gunakan grup sumber daya untuk mengelola grup penskalaan demi isolasi sumber daya dan kontrol izin - Auto Scaling

Jika akun Alibaba Cloud Anda memiliki beberapa sumber daya cloud seperti grup penskalaan, Anda dapat mengelolanya berdasarkan grup untuk menerapkan isolasi sumber daya dan kontrol izin. Topik ini menjelaskan cara menggunakan grup sumber daya untuk mengelola sumber daya Auto Scaling secara granular.

Informasi latar belakang

Grup sumber daya adalah kumpulan sumber daya cloud yang dikelola berdasarkan tujuan, izin, atau kepemilikan. Anda dapat membuat grup sumber daya untuk mengelola sumber daya pengguna yang berbeda dan proyek multi-level secara hierarkis di dalam perusahaan Anda. Setiap sumber daya cloud hanya dapat dimiliki oleh satu grup sumber daya. Korelasi antar sumber daya tidak berubah setelah sumber daya ditambahkan ke grup sumber daya. Untuk informasi lebih lanjut, lihat Grup Sumber Daya.

Sebelum menggunakan grup sumber daya, perhatikan hal-hal berikut:

Setelah menambahkan grup penskalaan ke grup sumber daya, konfigurasi penskalaan, aturan penskalaan, tugas yang dipicu oleh acara, dan tugas terjadwal dari grup penskalaan juga akan ditambahkan ke grup sumber daya.
Grup sumber daya tempat sebuah grup penskalaan berada bersifat independen dari grup sumber daya tempat instance dalam grup penskalaan berada.
Sebagai contoh, grup sumber daya tempat sebuah grup penskalaan berada bisa berbeda dari grup sumber daya tempat Elastic Compute Service (ECS) instances atau elastic container instances dalam grup penskalaan berada.
Anda dapat menambahkan grup penskalaan dari wilayah yang berbeda ke grup sumber daya yang sama.
Sebagai contoh, Anda dapat menambahkan grup penskalaan yang berada di wilayah China (Beijing) dan grup penskalaan yang berada di wilayah China (Hangzhou) ke Grup Sumber Daya A pada saat yang sama.
Jika Anda memberikan seorang pengguna RAM izin untuk mengelola semua sumber daya Alibaba Cloud, pengguna RAM tersebut dapat mengakses semua grup sumber daya yang dibuat oleh akun utama.

Skenario

Catatan

Sebelum menggunakan grup sumber daya untuk mengelola grup penskalaan, pastikan bahwa pengguna RAM telah dibuat. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

Anda dapat menggunakan grup sumber daya untuk mengelola grup penskalaan dalam skenario berikut:

Tambahkan grup penskalaan dengan tujuan yang berbeda ke grup sumber daya yang berbeda. Ini memungkinkan Anda mengelola grup penskalaan berdasarkan kepemilikan grup sumber daya. Untuk informasi lebih lanjut, lihat Skenario 1: Kelola Grup Penskalaan Berdasarkan Tujuan.
Konfigurasikan administrator untuk setiap grup sumber daya. Ini memungkinkan Anda mengelola izin pengguna dan sumber daya di dalam setiap grup sumber daya. Untuk informasi lebih lanjut, lihat Skenario 2: Kelola Pengguna dan Izin di dalam Grup Sumber Daya.

Skenario 1: Kelola grup penskalaan berdasarkan tujuan

Deskripsi skenario

Sebagai contoh, Anda memiliki lingkungan produksi dan lingkungan pengujian. Jika Anda tidak mengelompokkan grup penskalaan yang dibuat di lingkungan tersebut, semua grup penskalaan akan ditampilkan, terlepas dari lingkungan tempat Anda masuk. Ini menimbulkan risiko tinggi kesalahan operasi pada grup penskalaan. Untuk mencegah kesalahan operasi dan menyederhanakan manajemen sumber daya, kami sarankan Anda membuat dua grup sumber daya untuk kedua lingkungan tersebut. Dalam hal ini, Anda dapat menambahkan grup penskalaan ke grup sumber daya berdasarkan tujuan. Dalam skenario sampel berikut, grup penskalaan ditambahkan ke grup sumber daya berdasarkan tujuan untuk kemudahan manajemen.

