中国人到底有多爱“吃”?学习前人经验心得叫“吃一堑长一智”，遇到不公平待遇我们会“不吃这一套”!甚至连古代先贤都离不开吃：“治大国，若烹小鲜。”——老子《道德经》这句名言的意思是国家的治理应该像烹饪小鱼虾那样，火候、调料、手法一切都要保证恰到好处，不能过头，也不能缺位。

不仅是国家如此，连企业上云也逃不出先贤的道理。当企业成功上云之后，为了确保整个云环境能够始终保持安全和稳定地运行，“烹小鲜”的治理手段同样不可或缺。那么，这种“烹小鲜”的治理方式具体该如何实践呢?

今天我们将主要围绕“云治理”这个目标，更深入地谈谈CAF(Azure 云采用框架)能为上云企业提供的帮助。

何为Azure云采用框架?

Azure云采用框架(Cloud Adoption Framework，下文简称CAF)是一个包含文档、实施指南、最佳做法和工具的集合，所有内容均由微软提供，并经历了实践检验，可用来帮助云架构师、IT专业人员和业务决策者成功实现短期和长期目标，进而加速云采用旅程。

CAF涵盖了云采用全生命周期内完整的战略定义、规划、就绪、采用、治理和管理等不同环节，可帮助大家在执行云采用工作时，将技术、业务和人员策略用于推动所需的业务成果，借此轻松地在正确的时间，以正确的方法执行正确的工作。

上云是过程，而非终点

云采用是一个过程，而非终点。在支持业务转型的技术方面，云开创了全新的模式，而这些新模式也会改变治理方式。

举例来说，当几乎整个数据中心都可以通过一个无人值守进程所执行的一行代码来销毁和重新创建时，我们就必须反思传统IT治理方法。对于具有治理本地IT策略经验的组织，云治理应对这些策略进行补充。本地IT环境和云之间的治理策略会有差异。随着云资产的逐渐变化，云治理流程和策略也随之变化。而 Azure云采用框架治理原则和Azure云平台提供的丰富的治理服务工具可以帮助企业成功实现治理策略有效执行。

然而没有目标的旅程只是盲目漫游。如何制定有效的Azure治理策略?CAF中的治理部分从以下五个方面的规则来指导企业云治理策略，每个规则都可帮助公司避免潜在陷阱。

成本管理： 成本是云用户最关心的问题。制定适用于所有云平台成本控制的策略。

安全基线： 安全性是一个复杂的主题，每个公司都是唯一的。建立安全要求后，云治理策略和实施将跨网络、数据和资产配置应用这些要求。

身份管理基线： 应用程序中标识要求的不一致性可能会增加泄露的风险。身份基线规则重点确保在云采用工作上一致地应用标识。

资源一致性： 云操作依赖于一致的资源配置。通过治理工具，可以一致地配置资源，以管理与加入、偏移、可发现性和恢复相关的风险。

部署加速： 部署和配置方法的集中化、标准化和一致性改进了治理做法。在通过基于云的治理工具提供时，它们会创建可加速部署活动的云因素。

通过丰富的工具服务让治理策略顺利落地

那么企业制定的治理策略如何落地执行?Azure提供了丰富的工具服务。

通过工具分析优化成本

建立安全基线

安全基线需要从统一安全管理、网络安全、数据安全、业务容灾、合规性等多方面建立规则策略。Azure安全中心提供统一的安全管理和高级威胁防护，定义各种应用安全策略，保护资源和响应安全事件。从云基础架构设计上就要使用Azure虚拟网络，确保受保护数据的网络子网必须与其他子网隔离。并且定期审核受保护数据子网之间的网络流量。通过Azure Backup、Azure Site Recovery确保任务关键型应用程序和受保护数据正确实现了备份、恢复和SLA遵从性。基于Azure上十几种常用的安全服务，可以制定数十种关键性安全基线。

身份管理基线

身份管理基线是所有治理的基本起始点。尝试应用治理前，必须先确立身份管理策略。然后治理解决方案将强制执行确立的标识策略。Azure Active Directory(Azure AD)是微软基于云的身份和访问管理服务，可帮助用户安全登录和访问Azure中的资源，满足安全性和合规性要求。系统地采用基于角色的访问控制Azure RBAC，可以将客户IT及运维团队中的职责权限细粒度分开，并仅向用户授予其执行工作所需的最小访问权限。

保持资源一致性

不一致的部署流程可能会导致安全漏洞，从而导致数据泄露或中断。所有已部署的资产必须按照重要程度和数据分类进行分类。在部署到云之前，将由云调控团队和应用程序所有者查看分类。治理流程必须包括部署时的审核和周期性审核，通过使用Azure Policy、Azure Resource Manager、Azure Resource Graph以确保所有资产的一致性。

实现部署加速

使用Azure Tag(标记)对Azure资源和管理层次结构进行组织，实现必须根据定义的Tag策略对所有资产进行分组和标记。使用Azure Policy可以执行所有资产都必须使用已批准的部署模型。Azure自动化提供基于云的自动化和配置服务，用于支持Azure环境和非Azure环境之间的一致管理。Azure Automation包括流程自动化、配置管理、更新管理、共享功能等。在部署、操作期间，自动化可以提供全面的控制，从而加速部署周期。

为帮助客户评估当前治理水平，CAF也提供了治理评估分析服务，为客户提供个性化的评估报告，并且与客户所在行业平均水平做对比(参考下图)。帮助企业正确指定治理策略的起点和未来目标。

最后同样需要强调，别忘了 持续改进!随着企业云资产的逐渐变化，云治理流程和策略也随之变化。在实现云采用计划的整个过程中，以迭代方式添加治理控制，从以上讲述的五个方面阶段性的制定新策略，使用Azure提供的治理工具有效执行治理策略，帮助企业降低云采用过程风险。