تصميم بنية منطقة Azure المنتقل إليها لتلبية المتطلبات
كجزء من إرشادات منطقة Azure المنتقل إليها، تتوفر العديد من خيارات التنفيذ المرجعية:
- منطقة هبوط Azure مع Azure Virtual WAN
- منطقة Azure المنتقل إليها مع المركز التقليدي والمتحدث
- أساس منطقة هبوط Azure
- منطقة هبوط Azure للمؤسسات الصغيرة
يمكن أن تساعد هذه الخيارات مؤسستك على البدء بسرعة باستخدام التكوينات التي توفر البنية المفاهيمية لمنطقة Azure المنتقل إليها وأفضل الممارسات في مناطق التصميم.
تستند عمليات التنفيذ المرجعية إلى أفضل الممارسات والتعلمات لفرق Microsoft من التفاوض مع العملاء والشركاء. تمثل هذه المعرفة الجانب "80" من قاعدة 80/20. تتخذ عمليات التنفيذ المختلفة مواقف بشأن القرارات التقنية التي تعد جزءا من عملية تصميم البنية.
نظرا لعدم تطابق جميع حالات الاستخدام، لا يمكن لجميع المؤسسات استخدام نهج تنفيذ بالطريقة المحددة التي كان يقصد بها ذلك. تحتاج إلى فهم الاعتبارات عند تحديد شرط للتكييف.
ما هو النموذج الأصلي للمنطقة المنتقل إليها في مناطق هبوط Azure؟
يصف النموذج الأصلي للمنطقة المنتقل إليها ما يجب أن يكون صحيحا لضمان أن المنطقة المنتقل إليها (اشتراك Azure) تفي بمتطلبات البيئة والتوافق المتوقعة في نطاق معين. تتضمن الأمثلة ما يلي:
- تعيينات نهج Azure.
- تعيينات التحكم في الوصول استنادا إلى الدور (RBAC).
- الموارد المدارة مركزيا مثل الشبكات.
ضع في اعتبارك كل مجموعة إدارة في التسلسل الهرمي للموارد على أنها تساهم في إخراج النموذج الأصلي للمنطقة المنتقل إليها النهائي بسبب الطريقة التي يعمل بها توريث النهج في Azure. فكر في ما يتم تطبيقه على المستويات العليا في التسلسل الهرمي للموارد عند تصميم المستويات الدنيا.
هناك علاقة وثيقة بين مجموعات الإدارة والنماذج الأصلية للمنطقة المنتقل إليها، ولكن مجموعة الإدارة وحدها ليست نموذجا أصليا للمنطقة المنتقل إليها. بدلا من ذلك، فإنه يشكل جزءا من إطار العمل المستخدم لتنفيذ كل من نماذج المنطقة المنتقل إليها في بيئتك.
يمكنك مشاهدة هذه العلاقة في البنية المفاهيمية لمنطقة Azure المنتقل إليها. يتم إنشاء تعيينات النهج في مجموعة إدارة الجذر الوسيطة، على سبيل المثال Contoso، للإعدادات التي يجب تطبيقها على جميع أحمال العمل. يتم إنشاء المزيد من تعيينات النهج على مستويات أقل من التسلسل الهرمي لمتطلبات أكثر تحديدا.
يحدد موضع الاشتراك داخل التسلسل الهرمي لمجموعة الإدارة المجموعة الناتجة من تعيينات نهج Azure والتحكم في الوصول (IAM) التي يتم توريثها وتطبيقها وفرضها على تلك المنطقة المنتقل إليها المحددة (اشتراك Azure).
قد تكون هناك حاجة إلى المزيد من العمليات والأدوات لضمان أن المنطقة المنتقل إليها تحتوي على الموارد المدارة مركزيا المطلوبة. من بين الأمثلة:
- إعدادات التشخيص لإرسال بيانات سجل النشاط إلى مساحة عمل Log Analytics.
- إعدادات التصدير المستمر Microsoft Defender للسحابة.
- شبكة ظاهرية مع مساحات عناوين IP مدارة لأحمال عمل التطبيق.
- ربط الشبكات الظاهرية بحماية شبكة رفض الخدمة الموزعة (DDoS).
ملاحظة
في عمليات التنفيذ المرجعية لمنطقة Azure المنتقل إليها، يتم استخدام نهج Azure مع DeployIfNotExistsالتأثيرات و Modify لتحقيق نشر بعض الموارد السابقة. وهي تتبع مبدأ تصميم الحوكمة المستند إلى السياسة .
