مشاركة عبر

مناطق هبوط Azure - اعتبارات تصميم وحدات Bicep

  • مقالة

تتناول هذه المقالة اعتبارات تصميم المناطق المنتقل إليها في Azure المنمطة (ALZ) - حل Bicep الذي يمكنك استخدامه لنشر وإدارة قدرات النظام الأساسي الأساسية للبنية المفاهيمية لمنطقة هبوط Azure كما هو مفصل في إطار عمل اعتماد السحابة (CAF).

Bicep هي لغة المجال المخصصة (DSL) التي تستخدم بناء الجملة التعريفي لتوزيع موارد Azure. يحتوي على بناء جملة موجز وسلامة نوع موثوق بها ودعم لإعادة استخدام التعليمات البرمجية.

GitHub logo يتوفر تنفيذ هذه البنية على GitHub: مناطق هبوط Azure (ALZ) - تنفيذ Bicep. يمكنك استخدامه كنقطة بداية وتكوينه وفقا لاحتياجاتك.

إشعار

هناك تطبيقات للعديد من تقنيات النشر، بما في ذلك الوحدات النمطية المستندة إلى المدخل وقوالب ARM وTerraform. يجب ألا يؤثر اختيار تقنية التوزيع على توزيع مناطق هبوط Azure الناتجة.

ALZ Bicep Accelerator

يمكنك العثور على إرشادات خطوة بخطوة حول تنفيذ وحدة ALZ Bicep وأتمتتها وصيانتها باستخدام ALZ Bicep Accelerator.

تم تطوير إطار عمل ALZ Bicep Accelerator لتوفير دعم المستخدمين النهائيين لإلحاق ونشر ALZ Bicep باستخدام مسارات CI/CD كاملة، ودعم GitHub Actions وAzure DevOps Pipelines، وإطار عمل مخصص للبقاء متزامنا مع إصدارات ALZ Bicep الجديدة وتعديل أو إضافة وحدات نمطية مخصصة، ويوفر إرشادات استراتيجية التفريع وتدفقات طلب السحب لlinting وتحقق من صحة وحدات Bicep.

التصميم

Diagram showing the bicep modules for deploying Azure landing zones.

تستفيد البنية من الطبيعة النمطية ل Azure Bicep وتتألف من عدد من الوحدات النمطية. تغلف كل وحدة قدرة أساسية للبنية المفاهيمية لمناطق هبوط Azure. يمكن نشر الوحدات النمطية بشكل فردي، ولكن هناك تبعيات يجب أن تكون على دراية بها.

تقترح البنية تضمين وحدات المنسق لتبسيط تجربة التوزيع. يمكن استخدام وحدات المنسق لأتمتة نشر الوحدات النمطية وتغليف طبولوجيا التوزيع المختلفة.

الوحدات

المفهوم الأساسي في Bicep هو استخدام الوحدات النمطية. تمكنك الوحدات النمطية من تنظيم عمليات التوزيع في مجموعات منطقية. مع الوحدات النمطية، يمكنك تحسين قابلية قراءة ملفات Bicep لديك عن طريق تغليف تفاصيل معقدة من عملية التوزيع لديك. يمكنك أيضا إعادة استخدام الوحدات النمطية بسهولة في عمليات التوزيع المختلفة.

توفر القدرة على إعادة استخدام الوحدات فائدة حقيقية عند تحديد مناطق الهبوط ونشرها. وهو يتيح بيئات قابلة للتكرار ومتسقة في التعليمات البرمجية مع تقليل الجهد المطلوب للنشر على نطاق واسع.

الطبقات والتقسيم المرحلي

بالإضافة إلى الوحدات النمطية، يتم هيكلة بنية منطقة هبوط Bicep باستخدام مفهوم الطبقات. الطبقات هي مجموعات من وحدات Bicep النمطية التي تهدف إلى نشرها معا. وتشكل هذه المجموعات مراحل منطقية للتنفيذ.

Diagram showing the deployment layers.

