中國人到底有多愛“吃”？學習前人經驗心得叫“吃一塹長一智”，遇到不公平待遇我們會“不吃這一套”！甚至連古代先賢都離不開吃：“治大國，若烹小鮮。”——老子《道德經》這句名言的意思是國家的治理應該像烹饪小魚蝦那樣，火候、調料、手法一切都要保證恰到好處，不能過頭，也不能缺位。

不僅是國家如此，連企業上雲也逃不出先賢的道理。當企業成功上雲之後，為了确保整個雲環境能夠始終保持安全和穩定地運行，“烹小鮮”的治理手段同樣不可或缺。那麼，這種“烹小鮮”的治理方式具體該如何實踐呢？

今天我們将主要圍繞“雲治理”這個目标，更深入地談談 CAF（Azure 雲采用框架）能為上雲企業提供的幫助。

Azure 雲采用框架（Cloud Adoption Framework，下文簡稱 CAF）是一個包含文檔、實施指南、最佳做法和工具的集合，所有内容均由微軟提供，并經曆了實踐檢驗，可用來幫助雲架構師、IT 專業人員和業務決策者成功實現短期和長期目标，進而加速雲采用旅程。

CAF 涵蓋了雲采用全生命周期内完整的戰略定義、規劃、就緒、采用、治理和管理等不同環節，可幫助大家在執行雲采用工作時，将技術、業務和人員策略用于推動所需的業務成果，借此輕松地在正确的時間，以正确的方法執行正确的工作。

雲采用是一個過程，而非終點。在支持業務轉型的技術方面，雲開創了全新的模式，而這些新模式也會改變治理方式。

舉例來說，當幾乎整個數據中心都可以通過一個無人值守進程所執行的一行代碼來銷毀和重新創建時，我們就必須反思傳統 IT 治理方法。對于具有治理本地 IT 策略經驗的組織，雲治理應對這些策略進行補充。本地 IT 環境和雲之間的治理策略會有差異。随着雲資産的逐漸變化，雲治理流程和策略也随之變化。而 Azure 雲采用框架治理原則和 Azure 雲平台提供的豐富的治理服務工具可以幫助企業成功實現治理策略有效執行。

然而沒有目标的旅程隻是盲目漫遊。如何制定有效的 Azure 治理策略？CAF 中的治理部分從以下五個方面的規則來指導企業雲治理策略，每個規則都可幫助公司避免潛在陷阱。

• 成本管理：成本是雲用戶最關心的問題。制定适用于所有雲平台成本控制的策略。
• 安全基線：安全性是一個複雜的主題，每個公司都是唯一的。建立安全要求後，雲治理策略和實施将跨網絡、數據和資産配置應用這些要求。
• 身份管理基線：應用程序中标識要求的不一緻性可能會增加洩露的風險。身份基線規則重點确保在雲采用工作上一緻地應用标識。
• 資源一緻性：雲操作依賴于一緻的資源配置。通過治理工具，可以一緻地配置資源，以管理與加入、偏移、可發現性和恢複相關的風險。
• 部署加速：部署和配置方法的集中化、标準化和一緻性改進了治理做法。在通過基于雲的治理工具提供時，它們會創建可加速部署活動的雲因素。

那麼企業制定的治理策略如何落地執行？Azure 提供了豐富的工具服務。

通過工具分析優化成本

為确保正在使用的雲資源消耗與計劃預算保持一緻，必須建立成本監控和成本超支風險的治理流程。Azure 中國用戶可以通過 Azure 企業門戶查看詳細的計費及成本。從 Azure 訂閱開始，我們可以全面了解 Azure 資源消耗的成本信息。結合 Azure Policy 等治理工具強制執行特定的人員、特定的項目隻能使用特定的雲資源類型及層級，避免不必要的浪費。并且通過 Azure Monitor 及 Azure Advisor 分析資源使用效率，從而彈性調整雲資源配置來降低成本。

建立安全基線

安全基線需要從統一安全管理、網絡安全、數據安全、業務容災、合規性等多方面建立規則策略。Azure 安全中心提供統一的安全管理和高級威脅防護，定義各種應用安全策略，保護資源和響應安全事件。從雲基礎架構設計上就要使用 Azure 虛拟網絡，确保受保護數據的網絡子網必須與其他子網隔離。并且定期審核受保護數據子網之間的網絡流量。通過 Azure Backup、Azure Site Recovery 确保任務關鍵型應用程序和受保護數據正确實現了備份、恢複和 SLA 遵從性。基于 Azure 上十幾種常用的安全服務，可以制定數十種關鍵性安全基線。

身份管理基線

身份管理基線是所有治理的基本起始點。嘗試應用治理前，必須先确立身份管理策略。然後治理解決方案将強制執行确立的标識策略。Azure Active Directory（Azure AD）是微軟基于雲的身份和訪問管理服務，可幫助用戶安全登錄和訪問 Azure 中的資源，滿足安全性和合規性要求。系統地采用基于角色的訪問控制 Azure RBAC，可以将客戶 IT 及運維團隊中的職責權限細粒度分開，并僅向用戶授予其執行工作所需的最小訪問權限。

保持資源一緻性

不一緻的部署流程可能會導緻安全漏洞，從而導緻數據洩露或中斷。所有已部署的資産必須按照重要程度和數據分類進行分類。在部署到雲之前，将由雲調控團隊和應用程序所有者查看分類。治理流程必須包括部署時的審核和周期性審核，通過使用 Azure Policy、Azure Resource Manager、Azure Resource Graph 以确保所有資産的一緻性。

實現部署加速

使用 Azure Tag（标記）對 Azure 資源和管理層次結構進行組織，實現必須根據定義的 Tag 策略對所有資産進行分組和标記。使用 Azure Policy 可以執行所有資産都必須使用已批準的部署模型。Azure 自動化提供基于雲的自動化和配置服務，用于支持 Azure 環境和非 Azure 環境之間的一緻管理。Azure Automation 包括流程自動化、配置管理、更新管理、共享功能等。在部署、操作期間，自動化可以提供全面的控制，從而加速部署周期。

為幫助客戶評估當前治理水平，CAF 也提供了治理評估分析服務，為客戶提供個性化的評估報告，并且與客戶所在行業平均水平做對比（參考下圖）。幫助企業正确指定治理策略的起點和未來目标。

最後同樣需要強調，别忘了持續改進！随着企業雲資産的逐漸變化，雲治理流程和策略也随之變化。在實現雲采用計劃的整個過程中，以叠代方式添加治理控制，從以上講述的五個方面階段性的制定新策略，使用 Azure 提供的治理工具有效執行治理策略，幫助企業降低雲采用過程風險。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!