منطقة التصميم: إدارة Azure
تحدد إدارة Azure الأدوات اللازمة لدعم الإدارة السحابية، وتدقيق الامتثال، وعلامات الحماية التلقائية.
مراجعة منطقة التصميم
الأدوار أو الوظائف المعنية: يقود إدارة Azure إدارة السحابة. قد تكون هناك حاجة إلى النظام الأساسي السحابيومركز التميز السحابي لتحديد وتنفيذ بعض المتطلبات التقنية. تركز الحوكمة على فرض العمليات ومتطلبات الأمان، والتي قد تتطلب أمان السحابة أو تكنولوجيا المعلومات المركزية أو العمليات السحابية.
نطاق: مراجعة القرارات التي تم اتخاذها أثناء مراجعات مجالات تصميم الهويةوالشبكةوالأمانوالإدارة . قد يقارن الفريق قرارات المراجعة من الحوكمة التلقائية، والتي تعد جزءا من مسرع منطقة هبوط Azure. قد تساعد قرارات المراجعة في تحديد ما يمكن تدقيقه أو فرضه. قد تقيم قرارات المراجعة النهج التي يمكن نشرها تلقائيا.
خارج النطاق: تنشئ حوكمة Azure الأساس للشبكات. ومع ذلك، فإنه لا يعالج المقالات المتعلقة بالامتثال مثل أمان الشبكة المتقدم أو حواجز الحماية التلقائية لفرض قرارات الشبكات. قد تتم معالجة قرارات الشبكات هذه عند مراجعة مجالات تصميم التوافق المتعلقة بالأمانوالحوكمة. قد يسمح تأخير المناقشات لفريق النظام الأساسي السحابي بمعالجة متطلبات الشبكات الأولية قبل معالجة المقالات الأكثر تعقيدا.
بيئة سحابية جديدة (greenfield): لبدء رحلتك السحابية بمجموعة صغيرة من الاشتراكات، راجع إنشاء اشتراكات Azure الأولية. ضع في اعتبارك أيضا استخدام قوالب توزيع Bicep في إنشاء مناطق هبوط Azure الجديدة. لمزيد من المعلومات، راجع Azure Landing Zones Bicep - Deployment Flow.
بيئة سحابية موجودة (brownfield): ضع في اعتبارك ما يلي إذا كنت مهتما بتطبيق مبادئ إدارة Azure المثبتة الممارسة على بيئات Azure الحالية:
- راجع إرشاداتنا لإنشاء أساس إدارة للبيئة المختلطة أو متعددة السحابات
- تنفيذ ميزات Azure Cost Management + Billing مثل نطاقات الفوترة والموازنات والتنبيهات لضمان بقاء إنفاق Azure ضمن الحدود المحددة
- استخدم نهج Azure لفرض حواجز حماية الحوكمة على عمليات توزيع Azure، وتشغيل مهام المعالجة لجلب موارد Azure الموجودة إلى حالة متوافقة
- ضع في اعتبارك Azure AD إدارة الاستحقاق لأتمتة طلبات Azure وتعيينات الوصول والمراجعات وانتهاء الصلاحية
- استخدم توصيات Azure Advisor لضمان تحسين التكلفة والتميز التشغيلي في Azure، وكلاهما مبادئ أساسية ل Microsoft Azure Well-Architected Framework.
يحتوي مستودع Azure Landing Zones Bicep - Deployment Flow على العديد من قوالب توزيع Bicep التي يمكنها تسريع عمليات توزيع منطقة هبوط Azure greenfield و brownfield. تحتوي هذه القوالب بالفعل على إرشادات حوكمة مثبتة الممارسة من Microsoft مدمجة داخلها.
على سبيل المثال، ضع في اعتبارك استخدام الوحدة النمطية ALZ Default Policy Assignments Bicep للحصول على البدء في ضمان التوافق لبيئات Azure الخاصة بك.
