作者 | 虚明
导读: 自动化治理云上资源,不仅仅是升高财务老本,更重要的是可能升高技术门槛,同时提高效率,节省时间。
为何要自动化?
在服务客户的过程中,咱们发现国外客户相比于国内客户,显著对自动化工具的依赖度要更高。许多观点认为这是因为国外技术导向、人力老本高、治理上对合规要求低等特点导致对 IT 零碎自动化国外公司的需要会更强烈。而国内公司因为倒退阶段不同,更加业务导向,人力资源也绝对短缺,往往会用人海战术来解决 IT 基础设施不够发达的问题。
然而,随着云计算的一直成熟,上云已是大势所趋,再遵循旧的思路将会对企业经营产生重大影响。自动化治理云上资源,不仅仅是升高财务老本,更重要的是可能升高技术门槛,同时提高效率,晋升企业竞争力。
企业客户的自动化需要
客户云上自动化须要关注哪些维度呢?上面咱们从一个客户案例来一窥企业在上云时的需要:
在上图的情境中,客户对于云平台的需要显然并不仅仅是开发运维畛域的编程自动化,实际上首先要思考的反而是如何治理估算和人员。
通过沟通剖析,该客户上云次要的需要为:
- 组织治理性能
许多企业都有本人的账号零碎和权限零碎,这些零碎须要与云上零碎买通。在阿里云上能够应用企业 IT 治理产品线下的访问控制 RAM(蕴含身份治理、权限治理等组件),资源管理(蕴含资源目录、资源组、资源共享、Tag 等组件)等产品实现。
- 基础设施自动化编排
阿里云曾经提供了 200 多个云服务,1 万多个 OpenAPI,相似 Terraform/ROS 这样的资源编排工具可能帮忙客户通过 IaC 的理念高效治理云资源,升高复杂度。
- 应用程序自动化编排
利用的部署是 ansible、puppet、chef 等开源运维工具的用武之地,阿里云目前重点反对 ansible,同时也提供 OOS 运维编排服务,前不久还推出了 OAM 标准,进一步简化了利用部署的过程。
- 平安需要
如果没有自动化伎俩,仅靠人工修复安全漏洞往往是来不及的。阿里云的 OpenAPI 体系在 RAM 及其他平安产品的加持下,具备高度的安全性,可能避免各类平安问题。
- 合规需要
合规一方面是对外合规,比方审计数据、财务数据合规,另一方面是外部数据的合规。阿里云提供操作审计(ActionTrial)和配置审计(Config)两款产品给客户,同时还提供针对行业云的合规能力,后文会介绍。
- 监控需要
监控在资源托管到云上的状况下,须要将监控体系与企业自身的运作买通,包含数据买通,数据可视化等。云监控是阿里云上施行自动化监控的利器,除了可视化的界面外,也能够通过 OpenAPI 对接客户零碎。
- 费用需要
除了后面说到的财务合规方面的问题(例如分账),同时也波及到老本优化。这方面阿里云提供了 Tag/ 资源组等资源打标形式,通过这些标签或分组能够给客户提供细粒度的分账形式。
- 态势感知
客户有需要依据目前资源应用状况,及历史记录,或者依据当时布局,提前做好资源储备,疾速调配资源。这一方面要求云计算具备疾速扩缩容的能力,另一方面也须要可能具备资源用量、打算的感知能力。
针对上述企业场景,向大家隆重介绍一下阿里云开放平台团队推出的集上述能力之大成的样板间我的项目(复制链接至浏览器关上 https://open.aliyun.com/landing-zone)。样板间不仅仅从概念上定义了企业 IT 上云的最佳实际,同时还提供了自动化 Terraform 代码实现,读者能够点击链接:https://github.com/aliyun/alibabacloud-landing-zone 下载最新的代码学习交换。
OpenAPI 自动化能力降级
除了性能,过来客户自动化会碰到什么样的技术问题呢?再次拿客户案例来看一下:
如上图所示,过来阿里云在自动化的根底能力方面存在几个长期存在的问题:
- Terraform 等编排产品覆盖度有余,导致局部产品无奈疾速编排;
- OpenAPI 层面的许多调用策略不清晰,影响客户端效率优化,例如流控阈值不通明,调用方呈现问题不知起因;
- 对于重要的资源,客户侧比拟难以获知本身领有的配额限度,客户只能通过工单来提需要,响应速度无限;
- 因为历史起因,许多阿里云的产品须要手工开明,成了自动化路上的绊脚石;
- 阿里云产品间互通拜访须要客户手工在控制台进行受权,间接妨碍了自动化链路。
为了解决上述问题,过来一段时间,阿里云在这些影响用户体验的卡点上都发力解决,获得了一些成绩。
Terraform 产品反对
WeWork 是一家专一于联结办公社群的公司,它抉择了阿里云作为合作伙伴,在根底资源、寰球网络、平安、IOT、大数据等方面都发展了深度单干。运维负责人余亮介绍说,WeWork 基础架构团队基于 Terraform 用不到 2 人在短短数月打造了一套可管控的自服务门户,实现秒级的全自动部署,以 3 人团队撑持了 40+ 业务零碎的基础架构运维工作,确保安全与合规。
