信息化觀察網(wǎng)

為何要自動化

在服務(wù)客戶的過程中，我們發(fā)現(xiàn)國外客戶相比于國內(nèi)客戶，明顯對自動化工具的依賴度要更高。許多觀點認為這是由于國外技術(shù)導(dǎo)向、人力成本高、管理上對合規(guī)要求高等特點導(dǎo)致對IT系統(tǒng)自動化國外公司的需求會更強烈。而國內(nèi)公司由于發(fā)展階段不同，更加業(yè)務(wù)導(dǎo)向，人力資源也相對充足，往往會用人海戰(zhàn)術(shù)來解決IT基礎(chǔ)設(shè)施不夠發(fā)達的問題。

然而，隨著云計算的不斷成熟，上云已是大勢所趨的情況下，再遵循舊的思路將會對企業(yè)經(jīng)營產(chǎn)生重大影響。自動化管理云上資源，不僅僅是降低財務(wù)成本，更重要的是能夠降低技術(shù)門檻，同時提高效率，提升企業(yè)競爭力。

企業(yè)客戶的自動化需求

客戶云上自動化需要關(guān)注哪些維度呢？從一個客戶案例來一窺企業(yè)在上云時的需求：

在上圖的情境中，客戶對于云平臺的需求顯然并不僅僅是開發(fā)運維領(lǐng)域的編程自動化，實際上首先要考慮的反而是如何管理預(yù)算和人員。

通過溝通分析，該客戶上云主要的需求為：

組織管理功能

許多企業(yè)都有自己的賬號系統(tǒng)和權(quán)限系統(tǒng)，這些系統(tǒng)需要與云上系統(tǒng)打通。在阿里云上可以使用企業(yè)IT治理產(chǎn)品線下的訪問控制RAM（包含身份管理、權(quán)限管理等組件），資源管理（包含資源目錄、資源組、資源共享、Tag等組件）等產(chǎn)品實現(xiàn)。

基礎(chǔ)設(shè)施自動化編排

阿里云已經(jīng)提供了200多個云服務(wù)，1萬多個OpenAPI，類似Terraform/ROS這樣的資源編排工具能夠幫助客戶通過IaC的理念高效管理云資源，降低復(fù)雜度。

應(yīng)用程序自動化編排

應(yīng)用的部署是ansible、puppet、chef等開源運維工具的用武之地，阿里云目前重點支持ansible，同時也提供OOS運維編排服務(wù)，前不久還推出了OAM規(guī)范，進一步簡化了應(yīng)用部署的過程。

安全需求

如果沒有自動化手段，僅靠人工修復(fù)安全漏洞往往是來不及的。阿里云的OpenAPI體系在RAM及其他安全產(chǎn)品的加持下，具備高度的安全性，能夠防止各類安全問題。

合規(guī)需求

合規(guī)一方面是對外合規(guī)，比如審計數(shù)據(jù)、財務(wù)數(shù)據(jù)合規(guī)，另一方面是內(nèi)部數(shù)據(jù)的合規(guī)。阿里云提供操作審計（ActionTrial）和配置審計（Config）兩款產(chǎn)品給客戶，同時還提供針對行業(yè)云的合規(guī)能力，后文會介紹。

監(jiān)控需求

監(jiān)控在資源托管到云上的情況下，需要將監(jiān)控體系與企業(yè)本身的運作打通，包括數(shù)據(jù)打通，數(shù)據(jù)可視化等。云監(jiān)控是阿里云上實施自動化監(jiān)控的利器，除了可視化的界面外，也可以通過OpenAPI對接客戶系統(tǒng)。

費用需求

除了前面說到的財務(wù)合規(guī)方面的問題（例如分賬），同時也涉及到成本優(yōu)化。這方面阿里云提供了Tag/資源組等資源打標方式，通過這些標簽或分組可以給客戶提供細粒度的分賬方式。

態(tài)勢感知

客戶有需求根據(jù)目前資源使用情況，及歷史記錄，或者根據(jù)事先規(guī)劃，提前做好資源儲備，快速調(diào)配資源。這一方面要求云計算具備快速擴縮容的能力，另一方面也需要能夠具備資源用量、計劃的感知能力。

