1. 建立基礎的 Oracle Cloud Infrastructure 治理模型
  2. 工作負載治理週期

工作負載治理週期

工作負載治理包括縮小工作負載範圍,以及與工作負載相關聯的各種特性,使用治理模型設計治理。工作負載治理在下列四個階段的進展:

  • 工作負載範圍設定與評估:識別有問題之工作負載特定的資源、處理作業、預算及安全需求範圍。
  • 工作負載治理設計與部署:識別安全性、治理及預算編列特定範圍的工作負載特定監護人。
  • 工作負載上線:立即將負載加入環境,並放置適當的治理導軌
  • 工作負載治理監督與退出:根據工作負載定義的生命週期卸除資產

範圍和評估工作負載

第一個步驟是為將新工作負載部署至 OCI 的團隊,必須在閘道和複查處理作業中為工作負載設定範圍。

範圍可確保有足夠的業務驅動因素及贊助者,以及適當的監護人可安全地因應新工作。評估工作負載以判斷是否需要治理,以及根據工作負載的機密和業務關鍵程度,決定需要治理的程度和需要治理的數量。

設計工作負載治理

使用初始評估中所取得的資料,針對工作負載治理設計租用戶。

您可以評估工作負載,並根據特定問題的答案做決定,然後決定所需的組織結果。您是從「基準線」治理期間設定的區間結構開始。

工作負載治理的設計流程遵循與基準治理類似的治理模型。下列是設計工作負載治理時所涉及的思想處理範例。

oci-resource-organization-workflow.png 說明如下
oci-resource-organization-workflow.png 圖解說明

組織工作負載資源

您最初會根據區間結構、地理位置及網路隔離需求來組織資源工作負載。

請參考這些問題的解答,以設計區間結構。

  1. 工作負載是否需要管理區隔?
    • 是:為您的工作負載資源建立新的區間
    • 否:將您的工作負載區間與現有的區間共用
  2. 您的工作負載是否具有特殊的規範需求,例如 HIPAA 或 FedRamp?
    • 是:建立安全區域區間
  3. 工作負載是否具有生命週期環境?
    • 是:建立個別的 Prod 和非 Prod 區間

請考量這些問題的答案,以選取您的工作負載地理位置。

  1. 您的目標對象位於何處?
    • 選擇接近目標對象的區域
  2. 如何將工作負載分開以進行生產和災害復原?
    • 在指定的生產和災害復原區域分割生產和災害復原工作負載
  3. 工作負載是否需要連線至其他工作負載?
    • 是:在相同區域建立工作負載

請考量這些問題的解答,以決定工作負載網路隔離。

  1. 工作負載是否有任何相依的服務或工作負載?
    • 是:在其他子網路中共用 VCN
  2. 工作負載是否有高機密資料?
    • 是:建立個別的 VCN 和配對相依服務 VCN
  3. 工作負載是否需要與企業內部部署工作負載進行連線?
    • 是:建立快速連線設定或與設定 FastConnect 的 VCN 共用動態路由閘道 (DRG)
  4. 工作負載是否使用原生 OCI 服務?
    • 是:在工作負載 VCN 中建立服務閘道

管理工作量成本

管理工作負載成本包括追蹤與控制成本,以避免因為資源使用情況超支。當您設定工作負載時,可自行決定節省成本,並依據預算追蹤使用狀況,以及依據您在區間中組織工作負載的方式,控制成本。

oci-cost-management-workflow.png 說明如下
oci-cost-management-workflow.png 圖解說明

費用追蹤包括設定預算及根據資源使用量分析成本。建立預算及設定警示規則,在 OCI 主控台的「治理」區段中設定限制、配額及使用狀況,以在支出接近預算時通知管理人員。

當您在預算附近的支出收到警示時,您可以根據這些問題的答案來設定成本控制評量:

  1. 工作負載是否會共用現有區間?
    • 是:更新區間配額以容納任何其他資源
  2. 工作負載是否在新區間中建立?
    • 是:在新區間中建立資源配額
  3. 您目前的服務限制是否符合組織需求?
    • 是:重新評估現有的服務限制並加以更新,以因應額外資源

管控存取

管理存取需要下列步驟:

  • 識別啟動設定
  • 識別聯邦
  • 管理群組和 IAM 原則
  • 授權帳戶管理 (PAM)
oci-access-governance-workflow.png 說明如下
oci-access-governance-workflow.png 圖解說明

您可以建立工作負載特定管理群組,然後為工作負載管理員建立 IAM 原則,實行存取治理。您也可以為工作負載授權的使用者實行 PAM 認證。

如果您有特定工作負載的識別需求,請執行下列作業:

  • 佈建所有工作負載特定使用者
  • 實行工作負載特定識別同盟
  • 實作工作負載特定 MFA 需求

安全工作負載

保護工作負載是務必避免發生惡意活動,以及避免發生關鍵客戶資料的可疑事件。您可以依照下列步驟來實作工作負載安全:

  • 啟用雲端保全
  • 啟用漏洞掃描服務
  • 設定通知以監控可疑事件並建立通知規則

保護資料

oci-data-security-workflow.png 說明如下
oci-data-security-workflow.png 圖解說明

在實施期間保護重要客戶資料需要安全做法,以確保客戶資料的安全與資料遺失時復原。您可以依照下列步驟來保護客戶資料:

  • 分類不同類型的資料
    • 根據靈敏度建立定義標記以將資料分類
    • 監控機密資料的建立、讀取、更新及刪除 (CRUD) 作業
  • 識別靜態和傳輸中資料的資料加密需求
    • 針對靜態資料,建立並使用客戶管理的金鑰來加密工作負載資料。
    • 若為傳輸中的資料,請執行下列作業:
      1. 設定對外部工作負載的 WAF 原則
      2. 為每個工作負載介面建立和設定 CA 簽署的憑證
    • 設定資料備份與封存生命週期原則
  • 規劃設定資料備份與封存原則

部署工作負載

當您決定新工作負載特定的治理控制之後,就可以執行下列其中一項作業:

  • 使用 Terraform 來進行分類
  • 使用 OCI 命令行介面
  • 使用 OCI 主控台實行您的變更

監督、支援以及板外工作負載

為了稽核目的設定工作負載的監督與記錄,是實行雲端實行可觀察性的關鍵。請依照下列步驟,在雲端導入中導入可觀察性。

  • 啟用工作負載監督與警示功能
  • 將稽核日誌與 SIEM 解決方案整合
  • 啟用服務和自訂日誌以設定記錄分析或 SIEM

您可以繼續利用雲端保全和其他安全控制,監控與工作負載相關之 OCI 控制層的風險組態。

利用差異偵測功能,確定您在工作負載區間中部署的項目與 DevSecOps 管線中定義的項目維持一致。使用 DevSecOps 管線取消工作淘汰時,退出資源。

您可以從 Oracle Cloud Marketplace 中連結的 Oracle Cloud Marketplace,安裝及使用 OCI 成本治理和效能洞察解決方案 App。