作者 | 虛明

**導(dǎo)讀：**自動(dòng)化管理云上資源，不僅僅是降低財(cái)務(wù)成本，更重要的是能夠降低技術(shù)門(mén)檻，同時(shí)提高效率，節(jié)省時(shí)間。

為何要自動(dòng)化？

在服務(wù)客戶的過(guò)程中，我們發(fā)現(xiàn)國(guó)外客戶相比于國(guó)內(nèi)客戶，明顯對(duì)自動(dòng)化工具的依賴度要更高。許多觀點(diǎn)認(rèn)為這是由于國(guó)外技術(shù)導(dǎo)向、人力成本高、管理上對(duì)合規(guī)要求高等特點(diǎn)導(dǎo)致對(duì) IT 系統(tǒng)自動(dòng)化國(guó)外公司的需求會(huì)更強(qiáng)烈。而國(guó)內(nèi)公司由于發(fā)展階段不同，更加業(yè)務(wù)導(dǎo)向，人力資源也相對(duì)充足，往往會(huì)用人海戰(zhàn)術(shù)來(lái)解決 IT 基礎(chǔ)設(shè)施不夠發(fā)達(dá)的問(wèn)題。

然而，隨著云計(jì)算的不斷成熟，上云已是大勢(shì)所趨，再遵循舊的思路將會(huì)對(duì)企業(yè)經(jīng)營(yíng)產(chǎn)生重大影響。自動(dòng)化管理云上資源，不僅僅是降低財(cái)務(wù)成本，更重要的是能夠降低技術(shù)門(mén)檻，同時(shí)提高效率，提升企業(yè)競(jìng)爭(zhēng)力。

企業(yè)客戶的自動(dòng)化需求

客戶云上自動(dòng)化需要關(guān)注哪些維度呢？下面我們從一個(gè)客戶案例來(lái)一窺企業(yè)在上云時(shí)的需求：

在上圖的情境中，客戶對(duì)于云平臺(tái)的需求顯然并不僅僅是開(kāi)發(fā)運(yùn)維領(lǐng)域的編程自動(dòng)化，實(shí)際上首先要考慮的反而是如何管理預(yù)算和人員。

通過(guò)溝通分析，該客戶上云主要的需求為：

• 組織管理功能

許多企業(yè)都有自己的賬號(hào)系統(tǒng)和權(quán)限系統(tǒng)，這些系統(tǒng)需要與云上系統(tǒng)打通。在阿里云上可以使用企業(yè) IT 治理產(chǎn)品線下的訪問(wèn)控制 RAM（包含身份管理、權(quán)限管理等組件），資源管理（包含資源目錄、資源組、資源共享、Tag 等組件）等產(chǎn)品實(shí)現(xiàn)。

• 基礎(chǔ)設(shè)施自動(dòng)化編排

阿里云已經(jīng)提供了 200 多個(gè)云服務(wù)，1 萬(wàn)多個(gè) OpenAPI，類似 Terraform/ROS 這樣的資源編排工具能夠幫助客戶通過(guò) IaC 的理念高效管理云資源，降低復(fù)雜度。

• 應(yīng)用程序自動(dòng)化編排

應(yīng)用的部署是 ansible、puppet、chef 等開(kāi)源運(yùn)維工具的用武之地，阿里云目前重點(diǎn)支持 ansible，同時(shí)也提供 OOS 運(yùn)維編排服務(wù)，前不久還推出了 OAM 規(guī)范，進(jìn)一步簡(jiǎn)化了應(yīng)用部署的過(guò)程。

• 安全需求

如果沒(méi)有自動(dòng)化手段，僅靠人工修復(fù)安全漏洞往往是來(lái)不及的。阿里云的 OpenAPI 體系在 RAM 及其他安全產(chǎn)品的加持下，具備高度的安全性，能夠防止各類安全問(wèn)題。

• 合規(guī)需求

合規(guī)一方面是對(duì)外合規(guī)，比如審計(jì)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)合規(guī)，另一方面是內(nèi)部數(shù)據(jù)的合規(guī)。阿里云提供操作審計(jì)（ActionTrial）和配置審計(jì)（Config）兩款產(chǎn)品給客戶，同時(shí)還提供針對(duì)行業(yè)云的合規(guī)能力，后文會(huì)介紹。

