במסמך הזה מוסבר איך לתכנן אסטרטגיה יעילה של תוויות לארגון. לפני שמתחילים ליצור תוויות, כדאי לעיין בעקרונות הכלליים הבאים שיעזרו לכם לארגן את Cloud de Confiance by S3NS המשאבים באמצעות תוויות.
עקרונות כלליים לגבי תוויות
שימוש בתוויות תמיד
התוויות לא נדרשות, אבל הן עוזרות לארגן ולנהל את המשאבים שלכם ב-Cloud de Confiance by S3NS . אפשר להשתמש בתוויות כדי לעקוב אחרי עלויות ולזהות משאבים. כשמשתמשים בתוויות למשאבים, חשוב להקפיד על הנחיות התיוג. מומלץ ליצור מדיניות רשמית בנושא תיוג, שתתאים לבעלי העניין העיקריים בארגון. בטבלת הדוגמה מוצגת מדיניות תיוג שחלה על כל הארגון.
החלת תוויות באופן פרוגרמטי לשמירה על עקביות
במידת האפשר, כדאי להחיל תוויות באופן אוטומטי. כלים כמו Script ו-Terraform מאפשרים להפוך את תהליך יצירת התוויות לאוטומטי ולעזור באכיפה של מדיניות התיוג. הכלים האלה מבטיחים שהתוויות יוחלו באופן עקבי על כל המשאבים. משתמשים בפורמט תלוי-רישיות להוספת תוויות ומחילים אותו באופן עקבי על כל המשאבים.
סטנדרטיזציה של תוויות
חשוב להשתמש במערכת עקבית וסטנדרטית של תוויות לכל המשאבים. כך קל יותר לחפש, לסנן ולנהל את המשאבים. כדי לפשט את אסטרטגיית התוויות, מומלץ לא להשתמש ביותר מעשר תוויות. התאמה של התוויות לאופן שבו רוצים לדווח על העלויות. מומלץ להשתמש בקבוצה סטנדרטית של מפתחות וערכים של תוויות שמתאימים לארגון שלכם. התוויות יכולות להתייחס לתרחישי שימוש עסקיים כמו סביבה, סיווג נתונים, מרכז עלויות, צוות, רכיב, אפליקציה ותאימות.
חשוב לזכור שסטנדרטיזציה של מדיניות התיוג והקפדה עליה חיוניות לניהול מרכזי של תוויות. צוותי מוצרים ומחלקות יכולים גם להוסיף תוויות מותאמות אישית למשאבים כדי לשתף מידע ספציפי לצוות. מידע נוסף זמין במאמר בנושא החלת תוויות לא סטנדרטיות.
דוגמה להגדרת קבוצה סטנדרטית של ערכים לכל אחד מהמפתחות:
- סביבה:
prod/dev/staging - סיווג נתונים:
public/internal-only/confidential/restricted/na - מרכז עלות:
c23543 - צוות:
shopping-cart - רכיב:
frontend/cache/backend/database - אפליקציה:
shopping-cart-payments - תאימות:
pci-hipaa
הימנעות ממידע סודי
הגנה על פרטים אישיים מזהים (PII) היא חיונית לאבטחה. מומלץ להימנע מאחסון פרטים אישיים מזהים (PII) או מידע סודי אחר בתוויות.
החלת תוויות לא סטנדרטיות
חשוב מאוד לפעול בהתאם למדיניות בנושא תוויות, אבל אפשר גם להשתמש בתוויות כדי לשתף מידע ספציפי לצוות או למחלקה של מוצר מסוים. במקרה כזה,
אם בעלי המשאבים בצוותים השונים יוכלו להחיל תוויות לא סטנדרטיות על כל משאב, הם יוכלו לספק יותר הקשר לגבי המשאב. כך קל יותר לחפש, לסנן ולשתף מידע שספציפי לצוותי המוצר או למחלקות האלה. לדוגמה, למשאב יחיד יכול להיות סט של תוויות רגילות כמו environment:prod, data-classification:restricted, cost-center:c23543, team:shopping-cart, app:shopping-cart-payments, component:database, compliance: pci. בעל המשאב יכול להוסיף תוויות לא סטנדרטיות כמו version:5.0.1 ו-replica:primary כדי לציין את הגרסה של אשכול מסד הנתונים ואת סטטוס השכפול של הצומת.
השלכות של שינויים
סביר להניח ששיטת התיוג שלכם תשתנה בהתאם לשינויים בדרישות העסקיות. חשוב להבין את ההשלכות האפשריות של השינויים האלה. לדוגמה, הוספה של מרכזי עלות חדשים, מיקרו-שירותים או כלים חדשים יכולה להשפיע על אסטרטגיית התיוג.
