Zona pendaratan Azure - Pertimbangan desain modul Bicep

Artikel ini membahas pertimbangan desain azure Landing Zones (ALZ) modularisasi - Solusi Bicep yang dapat Anda gunakan untuk menyebarkan dan mengelola kemampuan platform inti arsitektur konseptual zona pendaratan Azure sebagaimana dirinci dalam Cloud Adoption Framework (CAF).

Bicep adalah bahasa pemrogram khusus domain (DSL) yang menggunakan sintaks deklaratif untuk menyebarkan sumber daya Azure. Ini memiliki sintaks ringkas, keamanan jenis yang andal, dan dukungan untuk penggunaan kembali kode.

Implementasi arsitektur ini tersedia di GitHub: Azure Landing Zones (ALZ) - Implementasi Bicep. Anda dapat menggunakannya sebagai titik awal dan mengonfigurasinya sesuai kebutuhan Anda.

Catatan

Ada implementasi untuk beberapa teknologi penyebaran, termasuk templat ARM berbasis portal, dan modul Terraform. Pilihan teknologi penyebaran tidak boleh memengaruhi penyebaran zona pendaratan Azure yang dihasilkan.

ALZ Bicep Accelerator

Anda dapat menemukan panduan langkah demi langkah sekeliling mengimplementasikan, mengotomatiskan, dan memelihara modul ALZ Bicep Anda dengan ALZ Bicep Accelerator.

Kerangka kerja ALZ Bicep Accelerator dikembangkan untuk menyediakan dukungan pengguna akhir untuk onboarding dan penyebaran ALZ Bicep menggunakan alur CI/CD lengkap, dukungan untuk GitHub Actions dan Azure DevOps Pipelines, Kerangka Kerja khusus untuk tetap sinkron dengan rilis ALZ Bicep baru dan memodifikasi atau menambahkan modul kustom, dan menyediakan panduan strategi percabangan dan menarik alur permintaan untuk melinting dan memvalidasi modul Bicep.

Rancang

Arsitektur ini memanfaatkan sifat modular Azure Bicep dan terdiri dari jumlah modul. Setiap modul merangkum kemampuan inti arsitektur konseptual Azure Landing Zones. Modul dapat disebarkan secara individual, tetapi ada dependensi yang harus diperhatikan.

Arsitektur mengusulkan penyertaan modul orkestrator untuk menyederhanakan pengalaman penyebaran. Modul orkestrator dapat digunakan untuk mengotomatiskan penyebaran modul dan untuk merangkum topologi penyebaran yang berbeda.

Modul

Konsep inti dalam Bicep adalah penggunaan modul. Modul memungkinkan Anda mengatur penyebaran ke dalam pengelompokan logis. Dengan modul, Anda meningkatkan keterbacaan file Bicep Anda dengan merangkum detail penyebaran yang kompleks. Anda juga dapat dengan mudah menggunakan kembali modul untuk penyebaran yang berbeda.

Kemampuan untuk menggunakan kembali modul menawarkan manfaat nyata saat menentukan dan menyebarkan zona pendaratan. Ini memungkinkan lingkungan yang dapat diulang dan konsisten dalam kode sambil mengurangi upaya yang diperlukan untuk menyebarkan dalam skala besar.

Lapisan dan penahapan

Selain modul, arsitektur zona pendaratan Bicep disusun menggunakan konsep lapisan. Lapisan adalah grup modul Bicep yang dimaksudkan untuk disebarkan bersama-sama. Kelompok-kelompok tersebut membentuk tahapan logis implementasi.

Manfaat dari pendekatan berlapis ini adalah kemampuan untuk menambahkan ke lingkungan Anda secara bertahap dari waktu ke waktu. Misalnya, Anda dapat memulai dengan sejumlah kecil lapisan. Anda dapat menambahkan lapisan yang tersisa pada tahap berikutnya saat Anda siap.

Deskripsi modul

Bagian ini memberikan gambaran umum tingkat tinggi tentang modul inti dalam arsitektur ini.

