BuZ*_*uZz 9 cloud provisioning amazon-web-services
几年前,我的公司(一家没有客户或外部接口的内向机构)已将所有运营从本地数据中心转移到 AWS,主要转移到少数几个大型 AWS 账户(网络、管理、计费、沙箱、开发、测试,产品)。开发人员在这个初始设置中很难进行创新,因为 IAM 策略和服务白名单由于这些帐户的共享性质而必须非常严格。
所以,我们现在正在忙的最新事情是引入更多帐户,例如每个产品或开发团队的三个开发/测试/生产帐户。一些关键帐户围绕这些产品帐户创建防护栏(提供网络 VPC、安全扫描、日志/报告等...)。每个开发团队的独立帐户三元组意味着他们所做的事情的飞溅半径将更容易通过帐户间防火墙、安全组等来控制......开发人员获得他们的帐户后,他们还将获得一个管理员帐户,以便更自由地探索,如果他们做了一些可疑的事情(例如,一台机器将所有端口开放到 0.0.0.0/0),我们会立即让 Turbot.com 攻击流氓资源/帐户。
看起来很容易,但出于某种原因,我不会在这里提到的我们的第 3 方帐户/计费提供商一直面临着为我们提供新帐户的挑战(我们在启动新项目时谈论的是数十个帐户三元组/内部应用程序)。
我对以下几点感到困惑:
我试图了解他们所做工作的复杂性以及是否有替代路线。作为一名开发人员,我已经在内部等待我的帐户数周了,我正在寻找答案。在我看来,这就像过去随意决定的繁文缛节。
MLu*_*MLu 14
- 为什么我们的内部云团队不直接从 AWS 购买账户?
他们可能会得到折扣。这些大型“计费整合提供商”每月向其客户开具数百万美元的发票,为此他们从 AWS、Azure 等获得可观的折扣,并将其中的一部分转嫁给客户。通常你会得到大约 5% 的折扣。
最大的缺点是他们在技术上拥有您的帐户,并且根据计费提供商和配置,您可以做什么和不能做什么可能会受到很大限制。通常,您无法像自己看到的那样创建子账户,通常您无法直接查看账单数据(例如 AWS Cost Explorer),并且为此将被迫使用账单提供商的门户,您可能无法购买预留实例或支出计划,甚至直接订阅支持计划等。
我个人讨厌这些计费安排 - 一点折扣不值得它带来的限制和生产力损失。但管理层通常只看到账单上 5% 的折扣,而不是他们的工程师在对抗和解决限制方面所花费的额外时间和挫折感。在生产力损失方面,他们的成本可能超过 5%,但是,嘿,这不像发票上的折扣项目那么明显。
这就是我的解释;)
| 归档时间: |
|
| 查看次数: |
685 次 |
| 最近记录: |