• 監(jiān)控需求

監(jiān)控在資源托管到云上的情況下，需要將監(jiān)控體系與企業(yè)本身的運(yùn)作打通，包括數(shù)據(jù)打通，數(shù)據(jù)可視化等。云監(jiān)控是阿里云上實(shí)施自動(dòng)化監(jiān)控的利器，除了可視化的界面外，也可以通過(guò) OpenAPI 對(duì)接客戶系統(tǒng)。

• 費(fèi)用需求

除了前面說(shuō)到的財(cái)務(wù)合規(guī)方面的問(wèn)題（例如分賬），同時(shí)也涉及到成本優(yōu)化。這方面阿里云提供了 Tag/資源組等資源打標(biāo)方式，通過(guò)這些標(biāo)簽或分組可以給客戶提供細(xì)粒度的分賬方式。

• 態(tài)勢(shì)感知

客戶有需求根據(jù)目前資源使用情況，及歷史記錄，或者根據(jù)事先規(guī)劃，提前做好資源儲(chǔ)備，快速調(diào)配資源。這一方面要求云計(jì)算具備快速擴(kuò)縮容的能力，另一方面也需要能夠具備資源用量、計(jì)劃的感知能力。

針對(duì)上述企業(yè)場(chǎng)景，向大家隆重介紹一下阿里云開(kāi)放平臺(tái)團(tuán)隊(duì)推出的集上述能力之大成的樣板間項(xiàng)目（復(fù)制鏈接至瀏覽器打開(kāi) https://open.aliyun.com/landing-zone）。樣板間不僅僅從概念上定義了企業(yè) IT 上云的最佳實(shí)踐，同時(shí)還提供了自動(dòng)化 Terraform 代碼實(shí)現(xiàn)，讀者可以點(diǎn)擊鏈接：https://github.com/aliyun/alibabacloud-landing-zone 下載最新的代碼學(xué)習(xí)交流。

OpenAPI?自動(dòng)化能力升級(jí)

除了功能，過(guò)去客戶自動(dòng)化會(huì)碰到什么樣的技術(shù)問(wèn)題呢？再次拿客戶案例來(lái)看一下：

如上圖所示，過(guò)去阿里云在自動(dòng)化的基礎(chǔ)能力方面存在幾個(gè)長(zhǎng)期存在的問(wèn)題：

• Terraform 等編排產(chǎn)品覆蓋度不足，導(dǎo)致部分產(chǎn)品無(wú)法快速編排；

• OpenAPI 層面的許多調(diào)用策略不清晰，影響客戶端效率優(yōu)化，例如流控閾值不透明，調(diào)用方出現(xiàn)問(wèn)題不知原因；

• 對(duì)于重要的資源，客戶側(cè)比較難以獲知自身?yè)碛械呐漕~限制，客戶只能通過(guò)工單來(lái)提需求，響應(yīng)速度有限；

• 由于歷史原因，許多阿里云的產(chǎn)品需要手工開(kāi)通，成了自動(dòng)化路上的絆腳石；

• 阿里云產(chǎn)品間互通訪問(wèn)需要客戶手工在控制臺(tái)進(jìn)行授權(quán)，直接阻礙了自動(dòng)化鏈路。

為了解決上述問(wèn)題，過(guò)去一段時(shí)間，阿里云在這些影響用戶體驗(yàn)的卡點(diǎn)上都發(fā)力解決，取得了一些成果。

Terraform 產(chǎn)品支持

WeWork 是一家專注于聯(lián)合辦公社群的公司，它選擇了阿里云作為合作伙伴，在基礎(chǔ)資源、全球網(wǎng)絡(luò)、安全、IOT、大數(shù)據(jù)等方面都開(kāi)展了深度合作。運(yùn)維負(fù)責(zé)人余亮介紹說(shuō)，WeWork 基礎(chǔ)架構(gòu)團(tuán)隊(duì)基于 Terraform 用不到 2 人在短短數(shù)月打造了一套可管控的自服務(wù)門(mén)戶，實(shí)現(xiàn)秒級(jí)的全自動(dòng)部署，以 3 人團(tuán)隊(duì)支撐了 40+ 業(yè)務(wù)系統(tǒng)的基礎(chǔ)架構(gòu)運(yùn)維工作，確保安全與合規(guī)。