Sebagai contoh, Anda memiliki dua grup penskalaan dalam akun Alibaba Cloud Anda. Grup Penskalaan A digunakan di lingkungan produksi dan Grup Penskalaan B digunakan di lingkungan pengujian. Anda menambahkan Grup Penskalaan A ke grup sumber daya yang dibuat untuk lingkungan produksi, dan menambahkan Grup Penskalaan B ke grup sumber daya yang dibuat untuk lingkungan pengujian. Efek berikut diperoleh:

Dalam grup sumber daya yang dibuat untuk lingkungan pengujian, Anda hanya dapat melihat dan mengoperasikan Grup Penskalaan B. Ini mencegah kesalahan operasi pada Grup Penskalaan A dan penurunan performa layanan online yang mungkin terjadi jika Anda tidak mengelompokkan grup penskalaan berdasarkan tujuan.
Dalam grup sumber daya yang dibuat untuk lingkungan produksi, Anda hanya dapat melihat dan mengoperasikan Grup Penskalaan A. Ini mencegah kesalahan operasi pada Grup Penskalaan B yang mungkin terjadi jika Anda tidak mengelompokkan grup penskalaan berdasarkan tujuan dan memastikan kemajuan rilis layanan.

Prosedur

Buat dua grup sumber daya untuk lingkungan produksi dan pengujian.
Dalam contoh ini, grup sumber daya yang dibuat untuk lingkungan produksi diberi nama ProdResourceGroup dan grup sumber daya yang dibuat untuk lingkungan pengujian diberi nama TestResourceGroup. Untuk informasi lebih lanjut, lihat Buat Grup Sumber Daya.
Setelah operasi di atas selesai, grup sumber daya memasuki status Creating. Tunggu sekitar 3 detik dan klik . Jika status grup sumber daya berubah dari Creating menjadi Available, grup sumber daya berhasil dibuat.
Buat grup penskalaan untuk lingkungan pengujian.
Dalam contoh ini, grup penskalaan diberi nama TestScalingGroup. Untuk memastikan bahwa grup penskalaan dan instance ECS dari grup penskalaan termasuk dalam grup sumber daya yang sama, lakukan salah satu operasi berikut berdasarkan nilai parameter Instance Configuration Source:
- Jika Anda menetapkan parameter Instance Configuration Source ke Launch Templates, pilih TestResourceGroup sebagai nilai parameter Resource Group di langkah Advanced Configurations (Optional) ketika Anda membuat template peluncuran. Untuk informasi lebih lanjut, lihat Buat Template Peluncuran.
- Jika Anda menetapkan parameter Instance Configuration Source ke Select Existing Instance, pilih TestResourceGroup sebagai nilai parameter Resource Group di langkah Grouping (Optional) ketika Anda membuat instance ECS. Untuk informasi lebih lanjut, lihat Buat Instance di Tab Custom Launch.
- Jika Anda menetapkan parameter Instance Configuration Source ke Create from Scratch, pilih TestResourceGroup sebagai nilai parameter Resource Group di bagian Advanced Settings (Optional) ketika Anda membuat konfigurasi penskalaan. Untuk informasi lebih lanjut, lihat Buat Konfigurasi Penskalaan Tipe ECS.
Tetapkan parameter Resource Group dari grup penskalaan ke TestResourceGroup. Untuk informasi lebih lanjut, lihat Buat Grup Penskalaan.
Buat grup penskalaan untuk lingkungan produksi.
Dalam contoh ini, grup penskalaan diberi nama ProdScalingGroup. Untuk memastikan bahwa grup penskalaan dan instance ECS dari grup penskalaan termasuk dalam grup sumber daya yang sama, lakukan salah satu operasi berikut berdasarkan nilai parameter Instance Configuration Source.
- Jika Anda menetapkan parameter Instance Configuration Source ke Launch Templates, pilih ProdResourceGroup sebagai nilai parameter Resource Group di langkah Advanced Configurations (Optional) ketika Anda membuat template peluncuran. Untuk informasi lebih lanjut, lihat Buat Template Peluncuran.
- Jika Anda menetapkan parameter Instance Configuration Source ke Select Existing Instance, pilih ProdResourceGroup sebagai nilai parameter Resource Group di langkah Grouping (Optional) ketika Anda membuat instance ECS. Untuk informasi lebih lanjut, lihat Buat Instance di Tab Custom Launch.
- Jika Anda menetapkan parameter Instance Configuration Source ke Create from Scratch, pilih ProdResourceGroup sebagai nilai parameter Resource Group di bagian Advanced Settings (Optional) ketika Anda membuat konfigurasi penskalaan. Untuk informasi lebih lanjut, lihat Buat Konfigurasi Penskalaan Tipe ECS.
Tetapkan parameter Resource Group dari grup penskalaan ke ProdResourceGroup. Untuk informasi lebih lanjut, lihat Buat Grup Penskalaan.

