نهج الاختبار لمناطق هبوط Azure
ملاحظة
تنطبق هذه المقالة فقط على Microsoft Azure وليس على أي عروض Microsoft Cloud أخرى مثل Microsoft 365 أو Microsoft Dynamics 365.
قد ترغب بعض المؤسسات في اختبار توزيع النظام الأساسي للمناطق المنتقل إليها في Azure لتعريفات وتعيينات نهج Azure، والأدوار والتعيينات المخصصة للتحكم في الوصول استنادا إلى الدور (RBAC)، وما إلى ذلك. يمكن إكمال الاختبارات عبر الأتمتة باستخدام قوالب Azure Resource Manager (قوالب ARM) أو AzOps أو Terraform أو Bicep أو يدويا عبر مدخل Microsoft Azure. توفر هذه الإرشادات نهجا يمكن استخدامه لاختبار التغييرات وتأثيرها في نشر النظام الأساسي لمناطق هبوط Azure.
يمكن أيضا استخدام هذه المقالة مع أتمتة النظام الأساسي وإرشادات منطقة التصميم الهامة ل DevOps من حيث صلتها بفرق ومهام وظائف PlatformOps و Central.
هذه الإرشادات هي الأنسب للمؤسسات التي لديها عمليات قوية لإدارة التغيير التي تحكم التغييرات في التسلسل الهرمي لمجموعة إدارة بيئة الإنتاج. يمكن استخدام التسلسل الهرمي لمجموعة إدارة الكناري بشكل مستقل لتأليف عمليات التوزيع واختبارها قبل نشرها في بيئة الإنتاج.
ملاحظة
يستخدم مصطلح الكناري لتجنب الارتباك مع بيئات التطوير أو بيئات الاختبار. يستخدم هذا الاسم لأغراض التوضيح فقط. يمكنك تحديد أي اسم تراه مناسبا لبيئة مناطق هبوط Azure الكناري.
وبالمثل، يتم استخدام مصطلح بيئة الإنتاج خلال هذه الإرشادات للإشارة إلى التسلسل الهرمي لمجموعة الإدارة الذي قد تكون لدى مؤسستك في مكانه الذي يحتوي على اشتراكات وموارد Azure لأحمال العمل الخاصة بك.
تعريف النظام الأساسي
هام
هذه الإرشادات ليست لبيئات التطوير أو بيئات الاختبار التي سيتم استخدامها من قبل مالكي التطبيقات أو الخدمات المعروفة باسم مناطق الهبوط أو أحمال العمل أو التطبيقات أو الخدمات. يتم وضعها ومعالجتها داخل التسلسل الهرمي لمجموعة إدارة بيئة الإنتاج والإدارة المقترنة (RBAC وAzure Policy).
هذه الإرشادات مخصصة فقط للاختبار على مستوى النظام الأساسي والتغييرات في سياق مناطق هبوط Azure.
يساعدك نطاق المؤسسة على تصميم مكونات النظام الأساسي Azure المطلوبة وتوزيعها لتمكينك من إنشاء المناطق المنتقل إليها وتشغيلها على نطاق واسع.
موارد النظام الأساسي في نطاق هذه المقالة ونهج الاختبار هذا هي:
| المنتج أو الخدمة | موفر الموارد ونوعه |
|---|---|
| مجموعات الإدارة | Microsoft.Management/managementGroups |
| اقتران اشتراك مجموعات الإدارة | Microsoft.Management/managementGroups/subscriptions |
| تعريفات السياسة | Microsoft.Authorization/policyDefinitions |
| تعريفات مبادرة النهج أو تعريفات مجموعة النهج | Microsoft.Authorization/policySetDefinitions |
| تعيينات النهج | Microsoft.Authorization/policyAssignments |
| تعريفات دور التحكم في الوصول استنادا إلى الدور | Microsoft.Authorization/roleDefinitions |
| تعيينات دور التحكم في الوصول استنادا إلى الدور | Microsoft.Authorization/roleAssignments |
| الاشتراكات | Microsoft.Subscription/الأسماء المستعارة |
أمثلة على السيناريوهات والنتائج
مثال على هذا السيناريو هو مؤسسة تريد اختبار تأثير ونتيجة نهج Azure جديد للتحكم في الموارد والإعدادات في جميع المناطق المنتقل إليها، وفقا لمبدأ تصميم الحوكمة المستند إلى النهج. لا يريدون إجراء هذا التغيير مباشرة على بيئة الإنتاج لأنهم قلقون بشأن التأثير الذي قد يحدثه.