目前阿里云 Terraform 所支持的產(chǎn)品數(shù)從 40 款上升到 53 款，資源數(shù)增加到 249 種資源，已經(jīng)能夠滿足絕大多數(shù)場(chǎng)景的需求。下半年阿里云也將推出一些工具，如提供云端 Terraform 的工作流，免去客戶自己搭建和管理 Terraform 工作流的額外負(fù)擔(dān)；提供可視化編寫(xiě) Terraform 模板的能力，降低客戶使用成本的同時(shí)提升使用體驗(yàn)。

配額管理

配額管理是自動(dòng)化過(guò)程中的又一大問(wèn)題。用戶常見(jiàn)的訴求是想知道自己有多少配額，用了多少，如何提升配額，如何更細(xì)粒度地在組織中管理配額。

針對(duì)用戶無(wú)法快速獲取和調(diào)整配額問(wèn)題，阿里云推出了配額中心（復(fù)制鏈接至瀏覽器打開(kāi) https://quotas.console.aliyun.com）。配額中心主要流程示意圖如下：

配額中心主要解決三方面問(wèn)題：

• 用戶查詢產(chǎn)品配額的需求

用戶登錄上述鏈接后，能夠快速查看多達(dá) 15 款云產(chǎn)品的配額設(shè)置，當(dāng)前配額使用量等信息。

• 用戶自助申請(qǐng)調(diào)整配額需求

客戶可以直接在配額中心提交配額調(diào)整申請(qǐng)，相關(guān)申請(qǐng)會(huì)即刻通知相應(yīng)云產(chǎn)品的管理員，根據(jù)客戶的實(shí)際情況會(huì)快速?zèng)Q定是否審批通過(guò)，處理效率大大提高。

• 提供獲取配額的 OpenAPI?和告警

客戶側(cè)的應(yīng)用程序可能需要實(shí)時(shí)獲取配額信息，以決定下一步操作流程。同時(shí)在配額不足的時(shí)候，希望能夠收到相應(yīng)的告警，以及時(shí)調(diào)整運(yùn)行策略。

配額中心上線以來(lái)，已經(jīng)有數(shù)百位企業(yè)客戶成功通過(guò)配額平臺(tái)完成配額提升申請(qǐng)，今后會(huì)有更多的云產(chǎn)品接入配額中心。

云產(chǎn)品開(kāi)通自動(dòng)化

阿里云存在許多需要手工控制臺(tái)開(kāi)通的云產(chǎn)品，這種限制確實(shí)在某些情況下導(dǎo)致客戶的自動(dòng)化路徑受阻。

針對(duì)這個(gè)自動(dòng)化路上的卡點(diǎn)，阿里云推動(dòng)相關(guān)產(chǎn)品做了升級(jí)改造，過(guò)去需要手工開(kāi)通的產(chǎn)品中有 13 款產(chǎn)品已完全實(shí)現(xiàn)免開(kāi)通，9 款產(chǎn)品提供自動(dòng)化開(kāi)通 OpenAPI，另外還有若干需要手動(dòng)開(kāi)通的產(chǎn)品將在下半年繼續(xù)推進(jìn)，最終做到開(kāi)通環(huán)節(jié) 100% 自動(dòng)化。