Lapisan	Modul	Deskripsi	Tautan yang Berguna
Inti	Grup Manajemen	Grup manajemen adalah sumber daya tingkat tertinggi dalam penyewa Azure. Grup manajemen memungkinkan Anda mengelola sumber daya dengan lebih mudah. Anda dapat menerapkan kebijakan di tingkat grup manajemen dan sumber daya tingkat yang lebih rendah akan mewarisi kebijakan tersebut. Secara khusus, Anda dapat menerapkan item berikut di tingkat grup manajemen yang akan diwarisi oleh langganan di bawah grup manajemen: Kebijakan Azure Penetapan peran Azure Role Based Access Controls (RBAC) Kontrol biaya Modul ini menyebarkan hierarki grup manajemen seperti yang didefinisikan dalam arsitektur konseptual zona pendaratan Azure.	Grup manajemen - Dokumentasi Cloud Adoption Framework (CAF) Modul: Grup Manajemen - Implementasi Referensi
Inti	Definisi Kebijakan Kustom	Kebijakan DeployIfNotExists (DINE) atau Modifikasi membantu memastikan langganan dan sumber daya yang membentuk zona pendaratan sesuai. Kebijakan tersebut juga meringankan beban pengelolaan zona pendaratan. Modul ini menyebarkan definisi kebijakan kustom ke grup manajemen. Tidak semua pelanggan dapat menggunakan kebijakan DINE atau Modifikasi. Jika demikian, panduan CAF tentang kebijakan kustom memberikan panduan.	Mengadopsi pagar pembatas berbasis kebijakan - dokumentasi CAF Modul: Definisi kebijakan kustom - Implementasi Referensi Definisi kebijakan kustom yang disebarkan dalam implementasi referensi
Inti	Definisi Peran Kustom	Kontrol akses berbasis peran (RBAC) menyederhanakan pengelolaan hak pengguna dalam sistem. Alih-alih mengelola hak individu, Anda menentukan hak yang diperlukan untuk peran yang berbeda dalam sistem Anda. Azure RBAC memiliki beberapa peran bawaan. Definisi peran kustom memungkinkan Anda membuat peran kustom untuk lingkungan Anda. Modul ini menyebarkan definisi peran kustom. Modul harus mengikuti panduan CAF tentang kontrol akses berbasis peran Azure.	Kontrol akses berbasis peran Azure - dokumentasi CAF Definisi peran kustom yang disebarkan dalam implementasi referensi
Manajemen	Pengelogan, Otomatisasi & Sentinel	Azure Monitor, Azure Automation, dan Microsoft Sentinel memungkinkan Anda memantau dan mengelola infrastruktur dan beban kerja Anda. Azure Monitor adalah solusi yang memungkinkan Anda mengumpulkan, menganalisis, dan bertindak berdasarkan telemetri dari lingkungan Anda. Microsoft Sentinel adalah manajemen peristiwa dan informasi keamanan cloud-native (SIEM). Ini memungkinkan Anda untuk: Kumpulkan - Kumpulkan data di seluruh infrastruktur Anda Deteksi - Mendeteksi ancaman yang sebelumnya tidak terdeteksi Respons - Menanggapi ancaman yang sah dengan orkestrasi bawaan Menyelidiki - Menyelidiki ancaman dengan kecerdasan buatan Azure Automation adalah sistem otomatisasi berbasis cloud. Ini termasuk: Manajemen konfigurasi - Inventarisasi dan lacak perubahan untuk komputer virtual Linux dan Windows dan kelola konfigurasi status yang diinginkan Manajemen pembaruan - Menilai kepatuhan sistem Windows dan Linux dan membuat penyebaran terjadwal untuk memenuhi kepatuhan Otomatisasi proses - Mengotomatiskan tugas manajemen Modul ini menyebarkan alat yang diperlukan untuk memantau, mengelola, dan mengakses ancaman ke lingkungan Anda. Alat-alat ini harus mencakup Azure Monitor, Azure Automation, dan Microsoft Sentinel.	Manajemen dan pemantauan beban kerja - dokumentasi CAF Modul: Pengelogan, Otomatisasi & Sentinel - Implementasi Referensi
Konektivitas	Jaringan	Topologi jaringan adalah pertimbangan utama dalam penyebaran zona pendaratan Azure. CAF berfokus pada 2 pendekatan jaringan inti: Topologi berdasarkan Azure Virtual WAN Topologi tradisional Modul-modul ini menyebarkan topologi jaringan yang Anda pilih.	Menentukan topologi jaringan Azure - Dokumentasi CAF Modul: Penyebaran Topologi Jaringan - Implementasi Referensi
Identitas	Penetapan Peran	Manajemen identitas dan akses (IAM) adalah batas keamanan utama dalam komputasi cloud. Azure RBAC memungkinkan Anda melakukan penetapan peran peran bawaan atau definisi peran kustom untuk prinsip keamanan. Modul ini menyebarkan penetapan peran ke Perwakilan Layanan, Identitas Terkelola, atau grup keamanan di seluruh grup manajemen dan langganan. Modul harus mengikuti panduan CAF tentang identitas Azure dan manajemen akses.	Area desain manajemen identitas dan akses Azure - dokumentasi CAF Modul: Penetapan Peran untuk Grup Manajemen & Langganan - Implementasi Referensi
Inti	Penempatan Langganan	Langganan yang ditetapkan ke grup manajemen mewarisi: Kebijakan Azure Penetapan peran Azure Role Based Access Controls (RBAC) Kontrol biaya Modul ini memindahkan langganan di bawah grup manajemen yang sesuai.	Grup manajemen - Dokumentasi Cloud Adoption Framework (CAF) Modul: Penempatan Langganan
Inti	Penetapan Kebijakan Bawaan dan Kustom	Modul ini menyebarkan penugasan Azure Policy zona pendaratan Azure default ke grup manajemen. Ini juga membuat penetapan peran untuk Identitas Terkelola yang ditetapkan sistem yang dibuat oleh kebijakan.	Mengadopsi pagar pembatas berbasis kebijakan - dokumentasi CAF Modul: Penugasan Kebijakan Default ALZ
Manajemen	Modul Orkestrator	Modul orkestrator dapat sangat meningkatkan pengalaman penyebaran. Modul-modul ini merangkum penyebaran beberapa modul dalam satu modul. Ini menyembunyikan kompleksitas dari pengguna akhir.	Modul: Orkestrasi - hubPeeredSpoke - Jaringan spoke, termasuk peering ke Hub (Hub & Spoke atau Virtual WAN)