لمزيد من المعلومات، راجع اعتماد حواجز الحماية المستندة إلى النهج.
النماذج الأصلية المضمنة للبنية المفاهيمية لمنطقة Azure المنتقل إليها
تتضمن البنية المفاهيمية أمثلة على نماذج المنطقة المنتقل إليها لأحمال عمل التطبيق مثل corpوالإنترنت. قد تنطبق هذه الأنواع الأصلية على مؤسستك وتلبي متطلباتك. قد ترغب في إجراء تغييرات على هذه الأنواع الأصلية أو إنشاء نماذج جديدة. يعتمد قرارك على احتياجات مؤسستك ومتطلباتها.
تلميح
لمراجعة نماذج المنطقة المنتقل إليها في مسرع منطقة هبوط Azure، راجع مجموعات الإدارة في مسرع منطقة هبوط Azure.
قد تحتاج أيضا إلى إنشاء تغييرات في مكان آخر في التسلسل الهرمي للموارد. عند التخطيط للتسلسل الهرمي لتنفيذ مناطق هبوط Azure لمؤسستك، اتبع الإرشادات في مناطق التصميم.
تساعدك أمثلة النموذج الأصلي للمنطقة المنتقل إليها التالية من البنية المفاهيمية على فهم الغرض منها والاستخدام المقصود:
| النموذج الأصلي للمنطقة المنتقل إليها (مجموعة الإدارة) | الغرض أو الاستخدام |
|---|---|
| كورب | مجموعة الإدارة المخصصة للمناطق المنتقل إليها للشركات. هذه المجموعة مخصصة لأحمال العمل التي تتطلب اتصالا أو اتصالا مختلطا مع شبكة الشركة عبر المركز في اشتراك الاتصال. |
| متصل | مجموعة الإدارة المخصصة للمناطق المنتقل إليها عبر الإنترنت. هذه المجموعة مخصصة لأحمال العمل التي قد تتطلب اتصالا مباشرا بالإنترنت الوارد/الصادر أو لأحمال العمل التي قد لا تتطلب شبكة ظاهرية. |
| بيئة الاختبار المعزولة | مجموعة الإدارة المخصصة للاشتراكات التي سيتم استخدامها فقط للاختبار والاستكشاف من قبل المؤسسة. سيتم قطع اتصال هذه الاشتراكات بأمان من مناطق الشركة ومناطق الهبوط عبر الإنترنت. تحتوي بيئات الاختبار المعزولة أيضا على مجموعة أقل تقييدا من النهج المعينة لتمكين اختبار خدمات Azure واستكشافها وتكوينها. |
السيناريوهات التي قد يكون فيها الخياطة مطلوبا
كما ذكرنا، نقدم نماذج أصلية شائعة للمنطقة المنتقل إليها في البنية المفاهيمية لمنطقة Azure المنتقل إليها. هم شركة وعلى الانترنت. هذه النماذج الأصلية غير ثابتة وهي ليست النماذج الأصلية الوحيدة المسموح بها للمنطقة المنتقل إليها لأحمال عمل التطبيق. قد تحتاج إلى تخصيص نماذج المنطقة المنتقل إليها لتناسب احتياجاتك ومتطلباتك.
قبل تخصيص نماذج المنطقة المنتقل إليها، من المهم فهم المفاهيم وأيضا تصور منطقة التسلسل الهرمي التي نقترح عليك تخصيصها. يوضح الرسم التخطيطي التالي التسلسل الهرمي الافتراضي للبنية المفاهيمية لمنطقة Azure المنتقل إليها.
يتم تمييز منطقتين من التسلسل الهرمي. يوجد أحدهما أسفل المناطق المنتقل إليها، والآخر أسفل النظام الأساسي.
تصميم نماذج المنطقة المنتقل إليها للتطبيق
لاحظ المنطقة المميزة باللون الأزرق أسفل مجموعة إدارة المناطق المنتقل إليها . إنه المكان الأكثر شيوعا والأكثر أمانا في التدرج الهرمي لإضافة المزيد من النماذج الأصلية لتلبية المتطلبات الجديدة أو أكثر التي لا يمكن إضافتها كمزيد من تعيينات النهج إلى نموذج أصلي موجود باستخدام التسلسل الهرمي الحالي.
