6 月 1 日, 2023 阿里云峰会·粤港澳大湾区在广州举行,会上阿里云正式推出《云卓越架构白皮书》,为企业用云管云解决方案和产品化落地提供指引,助力企业构建更加安全、有效、稳定的云架构。
本书由阿里云架构师团队、产品团队、全球交付团队等众多团队基于过去多年服务企业的经验总结共同撰写,从安全合规、稳定性、成本优化、卓越运营、有效性能五大维度切入,详细介绍了方法论、解决方案、检测和工具的矩阵,帮助企业切实上好云、用好云、管好云。
从“上好云”到“用好云”
数字化转型正如火如荼地进行,云计算已逐渐成为企业发展的核心动力。在这一趋势下,对于现在的企业来说,「要不要上云」不再是一个问题。然而,在进入上云深水区,传统架构陈旧、运营效率较低、系统稳定性低下等问题不断暴露出来,客户越来越重视在云上控制风险、降低成本、提有效率。
对云用户而言,在上云、用云、管云过程中持续维持良好的云上架构是一项巨大的挑战。对云上应用来说,稳定、安全、性能、成本是架构设计中最通用领域的抽象,也是组织层面最需要关注的几个维度。因此,阿里云基于多年服务各行各业客户的经验总结,将云上的架构设计最 佳实践总结为一系列的方法论和设计原则,形成云卓越架构框架(Alibaba Cloud Well-Architected Framework),以帮助云用户构建良好直至卓越的云上架构。
卓越架构定义五大最 佳实践支柱
阿里云卓越架构由安全合规、稳定性、成本优化、卓越运营、有效性能五大支柱构成,提供方法论、解决方案、检测和工具的矩阵,这些支柱也是客户云上业务的基础和底座,支撑着业务发展。
· 安全合规:识别企业内部、外部的安全要求和监管诉求,在云环境中针对网络安全、身份安全、主机安全、数据安全等全方位地进行规划和实施,同时持续对威胁进行检测和快速响应。
· 稳定性:无论在何种环境都无法避免单个组件故障的发生。稳定性的目标就是要尽量降低单个组件故障对业务带来的整体影响。
· 成本优化:通过技术手段了解云资源的成本分布,帮助企业平衡业务目标与云上成本,通过充分有效使用云服务来构建业务应用,尽可能提升云环境和业务需求之间的契合度,通过持续优化来避免资源浪费,减少不必要的云上开支并提升运营效率。
· 卓越运营:侧重于应用研发态、运行态相关工具与系统的构建和使用,同时也需要考虑组织内如何对应用、工作负载、资源、事件等进行响应,定义日常操作流程,指引企业构建自己的运营模型。
· 有效性能:根据性能监控指标自动触发弹性伸缩能力,通过云平台的资源储备应对流量高峰,建立完备的可观测性体系协助定位性能瓶颈。通过性能测试手段建立性能基线,验证架构设计目标并持续优化。
可持续落地的解决方案
落地安全、有效、稳定的卓越架构是一个持续的过程,需要不断迭代,阿里云为客户的实施落地提出了“学习、度量、优化”的三阶段。学习阶段可以通过白皮书了解每个支柱下的最 佳实践;度量阶段可以通过评估问卷和成熟度报告,了解当前云上应用架构的现状和问题;接下来,针对发现的问题,在优化阶段可以通过解决方案以及工具化产品,自助地进行优化和改进。在业务迭代的过程中,也需要持续度量和改进。
安全是每家企业的生命线。对云上应用来说,往往需要通过阿里云AccessKey访问云服务获取数据。一旦对应的AccessKey管理不善导致泄漏,往往会造成数据泄漏、资金损失、监管追责、名誉受损等等不可挽回的后果。因此,从安全角度来说,应用在架构设计过程中安全使用AccessKey显得极为重要。以安全合规支柱中的身份和访问控制场景为例,介绍了如何在应用的密钥管理这个场景下实践卓越架构中定义的云上最 佳实践:
· 学习阶段,卓越架构的安全合规支柱针对程序身份(本例中为AccessKey)的管理提出了多条最 佳实践。其中一条就是对AccessKey进行定期轮转。通过定期轮转缩短AccessKey的暴露时长,降低泄漏风险。
· 度量阶段,阿里云云治理中心产品提供的治理检测报告,能够多维度扫描当前云账号下AccessKey的使用存在哪些风险。如未定期轮转的AccessKey,以及从未使用、闲置了一定时间的AccessKey,并给出风险提示和明细列表。
· 优化阶段,针对识别出来的问题,云治理中心提供了改进方案和建议。用户可以按照对应的方案文档,进行自助化的治理,清理闲置AccessKey,对AccessKey进行轮转,采用临时密钥(STS Token)等,降低AccessKey泄漏风险,提升成熟度。
由此可见,落地卓越架构是一个持续的过程。同时,随着阿里云的不断发展,卓越架构的定义和最 佳实践也将持续迭代和完善。在企业上云之路上,阿里云将持续努力帮助企业上好云、用好云、管好云。
最后,附上白皮书下载地址:https://developer.aliyun.com/ebook/8002?spm=a2c6h.26392470.ebook-read.8.142d2896sxs9Pc
(推广)
