De architectuur van de Azure-landingszone aanpassen aan de vereisten
Als onderdeel van de richtlijnen voor de Azure-landingszone zijn er verschillende referentie-implementatieopties beschikbaar:
- Azure-landingszone met Azure Virtual WAN
- Azure-landingszone met traditionele hub en spoke
- Basis van Azure-landingszone
- Azure-landingszone voor kleine ondernemingen
Deze opties kunnen uw organisatie helpen snel aan de slag te gaan met behulp van configuraties die de conceptuele architectuur van de Azure-landingszone en aanbevolen procedures in de ontwerpgebieden leveren.
De referentie-implementaties zijn gebaseerd op de best practices en leertrajecten van Microsoft-teams op basis van afspraken met klanten en partners. Deze kennis vertegenwoordigt de '80'-kant van de regel 80/20. De verschillende implementaties nemen posities over technische beslissingen die deel uitmaken van het architectuurontwerpproces.
Omdat niet alle use cases hetzelfde zijn, kunnen niet alle organisaties een implementatiebenadering gebruiken op de exacte manier waarop deze is bedoeld. U moet de overwegingen begrijpen wanneer een vereiste voor afstemming wordt geïdentificeerd.
Wat is een archetype voor een landingszone in Azure-landingszones?
Een archetype voor een landingszone beschrijft waar moet zijn om ervoor te zorgen dat een landingszone (Azure-abonnement) voldoet aan de verwachte omgevings- en nalevingsvereisten voor een specifiek bereik. Voorbeelden zijn:
- Azure Policy-toewijzingen.
- RBAC-toewijzingen (op rollen gebaseerd toegangsbeheer).
- Centraal beheerde resources, zoals netwerken.
Overweeg elke beheergroep in de resourcehiërarchie als bijdrage aan de uiteindelijke archetypeuitvoer van de landingszone vanwege de manier waarop beleidsovername in Azure werkt. Denk na over wat er wordt toegepast op de bovenste niveaus in de resourcehiërarchie wanneer u de lagere niveaus ontwerpt.
Er is een nauwe relatie tussen beheergroepen en archetypen voor landingszones, maar een beheergroep alleen is geen archetype voor landingszones. In plaats daarvan maakt het deel uit van het framework dat wordt gebruikt om elk van de archetypen van de landingszone in uw omgeving te implementeren.
U kunt deze relatie zien in de conceptuele architectuur van de Azure-landingszone. Beleidstoewijzingen worden gemaakt in de tussenliggende hoofdbeheergroep, bijvoorbeeld Contoso, voor instellingen die van toepassing moeten zijn op alle workloads. Er worden meer beleidstoewijzingen gemaakt op lagere niveaus van de hiërarchie voor specifiekere vereisten.
De plaatsing van abonnementen binnen de hiërarchie van de beheergroep bepaalt de resulterende set Azure Policy- en IAM-toewijzingen (toegangsbeheer) die worden overgenomen, toegepast en afgedwongen voor die specifieke landingszone (Azure-abonnement).
Er zijn mogelijk meer processen en hulpprogramma's vereist om ervoor te zorgen dat een landingszone beschikt over de vereiste centraal beheerde resources. Enkele voorbeelden:
- Diagnostische instellingen voor het verzenden van activiteitenlogboekgegevens naar een Log Analytics-werkruimte.
- Instellingen voor continue export voor Microsoft Defender voor Cloud.
- Virtueel netwerk met beheerde IP-adresruimten voor toepassingsworkloads.
- Het koppelen van virtuele netwerken aan een DDoS-netwerkbeveiliging (Distributed Denial of Service).
Notitie
In de referentieimplementaties van de Azure-landingszone worden Azure-beleidsregels met de DeployIfNotExists en Modify effecten gebruikt om de implementatie van een aantal van de voorgaande resources te bereiken. Ze volgen het ontwerpprincipe op basis van beleid.
