本文指導您選擇合適的資源分組方法,通過操作步驟和案例,協助您有效實施資源分組,為後續的許可權隔離、成本分攤及營運管理奠定基礎。
為什麼要對資源分組?
隨著企業上雲深度增加和業務擴張,單帳號內的資源數量激增,管理複雜度隨之提升。您可以使用資源群組按照部門、專案、環境等維度對單帳號內的資源進行分組,進而解決資源的精細化授權、分賬、分組監控等複雜問題,提升資源管理效率。
如何對資源分組?
第一階段:規劃和設計資源群組
查閱支援資源群組的雲端服務,明確您的業務使用到的資源類型是否支援資源群組。
明確資源分組的維度,例如按專案、按環境、按部門等劃分資源群組,確保資源都可以劃分到唯一的資源群組,且需要考慮未來業務的發展變化,減少因劃分資源群組的維度不合適而導致後續調整資源群組帶來的成本和風險。
制定資源群組統一命名規範,命名需要簡單明了、具有明確的語義、便於識別和管理。
規劃資源群組許可權,需要遵循許可權最小化原則,避免出現許可權過大問題。
更多資訊,請參見資源群組設計最佳實務。
第二階段:實施資源分組
為新建立的資源分組
在建立資源時指定資源所屬的資源群組,確保資源從一開始就納入正確的資源群組管理範圍,可以有效避免資源管理混亂和後續大規模調整資源分組的複雜性問題。如果不指定資源群組,則資源預設會劃分到預設資源群組中。
您可以通過以下任意一種方式在建立資源時指定歸屬的資源群組:
在雲端服務控制台建立資源時,指定對應資源群組,把資源放入資源群組內。具體操作請參見雲端服務對應文檔。
下圖為購買ECS執行個體時指定歸屬的資源群組。
調用雲端服務API建立資源時,在參數中指定資源群組,把資源放入資源群組內。具體操作請參見雲端服務對應文檔。
例如:調用CreateInstance - 建立執行個體建立ECS時,可以通過請求參數中的
ResourceGroupId指定歸屬的資源群組。
為存量資源分組
自動轉組
為已建立的存量資源分組時,建議優先使用自動轉組功能,將合格資源由系統自動轉入指定資源群組中,提升轉組效率,降低營運成本。自動轉組功能包含兩類轉組規則:
在實際情境中,可以將兩種規則結合使用,進一步提升分組效率。例如:您可以使用自訂轉組將合格ECS執行個體轉移到目標資源群組。同時,啟用關聯資源跟隨轉組規則,確保ECS執行個體的關聯資源(如磁碟、網卡等)同步轉移。
將綁定了標籤
project:project A或資源名稱包含projectA的ECS執行個體自動轉入目標資源群組Project-A。
使用關聯資源跟隨轉組,設定當ECS執行個體轉組時,其關聯的磁碟、網卡、EIP、快照等資源也自動轉入同一資源群組。
手動轉組
對於無法使用自動轉組功能的資源,您可以通過以下任意一種方式手動轉組:
轉組影響
資源從一個資源群組轉移到另一個資源群組,不會影響資源本身。例如:資源執行個體不會重啟、網路設定不會變更、資源所有者不會變更等。
但是,如果您有基於資源群組範圍的授權策略,則資源所屬資源群組發生變更,可能會導致RAM身份對資源存取權限的變更。例如:您給專案A的成員授予資源群組A範圍的操作許可權,此時成員可以訪問資源群組A內的資源。 當資源從資源群組A調整到資源群組B時,由於成員只有資源群組A的許可權,則此時成員將不再具有此資源的操作許可權。
因此,在資源轉組之前,請仔細檢查相關使用權限設定並評估轉組對RAM身份許可權的影響,必要時及時調整RAM身份的使用權限設定,以確保許可權的有效性。
第三階段:資源群組應用
資源分組完成後,您可以在其他雲端服務中按資源群組的維度進行資源存取控制、資源分賬、自動化營運等。
雲端服務 | 應用情境 | 分類 | 相關文檔 |
存取控制 | 不同使用者,具有不同資源群組範圍的資源的許可權。從而實現帳號內資源的分組隔離。 | 精細化存取控制 | |
費用中心 | 基於資源群組建立財務單元,以資源群組維度匯總查詢相應資源執行個體的賬單費用。 | 資源分賬 | |
配置審計 | 指定資源群組作為規則生效的範圍,實現多標準下的資源合規審計。 | 合規審計 | |
標籤 | 通過資源群組標籤自動繼承功能,您在資源群組中建立資源或者將資源加入到資源群組後,該資源會自動繼承資源群組的指定標籤。 | 資源管理 | |
CloudMonitor | 基於資源群組建立CloudMonitor的應用分組,將指定資源群組中的所有執行個體添加到該應用分組中進行監控管理。 | 營運管理 | |
Resource Orchestration Service服務(ROS) | 基於資源群組選擇待營運的資源,在Resource Orchestration Service服務(ROS)中實現高效的資源營運管理。 | 營運管理 | |
CloudOps Orchestration Service(OOS) | 基於資源群組選擇營運的資源,在CloudOps Orchestration Service(OOS)中實現高效的資源營運管理。 | 營運管理 |
第四階段:持續治理
調整不合適的分組
當您發現劃分資源群組的維度已不能滿足未來業務的發展趨勢時,需要儘早調整,避免隨著業務發展,進一步加大資源群組調整帶來的成本和風險。例如:某公司按照部門維度劃分資源群組,隨著業務規模的增大,在未來可見範圍內,每個部門都將擁有大量的業務系統。此時,按照部門劃分資源群組就不能滿足許可權隔離的訴求了,需要以業務系統維度重新劃分資源群組,並調整基於資源群組的RAM身份許可權。
清理無用的資源群組
當資源群組確定不再使用時,需要及時刪除該資源群組,減少管理成本。例如:某公司按照專案維度來劃分資源群組,建立了資源群組“專案A”、“專案B”等,當專案A結束時,及時轉出或釋放資源群組“專案A”下的資源,並刪除資源群組“專案A”,減少後續的管理成本。