Verifikasi hasil

Masuk ke Konsol Auto Scaling.
Di pojok kiri atas bilah navigasi atas, beralihlah antar grup sumber daya untuk melihat grup penskalaan dan instance di setiap grup sumber daya.
- Jika Anda memilih All Resources, Anda dapat melihat grup penskalaan TestScalingGroup dan ProdScalingGroup di halaman Grup Penskalaan. Jika instance ECS baru ditambahkan ke grup penskalaan, Anda dapat melihat semua instance dari grup sumber daya TestResourceGroup dan ProdResourceGroup di tab Instances.
- Jika Anda memilih TestResourceGroup, Anda hanya dapat melihat grup penskalaan TestScalingGroup di halaman Grup Penskalaan. Jika instance ECS baru ditambahkan ke grup penskalaan, Anda hanya dapat melihat instance dari grup sumber daya TestResourceGroup di tab Instances.
- Jika Anda memilih ProdResourceGroup, Anda hanya dapat melihat grup penskalaan ProdScalingGroup di halaman Grup Penskalaan. Jika instance ECS baru ditambahkan ke grup penskalaan, Anda hanya dapat melihat instance dari grup sumber daya ProdResourceGroup di tab Instances.

Skenario 2: Kelola pengguna dan izin di dalam grup sumber daya

Deskripsi skenario

Sebagai contoh, perusahaan Anda memiliki beberapa cabang yang menggunakan grup penskalaan yang berbeda dari grup sumber daya yang berbeda, dan setiap cabang memiliki administrator sendiri untuk mengelola sumber daya. Untuk memastikan manajemen izin berbasis administrator lintas cabang di dalam grup sumber daya, kami sarankan Anda memberikan izin yang diperlukan kepada setiap administrator. Dalam hal ini, beberapa administrator hanya dapat mengakses sumber daya di lingkungan produksi sementara administrator lainnya hanya dapat mengakses sumber daya di lingkungan pengujian. Dalam skenario sampel berikut, manajemen izin berbasis grup sumber daya dilakukan.

Sebagai contoh, perusahaan Anda memiliki akun Alibaba Cloud dan cabang-cabang Anda memiliki pengguna RAM independen. Cabang A dan Cabang B diminta untuk mengelola grup penskalaan mereka secara independen. Dalam hal ini, cabang-cabang tersebut tidak dapat mengoperasikan grup penskalaan satu sama lain. Persyaratan berikut harus dipenuhi:

Cabang A dan Cabang B tidak dapat membuat grup penskalaan untuk satu sama lain, atau memodifikasi grup penskalaan dan konfigurasi lainnya seperti aturan penskalaan satu sama lain.
Cabang A dan Cabang B tidak dapat melihat grup penskalaan satu sama lain.