針對上述企業(yè)場景，向大家隆重介紹一下阿里云開放平臺團隊推出的集上述能力之大成的樣板間項目（復(fù)制鏈接至瀏覽器打開https://open.aliyun.com/landing-zone）。樣板間不僅僅從概念上定義了企業(yè)IT上云的最佳實踐，同時還提供了自動化Terraform代碼實現(xiàn)，讀者可以點擊文末“閱讀原文”下載最新的代碼學(xué)習(xí)交流。

OpenAPI自動化能力升級

除了功能，過去客戶自動化會碰到什么樣的技術(shù)問題呢？再次拿客戶案例來看一下：

如上圖所示，過去阿里云在自動化的基礎(chǔ)能力方面存在幾個長期存在的問題：

Terraform等編排產(chǎn)品覆蓋度不足，導(dǎo)致部分產(chǎn)品無法快速編排。

OpenAPI層面的許多調(diào)用策略不清晰，影響客戶端效率優(yōu)化，例如流控閾值不透明，調(diào)用方出現(xiàn)問題不知原因。

對于重要的資源，客戶側(cè)比較難以獲知自身擁有的配額限制，客戶只能通過工單來提需求，響應(yīng)速度有限。

由于歷史原因，許多阿里云的產(chǎn)品需要手工開通，成了自動化路上的絆腳石。

阿里云產(chǎn)品間互通訪問需要客戶手工在控制臺進行授權(quán)，直接阻礙了自動化鏈路。

為了解決上述問題，過去一段時間，阿里云在這些影響用戶體驗的卡點上都發(fā)力解決，取得了一些成果。

Terraform產(chǎn)品支持

WeWork是一家專注于聯(lián)合辦公社群的公司，它選擇了阿里云作為合作伙伴，在基礎(chǔ)資源、全球網(wǎng)絡(luò)、安全、IOT、大數(shù)據(jù)等方面都開展了深度合作。運維負責(zé)人余亮介紹說，WeWork基礎(chǔ)架構(gòu)團隊基于Terraform用不到2人在短短數(shù)月打造了一套可管控的自服務(wù)門戶，實現(xiàn)秒級的全自動部署，以3人團隊支撐了40+業(yè)務(wù)系統(tǒng)的基礎(chǔ)架構(gòu)運維工作，確保安全與合規(guī)。

目前阿里云Terraform所支持的產(chǎn)品數(shù)從40款上升到53款，資源數(shù)增加到249種資源，已經(jīng)能夠滿足絕大多數(shù)場景的需求。下半年阿里云也將推出一些工具，如提供云端Terraform的工作流，免去客戶自己搭建和管理Terraform工作流的額外負擔(dān)；提供可視化編寫Terraform模板的能力，降低客戶使用成本的同時提升使用體驗。

配額管理

配額管理是自動化過程中的又一大問題。用戶常見的訴求是想知道自己有多少配額，用了多少，如何提升配額，如何更細粒度地在組織中管理配額。

針對用戶無法快速獲取和調(diào)整配額問題，阿里云推出了配額中心（復(fù)制鏈接至瀏覽器打開https://quotas.console.aliyun.com）。配額中心主要流程示意圖如下：

配額中心主要解決三方面問題：

用戶查詢產(chǎn)品配額的需求

用戶登錄上述鏈接后，能夠快速查看多達15款云產(chǎn)品的配額設(shè)置，當前配額使用量等信息。

用戶自助申請調(diào)整配額需求

客戶可以直接在配額中心提交配額調(diào)整申請，相關(guān)申請會即刻通知相應(yīng)云產(chǎn)品的管理員，根據(jù)客戶的實際情況會快速決定是否審批通過，處理效率大大提高。

提供獲取配額的OpenAPI和告警

客戶側(cè)的應(yīng)用程序可能需要實時獲取配額信息，以決定下一步操作流程。同時在配額不足的時候，希望能夠收到相應(yīng)的告警，以及時調(diào)整運行策略。