لمزيد من المعلومات حول العمل في بيئات السحابة براونفيلد، راجع اعتبارات بيئة Brownfield.
نظرة عامة على منطقة التصميم
تبدأ رحلة اعتماد السحابة للمؤسسات بعناصر تحكم قوية في البيئات الحكومية.
توفر الحوكمة آليات وعمليات للحفاظ على التحكم في الأنظمة الأساسية والتطبيقات والموارد في Azure.
تستكشف مراجعة منطقة التصميم الاعتبارات والتوصيات التي تساعدك على اتخاذ قرارات مستنيرة أثناء تخطيط منطقتك المنتقل إليها.
تركز منطقة تصميم الحوكمة على قرارات التصميم في المنطقة المنتقل إليها. كما تقدم منهجية Govern لإطار عمل اعتماد السحابة إرشادات لعمليات وأدوات الحوكمة.
تتكون منهجية الإدارة من خمسة تخصصات:
| الانضباط | السياق |
|---|---|
| إدارة التكلفة | استكشاف إرشادات تقنيات التحكم في الإبلاغ عن التكلفة |
| أساس الأمان | استكشاف المزيد في منطقة تصميم الأمان |
| تناسق الموارد | استكشاف إرشادات تسمية الموارد ووضع علامات لها في إدارة البيئة |
| أساس الهوية | مغطى بعمق في منطقة تصميم إدارة الهوية والوصول |
| تسريع النشر | استكشاف المزيد في أتمتة النظام الأساسي ومنطقة تصميم DevOps |
اعتبارات إدارة Azure
يضمن نهج Azure الأمان والتوافق للعقارات التقنية للمؤسسات. قد يفرض نهج Azure اصطلاحات الإدارة والأمان الحيوية عبر خدمات النظام الأساسي ل Azure. نهج Azure يكمل التحكم في الوصول المستند إلى الدور في Azure، والذي يتحكم في إجراءات المستخدمين المعتمدين. أيضا، قد تساعد Azure Cost Management + Billing في دعم تكلفة الإدارة المستمرة والإنفاق في Azure أو البيئات متعددة السحابات الأخرى.
اعتبارات تسريع التوزيع
قد يعيق تغيير مجالس المراجعة الاستشارية ابتكار المؤسسات وسرعة الأعمال. يزيد نهج Azure من كفاءة حمل العمل عن طريق استبدال مثل هذه المراجعات بعلامات حماية تلقائية وتدقيقات الالتزام.
- حدد نهج Azure المطلوبة استنادا إلى عناصر تحكم عملك أو لوائح التوافق. استخدم النهج المضمنة في مسرع منطقة هبوط Azure كنقطة ذكر.
- استخدم نماذج المخطط المستندة إلى المعايير للنظر في النهج الأخرى التي قد تتوافق مع متطلبات عملك.
- غالبا ما يتم أتمتة فرض اصطلاحات الشبكات والهوية والإدارة والأمان.
- إدارة تعيينات النهج وإنشاءها باستخدام تعريفات النهج، والتي يمكن إعادة استخدامها في نطاقات تعيين موروثة متعددة. يمكنك الحصول على تعيينات نهج أساس مركزية في نطاقات الإدارة والاشتراك ومجموعة الموارد.
- ضمان الامتثال المستمر للإبلاغ عن التوافق والتدقيق.
- فهم أن نهج Azure له حدود، مثل تقييد التعريفات في أي نطاق معين: حدود النهج.
- فهم سياسات التوافق التنظيمي. قد تتضمن النهج معايير HIPAA أو PCI-DSS أو SOC 2 Trust Services.
اعتبارات إدارة التكلفة
- كيف يتم تنظيم نموذج تكلفة المؤسسات وإعادة الشحن؟ ما هي نقاط البيانات الرئيسية المطلوبة لرؤية إنفاق الخدمات السحابية بدقة؟
- قد يساعد العثور على بنية العلامات التي تناسب التكلفة ونموذج إعادة الشحن في تعقب إنفاق السحابة.
