8个诀窍 帮你有效治理Azure云环境

小提示：您能找到这篇{8个诀窍 帮你有效治理Azure云环境}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的8个诀窍 帮你有效治理Azure云环境内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">各位IT小能手在公司刚开始上云时，大家也许都是很欢迎的吧！通过日常的管理工作（Management）配置好整个环境，给需要的人创建帐号，接下来大家需要什么云资源，自己访问门户申请就能开通使用。简单，快速，省事！

< font-size: 16px;">不过时间一长，有些问题开始显现……云资源的申请和使用固然方便，然而所有人都会想着图省事，不管是否真的需要，不管需要多少，反正一股脑申请下来就行。至于这些资源的数据安全、网络安全、法规、制度合规等问题，以及不再需要后的释放和回收，貌似考虑的很少……尽管公司可能针对这些问题都有规定，可没人听咋办？

< ">云环境的治理了解一下吧

< font-size: 16px;">治理（Governance）这事情大家都经常听说，上至整个国家，下至一个公司，甚至每个人的住宅小区，都离不开妥善的治理。借助相关法律、法规、规章制度等条款，并通过治理规范行为，确保大家都能够遵守这些要求，进而保证整个大环境井然有序。

< font-size: 16px;">那么当我们上云后，又该如何对云环境进行治理？针对这个问题，微软云采用框架（Microsoft Cloud Adoption Framework for Azure）为我们提供了思路。

< font-size: 16px;">

< font-size: 16px;">适用于Azure的Microsoft云采用框架示意图

< font-size: 16px;">借助这种思路对云端治理进行迭代，同时随着云采用框架系统的使用而日益完善，微软为使用Azure的企业提供了一整套治理解决方案。

< font-size: 16px;">这是一个非常庞大的话题，作为新手入门，下文将从安全、身份验证、部署资源一致性、成本控制等几个方面提供八条建议，帮助大家通过实施治理策略从而开启云环境的治理旅程。

< font-size: 16px;">01< ">清晰的云端资源管理框架

< font-size: 16px;">使用Azure资源时，首先需要建立账号，借此将资源部署在不同资源组中并进行统一订阅管理。企业在创建资源时需要对资源进行合理命名，设定基本的企业策略，例如允许哪些区域部署资源、部署资源的虚机类型、部署云端环境需要符合SOC 1、SOC 2等法律法规。

< font-size: 16px;">基础建设完成之后，企业就可以开展系统架构，进行电商网站、ERP或者是容器化的搭建，并通过安全中心监视器进行相应的运维监控工作，帮助企业完善云端的实施和运维，进行现代化构建。微软运用云端将传统的运维模式进行转变和迭代，极大地提高了云端资源使用率。

< font-size: 16px;">

< font-size: 16px;">若想管理资源，首先需要构建一个明确的资源管理框架。微软Azure云为企业提供的标准资源管理框架Azure Resource Manager（简称ARM）可以统一管理超过170种云资源。Azure门户可通过CLI、Azure策略、RBAC对资源进行统一管理、监控和运维。

< font-size: 16px;">统一化的管控可通过借用统一的工具、统一的流程、统一的方式对资源进行管理。随着Azure云技术发展，ARM将会逐渐实现200种甚至300种云资源的统一管理。不断上线的新资源会随着ARM模式进行统一管理，这无疑会对云端资源自然种类和资源数量的横向扩展起到重大帮助，助力企业通过云端统一模式管理海量的云端资源。

< font-size: 16px;">02< ">统一IT策略

< font-size: 16px;">企业在进行云端管理的同时，也需要制定基本IT策略，同时协同企业各部门遵循这些基础策略。例如对资源进行合理命名，在资源出现问题，或资费花费过多时，能够快速找到相应负责同事进行协调优化或对预算进行调整。

< font-size: 16px;">与此同时，企业可限定云资源的管理部署区域和云资源使用范围。通过这些限定，一方面可以控制云成本，更好地利用资源；另一方面则可从法律、法规角度确保某个区域内提供的服务和存储的数据符合当地法律法规要求，保证企业不会超出这个区域的范畴随意湖北宣传片制作部署。

< font-size: 16px;">

< font-size: 16px;">对此，微软制定了一系列“规章制度”，也就是所谓的Azure云端规则引擎。根据最新统计，每100名使用Azure的客户中，就有超过92位客户已经在使用Azure策略。