דפוס וסכימת מתן שמות לתוויות
לכל ארגון יש דרך משלו לארגן משאבים. אפשר להשתמש בתוויות כדי לסווג את המשאבים בהיררכיה בכמה דרכים, וכך לעזור למשתמשים לסנן את המשאבים שהם צריכים. כשמגדירים את שיטת מתן השמות לתוויות, כדאי להתייחס לנקודות הבאות:
- סביבה, מרכז עלויות, צוות, רכיב, אפליקציות, תאימות ובעלות שמשויכים למשאב.
- סיווג הנתונים של כל הנתונים שמאוחסנים במערכת. ההגדרה הזו רלוונטית רק למערכות עם מצב.
- תוויות שצריך להחיל ברמת המשאב הספציפי, כמו Compute Engine, קטגוריה של Cloud Storage או הפרויקט.
- גמישות בשימוש בתוויות אופציונליות, לפי הצורך, כדי לספק מידע נוסף על משאבים.
קידוד תוויות ותווים נתמכים
כל התווים של המפתח והערך צריכים להיות בקידוד UTF-8. אפשר להשתמש בתווים בינלאומיים. המפתחות צריכים להתחיל באות קטנה או בתו בינלאומי. המפתחות והערכים יכולים להכיל רק אותיות קטנות, ספרות, קווים תחתונים ומקפים.
דוגמה להגדרת תוויות
כדי להגדיר תוויות, חשוב לזכור את המאפיינים הבאים.
| שדה | תיאור |
|---|---|
| מפתח התווית | מפתח התווית הוא מזהה ייחודי של תווית. הוא חייב להיות מחרוזת (string) באורך של תו אחד לפחות ו-63 תווים לכל היותר. המפתח לא יכול להיות ריק. אתם יכולים להשתמש בקבוצה סטנדרטית של מפתחות תוויות שמתאימים ביותר לארגון שלכם ומכסים תרחישי שימוש עסקיים כמו environment, data-classification, cost-center, team, component, application ו-compliance. |
| ערך התווית | ערך התווית הוא הנתונים שמשויכים למפתח. הוא יכול להיות מחרוזת, מספר או ערך בוליאני. מומלץ להגדיר קבוצת ערכים לכל מפתח תווית. כך הצוותים יכולים לבחור ולהקצות ערכים מתאימים לכל מפתח. לדוגמה, למפתח environment יכולים להיות ערכים כמו prod, staging, dev או tools. |
| מי צריך לטפל בזה | מזהים את המחלקה שצריכה את מפתח התווית כדי לסנן משאבים או ליצור דוחות. לדוגמה, מחלקת הכספים בארגון רוצה לדעת את העלות של הפעלת סביבת prod. הם ישתמשו בצמד key:value של התווית environment:prod. |
| המשאב שאליו תינתן גישה | לכל תווית, כדאי להגדיר משאב יעד Cloud de Confiance by S3NS שבו צריך להחיל את צמד המפתח:הערך של התווית. לדוגמה, מפתח התווית environment צריך להיות בכל Cloud de Confiance by S3NS משאב בסביבת הייצור של הארגון. |
| חריג | כדאי להגדיר אילו מפתחות של תוויות הם חובה בכל המשאבים ואילו מפתחות הם אופציונליים. בטבלת הדוגמאות, יש כמה זוגות של תוויות key:value שהן אופציונליות, כמו environment:tools. מפתח התווית altostrat-team יכול להיחשב כאופציונלי אם ערך התווית של התווית altostrat-environment מוגדר כ-tools. |
בדוגמה הבאה של תווית, altostrat מתאים לשם הארגון.
| מפתח התווית | ערך התווית | מי צריך לטפל בזה | המשאב שאליו תינתן גישה | חריג |
|---|---|---|---|---|
| altostrat-environment | prod, sb1, staging, dev, tools | כספים | Cloud de Confiance by S3NS משאבים | לא |
| altostrat-data-classification | ציבורי, פנימי בלבד, סודי, מוגבל, לא רלוונטי | אבטחה | קטגוריות, מסדי נתונים, דיסקים לאחסון מתמיד עם Compute Engine | לא |
| altostrat-cost-center | fin-us, mkt-eu, it-jp | כספים | Cloud de Confiance by S3NS משאבים | sandbox-folder |
| altostrat-team | shopping-cart | ראש צוות | Cloud de Confiance by S3NS משאבים | סביבות שאינן סביבות ייצור, רכיבים לא קריטיים |
| altostrat-component | קצה קדמי, מטמון, אפליקציה, מסד נתונים | כספים | Cloud de Confiance by S3NS משאבים | אופציונלי |
| altostrat-app | shopping-cart-payment | כספים | Cloud de Confiance by S3NS משאבים | לא. יש חריג למשאבים עם ריבוי דיירים שבהם אין מיפוי של 1:1 עם האפליקציה. |
| altostrat-compliance | pci, hipaa | אבטחה | Cloud de Confiance by S3NS משאבים | אופציונלי |