Zie Beleidgestuurde kaders aannemen voor meer informatie.
Ingebouwde archetypen voor de conceptuele architectuur van de Azure-landingszone
De conceptuele architectuur bevat voorbeelden van archetypen voor landingszones voor toepassingsworkloads, zoals corp en online. Deze archetypen kunnen van toepassing zijn op uw organisatie en voldoen aan uw vereisten. Mogelijk wilt u wijzigingen aanbrengen in deze archetypen of nieuwe maken. Uw beslissing is afhankelijk van de behoeften en vereisten van uw organisatie.
Tip
Als u de archetypen van de landingszone in de Azure-landingszoneversneller wilt bekijken, raadpleegt u Beheergroepen in de Azure-landingszoneversneller.
Mogelijk wilt u ook elders in de resourcehiërarchie wijzigingen aanbrengen. Wanneer u de hiërarchie plant voor uw implementatie van Azure-landingszones voor uw organisatie, volgt u de richtlijnen in de ontwerpgebieden.
De volgende archetypevoorbeelden van de landingszone uit de conceptuele architectuur helpen u inzicht te verkrijgen in het doel en het beoogde gebruik:
| Archetype landingszone (beheergroep) | Doel of gebruik |
|---|---|
| Corp | De toegewezen beheergroep voor bedrijfslandingszones. Deze groep is bedoeld voor workloads waarvoor connectiviteit of hybride connectiviteit met het bedrijfsnetwerk is vereist via de hub in het connectiviteitsabonnement. |
| Online | De toegewezen beheergroep voor online landingszones. Deze groep is bedoeld voor workloads waarvoor mogelijk directe inkomende/uitgaande internetconnectiviteit is vereist of voor workloads waarvoor mogelijk geen virtueel netwerk is vereist. |
| Sandbox | De toegewezen beheergroep voor abonnementen die alleen worden gebruikt voor testen en verkennen door een organisatie. Deze abonnementen worden veilig losgekoppeld van de bedrijfs- en onlinelandingszones. Sandboxes hebben ook een minder beperkende set beleidsregels toegewezen om testen, verkennen en configuratie van Azure-services mogelijk te maken. |
Scenario's waarbij aanpassen mogelijk vereist is
Zoals vermeld, bieden we algemene archetypen voor landingszones in de conceptuele architectuur van de Azure-landingszone. Ze zijn corp en online. Deze archetypen zijn niet opgelost en zijn niet de enige toegestane archetypen voor landingszones voor toepassingsworkloads. Mogelijk moet u archetypen voor landingszones aanpassen aan uw behoeften en vereisten.
Voordat u archetypen voor landingszones aanpast, is het belangrijk dat u de concepten begrijpt en ook het gebied van de hiërarchie visualiseert dat u kunt aanpassen. In het volgende diagram ziet u de standaardhiërarchie van de conceptuele architectuur van de Azure-landingszone.
Er zijn twee gebieden van de hiërarchie gemarkeerd. De ene bevindt zich onder landingszones en de andere bevindt zich onder Platform.
Archetypen voor toepassingslandingszones aanpassen
Let op het gebied dat blauw is gemarkeerd onder de beheergroep Landingszones . Het is de meest voorkomende en veiligste plaats in de hiërarchie om meer archetypen toe te voegen om te voldoen aan nieuwe of meer vereisten die niet kunnen worden toegevoegd als meer beleidstoewijzingen aan een bestaand archetype met behulp van de bestaande hiërarchie.
U hebt bijvoorbeeld een nieuwe vereiste voor het hosten van een set toepassingsworkloads die moeten voldoen aan pci-nalevingsvereisten (Payment Card Industry). Deze nieuwe vereiste hoeft echter niet van toepassing te zijn op alle workloads in uw hele omgeving.