- يمكن استخدام حاسبة أسعار Azure لتقدير التكاليف الشهرية المتوقعة لاستخدام أي مجموعة من منتجات Azure.
- قد تساعد Azure Hybrid Benefit في تقليل تكاليف تشغيل أحمال العمل الخاصة بك في السحابة. يمكنك استخدام تراخيص Windows Server وSQL Server المحلية التي تم تمكين ضمان البرنامج بها على Azure. ينطبق أيضا على اشتراكات Red Hat وSUSE Linux.
- تساعدك حجوزات Azure على توفير المال من خلال الالتزام بخطط مدتها سنة واحدة أو ثلاث سنوات لمنتجات متعددة. لنحصل على خصومات على الموارد، مما قد يقلل بشكل كبير من تكاليف الموارد بنسبة تصل إلى 72٪ من أسعار الدفع أولا بأول.
- خطة توفير Azure للحوسبة هي خطة التوفير الأكثر مرونة لدينا وتولد وفورات تصل إلى 65 بالمائة على أسعار الدفع أولا بأول. اختر التزاما مدته سنة واحدة أو ثلاث سنوات ينطبق على خدمات الحوسبة بغض النظر عن المنطقة أو حجم المثيل أو نظام التشغيل. تتضمن خدمات الحوسبة المؤهلة الأجهزة الظاهرية والمضيفين المخصصين ومثيلات الحاوية ووظائف Azure المتميزة وخدمات تطبيق Azure. يمكنك دمج خطة توفير Azure مع حجوزات Azure لتحسين تكلفة الحوسبة والمرونة. لمزيد من المعلومات، راجع خطة توفير Azure.
- يمكن استخدام نهج Azure للسماح بالمناطق وأنواع الموارد ووحدات SKU للموارد المحددة.
- توفر إدارة دورة حياة Azure Storage نهج يستند إلى القواعد. قد يتم استخدام النهج لنقل بيانات الكائن الثنائي كبير الحجم إلى مستويات الوصول المناسبة، أو لانتهاء صلاحية البيانات في نهاية دورة حياة البيانات.
- تمنحك اشتراكات Azure dev/test إمكانية الوصول إلى خدمات Azure المحددة لأحمال العمل غير الإنتاجية بأسعار مخفضة.
- استخدم التحجيم التلقائي لتوفير التكاليف عن طريق تخصيص الموارد وإلغاء تخصيصها ديناميكيا لمطابقة احتياجات الأداء الخاصة بك.
- يسمح لك استخدام أجهزة Azure الظاهرية الموضعية بالاستفادة من سعة غير المستخدمة لدينا بوفورات كبيرة في التكلفة. تعد الأجهزة الظاهرية الموضعية من Azure رائعة لأحمال العمل التي يمكنها التعامل مع الانقطاعات. على سبيل المثال، مهام معالجة الدفعات، وبيئات التطوير/الاختبار، وأحمال عمل الحوسبة الكبيرة، والمزيد.
- بعض خدمات Azure مجانية لمدة 12 شهرا بينما تكون بعض الخدمات الأخرى مجانية دائما. يساعدك تحديد خدمات Azure المناسبة على تقليل التكاليف.
- يمكن أن يساعد تحديد خدمة الحوسبة المناسبة لتطبيقك في كفاءة التكلفة. يوفر Azure العديد من الطرق لاستضافة التعليمات البرمجية الخاصة بك.
اعتبارات تناسق الموارد
- ما هي مجموعات الموارد في بيئتك؟ يمكن لهذه المجموعات مشاركة خصائص التكوين التي قد تكون مطلوبة للمساعدة في البقاء متسقة.
