Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule omówiono zagadnienia dotyczące projektowania modułowych stref docelowych platformy Azure (ALZ) — rozwiązanie Bicep , którego można użyć do wdrażania podstawowych możliwości platformy azure i zarządzania nimi w architekturze koncepcyjnej strefy docelowej platformy Azure zgodnie z opisem w przewodniku Cloud Adoption Framework (CAF).
Bicep to język specyficzny dla domeny (DSL), który używa składni deklaratywnej do wdrażania zasobów platformy Azure. Ma zwięzłą składnię, niezawodne bezpieczeństwo typów i wsparcie dla ponownego użycia kodu.
Implementacja tej architektury jest dostępna w witrynie GitHub: Strefy docelowe platformy Azure (ALZ) — implementacja Bicep. Można go użyć jako punktu początkowego i skonfigurować zgodnie z potrzebami.
Uwaga
Istnieją implementacje dla kilku technologii wdrażania, w tym oparte na portalach, szablonach ARM i modułach Terraform. Wybór technologii wdrażania nie powinien mieć wpływu na końcowe wdrożenie stref docelowych platformy Azure.
Akcelerator ALZ Bicep
Wskazówki krok po kroku dotyczące implementowania, automatyzowania i utrzymywania modułu ALZ Bicep można znaleźć w .
Struktura ALZ Bicep Accelerator została opracowana w celu zapewnienia użytkownikom końcowym wsparcia w zakresie dołączania i wdrażania ALZ Bicep przy użyciu pełnowartościowych potoków CI/CD, wsparcia dla GitHub Actions i Azure DevOps Pipelines, dedykowanej platformy do synchronizacji z nowymi wydaniami ALZ Bicep oraz modyfikowania lub dodawania modułów niestandardowych. Zapewnia również wskazówki dotyczące strategii rozgałęziania oraz potoki żądań ściągnięcia na potrzeby lintingu i walidacji modułów Bicep.
Projektowanie
Architektura korzysta z modułowego charakteru usługi Azure Bicep i składa się z wielu modułów. Każdy moduł hermetyzuje kluczową zdolność architektury koncepcyjnej Azure Landing Zones. Moduły można wdrażać indywidualnie, ale istnieją zależności, o których należy pamiętać.
Architektura proponuje włączenie modułów orkiestratora w celu uproszczenia środowiska wdrażania. Moduły orkiestratora mogą służyć do automatyzacji wdrażania modułów i hermetyzacji różnych topologii wdrażania.
Moduły
Podstawową koncepcją w Bicep jest użycie modułów. Moduły umożliwiają organizowanie wdrożeń w grupach logicznych. Dzięki modułom można poprawić czytelność plików Bicep, hermetyzując złożone szczegóły wdrożenia. Można również łatwo używać modułów dla różnych wdrożeń.
Możliwość ponownego używania modułów zapewnia rzeczywistą korzyść podczas definiowania i wdrażania stref docelowych. Umożliwia powtarzalne, spójne środowiska w kodzie przy jednoczesnym zmniejszeniu nakładu pracy wymaganego do wdrożenia na dużą skalę.
Warstwy i aranżacja
Oprócz modułów architektura strefy docelowej Bicep jest ustrukturyzowana przy użyciu koncepcji warstw. Warstwy to grupy modułów Bicep, które są przeznaczone do wspólnej implementacji. Grupy te tworzą logiczne etapy implementacji.
Zaletą tego podejścia warstwowego jest możliwość stopniowego dodawania do środowiska w czasie. Na przykład można zacząć od niewielkiej liczby warstw. Pozostałe warstwy można dodać na kolejnym etapie, gdy wszystko będzie gotowe.
Opisy modułów
Ta sekcja zawiera ogólne omówienie podstawowych modułów w tej architekturze.