Prosedur

Buat kebijakan ApiWithoutResourcePolicy di konsol RAM.
Beberapa operasi API Auto Scaling tidak mendukung autentikasi berbasis grup sumber daya. Oleh karena itu, Anda harus membuat kebijakan kustom untuk operasi API tersebut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
- Operasi API berikut tidak mendukung autentikasi berbasis grup sumber daya:
  - DescribeRegions
  - DescribeLimitation
  - DescribeNotificationTypes
  - ListTagKeys
  - ListTagValues
- Kode sampel berikut memberikan contoh isi dari kebijakan kustom ApiWithoutResourcePolicy:
```
{
  "Version": "1",
  "Statement": [
     {
        "Action": [
           "ess:DescribleRegions",
           "ess:DescribleLimitation",
           "ess:DecsribleNotificationTypes",
           "ess:ListTagKeys",
           "ess:ListTagValues"
          ],
         "Resource": "*",
         "Effect": "Allow"
       }
    ]
}
```
Buat pengguna RAM untuk masing-masing administrator Cabang A dan Cabang B, tetapkan parameter Authorized Scope ke Alibaba Cloud Account, dan kemudian berikan izin yang diperlukan kepada setiap pengguna RAM.
Dalam langkah ini, administrator Cabang A digunakan sebagai contoh untuk menjelaskan cara memberikan izin yang diperlukan. Tetapkan parameter Principal ke pengguna RAM administrator Cabang A. Pilih kebijakan kustom ApiWithoutResourcePolicy yang dibuat di Langkah 1 dan kebijakan sistem AliyunECSFullAccess. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
- Berikan kebijakan kustom berikut kepada administrator Cabang A:
- Berikan kebijakan sistem berikut kepada administrator Cabang A:
Buat grup sumber daya bernama Departemen A untuk Cabang A dan grup sumber daya bernama Departemen B untuk Cabang B.
Untuk informasi lebih lanjut, lihat Buat Grup Sumber Daya.
Lampirkan kebijakan AliyunESSFullAccess kepada administrator Cabang A. Dalam hal ini, administrator memiliki izin atas semua sumber daya dari grup sumber daya Departemen A.
Untuk informasi lebih lanjut, lihat Berikan Izin pada Grup Sumber Daya kepada Identitas RAM atau Berikan Izin kepada Pengguna RAM.
Ulangi Langkah 4 untuk melampirkan kebijakan AliyunESSFullAccess kepada administrator Cabang B. Dalam hal ini, administrator memiliki izin atas semua sumber daya dari grup sumber daya Departemen B.
Tetapkan parameter Authorized Scope ke Specific Resource Group dan pilih Departemen B. Tetapkan parameter Principal ke pengguna RAM administrator Cabang B.

Verifikasi hasil

Masuk ke Konsol Auto Scaling.
Periksa apakah Anda dapat membuat grup penskalaan di grup sumber daya yang berbeda sebagai administrator Cabang A. Di bilah navigasi atas, pilih grup sumber daya yang berbeda untuk membuat grup penskalaan.
Untuk informasi tentang cara membuat grup penskalaan, lihat Buat Grup Penskalaan.
- Jika Anda memilih grup sumber daya Department A, Anda dapat membuat grup penskalaan sebagai administrator Cabang A di grup sumber daya tersebut.
- Jika Anda memilih grup sumber daya Department B, Anda tidak dapat membuat grup penskalaan sebagai administrator Cabang A di grup sumber daya tersebut.
Periksa apakah Anda dapat melihat grup penskalaan dari grup sumber daya yang berbeda sebagai administrator Cabang A.
Untuk informasi tentang cara melihat grup penskalaan, lihat Lihat atau Modifikasi Grup Penskalaan.
- Anda dapat melihat grup penskalaan dari grup sumber daya Departemen A.
- Anda tidak dapat melihat grup penskalaan dari grup sumber daya Departemen B.