سيسمح استخدام بيئة الكناري لاختبار تغيير النظام الأساسي هذا للمؤسسة بتنفيذ ومراجعة تأثير ونتيجة تغيير نهج Azure. ستضمن هذه العملية أنها تفي بمتطلبات المؤسسة قبل تنفيذ نهج Azure لبيئة الإنتاج الخاصة بهم.
قد يكون السيناريو المماثل تغييرا في تعيينات دور Azure RBAC وعضوية مجموعة Azure AD. قد يتطلب شكلا من أشكال الاختبار قبل إجراء التغييرات في بيئة الإنتاج.
هام
هذا ليس نهجا أو نمطا شائعا للتوزيع لمعظم العملاء. إنه ليس إلزاميا لعمليات توزيع مناطق هبوط Azure.
الشكل 1: التسلسل الهرمي لمجموعة إدارة الكناري.
كما يظهر الرسم التخطيطي، يتم تكرار التسلسل الهرمي لمجموعة إدارة بيئة إنتاج مناطق Azure المنتقل إليها بالكامل ضمن Tenant Root Group. يتم إلحاق اسم الكناري بأسماء عرض مجموعة الإدارة ومعرفاتها. يجب أن تكون المعرفات فريدة داخل مستأجر Azure AD واحد.
ملاحظة
يمكن أن تكون أسماء عرض مجموعة إدارة بيئة الكناري هي نفسها أسماء عرض مجموعة إدارة بيئة الإنتاج. قد يتسبب هذا في حدوث ارتباك للمستخدمين. لهذا السبب، نوصي بإلحاق الاسم "canary" بأسماء العرض، بالإضافة إلى معرفاتها.
ثم يتم استخدام التسلسل الهرمي لمجموعة إدارة بيئة الكناري لتبسيط اختبار أنواع الموارد التالية:
- مجموعات الإدارة
- موضع الاشتراك
- RBAC
- الأدوار (مضمنة ومخصصة)
- التعيينات
- نهج Azure
- التعريفات (مضمنة ومخصصة)
- المبادرات، والمعروفة أيضا باسم تعريفات المجموعة
- التعيينات
ماذا لو كنت لا تريد نشر التسلسل الهرمي الكامل لمجموعة إدارة بيئة الكناري؟
إذا كنت لا تريد نشر التسلسل الهرمي لمجموعة إدارة بيئة الكناري بالكامل، يمكنك اختبار موارد النظام الأساسي ضمن التسلسل الهرمي لبيئة الإنتاج باستخدام اشتراكات بيئة الاختبار المعزولة كما هو موضح في الرسم التخطيطي.
الشكل 2: التسلسل الهرمي لمجموعة الإدارة على نطاق المؤسسة الذي يسلط الضوء على بيئات الاختبار المعزولة.
لاختبار نهج Azure وRBAC في هذا السيناريو، تحتاج إلى اشتراك Azure واحد مع دور المالك RBAC المعين للهوية التي ترغب في إكمال الاختبار عليها، على سبيل المثال، حساب المستخدم أو كيان الخدمة أو هوية الخدمة المدارة. سيسمح لك هذا التكوين بتأليف وتعيين ومعالجة تعريفات وتعيينات نهج Azure ضمن نطاق اشتراك بيئة الاختبار المعزولة فقط.