目前阿里云 Terraform 所反对的产品数从 40 款回升到 53 款,资源数减少到 249 种资源,曾经可能满足绝大多数场景的需要。下半年阿里云也将推出一些工具,如提供云端 Terraform 的工作流,免去客户本人搭建和治理 Terraform 工作流的额外负担;提供可视化编写 Terraform 模板的能力,升高客户应用老本的同时晋升应用体验。
配额治理
配额治理是自动化过程中的又一大问题。用户常见的诉求是想晓得本人有多少配额,用了多少,如何晋升配额,如何更细粒度地在组织中治理配额。
针对用户无奈疾速获取和调整配额问题,阿里云推出了配额核心(复制链接至浏览器关上 https://quotas.console.aliyun.com)。配额核心次要流程示意图如下:
配额核心次要解决三方面问题:
- 用户查问产品配额的需要
用户登录上述链接后,可能疾速查看多达 15 款云产品的配额设置,以后配额使用量等信息。
- 用户自助申请调整配额需要
客户能够间接在配额核心提交配额调整申请,相干申请会即刻告诉相应云产品的管理员,依据客户的理论状况会疾速决定是否审批通过,解决效率大大提高。
- 提供获取配额的 OpenAPI 和告警
客户侧的应用程序可能须要实时获取配额信息,以决定下一步操作流程。同时在配额有余的时候,心愿可能收到相应的告警,以及时调整运行策略。
配额核心上线以来,曾经有数百位企业客户胜利通过配额平台实现配额晋升申请,今后会有更多的云产品接入配额核心。
云产品开明自动化
阿里云存在许多须要手工控制台开明的云产品,这种限度的确在某些状况下导致客户的自动化门路碰壁。
针对这个自动化路上的卡点,阿里云推动相干产品做了降级革新,过来须要手工开明的产品中有 13 款产品已齐全实现免开明,9 款产品提供自动化开明 OpenAPI,另外还有若干须要手动开明的产品将在下半年持续推动,最终做到开明环节 100% 自动化。
阿里云的 Terraform Provider 也会第一工夫来反对,只须要在模板中减少一个对应云产品开明的 DataSource,并设置开明的动作 enable = “On”,而后执行简略的 Terraform Apply 命令即可实现自动化开明。例如,日志服务 Terraform 自动化开明代码如下:
data "alicloud_log_service" "open" {enable = "On"}跨服务拜访 SLR
理论业务中常常遇到云服务 A 须要拜访另外云服务 B 中资源的状况。例如 ECS 导出镜像到 OSS,须要从 ECS 后端间接调用客户的 OSS 上传文件接口,这些资源属于客户,但却不是同一个云服务治理的。这个过程实质上是要获取用户身份和权限,过来要想实现这种操作,须要创立服务角色,用户须要在快捷受权页(控制台)上通过 RAM 受权实现,而不能自动化。
而 SLR(Service Linked Role)机制的拜访流程如下:
从上图能够看到,SLR 机制不须要用户干涉,只有领有某个产品管理权限的子用户,就可触发相应产品的 SLR 创立,同时批改和删除也都受到严格的管制,防止误操作。
目前曾经有多达 36 款产品反对 SLR,下半年还会有更多产品反对,届时跨服务自动化拜访在阿里云上将不再是问题。
OpenAPI 拜访合规
针对合规畛域,常见的场景个别是须要操作审计和资源审计,不过行业监管规定也是一个重要的参考因素。例如在金融云行业,跨网络的调用必须在可控、平安的状况下能力产生,这就要求云上网络调用要合乎监管要求。
针对这样的客户需要,阿里云降级了 OpenAPI 拜访合规能力,如下图所示:
过来客户拜访 OpenAPI 无论如何都会依照图中下面那条流向通过公网。而如果客户须要在 VPC 网络拜访阿里云 OpenAPI,当初能够当在私有云环境中调用 OpenAPI 的时候将指标 endpoint 改为 xxx-vpc.[RegionId].aliyuncs.com 的模式,则发往这个指标域名的所有流量都将在阿里云外部通信,不再流向公网,大大加强了特定行业的安全性。
总结
自动化能力是企业规模化上云的重要课题,即便是中小公司也可能从自动化中受害。一方面企业要依据本身状况抉择适合的集成工具,另一方面在上云前好做好人财物权法相干的规划设计。阿里云将一直晋升云上企业自动化能力,帮忙客户获得商业胜利。
“阿里巴巴云原生关注微服务、Serverless、容器、Service Mesh 等技术畛域、聚焦云原生风行技术趋势、云原生大规模的落地实际,做最懂云原生开发者的公众号。”