检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
支付。华为云统一开票给主账号,华为云的交易主体是主账号。如下图所示。 图4 多账号的统一财务管理 财务托管模式下,主账号可以针对子账号执行以下统一财务管理。 共享商务:主子账号间商务实现默认共享,避免客户重复申请子账号商务,大大降低客户成本。 统一支付:子账号无须通过主账号手工划
IT管理人员,这种情况下仅需创建一个公共服务和管理账号,将模式1的安全运营账号、日志账号、网络运营账号、运维监控账号、公共服务账号、数据平台账号和DevOps账号的职能全部合并。 地理区域账号规划 地理区域账号的规划比较简单,可以按照地理架构在华为云上划分不同层级的组织单元OU,
华为云大数据组件 常用的华为云大数据服务组件如下,设计大数据部署架构时可参考: MapReduce服务(MapReduce Service,简称MRS) MRS是一个在华为云上部署和管理Hadoop系统的服务,一键即可部署Hadoop集群,完全兼容开源接口,轻松运行Hadoop、
不要将用户密码共享给他人,而是为每个管理或使用华为云资源的人创建一个单独的用户并分配相应的权限,这样每个人在华为云的操作都能被追踪审计。 主账号根用户(与账号同名)的密码建议由企业的CTO或CIO保管,子账号根用户的密码建议由所属业务单元的负责人保管。 根用户(与账号同名)的权限很大,建议不要直接
影响和传播到其他账号。 华为云账号也是安全管理边界,每个账号都有独立的身份和权限管理系统,一个账号内的用户只能访问和管理本账号的资源,未经显式的授权,一个账号内的用户不能访问其他账号的资源、数据和应用。 华为云账号还可以作为独立的账单实体,每个账号可以单独在华为云上充值、消费云资源、结算和开票。
这九大领域的实施需要在特定的账号内完成,比如组织与账号管理是在主账号(管理账号)中完成,而集中网络管理主要是在网络运营账号中完成。下表是九大领域对应的主要账号。 表1 九大领域对应的主要账号 九大领域 对应的主要账号 组织与账号管理 主账号(管理账号) 身份与权限管理 主账号(管理账号) 集中网络管理
目标端华为云生产环境是否已上线部分应用 方案1:在目标端华为云生产环境用作测试 1.测试后直接转生产上线,节省工作量 2.各项参数在测试期间已调为最优 需做好网络隔离,有对现网影响的风险。 方案2:在目标端华为云新建一套测试环境用作测试 对现网无影响 1.新搭建一套环境有一定的成本费用
都在同一个云账号中运行,那么一个业务单元的故障或安全问题可能会影响到其他业务单元,甚至整个系统。而通过将不同的业务单元部署在独立的云账号中,企业可以有效地隔离故障和风险,防止问题的扩散。举个例子,如果某个业务系统遭遇了安全攻击,攻击者可能只能够接触到该业务系统所在的云账号中的资源
简化资源管理和优化成本。 如下图所示,用户为每个云资源分配了两个标签,每个标签都包含自定义的一个“键”和一个“值”,一个标签使用键为“所有者”,另一个使用键为“用途”,每个标签都拥有相关的值。 图1 资源标签示例 华为云提供的标签管理服务(Tag Management Servi
上述网络架构的核心是网络运营账号,作为连接其他账号的网络枢纽,其他账号之间的通信必须通过该账号的ER进行。ER可以通过设置路由规则决定哪些VPC之间的网络可以连通,华为云基于以下假设并根据各个账号的职责梳理各个账号下VPC之间的连通性矩阵,据此则可以在ER上设置对应的路由规则。 运维监控账号需要运维第三方云和本地DC中的资源;
标签策略可以绑定到组织的根、OU和账号。当绑定到根和OU时,所有子OU和子账号都继承该标签策略。账号继承的所有标签策略和直接绑定到账号上的所有标签策略,根据继承运算符最终聚合为有效标签策略。 标签命名限制和要求 每个资源最多可以有20个用户创建的标签。注意:以 _sys_开头的系统创建标签将保留供华为云系统使用,并且不计入此限制
Policy,服务控制策略)和IAM策略来实现。 SCP是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。关于SCP的详细介绍,请查看这个链接。需要注意
的挑战。 账号 华为云账号是一个资源容器,用户可以在其中部署任意云资源和应用系统,不同的账号相当于不同的资源容器,账号之间是完全隔离的。因此在一个账号中的故障和安全风险不会影响和传播到其他账号。华为云账号也是安全管理边界,每个账号都有独立的身份和权限管理系统,一个账号内的用户只能
责人参与进来,为各自消耗云服务产生的成本负责。 华为云为客户提供了多种工具,以帮助客户合理规划组织,确保成本可追溯。 大型企业或集团公司可以使用企业组织+多账号的方式,通过账号隔离资源和成本,方便业务快速拓展。 中小型企业以及单账号客户,建议优先使用人财物权管理相对完善的企业项目
整体框架 华为云CAF提供系统的和完整的云化转型方法论和最佳实践,CAF的完整性体现在两个方面,一要涵盖云化转型的全部旅程,二要涵盖云化转型所有干系人的视角。CAF的整体框架如下图所示。 图1 CAF整体框架 云化全旅程按照时间顺序包含以下六个阶段。 制定战略:制定云化转型的战略
Token的签发时间等;五是环境属性,比如访问请求来自哪个账号,目标资源位于哪个账号等。您可以在这个链接查看华为云当前支持的全局级条件键和服务级条件键。通过 ABAC 可以更细粒度地设置访问控制的权限,例如运维人员张三只有启用了 MFA 认证后并且只能在晚上 12 点后、凌晨 4
载业务系统的子账号),通常是将支撑一个业务单元所需的所有业务系统映射到一个业务账号。一至多个IT管理系统映射为一个IT管理账号(用于承载IT管理系统的子账号)。子系统则可以映射为华为云的企业项目或者标签。功能团队映射为华为云IAM的用户组,成员则可以映射到华为云IAM的用户。生产
本核算、分析和预算管理,就无需为小张在华为云上创建一个拥有财务管理权限的用户。 组织单元设计原则:需要相同控制策略(包括服务控制策略和标签策略)的账号归属到同一个组织单元下,可以在该组织单元集中施加控制策略,该策略将继承到其下的每一个子账号和下层组织单元。 运行环境隔离原则:生产
安全参考框架 基于上述安全设计原则,华为云推荐采用“一个中心 + 七层防线”的安全参考框架和华为云提供的云原生安全服务来构筑企业的云上安全防护体系,如下图所示。该安全框架完全遵守了纵深防御原则,将各种安全防护措施有机组合起来,针对保护对象(企业的关键业务系统和核心数据),因地制宜
FinOps参考架构 华为云结合FinOps基金会的FinOps框架和华为自身的FinOps实践总结提炼的一套FinOps参考架构,如下图所示,总体上包含成本计划、成本控制、成本分析和成本优化四个阶段。 图1 华为云FinOps参考框架 华为云还提供的丰富的成本管理工具,提升成本