このトピックでは、例を使用してリソースを効果的にグループ化する方法について説明します。リソースのグループ化は、権限の隔離、コストの割り当て、および運用管理の基盤となります。
概要
クラウドの使用が深まり、ビジネスが拡大するにつれて、単一のアカウント内のリソース数が劇的に増加し、リソース管理の複雑さが増します。リソースグループを使用すると、部門、プロジェクト、環境などのディメンションに基づいて、単一のアカウント内のリソースをソートできます。これは、詳細な権限付与、コストの割り当て、グループベースのモニタリングなどの複雑な問題の解決に役立ち、リソース管理の効率を向上させます。
手順
フェーズ 1:リソースグループの計画と設計
リソースグループをサポートする Alibaba Cloud サービスを確認して、ビジネスで使用されているリソースタイプがリソースグループをサポートしているかどうかを確認します。
プロジェクト、環境、部門など、リソースグループ化のディメンションを決定します。各リソースをディメンションに基づいて一意のリソースグループに割り当てることができ、そのディメンションが将来のビジネス開発の要件を満たせることを確認してください。不適切なディメンションは、リソースグループの調整コストとリスクを高める可能性があります。
リソースグループに統一された命名規則を確立します。名前はシンプルで明確で、特定の意味を持ち、識別と管理が容易である必要があります。
過剰な権限を回避するために、最小権限の原則に基づいてリソースグループの権限を計画します。
詳細については、「リソースグループを設計するためのベストプラクティス」をご参照ください。
フェーズ 2:リソースグループ化の実装
新しく作成されたリソースをグループ化する
リソースを作成するときにリソースグループを指定して、リソースが最初から正しいリソースグループに含まれるようにします。これは、混沌としたリソース管理と複雑なリソースグループの調整を効果的に防ぎます。リソースグループを指定しない場合、リソースはデフォルトでデフォルトのリソースグループに割り当てられます。
次のいずれかの方法を使用して、新しいリソースをソートできます。
Alibaba Cloud 管理コンソールでリソースを作成するときに、リソースグループを指定します。詳細については、Alibaba Cloud サービスのドキュメントをご参照ください。
次の図は、Elastic Compute Service(ECS)インスタンスの購入時に指定されたリソースグループを示しています。
API オペレーションを呼び出してリソースを作成するときに、リソースグループを指定します。詳細については、Alibaba Cloud サービスのドキュメントをご参照ください。
たとえば、CreateInstance を呼び出して ECS インスタンスを作成する場合、
ResourceGroupIdリクエストパラメータを使用して、インスタンスのリソースグループを指定できます。
既存のリソースをグループ化する
自動転送
既存のリソースをグループ化する場合、自動リソース転送機能を使用して、特定の条件を満たすリソースを目的のリソースグループに自動的に転送することをお勧めします。これは、転送効率を向上させ、O&M コストを削減します。自動リソース転送機能は、次のタイプの転送ルールをサポートしています。
カスタム転送ルール: リソース名やタグなどの条件に基づいてリソースを自動的に転送できます。
関連リソースの転送ルール: 関連リソースを、プライマリリソースが属するリソースグループに自動的に転送できます。
実際のシナリオでは、両方のタイプのルールを使用して、グループ化効率をさらに向上させることができます。たとえば、カスタム転送ルールを使用して、特定の条件を満たす ECS インスタンスを目的のリソースグループに転送できます。さらに、「関連リソースの転送」機能を有効にして転送ルールを構成することにより、ディスクやネットワークインターフェースコントローラー(NIC)などの ECS インスタンスに関連付けられたリソースが ECS インスタンスとともに転送されるようにすることができます。
タグ
project:project Aが追加されているか、名前にprojectAが含まれている ECS インスタンスを、リソースグループ Project-A に自動的に転送するようにシステムを有効にします。
「関連リソースの転送」機能を有効にして転送ルールを構成し、ECS インスタンスが転送されるときに、ディスク、ENI、Elastic IP アドレス(EIP)、スナップショットなどの ECS インスタンスに関連付けられたリソースが同じリソースグループに転送されるようにします。
手動転送
自動リソース転送機能をサポートしていないリソースの場合、次のいずれかの方法を使用して手動で転送できます。
[リソースセンター] コンソールまたは [リソースグループ] コンソールでリソースを手動で転送します。Resource Management によって提供されるリソースグループとリソースセンターの両方のサービスは、リソースのグローバルビューを提供し、Alibaba Cloud サービスまたはリージョン全体でリソースを検索および転送できます。詳細については、「リソースグループ間で手動リソース転送を実行する」をご参照ください。
