隨著企業(yè)為基礎(chǔ)架構(gòu)即服務使用云服務逐漸轉(zhuǎn)移到更加核心的業(yè)務用例中，包括核心平臺和應用，以一種整體的方式加強治理成為風險管理和終端用戶組織信任的關(guān)鍵所在。因為應用成為IT價值堆棧的頂部，常常要在IT前面面對業(yè)務，確保這個層級合適的治理要考慮的不只是基礎(chǔ)架構(gòu)，還有應用本身更廣泛的背景和環(huán)境。

提供商應該關(guān)注云治理中用戶未知的問題，因為他們對于云應用影響顯著。因此，針對將企業(yè)的規(guī)則和IT資源用例權(quán)限轉(zhuǎn)換成為云治理策略，探討一些最佳實踐至關(guān)重要。包括提供商如何協(xié)助客戶確保云資源被合理訪問、準備、確保安全、操作和監(jiān)控，到安全保障和法規(guī)遵從。

[[64059]]

將規(guī)則和權(quán)限轉(zhuǎn)換成應用為核心的策略

不管底層IT基礎(chǔ)架構(gòu)多么簡單，部署和管理應用和平臺需要關(guān)注具體應用的管飯策略。一個企業(yè)級云治理模型應用遵循下面的策略類型實施：

用戶/群組訪問：控制云服務訪問，包括基于角色的訪問控制和聯(lián)合身份認證管理。

資產(chǎn)權(quán)利：限制用戶對于具體資產(chǎn)類型的訪問，比如堆棧、腳本、模板和拓撲結(jié)構(gòu)。

部署：限制工作負載部署和數(shù)據(jù)進入基于廣泛策略的認證環(huán)境(PCI、HIPAA、本地化策略、地理約束和其他的治理和安全指令)。

編制：跨資產(chǎn)和服務應用多層策略，以便確保配置管理標準和標準操作環(huán)境(SOE)。

服務水平協(xié)議：動態(tài)擴展基于復合自動擴展規(guī)則和性能臨界的應用和平臺拓撲結(jié)構(gòu)。

安全：通過策略強制安全區(qū)域法規(guī)遵從，這種編制是基于主機和hypervisor防火墻、反病毒軟件、托管入侵檢測系統(tǒng)(HIDS)、虛擬網(wǎng)絡、數(shù)據(jù)加密和其他的安全工具的。

生命周期事件：在多種生命周期事件中執(zhí)行策略，比如啟動、關(guān)機和系統(tǒng)開發(fā)生命周期(SDLC)代碼推進。

備份和故障轉(zhuǎn)移：加強高可用性和災難恢復策略。

資源約束：限制部署實例的最大數(shù)。

租約和調(diào)度：限制部署實例的租約和調(diào)度。

Chargeback/測量：限制資源消耗和測量基于自定制價格模型的消耗。

動態(tài)策略：從工作負載和第三方系統(tǒng)監(jiān)控事件流，當超過臨界值時，執(zhí)行復合事件關(guān)聯(lián)來實現(xiàn)預定義策略和動作。

確保云治理策略同多種變更需求保持同步

面對現(xiàn)實：公司治理變化無常。新規(guī)要求、變更內(nèi)部標準、進入新市場或者區(qū)域，以及其他的市場變化導致了頻繁的改變，讓治理云變得棘手?？梢宰孖T迅速自定制策略來解決更為廣泛的當前和未來業(yè)務需求的可擴展策略框架成為必需。創(chuàng)建和執(zhí)行無限制子性質(zhì)策略范圍可能通過使用擴展元模型的策略引擎實現(xiàn)。這樣讓客戶或者提供商來創(chuàng)建新屬性的策略，可用來參照做出決策。比如，新的元模型擴展因包括新的安全區(qū)域定義，迫使通過其部署策略跨云工作負載分類。這樣的定義能夠確保這個工作負載堅持管控約束。

基于云的IT操作模型是一種新的有變革能力的方法，可以為大多數(shù)客戶交付IT服務。因此，權(quán)利和功能范圍將會治理控制會難以控制。通常而言，云治理策略的主要主題是直接為有需要的終端用戶提供自服務、按需訪問IT資源，讓這些IT資源自動響應需求和環(huán)境變化。治理策略不僅可以由企業(yè)內(nèi)不同的利益相關(guān)者合作開發(fā)，也可以為云服務提供商治理和控制器自己IT資源的消耗。

下面是一些基于策略的治理場景，很好的說明了這些策略的用處。

為不同團隊、項目和工作負載實施準備約束策略。比如，市場項目經(jīng)檢驗適合在亞馬遜EC2公有云，但是德國開發(fā)團隊必須且只能部署在本地的基于歐盟的云，同時支付處理團隊只能部署符合PCI的云上。

讓IT資源受限于項目圖團隊或者基于個人的實例租賃、調(diào)配或者數(shù)量。例如，應用開發(fā)團隊的一個員工在私有云中最多使用兩個用例?？赡蹾adoop項目只能在工作日下午七點到凌晨五點之間部署?？赡芡獍挠脩艚缑?UI)團隊只能在亞馬遜EC2上獲得90天實例租賃，在那之后就會自動退出。

加強動態(tài)策略響應入侵或/和盜用實例。例如，一個事件關(guān)聯(lián)應該包括(1)托管入侵檢測系統(tǒng)在公有云中為實例發(fā)送“關(guān)鍵”警報類型，結(jié)合(2)高出站流量臨界值溢出以及(3)高CPU利用率，策略結(jié)果就是釋放實例且在安全的私有云中自動重部署一個新的實例。

云應用正在加速，很多企業(yè)正在面臨治理挑戰(zhàn)。客戶期望快速發(fā)布基于云服務的完整治理組合，交付敏捷軟件開發(fā)者和業(yè)務用戶需求，同時控制成本并確保法規(guī)遵從。企業(yè)需要一種可擴展基于策略的控制點進行云治理，能夠加強自定制策略的不受限范圍，來解決變更的業(yè)務需求。通過正確的云管理平臺，提供商可以提供大量需求控制點進行治理、法規(guī)遵從和確?？绻性坪退接性朴媱澋陌踩?，協(xié)助將IT轉(zhuǎn)換到基于云的操作模型中。