Cílové zóny Azure – Aspekty návrhu modulů Bicep

Tento článek popisuje aspekty návrhu modulárních cílových zón Azure (ALZ) – Bicep , které můžete použít k nasazení a správě základních funkcí platformy koncepční architektury cílové zóny Azure, jak je podrobně popsáno v architektuře přechodu na cloud (CAF).

Bicep je jazyk specifický pro doménu (DSL), který k nasazování prostředků Azure používá deklarativní syntaxi. Má stručnou syntaxi, spolehlivou bezpečnost typů a podporu opětovného použití kódu.

Implementace této architektury je k dispozici na GitHubu: Cílové zóny Azure (ALZ) – Implementace Bicep. Můžete ho použít jako výchozí bod a nakonfigurovat ho podle svých potřeb.

Poznámka:

Existují implementace pro několik technologií nasazení, včetně portálových šablon ARM a modulů Terraformu. Volba technologie nasazení by neměla mít vliv na výsledné nasazení cílových zón Azure.

Akcelerátor ALZ Bicep

Podrobné pokyny k implementaci, automatizaci a údržbě modulu ALZ Bicep najdete pomocí akcelerátoru ALZ Bicep.

Architektura akcelerátoru ALZ Bicep byla vyvinuta tak, aby koncovým uživatelům poskytovala podporu pro onboarding a nasazení ALZ Bicep pomocí plnohodnotných kanálů CI/CD, podpory GitHub Actions a Azure DevOps Pipelines, vyhrazené architektury pro zajištění synchronizace s novými verzemi ALZ Bicep a úpravou nebo přidáním vlastních modulů a poskytuje pokyny ke strategii větvení a kanály žádostí o přijetí změn pro lintování a ověřování modulů Bicep.

Návrh

Architektura využívá modulární povahu Azure Bicep a skládá se z počtu modulů. Každý modul zapouzdřuje základní funkce konceptuální architektury cílových zón Azure. Moduly je možné nasadit jednotlivě, ale existují závislosti, o které je potřeba vědět.

Tato architektura navrhuje zahrnutí modulů orchestrátoru pro zjednodušení prostředí nasazení. Moduly orchestrátoru je možné použít k automatizaci nasazení modulů a k zapouzdření různých topologií nasazení.

Moduly

Základním konceptem v Bicep je použití modulů. Moduly umožňují uspořádat nasazení do logických seskupení. Díky modulům zlepšíte čitelnost souborů Bicep zapouzdřením složitých podrobností o nasazení. Moduly můžete také snadno opakovaně používat pro různá nasazení.

Možnost opětovného použití modulů nabízí skutečnou výhodu při definování a nasazování cílových zón. Umožňuje opakovatelná konzistentní prostředí v kódu a zároveň snižuje úsilí potřebné k nasazení ve velkém měřítku.

Vrstvy a příprava

Kromě modulů je architektura cílové zóny Bicep strukturovaná pomocí konceptu vrstev. Vrstvy jsou skupiny modulů Bicep, které mají být nasazeny společně. Tyto skupiny tvoří logické fáze implementace.

Výhodou tohoto vícevrstvého přístupu je možnost přidávat do vašeho prostředí přírůstkově v průběhu času. Můžete například začít s malým počtem vrstev. Zbývající vrstvy můžete přidat v další fázi, až budete připraveni.

Popisy modulů

Tato část obsahuje základní přehled základních modulů v této architektuře.