複数のリソースを一度にリソースグループに移動するために使用される API オペレーションを呼び出して、リソースを手動で転送します。API オペレーションはリソースグループによって提供され、異なるリージョンに存在するか、異なるサービスまたはリソースグループに属する複数のリソースを一度に同じリソースグループに転送できます。
関連する Alibaba Cloud サービスが提供するリソース転送 API 操作を呼び出して、リソースを手動で転送します。詳細については、「リソースグループと連携するサービス」の[参照資料] 列をご参照ください。
リソース転送の影響
リソースグループ間でリソースを転送しても、リソースには影響しません。たとえば、リソースがリソースグループ間で転送された後、システムはリソースを再起動せず、リソースのネットワーク構成と所有者は変更されません。
ただし、リソースグループに基づいて作成された権限付与ポリシーがあり、リソースをリソースグループから別のリソースグループに転送する場合、リソースに対する RAM ID のアクセス許可が変更される可能性があります。たとえば、リソースグループ A 内のリソースに対する操作許可をプロジェクト A のメンバーに付与します。この場合、メンバーを使用してリソースにアクセスできます。リソースがリソースグループ A からリソースグループ B に転送されると、メンバーを使用してリソースにアクセスできなくなります。
したがって、リソースを転送する前に、関連する権限設定を確認し、転送が Resource Access Management(RAM)ID の権限に与える影響を評価する必要があります。必要に応じて、RAM ID の権限設定を適時に調整して、権限の有効性を確保します。
フェーズ 3:リソースグループを適用する
リソースのグループ化が完了したら、他の Alibaba Cloud サービスで、リソースグループに基づいてリソースアクセス制御、リソースコストの割り当て、自動 O&M などの操作を実行できます。
サービス名 | シナリオ | カテゴリ | 参照 |
RAM | 異なるリソースグループのリソースに対する権限を Alibaba Cloud アカウント内の異なる RAM ユーザーに付与して、リソースに対する RAM ユーザーの権限を隔離します。 | 詳細なアクセス制御 | |
請求管理 | リソースグループに基づいてコストセンターを作成し、リソースグループ別に異なるリソースの請求をクエリします。 | リソースコストの割り当て | |
Cloud Config | 監査ルールを有効にするリソースグループを指定し、複数の標準に基づいてリソースグループ内のリソースのコンプライアンスを監査します。 | コンプライアンス監査 | |
タグ | Resource Management によって提供される自動タグ継承機能を使用して、リソースグループに追加または作成されたリソースが、リソースグループに追加されたタグを自動的に継承できるようにします。 | リソース管理 | |
CloudMonitor | CloudMonitor コンソールでリソースグループからアプリケーショングループを作成し、モニタリングと管理のためにリソースグループ内のリソースをアプリケーショングループに追加します。 | O&M 管理 | リソースグループと CloudMonitor を使用して、異なるビジネスラインで使用されるリソースをモニタリングおよび管理する |
Resource Orchestration Service(ROS) | リソースグループを選択して O&M が必要なリソースを特定し、ROS を使用してリソースの効率的な O&M と管理を実装します。 | O&M 管理 | |
CloudOps Orchestration Service(OOS) | リソースグループを選択して O&M が必要なリソースを特定し、OOS を使用してリソースの効率的な O&M と管理を実装します。CloudOps Orchestration Service | O&M 管理 |
フェーズ 4:継続的なガバナンスを実行する
不適切なリソースグループを調整する
リソースグループの分類に使用されるディメンションが将来のビジネス開発のトレンドに合わなくなっていることがわかった場合は、できるだけ早く調整する必要があります。これにより、ビジネスの成長に伴うリソースグループ調整のコストとリスクの増加を回避できます。たとえば、企業は部門別にリソースグループを分類します。ビジネスの成長に伴い、各部門は将来到複数の業務システムを持つことになります。その結果、部門別の分類では、権限隔離の要件を満たすことができません。この問題を解決するには、業務システム別にリソースグループを分類し、リソースグループに対する RAM ID の権限を調整する必要があります。
未使用のリソースグループをクリーンアップする
リソースグループが不要になった場合は、管理コストを削減するために、できるだけ早く削除する必要があります。たとえば、企業のプロジェクト別にリソースグループを分類し、プロジェクト A やプロジェクト B などのリソースグループを作成します。プロジェクト A が不要になった場合は、プロジェクト A 内のリソースを別のリソースグループに転送するか、プロジェクト A 内のリソースをリリースし、できるだけ早くプロジェクト A を削除して管理コストを削減する必要があります。