- هل تصميم الاشتراك في التطبيق أو حمل العمل هو الأنسب لاحتياجات العملية الخاصة بك؟
- هل هناك مجموعات من الموارد التي يجب أن تشترك في دورة حياة مشتركة؟
- هل هناك مجموعات من الموارد التي يجب أن تشترك في قيود الوصول الشائعة (مثل التحكم في الوصول المستند إلى الدور)؟
- هل هناك تكوينات موارد قياسية داخل مؤسستك يمكن استخدامها لضمان تكوين أساس متسق؟
اعتبارات أساس الأمان
- ما هي الأدوات وخطوط الحماية التي يجب فرضها عبر البيئة كجزء من أساس الأمان؟
- من الذي قد يتم إعلامه عند العثور على الانحرافات؟
- ضع في اعتبارك استخدام نهج Azure لفرض الأدوات (مثل Microsoft Defender للسحابة، Microsoft Defender للسحابة).
- ضع في اعتبارك استخدام نهج Azure لفرض حواجز الحماية (مثل معيار أمان السحابة من Microsoft).
اعتبارات إدارة الهوية
- من قد يكون لديه حق الوصول إلى سجلات التدقيق لإدارة الهوية والوصول؟
- من الذي قد يتم إعلامه عند حدوث أحداث تسجيل دخول مشبوهة؟
- ضع في اعتبارك استخدام تقارير Azure Active Directory لتنظيم النشاط.
- ضع في اعتبارك السجلات من Azure AD، والتي قد يتم إرسالها إلى مساحة عمل Log Analytics المركزية للنظام الأساسي.
- استكشف قدرات Azure AD مراجعات الوصول في نهج إدارة المنطقة المنتقل إليها.
- استكشف قدرات إدارة الاستحقاق Azure AD في نهج إدارة المنطقة المنتقل إليها.
توصيات إدارة Azure
توصيات تسريع التوزيع
- حدد علامات Azure المطلوبة واستخدم وضع نهج الإلحاق لفرض الاستخدام. استخدام مقالة استراتيجية وضع العلامات كنقطة بداية
- تعيين المتطلبات التنظيمية والامتثال لتعريفات Azure Policy وتعيينات دور Azure.
- إنشاء تعريفات نهج Azure في مجموعة إدارة الجذر من المستوى الأعلى حيث قد يتم تعيينها في النطاقات الموروثة.
- إدارة تعيينات النهج على أعلى مستوى مناسب مع استثناءات في المستويات السفلية، إذا لزم الأمر.
- استخدم نهج Azure للتحكم في تسجيلات موفر الموارد على مستويات الاشتراك أو مجموعة الإدارة.
- استخدم النهج المضمنة لتقليل النفقات التشغيلية.
- قم بتعيين دور مساهم نهج الموارد المضمن في نطاق معين لتمكين الإدارة على مستوى التطبيق.
- حدد عدد تعيينات نهج Azure التي تم إجراؤها في نطاق مجموعة إدارة الجذر لتجنب الإدارة من خلال الاستثناءات في النطاقات الموروثة.
توصيات إدارة التكلفة
- استخدم Azure Cost Management + Billing لتنفيذ الرقابة المالية على الموارد في بيئتك.
- استخدم العلامات في Azure لإلحاق بيانات التعريف بالموارد، والتي قد تمكن التحليل الدقيق للإنفاق (مثل مركز التكلفة أو اسم المشروع).
إدارة Azure في مسرع منطقة Azure المنتقل إليها
يتضمن تنفيذ مسرع منطقة هبوط Azure قدرات لمساعدة المؤسسات على الحصول على عناصر تحكم حوكمة ناضجة بكفاءة.
على سبيل المثال:
- قد يشجع التسلسل الهرمي لمجموعة الإدارة الذي يجمع الموارد حسب الوظيفة أو نوع حمل العمل على أفضل الممارسات لتناسق الموارد.
- قد تمكن مجموعة غنية من نهج Azure عناصر التحكم في الحوكمة على مستوى مجموعة الإدارة لضمان وجود جميع الموارد في النطاق.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