信息化觀察網

為何要自動化

在服務客戶的過程中，我們發(fā)現國外客戶相比于國內客戶，明顯對自動化工具的依賴度要更高。許多觀點認為這是由于國外技術導向、人力成本高、管理上對合規(guī)要求高等特點導致對IT系統(tǒng)自動化國外公司的需求會更強烈。而國內公司由于發(fā)展階段不同，更加業(yè)務導向，人力資源也相對充足，往往會用人海戰(zhàn)術來解決IT基礎設施不夠發(fā)達的問題。

然而，隨著云計算的不斷成熟，上云已是大勢所趨的情況下，再遵循舊的思路將會對企業(yè)經營產生重大影響。自動化管理云上資源，不僅僅是降低財務成本，更重要的是能夠降低技術門檻，同時提高效率，提升企業(yè)競爭力。

企業(yè)客戶的自動化需求

客戶云上自動化需要關注哪些維度呢？從一個客戶案例來一窺企業(yè)在上云時的需求：

在上圖的情境中，客戶對于云平臺的需求顯然并不僅僅是開發(fā)運維領域的編程自動化，實際上首先要考慮的反而是如何管理預算和人員。

通過溝通分析，該客戶上云主要的需求為：

組織管理功能

許多企業(yè)都有自己的賬號系統(tǒng)和權限系統(tǒng)，這些系統(tǒng)需要與云上系統(tǒng)打通。在阿里云上可以使用企業(yè)IT治理產品線下的訪問控制RAM（包含身份管理、權限管理等組件），資源管理（包含資源目錄、資源組、資源共享、Tag等組件）等產品實現。

基礎設施自動化編排

阿里云已經提供了200多個云服務，1萬多個OpenAPI，類似Terraform/ROS這樣的資源編排工具能夠幫助客戶通過IaC的理念高效管理云資源，降低復雜度。

應用程序自動化編排

應用的部署是ansible、puppet、chef等開源運維工具的用武之地，阿里云目前重點支持ansible，同時也提供OOS運維編排服務，前不久還推出了OAM規(guī)范，進一步簡化了應用部署的過程。

安全需求

如果沒有自動化手段，僅靠人工修復安全漏洞往往是來不及的。阿里云的OpenAPI體系在RAM及其他安全產品的加持下，具備高度的安全性，能夠防止各類安全問題。

合規(guī)需求

合規(guī)一方面是對外合規(guī)，比如審計數據、財務數據合規(guī)，另一方面是內部數據的合規(guī)。阿里云提供操作審計（ActionTrial）和配置審計（Config）兩款產品給客戶，同時還提供針對行業(yè)云的合規(guī)能力，后文會介紹。

監(jiān)控需求

監(jiān)控在資源托管到云上的情況下，需要將監(jiān)控體系與企業(yè)本身的運作打通，包括數據打通，數據可視化等。云監(jiān)控是阿里云上實施自動化監(jiān)控的利器，除了可視化的界面外，也可以通過OpenAPI對接客戶系統(tǒng)。

費用需求

除了前面說到的財務合規(guī)方面的問題（例如分賬），同時也涉及到成本優(yōu)化。這方面阿里云提供了Tag/資源組等資源打標方式，通過這些標簽或分組可以給客戶提供細粒度的分賬方式。

態(tài)勢感知

客戶有需求根據目前資源使用情況，及歷史記錄，或者根據事先規(guī)劃，提前做好資源儲備，快速調配資源。這一方面要求云計算具備快速擴縮容的能力，另一方面也需要能夠具備資源用量、計劃的感知能力。

針對上述企業(yè)場景，向大家隆重介紹一下阿里云開放平臺團隊推出的集上述能力之大成的樣板間項目（復制鏈接至瀏覽器打開https://open.aliyun.com/landing-zone）。樣板間不僅僅從概念上定義了企業(yè)IT上云的最佳實踐，同時還提供了自動化Terraform代碼實現，讀者可以點擊文末“閱讀原文”下載最新的代碼學習交流。

OpenAPI自動化能力升級

除了功能，過去客戶自動化會碰到什么樣的技術問題呢？再次拿客戶案例來看一下：

如上圖所示，過去阿里云在自動化的基礎能力方面存在幾個長期存在的問題：

Terraform等編排產品覆蓋度不足，導致部分產品無法快速編排。

OpenAPI層面的許多調用策略不清晰，影響客戶端效率優(yōu)化，例如流控閾值不透明，調用方出現問題不知原因。

對于重要的資源，客戶側比較難以獲知自身擁有的配額限制，客戶只能通過工單來提需求，響應速度有限。

由于歷史原因，許多阿里云的產品需要手工開通，成了自動化路上的絆腳石。

阿里云產品間互通訪問需要客戶手工在控制臺進行授權，直接阻礙了自動化鏈路。

為了解決上述問題，過去一段時間，阿里云在這些影響用戶體驗的卡點上都發(fā)力解決，取得了一些成果。

Terraform產品支持

WeWork是一家專注于聯合辦公社群的公司，它選擇了阿里云作為合作伙伴，在基礎資源、全球網絡、安全、IOT、大數據等方面都開展了深度合作。運維負責人余亮介紹說，WeWork基礎架構團隊基于Terraform用不到2人在短短數月打造了一套可管控的自服務門戶，實現秒級的全自動部署，以3人團隊支撐了40+業(yè)務系統(tǒng)的基礎架構運維工作，確保安全與合規(guī)。