< font-size: 16px;">借助Azure策略，用户可以把制定好的规章策略翻译成应用环境中的规则，并利用引擎对环境中的现有资源和未来创建地资源进行统一监控和管理，助力企业实现自动化智能化管理整个云环境。

< font-size: 16px;">同时Azure策略的建立并不是从0到1的构建，微软运营Azure期间总结了超过100条内置的策略，可以帮助企业快速构建针对于安全、成本、命名规则和相关法律法规的基本规则，并将已有基本规则应用到现有环境中，帮助客户根据实际环境自行选择相应配置进行调整。

< font-size: 16px;">03< ">标准化命名与资源标签

< font-size: 16px;">对云端资源进行有意义的命名并添加合理的标签，会对资源分配、后续监控运维、快速部署以及资源优化起到决定性作用。

< font-size: 16px;">例如在云端，如果将虚拟机都命名称为vm01、vm02、vm03，一旦虚拟机vm01出现故障，运维人员根本无法判断这台机器的归属、部署位置和涉及到的应用，将严重阻碍运维响应速度。因此对资源进行合理的命名至关重要。

< font-size: 16px;">如果将虚拟机命名从vm01调整为vm website牙科宣传海报、China east01等描述性名称，即可帮助运维人员第一时间判断这台机器属于网站，部署在东一区，同时还可通过标签设定了解该机器所属的负责人，设定好成本中心和BU等信息，均可帮助运维人员在第一时间联系到相关人员，而一些自动化告警系统也会及时把相关问题通过邮件或短信发给负责人，方便快速开展救治工作，最大限度降低系统宕机。

< font-size: 16px;">04< ">明晰数据风险

< font-size: 16px;">在本地环境中，物理硬件网络环境或数据都是相对可控的。但迁移上云后，除了创建方式的改变，资源运维模式，包括资源部署方式也发生了转变。观念和技术的转变会带来很多不确定性和恐惧性，例如云端是否安全，是否会导致业务存在潜在风险，如数据泄漏或网络攻击导致系统宕机等。

< font-size: 16px;">唯有明确业务风险才能开始进行云端治理，进而采用合理的手段制定相应规则。例如数据泄漏，企业需要明确业务风险，之后对云资源进行数据区分，对存储数据的资源要区分它存储的是低优先级、高优先级，还是关键业务数据。随后即可选用合适的工具来保护数据，例如对关键业务数据进行加密和备份。

< font-size: 16px;">筛选出资源是否存储数据，资源存储数据的保护级别，这些是选择Azure云端工具一个很好的依据。明确云业务风险并制定云策略后，即可选择合适的工具去弥补并完善业务风险，使系统变得更稳定。

< font-size: 16px;">05< ">坚持最小权限

< font-size: 16px;">云端通常会存在很多运维管理员、IT管理员和用户，这就需要遵循最小权限划分原则：能分配只读的权限不分配读写权限，能分配读写权限就不分配管理员权限。

< font-size: 16px;">通过这种最小权限划分，可以确保每个用户都获得合理的权限分配，在不影响工作开展的同时也能防止用户读取到其它项目或跟其身份无关的数据，从而避免修改与身份无关的数据，确保云资源的安全性。

< font-size: 16px;">

< font-size: 16px;">06< ">提高云资源部署的一致性

< font-size: 16px;">接下来就是云资源的部署。在云端部署资源时其实有很多选择，例如通过门户部署，或者通过CLI、第三方自动化运维工具来部署。

< font-size: 16px;">

< font-size: 16px;">部署云资源时，企业需要考虑这套资源是否符合相应的合理标准。因为很多时候在部署云环境的时候是手动展开的部署，可能任意一位同事在云端通过门户部署的虚机，搭建了网站系统，进行的配置在手动进行的时候没有做好相应记录，也没有做相应的标准化处理。这会导致这套系统极难被复制。

< font-size: 16px;">这就与达芬奇画鸡蛋一样，我们很难把这套系统从中国复制到南非。而当我们在南非开展全球业务时，就很难以标准化的方式复制这套系统，这会给业务上线和系统开展带来很多困难。甚至一旦当同事在部署完系统后离职，则其他同事很难在同一个环境里对这套系统进行重现，这对云端运维的展开也是非常不利的。

