Landing Zone是一套顶层多账号架构设计方案,帮助客户安全、高效的部署云服务,并支持业务的可持续扩展。完整的Landing Zone提供安全、网络、身份权限管理、合规性和监控功能等能力,帮助企业通过自动化的方式实现上云架构部署。 本项目是一套基于 Terraform 构建的企业级 Landing Zone自动化部署脚本,旨在帮助组织快速搭建符合 Well-Architected Framework 的多账户云基础架构。
| 特性 | 说明 |
|---|---|
| 多账号管理 | 基于企业组织自动化创建 / 管理成员账号、实现OU结构 |
| 网络标准化 | 跨账号 VPC、子网、NAT 网关、中转路由器配置 |
| 身份与权限 | 云身份中心用户和权限配置、SSO、SCP访问边界 |
| 安全合规 | CloudTrail(全账户审计)、Config(资源合规)、CSPM |
| 日志监控 | TLS日志存储、托管Promethus |
| 私网访问控制台 | 在智驾合规场景下,私网访问控制台 |
-
Terraform ≥ 1.5.0
-
火山引擎账号注册,并完成企业实名认证
-
访问控制创建用户,并获取AK/SK。用户拥有必要的权限
git clone https://github.com/volcengine/volcanoengine-landing-zone.git
cd volcanoengine-landing-zoneexport VOLCENGINE_ACCESS_KEY ="your-access-key"
export VOLCENGINE_SECRET_KEY ="your-secret-key"
export VOLCENGINE_REGION = "cn-beijing"设置关键的环境变量,比如账号名称,VPC网段等等。
variable "master_account_id" {
description = "管理账号的ID"
type = string
}
variable "shared_services_email" {
description = "共享服务账号的管理员邮箱"
type = string
}terraform initterraform plan# 生产环境建议先审核计划,再执行应用
terraform apply| 模块 | 说明 |
|---|---|
| landing-zone-organization | 使用企业组织搭建一个Classic的Landing Zone框架 |
| cloud-identity | 使用云身份中心初始化用户和权限集配置,并实现多账号的访问配置。设置后可使用云身份中心门户登录火山引擎 |
| dmz | 使用VPC,中转路由器和NAT网关实现一个DMZ网络区的搭建 |
| classic-load-balance | 使用负载均衡搭建一个标准的三层架构网络和计算实例 |
| console-private-access | 在智驾场景下,实现私网访问控制台(需要配合提前搭建的专线网络) |
使用企业组织搭建一个Classic的Landing Zone框架