تتمثل إحدى فوائد هذا النهج متعدد الطبقات في القدرة على الإضافة إلى بيئتك بشكل متزايد بمرور الوقت. على سبيل المثال، يمكنك البدء بعدد صغير من الطبقات. يمكنك إضافة الطبقات المتبقية في مرحلة لاحقة عندما تكون جاهزا.

أوصاف الوحدة النمطية

يوفر هذا القسم نظرة عامة عالية المستوى على الوحدات الأساسية في هذه البنية.

الطبقة الوحدة ‏‏الوصف روابط مفيدة
الأساسي مجموعات الإدارة مجموعات الإدارة هي أعلى مستوى من الموارد في مستأجر Azure. تسمح لك مجموعات الإدارة بإدارة مواردك بسهولة أكبر. يمكنك تطبيق النهج على مستوى مجموعة الإدارة وسترث موارد المستوى الأدنى هذا النهج. على وجه التحديد، يمكنك تطبيق العناصر التالية على مستوى مجموعة الإدارة التي سيتم توريثها بواسطة الاشتراكات ضمن مجموعة الإدارة:
  • نُهج Azure
  • تعيينات دور عناصر التحكم في الوصول المستندة إلى دور Azure (RBAC)
  • عناصر التحكم في التكلفة

تنشر هذه الوحدة التسلسل الهرمي لمجموعة الإدارة كما هو محدد في البنية المفاهيمية لمنطقة هبوط Azure.
الأساسي تعريفات النهج المخصصة يساعد DeployIfNotExists (DINE) أو تعديل النهج على ضمان توافق الاشتراكات والموارد التي تشكل المناطق المنتقل إليها. كما تخفف السياسات من عبء إدارة مناطق الهبوط.

تنشر هذه الوحدة تعريفات النهج المخصصة لمجموعات الإدارة. ليس كل العملاء قادرين على استخدام نهج DINE أو تعديلها. إذا كان الأمر كذلك بالنسبة لك، فإن إرشادات CAF حول النهج المخصصة توفر إرشادات.
الأساسي تعريفات الأدوار المخصصة يبسط التحكم في الوصول استنادا إلى الدور (RBAC) إدارة حقوق المستخدم داخل النظام. بدلا من إدارة حقوق الأفراد، يمكنك تحديد الحقوق المطلوبة لأدوار مختلفة في النظام الخاص بك. يحتوي Azure RBAC على العديد من الأدوار المضمنة. تسمح لك تعريفات الأدوار المخصصة بإنشاء أدوار مخصصة للبيئة الخاصة بك.

تنشر هذه الوحدة النمطية تعريفات الأدوار المخصصة. يجب أن تتبع الوحدة إرشادات CAF حول التحكم في الوصول المستند إلى الدور في Azure.
الإدارة التسجيل والأتمتة و Sentinel تسمح لك Azure Monitor وأتمتة Azure وMicrosoft Sentinel بمراقبة البنية الأساسية وأحمال العمل وإدارتها. Azure Monitor هو حل يسمح لك بجمع بيانات تتبع الاستخدام وتحليلها والعمل عليها من بيئتك.

Microsoft Sentinel هو معلومات أمان أصلية على السحابة وإدارة الأحداث (SIEM). فهو يقوم بالسماح لك بالمذكور أدناه:
  • جمع - جمع البيانات عبر البنية الأساسية بأكملها
  • Detect - الكشف عن التهديدات التي لم يتم الكشف عنها مسبقا
  • الاستجابة - الاستجابة للتهديدات المشروعة من خلال التنسيق المضمن
  • التحقيق - التحقيق في التهديدات باستخدام الذكاء الاصطناعي

Azure Automation هو نظام أتمتة قائم على السحابة. وهي تشمل:
  • إدارة التكوين - المخزون وتتبع التغييرات لأجهزة Linux وWindows الظاهرية وإدارة تكوين الحالة المطلوب
  • إدارة التحديث - تقييم توافق نظامي Windows وLinux وإنشاء عمليات نشر مجدولة لتلبية التوافق
  • أتمتة العمليات - أتمتة مهام الإدارة