配額中心上線以來，已經(jīng)有數(shù)百位企業(yè)客戶成功通過配額平臺完成配額提升申請，今后會有更多的云產(chǎn)品接入配額中心。

云產(chǎn)品開通自動化

阿里云存在許多需要手工控制臺開通的云產(chǎn)品，這種限制確實在某些情況下導(dǎo)致客戶的自動化路徑受阻。針對這個自動化路上的卡點，阿里云推動相關(guān)產(chǎn)品做了升級改造，過去需要手工開通的產(chǎn)品中有13款產(chǎn)品已完全實現(xiàn)免開通，9款產(chǎn)品提供自動化開通OpenAPI，另外還有若干需要手動開通的產(chǎn)品將在下半年繼續(xù)推進，最終做到開通環(huán)節(jié)100%自動化。

阿里云的Terraform Provider也會第一時間來支持，只需要在模板中增加一個對應(yīng)云產(chǎn)品開通的DataSource，并設(shè)置開通的動作enable="On"，然后執(zhí)行簡單的Terraform Apply命令即可完成自動化開通。例如，日志服務(wù)Terraform自動化開通代碼如下：

data"alicloud_log_service""open"{

enable="On"

}

跨服務(wù)訪問SLR

實際業(yè)務(wù)中經(jīng)常遇到云服務(wù)A需要訪問另外云服務(wù)B中資源的情況。例如ECS導(dǎo)出鏡像到OSS，需要從ECS后端直接調(diào)用客戶的OSS上傳文件接口，這些資源屬于客戶，但卻不是同一個云服務(wù)管理的。這個過程本質(zhì)上是要獲取用戶身份和權(quán)限，過去要想實現(xiàn)這種操作，需要創(chuàng)建服務(wù)角色，用戶需要在快捷授權(quán)頁（控制臺）上通過RAM授權(quán)完成，而不能自動化。

而SLR（Service Linked Role）機制的訪問流程如下：

從上圖可以看到，SLR機制不需要用戶干預(yù)，只要擁有某個產(chǎn)品管理權(quán)限的子用戶，就可觸發(fā)相應(yīng)產(chǎn)品的SLR創(chuàng)建，同時修改和刪除也都受到嚴格的控制，避免誤操作。

目前已經(jīng)有多達36款產(chǎn)品支持SLR，下半年還會有更多產(chǎn)品支持，屆時跨服務(wù)自動化訪問在阿里云上將不再是問題。

OpenAPI訪問合規(guī)

針對合規(guī)領(lǐng)域，常見的場景一般是需要操作審計和資源審計，不過行業(yè)監(jiān)管規(guī)則也是一個重要的參考因素。例如在金融云行業(yè)，跨網(wǎng)絡(luò)的調(diào)用必須在可控、安全的情況下才能發(fā)生，這就要求云上網(wǎng)絡(luò)調(diào)用要符合監(jiān)管要求。

針對這樣的客戶需求，阿里云升級了OpenAPI訪問合規(guī)能力，如下圖所示：

過去客戶訪問OpenAPI無論如何都會按照圖中上面那條流向經(jīng)過公網(wǎng)。而如果客戶需要在VPC網(wǎng)絡(luò)訪問阿里云OpenAPI，現(xiàn)在可以當在公有云環(huán)境中調(diào)用OpenAPI的時候?qū)⒛繕薳ndpoint改為xxx-vpc.[RegionId].aliyuncs.com的形式，則發(fā)往這個目標域名的所有流量都將在阿里云內(nèi)部通信，不再流向公網(wǎng)，大大增強了特定行業(yè)的安全性。

總結(jié)

自動化能力是企業(yè)規(guī)?；显频闹匾n題，即使是中小公司也能夠從自動化中受益。一方面企業(yè)要根據(jù)自身情況選擇合適的集成工具，另一方面在上云前好做好人財物權(quán)法相關(guān)的規(guī)劃設(shè)計。阿里云將不斷提升云上企業(yè)自動化能力，幫助客戶取得商業(yè)成功。