阿里云的 Terraform Provider 也會(huì)第一時(shí)間來(lái)支持，只需要在模板中增加一個(gè)對(duì)應(yīng)云產(chǎn)品開(kāi)通的 DataSource，并設(shè)置開(kāi)通的動(dòng)作?enable = “On”，然后執(zhí)行簡(jiǎn)單的 Terraform Apply 命令即可完成自動(dòng)化開(kāi)通。例如，日志服務(wù) Terraform 自動(dòng)化開(kāi)通代碼如下：

data "alicloud_log_service" "open" {enable = "On" }

跨服務(wù)訪問(wèn) SLR

實(shí)際業(yè)務(wù)中經(jīng)常遇到云服務(wù) A 需要訪問(wèn)另外云服務(wù) B 中資源的情況。例如 ECS 導(dǎo)出鏡像到 OSS，需要從 ECS 后端直接調(diào)用客戶的 OSS 上傳文件接口，這些資源屬于客戶，但卻不是同一個(gè)云服務(wù)管理的。這個(gè)過(guò)程本質(zhì)上是要獲取用戶身份和權(quán)限，過(guò)去要想實(shí)現(xiàn)這種操作，需要?jiǎng)?chuàng)建服務(wù)角色，用戶需要在快捷授權(quán)頁(yè)（控制臺(tái)）上通過(guò) RAM 授權(quán)完成，而不能自動(dòng)化。

而 SLR（Service Linked Role）機(jī)制的訪問(wèn)流程如下：

從上圖可以看到，SLR 機(jī)制不需要用戶干預(yù)，只要擁有某個(gè)產(chǎn)品管理權(quán)限的子用戶，就可觸發(fā)相應(yīng)產(chǎn)品的 SLR 創(chuàng)建，同時(shí)修改和刪除也都受到嚴(yán)格的控制，避免誤操作。

目前已經(jīng)有多達(dá) 36 款產(chǎn)品支持 SLR，下半年還會(huì)有更多產(chǎn)品支持，屆時(shí)跨服務(wù)自動(dòng)化訪問(wèn)在阿里云上將不再是問(wèn)題。

OpenAPI?訪問(wèn)合規(guī)

針對(duì)合規(guī)領(lǐng)域，常見(jiàn)的場(chǎng)景一般是需要操作審計(jì)和資源審計(jì)，不過(guò)行業(yè)監(jiān)管規(guī)則也是一個(gè)重要的參考因素。例如在金融云行業(yè)，跨網(wǎng)絡(luò)的調(diào)用必須在可控、安全的情況下才能發(fā)生，這就要求云上網(wǎng)絡(luò)調(diào)用要符合監(jiān)管要求。

針對(duì)這樣的客戶需求，阿里云升級(jí)了 OpenAPI 訪問(wèn)合規(guī)能力，如下圖所示：

過(guò)去客戶訪問(wèn) OpenAPI 無(wú)論如何都會(huì)按照?qǐng)D中上面那條流向經(jīng)過(guò)公網(wǎng)。而如果客戶需要在 VPC 網(wǎng)絡(luò)訪問(wèn)阿里云 OpenAPI，現(xiàn)在可以當(dāng)在公有云環(huán)境中調(diào)用 OpenAPI 的時(shí)候?qū)⒛繕?biāo) endpoint 改為 xxx-vpc.[RegionId].aliyuncs.com 的形式，則發(fā)往這個(gè)目標(biāo)域名的所有流量都將在阿里云內(nèi)部通信，不再流向公網(wǎng)，大大增強(qiáng)了特定行業(yè)的安全性。

總結(jié)

自動(dòng)化能力是企業(yè)規(guī)模化上云的重要課題，即使是中小公司也能夠從自動(dòng)化中受益。一方面企業(yè)要根據(jù)自身情況選擇合適的集成工具，另一方面在上云前好做好人財(cái)物權(quán)法相關(guān)的規(guī)劃設(shè)計(jì)。阿里云將不斷提升云上企業(yè)自動(dòng)化能力，幫助客戶取得商業(yè)成功。

“阿里巴巴云原生關(guān)注微服務(wù)、Serverless、容器、Service Mesh 等技術(shù)領(lǐng)域、聚焦云原生流行技術(shù)趨勢(shì)、云原生大規(guī)模的落地實(shí)踐，做最懂云原生開(kāi)發(fā)者的公眾號(hào)。”

總結(jié)

以上是生活随笔為你收集整理的管理自动化：企业上云必由之路的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。