Vrstva	Modul	Popis	Užitečné odkazy
Základ	Skupiny pro správu	Skupiny pro správu jsou prostředky nejvyšší úrovně v tenantovi Azure. Skupiny pro správu umožňují snadněji spravovat vaše prostředky. Zásady můžete použít na úrovni skupiny pro správu a na nižší úrovni prostředků zdědí tuto zásadu. Konkrétně můžete použít následující položky na úrovni skupiny pro správu, které budou zděděny předplatnými v rámci skupiny pro správu: Zásady Azure Přiřazení rolí řízení přístupu na základě role (RBAC) Azure Řízení nákladů Tento modul nasadí hierarchii skupin pro správu definovanou v koncepční architektuře cílové zóny Azure.	Skupiny pro správu – Dokumentace k rozhraní CAF (Cloud Adoption Framework) Modul: Skupiny pro správu – referenční implementace
Základ	Vlastní definice zásad	Zásady DeployIfNotExists (DINE) nebo Modify pomáhají zajistit, aby předplatná a prostředky, které tvoří cílové zóny, dodržovaly předpisy. Tyto zásady také usnadňují správu cílových zón. Tento modul nasadí vlastní definice zásad do skupin pro správu. Ne všichni zákazníci můžou používat zásady DINE nebo Modify. Pokud je to pro vás , pokyny CAF k vlastním zásadám poskytují pokyny.	Přijetí mantinelí řízených zásadami – dokumentace k CAF Modul: Vlastní definice zásad – referenční implementace Definice vlastních zásad nasazené v referenčních implementacích
Základ	Vlastní definice rolí	Řízení přístupu na základě role (RBAC) zjednodušuje správu uživatelských práv v systému. Místo správy práv jednotlivců určíte práva potřebná pro různé role ve vašem systému. Azure RBAC má několik předdefinovaných rolí. Definice vlastních rolí umožňují vytvářet vlastní role pro vaše prostředí. Tento modul nasadí vlastní definice rolí. Tento modul by měl postupovat podle pokynů CAF k řízení přístupu na základě role v Azure.	Řízení přístupu na základě role v Azure – Dokumentace k CAF Definice vlastních rolí nasazené v referenční implementaci
Správa	Protokolování, automatizace a sentinel	Azure Monitor, Azure Automation a Microsoft Sentinel umožňují monitorovat a spravovat infrastrukturu a úlohy. Azure Monitor je řešení, které umožňuje shromažďovat, analyzovat a reagovat na telemetrii z vašeho prostředí. Microsoft Sentinel je cloudově nativní informace o zabezpečení a správa událostí (SIEM). Umožňuje: Shromažďování – shromažďování dat v celé infrastruktuře Detekce – detekce hrozeb, které byly dříve nezjištěny Reakce – reakce na legitimní hrozby pomocí integrované orchestrace Zkoumání – zkoumání hrozeb pomocí umělé inteligence Azure Automation je cloudový systém automatizace. Patří mezi ně: Správa konfigurace – Inventarizace a sledování změn pro virtuální počítače s Linuxem a Windows a správa konfigurace požadovaného stavu Správa aktualizací – Posouzení dodržování předpisů systému Windows a Linux a vytvoření naplánovaných nasazení pro splnění dodržování předpisů Automatizace procesů – Automatizace úloh správy Tento modul nasadí nástroje potřebné k monitorování, správě a přístupu k hrozbám ve vašem prostředí. Tyto nástroje by měly zahrnovat Azure Monitor, Azure Automation a Microsoft Sentinel.	Správa a monitorování úloh – Dokumentace k CAF Modul: Protokolování, automatizace a sentinel – referenční implementace
Připojení	Sítě	Topologie sítě je klíčovým aspektem nasazení cílových zón Azure. CAF se zaměřuje na 2 základní síťové přístupy: Topologie založené na službě Azure Virtual WAN Tradiční topologie Tyto moduly nasazují topologii sítě, kterou zvolíte.	Definování síťové topologie Azure – Dokumentace k CAF Moduly: Nasazení síťové topologie – referenční implementace
Identita	Přiřazení rolí	Správa identit a přístupu (IAM) je klíčovou hranicí zabezpečení v cloud computingu. Azure RBAC umožňuje provádět přiřazení rolí předdefinovaných rolí nebo vlastních definic rolí k objektům zabezpečení. Tento modul nasadí přiřazení rolí do instančních objektů, spravovaných identit nebo skupin zabezpečení napříč skupinami pro správu a předplatnými. Tento modul by měl postupovat podle pokynů CAF ke správě identit a přístupu Azure.	Oblast návrhu správy identit a přístupu Azure – Dokumentace k CAF Modul: Přiřazení rolí pro skupiny pro správu a předplatná – referenční implementace
Základ	Umístění předplatného	Předplatná přiřazená ke skupině pro správu dědí: Zásady Azure Přiřazení rolí řízení přístupu na základě role (RBAC) Azure Řízení nákladů Tento modul přesune předplatná do příslušné skupiny pro správu.	Skupiny pro správu – Dokumentace k rozhraní CAF (Cloud Adoption Framework) Modul: Umístění předplatného
Základ	Předdefinovaná a vlastní přiřazení zásad	Tento modul nasadí výchozí přiřazení cílové zóny Azure Policy do skupin pro správu. Vytvoří také přiřazení rolí pro spravované identity přiřazené systémem vytvořené zásadami.	Přijetí mantinelí řízených zásadami – dokumentace k CAF Modul: Výchozí přiřazení zásad ALZ
Správa	Moduly orchestratoru	Moduly orchestratoru můžou výrazně zlepšit prostředí nasazení. Tyto moduly zapouzdřují nasazení více modulů v jednom modulu. Tím se před koncovým uživatelem skryje složitost.	Modul: Orchestrace – hubPeeredSpoke – paprsková síť, včetně partnerského vztahu k centru (Hub & Spoke nebo Virtual WAN)

Přizpůsobení implementace Bicep

Implementace cílových zón Azure poskytované jako součást architektury přechodu na cloud odpovídají široké škále požadavků a případů použití. Existují však často scénáře, kdy se přizpůsobení vyžaduje ke splnění konkrétních obchodních potřeb.

Tip

Další informace najdete v tématu Přizpůsobení architektury cílové zóny Azure tak, aby splňovala požadavky .

Po implementaci cílové zóny platformy je dalším krokem nasazení cílových zón aplikací, které umožňují týmům aplikací ve landing zones skupině pro správu s mantinely, které vyžadují správci centrálního IT nebo PlatformOps. Skupina corp pro správu je určená pro podnikové připojené aplikace, zatímco online skupina pro správu je určená pro aplikace, které jsou primárně veřejně přístupné, ale v některých scénářích se můžou stále připojovat k podnikovým aplikacím prostřednictvím centrálních sítí.

Implementace cílové zóny Azure Bicep se dá použít jako základ vašeho přizpůsobeného nasazení. Poskytuje způsob, jak urychlit implementaci odebráním nutnosti začít úplně od začátku, protože konkrétní požadovaná změna pravidel je připravená možnost.

Informace o přizpůsobení modulů jsou k dispozici na wikiwebu úložiště GitHubu: Cílové zóny Azure (ALZ) Bicep – Wiki- Consumer Guide. Můžete ho použít jako výchozí bod a nakonfigurovat ho podle svých potřeb.