< font-size: 16px;">因此部署时需要明确两点：

< font-size: 16px;">1.需要有一个标准化合理的手段，无论这个手段是自动化的，还危机公关问题级回答是手工与自动化结合的，都需要一个标准化的流程来完成部署，使云端的资源部署实现幂等。这也是很多第三方开源工具所强调的内容。所谓幂等，是指无论部署一次或部署一百次，每次都能获得完全相同的结果。

< font-size: 16px;">2.注意配置的修改，当今业务风险里面一个很重要的潜在风险是：当某些资源配置改变之后，会导致业务出现宕机，例如改变网站配置系统后会导致整个网站出现问题，这就是云的潜在风险。为了弥补这个风险，企业在更改云端系统配置时，需要尽量对更改后的配置文件进行审阅和批准，尽量通过自动化手段和工具把配置应用到生产环境中。例如可以先应用到开发测试环境，确认没问题后再应用到生产环境中，从而确保系统不会出现宕机。

< font-size: 16px;">07< ">资源可见性

< font-size: 16px;">随后还需要考虑云资源的可见性。云端有成百上千个资源，如何管理，哪些资源使用率最高，所有这些问题都可以通过Azure Resource Graph来查询。Azure Resource Graph查询工具可通过类SQL的语言对云资源进行查询，甚至对资源的改动进行查询，并将查询到的结果以表格这种可视化方式呈现，从而帮助企业直观看到云资源是怎么样分布的，在哪些区域有哪些资源，在哪些区域资源的使用比较多。

< font-size: 16px;">例如用户在亚洲有100台虚机，在欧洲可能有50台虚机，在南非可能只有10台虚机。这样可以对虚机数量，包括虚机种类获得合理直观的直方图分布，从而在定期审查过程中与业务部门进行更好的沟通，进而得到需要的结论，例如目前的区域部署是否是想要的环境，是否存在忘记清理的资源部署，是否可以对这部分资源进行优化，从而帮助企业优化治理云端环境。

< font-size: 16px;">在除了云资源的可见性，云资源的利用率也同样重要。CPU利用率过高会导致潜在宕机风险，所以需要合理提高利用率；CPU利用率过低则可以通过降低使用率从而节约成本。所有使用情况都可以通过Azure Monitor直观查看，同时也可以通过Azure Advisor获得合理建议。例如在Azure Advisor中，我们可以针对资源的使用效率获得相关建议以及后续操作，包括建议改变的类型和虚机是否购买RI等。

< font-size: 16px;">08< ">成本管理

< font-size: 16px;">最后也不能忘了成本管理。在云端，成本相比于本地是一种成本模型的改变。企业从CAPEX（资本支出）的费用改变成了OPEX（运营支出）费用，其实相当于是从资产成本变成了运维成本。所以云资源使用效率就决定了对业务产生的影响，云资源利用率越高，对业务的产出就越大，云的投入才会越有价值。因而需要定期对云资源进行管控。

< font-size: 16px;">而在管理云费用时遇到的最大问题就是不知道是否会发现系统中资源暴增，花费突然增加，但却不知道这部分资源属于哪一个部门，属于哪一个项目。这就是在云资费管理方面的潜在业务风险。

< font-size: 16px;">

< font-size: 16px;">Azure针对资费管理提供了Azure Cost Management，借助该工具，我们能对Azure所有云资源实现图形化的管理，实时了解目前花费，当月花费预期以及以往花费的详细清单，同时能够看到按照资源地域和特定的标签、BU、每个成本中心的花费状态，并根据这些数据设置相应预算告警。这样对于项目的负责人、每个BU的负责人以及财务部门管理整个云资源就有了明确的数据依靠。

< font-size: 16px;">在定期每月、每季度，甚至每年的财务回顾时，就可以通过更准确的数据依托从而计算好下一年度的云花费预算，从而更好地规划使用云环境。

< font-size: 16px;">云端治理的基本条件就是需要了解Azure云资源管理的组织方式，设定好企业基础IT规则，同时做好命名规则。针对任何一个上云系统，都要做好安全身份部署资源管理，以及云成本花费管理，通过所有这些环节的实施和不断迭代，把云端环境管理的越来越好，为企业云端之旅提供保障。更多详情可点击文末阅读原文查看微软官方文档。