يمكن أيضا استخدام نهج بيئة الاختبار المعزولة هذا لاختبار التحكم في الوصول استنادا إلى الدور داخل الاشتراك، على سبيل المثال، إذا كنت تقوم بتطوير دور RBAC مخصص جديد لمنح أذونات لحالة استخدام معينة. يمكن إجراء هذا الاختبار كله في اشتراك بيئة الاختبار المعزولة واختباره قبل إنشاء الأدوار وتعيينها أعلى في التسلسل الهرمي.
تتمثل إحدى فوائد هذا النهج في أنه يمكن استخدام اشتراكات بيئة الاختبار المعزولة للوقت المطلوب، ثم حذفها من البيئة.
ومع ذلك، لا يسمح لك هذا الأسلوب بالاختبار مع توريث نهج RBAC وAzure من التسلسل الهرمي لمجموعة الإدارة.
استخدام مستأجر Azure AD واحد
الاعتبارات التي يجب مراعاتها عند استخدام مستأجر Azure AD واحد هي:
- يتبع توصيات التصميم على نطاق المؤسسة للمستأجرين Azure AD.
- وفقا لأفضل ممارسات Cloud Adoption Framework Azure، قم بتوحيد دليل واحد وإرشادات الهوية، فإن المستأجرين Azure AD الفرديين هم أفضل الممارسات لمعظمهم.
- في مستأجر Azure AD واحد، يمكنك استخدام مجموعات Azure AD المختلفة لكل من بيئات الإنتاج وبيئات مناطق هبوط Azure الكناري، مع نفس المستخدمين، المعينين للتسلسل الهرمي لمجموعة الإدارة ذات الصلة داخل نفس المستأجر Azure AD.
- زيادة تكاليف ترخيص Azure AD أو تكرارها بسبب هويات متعددة عبر مستأجرين Azure AD مختلفين.
- هذه النقطة ذات صلة خاصة بالعملاء الذين يستخدمون ميزات Azure AD Premium.
- ستكون تغييرات التحكم في الوصول استنادا إلى الدور أكثر تعقيدا في كل من بيئات الكناري وبيئات الإنتاج، حيث من المحتمل أن المستخدمين والمجموعات ليست متطابقة عبر كلا المستأجرين Azure AD.
- علاوة على ذلك، لن تكون معرفات المستخدمين والمجموعات هي نفسها عبر Azure AD المستأجرين بسبب كونها فريدة عالميا.
- يقلل من التعقيد والنفقات الإدارية الناتجة عن إدارة مستأجرين متعددين Azure AD.
- قد يقوم المستخدمون المتميزون الذين يجب عليهم الحفاظ على الوصول وتسجيل الدخول لفصل المستأجرين لإجراء الاختبار بإجراء تغييرات على بيئة الإنتاج عن طريق الخطأ، بدلا من إجراء تغييرات على بيئة الكناري والعكس صحيح.
- يقلل من احتمالية انحراف التكوين وفشل التوزيع.
- لا يتطلب إنشاء المزيد من الأمان وعمليات الوصول في حالات الطوارئ أو كسر الزجاج.
- يقلل من الاحتكاك والوقت المطلوب لتنفيذ التغييرات على توزيع مناطق هبوط Azure.
إرشادات التنفيذ
فيما يلي إرشادات حول كيفية تنفيذ واستخدام التسلسل الهرمي لمجموعة إدارة الكناري لمناطق هبوط Azure جنبا إلى جنب مع التسلسل الهرمي لمجموعة إدارة بيئة الإنتاج.
تحذير
إذا كنت تستخدم المدخل لنشر بيئة مناطق هبوط Azure وإدارتها اليوم، فقد يكون من الصعب اعتماد واستخدام نهج الكناري بكفاءة بسبب وجود خطر كبير من عدم مزامنة بيئات الإنتاج والكناري في كثير من الأحيان وبالتالي عدم توفير تسلسل هرمي وبيئة إنتاج تشبه النسخة المتماثلة.