Menyesuaikan implementasi Bicep

Implementasi zona pendaratan Azure yang disediakan sebagai bagian dari Cloud Adoption Framework sesuai dengan berbagai persyaratan dan kasus penggunaan. Namun, sering kali ada skenario di mana penyesuaian diperlukan untuk memenuhi kebutuhan bisnis tertentu.

Tip

Lihat Menyesuaikan arsitektur zona pendaratan Azure untuk memenuhi persyaratan untuk informasi lebih lanjut.

Setelah zona pendaratan platform diterapkan, langkah selanjutnya adalah menyebarkan zona pendaratan Aplikasi yang memungkinkan tim aplikasi di bawah landing zones grup manajemen dengan pagar pembatas yang diperlukan administrator TI Pusat atau PlatformOps. corp Grup manajemen adalah untuk aplikasi yang terhubung dengan perusahaan, sementara online grup manajemen adalah untuk aplikasi yang terutama dihadapi publik, tetapi mungkin masih terhubung ke aplikasi perusahaan melalui jaringan hub dalam beberapa skenario.

Implementasi zona pendaratan Bicep Azure dapat digunakan sebagai dasar penyebaran yang disesuaikan. Ini memberi Anda cara untuk mempercepat implementasi Anda dengan menghapus kebutuhan untuk memulai dari awal karena perubahan tertentu yang diperlukan yang membuat aturan opsi siap pakai keluar.

Informasi tentang menyesuaikan modul tersedia di wiki repositori GitHub GitHub: Azure Landing Zones (ALZ) Bicep - Wiki- Consumer Guide. Anda dapat menggunakannya sebagai titik awal dan mengonfigurasinya sesuai kebutuhan Anda.