目前阿里云Terraform所支持的產品數從40款上升到53款，資源數增加到249種資源，已經能夠滿足絕大多數場景的需求。下半年阿里云也將推出一些工具，如提供云端Terraform的工作流，免去客戶自己搭建和管理Terraform工作流的額外負擔；提供可視化編寫Terraform模板的能力，降低客戶使用成本的同時提升使用體驗。

配額管理

配額管理是自動化過程中的又一大問題。用戶常見的訴求是想知道自己有多少配額，用了多少，如何提升配額，如何更細粒度地在組織中管理配額。

針對用戶無法快速獲取和調整配額問題，阿里云推出了配額中心（復制鏈接至瀏覽器打開https://quotas.console.aliyun.com）。配額中心主要流程示意圖如下：

配額中心主要解決三方面問題：

用戶查詢產品配額的需求

用戶登錄上述鏈接后，能夠快速查看多達15款云產品的配額設置，當前配額使用量等信息。

用戶自助申請調整配額需求

客戶可以直接在配額中心提交配額調整申請，相關申請會即刻通知相應云產品的管理員，根據客戶的實際情況會快速決定是否審批通過，處理效率大大提高。

提供獲取配額的OpenAPI和告警

客戶側的應用程序可能需要實時獲取配額信息，以決定下一步操作流程。同時在配額不足的時候，希望能夠收到相應的告警，以及時調整運行策略。

配額中心上線以來，已經有數百位企業(yè)客戶成功通過配額平臺完成配額提升申請，今后會有更多的云產品接入配額中心。

云產品開通自動化

阿里云存在許多需要手工控制臺開通的云產品，這種限制確實在某些情況下導致客戶的自動化路徑受阻。針對這個自動化路上的卡點，阿里云推動相關產品做了升級改造，過去需要手工開通的產品中有13款產品已完全實現免開通，9款產品提供自動化開通OpenAPI，另外還有若干需要手動開通的產品將在下半年繼續(xù)推進，最終做到開通環(huán)節(jié)100%自動化。

阿里云的Terraform Provider也會第一時間來支持，只需要在模板中增加一個對應云產品開通的DataSource，并設置開通的動作enable="On"，然后執(zhí)行簡單的Terraform Apply命令即可完成自動化開通。例如，日志服務Terraform自動化開通代碼如下：

data"alicloud_log_service""open"{

enable="On"

}

跨服務訪問SLR

實際業(yè)務中經常遇到云服務A需要訪問另外云服務B中資源的情況。例如ECS導出鏡像到OSS，需要從ECS后端直接調用客戶的OSS上傳文件接口，這些資源屬于客戶，但卻不是同一個云服務管理的。這個過程本質上是要獲取用戶身份和權限，過去要想實現這種操作，需要創(chuàng)建服務角色，用戶需要在快捷授權頁（控制臺）上通過RAM授權完成，而不能自動化。

而SLR（Service Linked Role）機制的訪問流程如下：

從上圖可以看到，SLR機制不需要用戶干預，只要擁有某個產品管理權限的子用戶，就可觸發(fā)相應產品的SLR創(chuàng)建，同時修改和刪除也都受到嚴格的控制，避免誤操作。

目前已經有多達36款產品支持SLR，下半年還會有更多產品支持，屆時跨服務自動化訪問在阿里云上將不再是問題。

OpenAPI訪問合規(guī)

針對合規(guī)領域，常見的場景一般是需要操作審計和資源審計，不過行業(yè)監(jiān)管規(guī)則也是一個重要的參考因素。例如在金融云行業(yè)，跨網絡的調用必須在可控、安全的情況下才能發(fā)生，這就要求云上網絡調用要符合監(jiān)管要求。

針對這樣的客戶需求，阿里云升級了OpenAPI訪問合規(guī)能力，如下圖所示：

過去客戶訪問OpenAPI無論如何都會按照圖中上面那條流向經過公網。而如果客戶需要在VPC網絡訪問阿里云OpenAPI，現在可以當在公有云環(huán)境中調用OpenAPI的時候將目標endpoint改為xxx-vpc.[RegionId].aliyuncs.com的形式，則發(fā)往這個目標域名的所有流量都將在阿里云內部通信，不再流向公網，大大增強了特定行業(yè)的安全性。

總結

自動化能力是企業(yè)規(guī)?；显频闹匾n題，即使是中小公司也能夠從自動化中受益。一方面企業(yè)要根據自身情況選擇合適的集成工具，另一方面在上云前好做好人財物權法相關的規(guī)劃設計。阿里云將不斷提升云上企業(yè)自動化能力，幫助客戶取得商業(yè)成功。