تنشر هذه الوحدة الأدوات اللازمة لمراقبة التهديدات وإدارتها والوصول إليها إلى بيئتك. يجب أن تتضمن هذه الأدوات Azure Monitor وAzure Automation وMicrosoft Sentinel.
قابلية التوصيل الشبكات مخطط الشبكة هو أحد الاعتبارات الرئيسية في عمليات نشر منطقة هبوط Azure. يركز CAF على نهجين أساسيين للشبكات:
  • تخطيطات تستند إلى Azure Virtual WAN
  • طبولوجيا تقليدية

تنشر هذه الوحدات مخطط الشبكة الذي تختاره.
الهوية تعيينات الأدوار إدارة الهوية والوصول (IAM) هي حدود الأمان الرئيسية في حوسبة السحابة. يسمح لك Azure RBAC بإجراء تعيينات الأدوار للأدوار المضمنة أو تعريفات الأدوار المخصصة لأساسيات الأمان.

تنشر هذه الوحدة تعيينات الأدوار إلى كيانات الخدمة أو الهويات المدارة أو مجموعات الأمان عبر مجموعات الإدارة والاشتراكات. يجب أن تتبع الوحدة إرشادات CAF حول هوية Azure وإدارة الوصول.
الأساسي موضع الاشتراك ترث الاشتراكات التي تم تعيينها لمجموعة إدارة:
  • نُهج Azure
  • تعيينات دور عناصر التحكم في الوصول المستندة إلى دور Azure (RBAC)
  • عناصر التحكم في التكلفة

تنقل هذه الوحدة الاشتراكات ضمن مجموعة الإدارة المناسبة.
الأساسي تعيينات النهج المضمنة والمخصصة تنشر هذه الوحدة النمطية تعيينات نهج Azure لمنطقة هبوط Azure الافتراضية إلى مجموعات الإدارة. كما أنه ينشئ تعيينات أدوار للهويات المدارة المعينة من قبل النظام التي تم إنشاؤها بواسطة النهج.
الإدارة وحدات المنسق يمكن لوحدات المنسق تحسين تجربة التوزيع بشكل كبير. تغلف هذه الوحدات توزيع وحدات نمطية متعددة في وحدة نمطية واحدة. هذا يخفي التعقيد من المستخدم النهائي.

تخصيص تنفيذ Bicep

تناسب تطبيقات منطقة هبوط Azure المقدمة كجزء من Cloud Adoption Framework مجموعة متنوعة من المتطلبات وحالات الاستخدام. ومع ذلك، غالبا ما تكون هناك سيناريوهات حيث يكون التخصيص مطلوبا لتلبية احتياجات الأعمال المحددة.

تلميح

راجع تخصيص بنية منطقة هبوط Azure لتلبية متطلبات لمزيد من المعلومات.

بمجرد تنفيذ منطقة هبوط النظام الأساسي، فإن الخطوة التالية هي نشر مناطق هبوط التطبيقات التي تمكن فرق التطبيقات ضمن landing zones مجموعة الإدارة مع حواجز الحماية التي يتطلبها مسؤولو تكنولوجيا المعلومات المركزية أو PlatformOps. corp مجموعة الإدارة هي للتطبيقات المتصلة بالشركة، بينما online مجموعة الإدارة مخصصة للتطبيقات التي تواجه بشكل عام في المقام الأول، ولكن قد لا تزال تتصل بتطبيقات الشركة عبر شبكات المركز في بعض السيناريوهات.

يمكن استخدام تنفيذ منطقة هبوط Bicep Azure كأساس للتوزيع المخصص. يوفر لك طريقة لتسريع التنفيذ الخاص بك عن طريق إزالة الحاجة إلى البدء من الصفر بسبب تغيير مطلوب محدد يحدد خيار جاهز.

GitHub logo تتوفر معلومات حول تخصيص الوحدات النمطية في GitHub repo wiki GitHub: Azure Landing Zones (ALZ) Bicep - Wiki- دليل المستهلك. يمكنك استخدامه كنقطة بداية وتكوينه وفقا لاحتياجاتك.