ضع في اعتبارك الانتقال إلى نهج نشر البنية الأساسية كتعلم برمجي لمناطق هبوط Azure، كما هو موضح أعلاه، إذا كنت في هذا السيناريو. أو كن على دراية بالمخاطر المحتملة للانحراف في التكوين بين الكناري والإنتاج ومتابعة الرعاية.
- استخدم كيانات خدمة Azure AD منفصلة (SPNs) أو هويات الخدمة المدارة (MSIs) التي يتم منحها أذونات عبر بيئة الإنتاج ذات الصلة أو التسلسل الهرمي لمجموعة إدارة بيئة الكناري.
- يتبع هذا التوجيه مبدأ الامتياز الأقل (PoLP)
- استخدم مجلدات منفصلة داخل مستودع git أو الفروع أو المستودعات للاحتفاظ بالبنية الأساسية كتعلم برمجي لبيئة الإنتاج وبيئة الكناري عمليات توزيع مناطق Azure المنتقل إليها.
- استخدام أساسيات خدمة Azure AD ذات الصلة (SPNs) أو هويات الخدمة المدارة (MSIs) كجزء من مسارات CI/CD اعتمادا على التسلسل الهرمي الذي يتم نشره.
- تنفيذ نهج فرع git أو الأمان لبيئة الكناري كما هو الحال في بيئة الإنتاج.
- ضع في اعتبارك تقليل عدد الموافقين والتحقق من أن بيئة الكناري سريعة الفشل.
- استخدم نفس Azure Pipelines أو إجراءات GitHub التي تستخدم متغيرات البيئة لتغيير التسلسل الهرمي الذي يتم نشره. خيار آخر هو استنساخ المسارات وتعديل الإعدادات ذات التعليمات البرمجية المضمنة لتحديد التسلسل الهرمي الذي يتم نشره.
- سيساعدك استخدام قوالب Azure Pipelines DevOps أو قوالب سير عمل إجراءات GitHub على الالتزام بمبدأ عدم تكرار نفسك (DRY ).
- لديك مجموعة من اشتراكات الكناري ضمن قسم EA منفصل وحساب يمكن نقله حول التسلسل الهرمي لمجموعة إدارة الكناري حسب الحاجة.
- قد يكون من المفيد نشر مجموعة من الموارد دائما في اشتراكات بيئة الكناري.
- قد يكون من المفيد أن يكون لديك قوالب البنية الأساسية كتعلم برمجي مثل قوالب ARM أو Bicep أو Terraform، التي تنشئ مجموعة من الموارد التي تمكن التحقق من صحة التغييرات في بيئة الكناري.
- أرسل جميع سجلات نشاط Azure لجميع اشتراكات Azure، بما في ذلك أي اشتراكات في بيئة الكناري، إلى بيئة الإنتاج مساحة عمل Azure Log Analytics وفقا لتوصيات تصميم مناطق هبوط Azure.
تلميح
إذا كان لديك بالفعل مناطق هبوط Azure موزعة في الإنتاج وتتطلع الآن إلى إضافة بيئة كناري. ضع في اعتبارك استنساخ التوزيع الحالي للتسلسل الهرمي لبيئة الإنتاج وتعديل أسماء الموارد لبادئتها بنظام تسمية الكناري.
هذا للتأكد من أن ما تقوم بنشره لتمكين بيئة الكناري متزامن مع الإنتاج من البداية. يتم تحقيق ذلك بسهولة عند استخدام أداة البنية الأساسية كتعلم برمجي جنبا إلى جنب مع مستودع git.
الخطوات التالية
تعرف على كيفية تنفيذ بيئات الاختبار المعزولة للمنطقة المنتقل إليها.