على سبيل المثال، قد يكون لديك متطلبات جديدة لاستضافة مجموعة من أحمال عمل التطبيق التي تحتاج إلى تلبية متطلبات الامتثال لصناعة بطاقات الدفع (PCI). ولكن هذا المطلب الجديد لا يحتاج إلى تطبيقه على جميع أحمال العمل عبر ممتلكاتك بأكملها.
هناك طريقة بسيطة وآمنة لتلبية هذا المطلب الجديد. إنشاء مجموعة إدارة جديدة تسمى PCI أسفل مجموعة إدارة المناطق المنتقل إليها في التسلسل الهرمي. يمكنك تعيين المزيد من النهج مثل مبادرة نهج التوافق التنظيمي Microsoft Defender للسحابة ل PCI الإصدار 3.2.1:2018 لمجموعة إدارة PCI الجديدة. يشكل هذا الإجراء نموذجا أصليا جديدا.
يمكنك الآن وضع اشتراكات Azure جديدة أو نقلها إلى مجموعة إدارة PCI الجديدة لجعلها ترث النهج المطلوبة وتشكل النموذج الأصلي الجديد.
تلميح
تحتاج إلى معرفة ما يجب مراعاته وما يحدث عند نقل اشتراكات Azure بين مجموعات الإدارة فيما يتعلق ب RBAC وAzure Policy. لمزيد من المعلومات، راجع نقل بيئات Azure الحالية إلى البنية المفاهيمية لمنطقة Azure المنتقل إليها.
تصميم نماذج المناطق المنتقل إليها للنظام الأساسي
قد ترغب أيضا في تخصيص المنطقة المميزة باللون البرتقالي أسفل مجموعة إدارة النظام الأساسي . تعرف المناطق في هذه المنطقة باسم مناطق الهبوط للنظام الأساسي.
على سبيل المثال، قد يكون لديك فريق SOC مخصص يتطلب نموذجه الأصلي الخاص لاستضافة أحمال العمل الخاصة به. تحتاج أحمال العمل هذه إلى تلبية متطلبات تعيين Azure Policy وRBAC مختلفة عن متطلبات مجموعة إدارة الإدارة .
إنشاء مجموعة إدارة أمان جديدة أسفل مجموعة إدارة النظام الأساسي في التسلسل الهرمي. يمكنك تعيين نهج Azure المطلوب وتعيينات التحكم في الوصول استنادا إلى الدور إليه.
يمكنك الآن وضع اشتراكات Azure جديدة أو نقلها إلى مجموعة إدارة الأمان الجديدة لجعلها ترث النهج المطلوبة وتشكل النموذج الأصلي الجديد.
مثال على تسلسل هرمي مخصص لمنطقة Azure المنتقل إليها
يوضح الرسم التخطيطي التالي تسلسلا هرميا مخصصا لمنطقة Azure المنتقل إليها. يستخدم أمثلة من الرسم التخطيطي السابق.
النقاط الواجب مراعاتها
ضع في اعتبارك النقاط التالية عند التفكير في تصميم تنفيذك للأطر الأصلية لمنطقة Azure المنتقل إليها في التسلسل الهرمي:
تصميم التسلسل الهرمي ليس إلزاميا. تعد النماذج الأصلية والتدرج الهرمي الافتراضية التي نقدمها مناسبة لمعظم السيناريوهات.
لا تقم بإعادة إنشاء التسلسل الهرمي التنظيمي أو الفرق أو الأقسام في النماذج الأصلية.
حاول دائما البناء على النماذج الأصلية والتدرج الهرمي الحالي لتلبية المتطلبات الجديدة.
إنشاء نماذج أصلية جديدة فقط عندما تكون هناك حاجة إليها حقا.
على سبيل المثال، مطلوب شرط توافق جديد مثل PCI لمجموعة فرعية فقط من أحمال عمل التطبيق ولا يحتاج إلى تطبيق على جميع أحمال العمل.
إنشاء نماذج أصلية جديدة فقط في المناطق المميزة الموضحة في الرسومات التخطيطية السابقة.
تجنب تجاوز عمق التسلسل الهرمي المكون من أربع طبقات لتجنب التعقيد والاستثناءات غير الضرورية. قم بتوسيع الأنواع الأصلية أفقيا بدلا من عموديا في التسلسل الهرمي.
لا تقم بإنشاء نماذج أصلية لبيئات مثل التطوير والاختبار والإنتاج.
لمزيد من المعلومات، راجع كيف نتعامل مع مناطق هبوط حمل عمل التطوير/الاختبار/الإنتاج في البنية المفاهيمية لمناطق هبوط Azure؟