成本管理,也是解决企业CXO所关心的云上IT 成本治理的问题。
2.5.集团账号模式设计 — 以项目维度的多账号模式设计
此多账号模式设相对于以上几种账号模式的设计略有不同,这个主要是由于游戏行业的特殊性,游戏客户每年都有可能发布新游,在发布新游项目时,可能需要在不同的地域进行发布,也可用在现有的地域进行发布,这时就很有必要为每个游戏项目单独去申请账户,并未这些账户进行集中式的用户管理与权限分配,以及方便查看账号下的资源,以及费用的核算问题。 当然也不排除有些游戏客户会在现有多账号进行发布,这也依赖发布新游的规模。
上图也只是罗列了下游戏项目维度账号/游戏服账号,当然会涉及平台服的内容,关于平台服的账号,依然可以参考2.2多账号模式设计,平台服更多提供游戏项目进行业务互联或相互调用,比如用共享服务账号来承载平台服的资源设计。
综上所述,本篇分别提供了5种不同的模式账号规划设计参考,大家可以根据自己业务的需求进行微调来适配公司的整体业务。每个公司需求不同,其多个账号的维度可能不同,但原则是不变的,在这里依然推荐云上多账号的模式设计来规划或落地云上的业务。设计模式/方案没有绝对的好,只有合理的或适配的则是当前是最好的,易于任何时都能灵活调整。—— 如《易经》所提到万事求合理,则灵活多变,灵活调整!
3.参考资料
- 腾讯云集团账号:https://cloud.tencent.com/document/product/850/18556
- 资源访问管理:https://cloud.tencent.com/document/product/598/10586
- 云账号相关: https://cloud.tencent.com/document/product/378/43080