Warstwa | Moduł | opis | Przydatne linki |
---|---|---|---|
Rdzeń | Grupy zarządzania | Grupy zarządzania to zasoby najwyższego poziomu w środowisku Azure. Grupy zarządzania umożliwiają łatwiejsze zarządzanie zasobami. Zasady można stosować na poziomie grupy zarządzania, a zasoby niższego poziomu będą dziedziczyć te zasady. W szczególności można zastosować następujące elementy na poziomie grupy zarządzania, które będą dziedziczone przez subskrypcje w grupie zarządzania:
Ten moduł wdraża hierarchię grup zarządzania zgodnie z definicją w architekturze koncepcyjnej strefy docelowej platformy Azure. |
|
Rdzeń | Definicje zasad niestandardowych | Zasady DeployIfNotExists (DINE) lub Modify pomagają w zapewnieniu zgodności subskrypcji i zasobów tworzących strefy docelowe. Zasady ułatwiają również zarządzanie strefami docelowymi. Ten moduł wdraża niestandardowe definicje zasad w grupach zarządzania. Nie wszyscy klienci mogą używać zasad DINE lub Modify. Jeśli tak się dzieje, wytyczne CAF dotyczące zasad niestandardowych zawierają wytyczne. |
|
Rdzeń | Definicje ról niestandardowych | Kontrola dostępu oparta na rolach (RBAC) upraszcza zarządzanie prawami użytkowników w systemie. Zamiast zarządzać prawami osób fizycznych, należy określić prawa wymagane dla różnych ról w systemie. Platforma Azure oferuje kilka wbudowanych ról w ramach swojej kontroli dostępu opartej na rolach. Definicje ról niestandardowych umożliwiają tworzenie ról niestandardowych dla danego środowiska. W tym module są wdrażane definicje ról niestandardowych. Moduł powinien postępować zgodnie ze wskazówkami caF dotyczącymi kontroli dostępu opartej na rolach na platformie Azure. |
|
Zarządzanie | Rejestrowanie, automatyzacja i usługa Sentinel | Usługi Azure Monitor, Azure Automation i Microsoft Sentinel umożliwiają monitorowanie infrastruktury i obciążeń oraz zarządzanie nimi. Azure Monitor to rozwiązanie, które umożliwia zbieranie, analizowanie i wykonywanie działań telemetrycznych ze środowiska. Microsoft Sentinel to natywna dla chmury funkcja zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Umożliwia to:
Usługa Azure Automation to oparty na chmurze system automatyzacji. Zawartość:
W tym module wdrażane są narzędzia niezbędne do monitorowania zagrożeń i zarządzania nimi w danym środowisku oraz zarządzania nimi. Te narzędzia powinny obejmować usługi Azure Monitor, Azure Automation i Microsoft Sentinel. |
|
Łączność | Nawiązywanie kontaktów | Topologia sieci to kluczowa kwestia we wdrożeniach strefy docelowej platformy Azure.
CaF koncentruje się na 2 podstawowych podejściach sieciowych:
Te moduły wdrażają wybraną topologię sieci. |
|
Tożsamość | Przypisania ról | Zarządzanie tożsamościami i dostępem (IAM) to kluczowa granica zabezpieczeń w przetwarzaniu w chmurze. Kontrola dostępu oparta na rolach platformy Azure umożliwia wykonywanie przypisań ról wbudowanych lub niestandardowych definicji ról do podmiotów zabezpieczeń. W tym module są wdrażane przypisania ról do jednostek usługi, tożsamości zarządzanych lub grup zabezpieczeń w grupach zarządzania i subskrypcjach. Moduł powinien postępować zgodnie ze wskazówkami caF dotyczącymi zarządzania tożsamościami i dostępem na platformie Azure. |
|
Rdzeń | Umieszczanie subskrypcji | Subskrypcje przypisane do grupy zarządzającej dziedziczą:
Ten moduł przenosi subskrypcje w ramach odpowiedniej grupy zarządzania. |
|
Rdzeń | Wbudowane i niestandardowe ustawienia zasad | Ten moduł wdraża domyślne przypisania usługi Azure Policy do grup zarządzania w domyślnej strefie docelowej platformy Azure. Tworzy również przypisania ról dla tożsamości zarządzanych przypisywanych przez system, które są tworzone przez zasady. | |
Zarządzanie | Moduły programu Orchestrator | Moduły programu Orchestrator mogą znacznie poprawić środowisko wdrażania. Te moduły umożliwiają wdrażanie wielu modułów w formie jednego zintegrowanego modułu. Powoduje to ukrycie złożoności przed użytkownikiem końcowym. |
Dostosowywanie implementacji Bicep
Implementacje strefy docelowej platformy Azure udostępniane w ramach przewodnika Cloud Adoption Framework odpowiadają szerokiej gamie wymagań i przypadków użycia. Jednak często istnieją scenariusze, w których dostosowanie jest wymagane do spełnienia określonych potrzeb biznesowych.
Napiwek
Aby uzyskać więcej informacji, zobacz Dostosowywanie architektury strefy docelowej platformy Azure w celu spełnienia wymagań .
Po wdrożeniu strefy docelowej platformy następnym krokiem jest wdrożenie stref docelowych aplikacji, które umożliwiają zespołom aplikacji w landing zones
grupie zarządzania zabezpieczenia, których potrzebują administratorzy centrali IT lub PlatformOps. Grupa zarządzania corp
jest przeznaczona dla aplikacji połączonych korporacyjnie, natomiast grupa zarządzania online
jest przeznaczona dla aplikacji, które są przede wszystkim dostępne publicznie, ale mogą nadal łączyć się z aplikacjami korporacyjnymi za pośrednictwem sieci hubów w niektórych scenariuszach.
Implementacja strefy docelowej Bicep Azure może służyć jako podstawa dostosowanego wdrożenia. Zapewnia sposób na przyspieszenie wdrożenia, eliminując potrzebę rozpoczynania od zera z powodu określonej zmiany, która wyklucza użycie gotowej opcji.
Informacje na temat dostosowywania modułów są dostępne w wiki repozytorium GitHub GitHub: Azure Landing Zones (ALZ) Bicep — Wiki - Przewodnik konsumenta. Można go użyć jako punktu początkowego i skonfigurować zgodnie z potrzebami.