Er is een eenvoudige en veilige manier om aan deze nieuwe vereiste te voldoen. Maak een nieuwe beheergroep met de naam PCI onder de beheergroep Landingszones in de hiërarchie. U kunt meer beleidsregels toewijzen, zoals het Microsoft Defender voor Cloud nalevingsbeleidsinitiatief voor PCI v3.2.1:2018 aan de nieuwe PCI-beheergroep. Deze actie vormt een nieuw archetype.
U kunt nu nieuwe azure-abonnementen plaatsen of verplaatsen naar de nieuwe PCI-beheergroep om het vereiste beleid over te nemen en het nieuwe archetype te vormen.
Een ander voorbeeld is Microsoft Cloud for Sovereignty, waarmee beheergroepen voor vertrouwelijke berekening worden toegevoegd en is afgestemd op gebruik in gereglementeerde branches. Microsoft Cloud for Sovereignty biedt hulpprogramma's, richtlijnen en kaders voor acceptatie van openbare clouds met de juiste soevereiniteitscontroles.
Tip
U moet weten wat u moet overwegen en wat er gebeurt wanneer u Azure-abonnementen verplaatst tussen beheergroepen in relatie tot RBAC en Azure Policy. Zie Bestaande Azure-omgevingen overschakelen naar de conceptarchitectuur van de Azure-landingszone voor meer informatie.
Archetypen voor platformlandingszones aanpassen
Mogelijk wilt u ook het gebied aanpassen dat oranje is gemarkeerd onder de platformbeheergroep . De zones in dit gebied worden platformlandingszones genoemd.
U hebt bijvoorbeeld een toegewezen SOC-team dat een eigen archetype nodig heeft om de workloads te hosten. Deze workloads moeten voldoen aan azure Policy- en RBAC-toewijzingsvereisten die verschillen van die van de beheergroep .
Maak een nieuwe beveiligingsbeheergroep onder de platformbeheergroep in de hiërarchie. U kunt de vereiste Azure Policy- en RBAC-toewijzingen hieraan toewijzen.
U kunt nu nieuwe azure-abonnementen plaatsen of verplaatsen naar de nieuwe beveiligingsbeheergroep om het vereiste beleid over te nemen en het nieuwe archetype te vormen.
Voorbeeld van een aangepaste Azure-landingszonehiërarchie
In het volgende diagram ziet u een aangepaste Azure-landingszonehiërarchie. Er worden voorbeelden uit het voorgaande diagram gebruikt.
Punten om in overweging te nemen
Houd rekening met de volgende punten wanneer u nadenkt over het aanpassen van uw implementatie van Azure-landingszone-archetypen in de hiërarchie:
Het aanpassen van de hiërarchie is niet verplicht. De standaard archetypen en hiërarchie die we bieden, zijn geschikt voor de meeste scenario's.
Maak uw organisatiehiërarchie, teams of afdelingen niet opnieuw in archetypen.
Probeer altijd voort te bouwen op de bestaande archetypen en hiërarchie om te voldoen aan nieuwe vereisten.
Maak alleen nieuwe archetypen wanneer ze echt nodig zijn.
Een nieuwe nalevingsvereiste zoals PCI is bijvoorbeeld vereist voor slechts een subset van toepassingsworkloads en hoeft niet te worden toegepast op alle workloads.
Maak alleen nieuwe archetypen in de gemarkeerde gebieden die in de voorgaande diagrammen worden weergegeven.
Vermijd het overschrijden van een hiërarchiediepte van vier lagen om complexiteit en onnodige uitsluitingen te voorkomen. Vouw archetypen horizontaal uit in plaats van verticaal in de hiërarchie.
Maak geen archetypen voor omgevingen zoals ontwikkeling, testen en productie.
Als u afkomstig bent uit een brownfield-omgeving of op zoek bent naar een benadering voor het hosten van abonnementen in de beheergroep landingszones met beleidsregels in de afdwingingsmodus 'Alleen controle', raadpleegt u Scenario: Een omgeving overzetten door een landingszonebeheergroep te dupliceren