Strefy docelowe platformy Azure — zagadnienia dotyczące projektowania modułów Bicep
W tym artykule omówiono zagadnienia dotyczące projektowania modułowych stref docelowych platformy Azure (ALZ) — rozwiązanie Bicep, którego można użyć do wdrożenia podstawowych możliwości platformy docelowej strefy docelowej platformy Azure zgodnie z opisem w Cloud Adoption Framework (CAF).
Bicep to język specyficzny dla domeny (DSL), który używa składni deklaratywnej do wdrażania zasobów platformy Azure. Ma zwięzłą składnię, niezawodne bezpieczeństwo typów i obsługę ponownego użycia kodu.
Implementacja tej architektury jest dostępna w usłudze GitHub: Azure Landing Zones (ALZ) — implementacja Bicep. Można go użyć jako punktu początkowego i skonfigurować zgodnie z potrzebami.
Uwaga
Istnieją implementacje kilku technologii wdrażania, w tym oparte na portalu, szablony usługi ARM i moduły terraform. Wybór technologii wdrażania nie powinien mieć wpływu na wynikowe wdrożenie stref docelowych platformy Azure.
Projekt
Architektura korzysta z modułowego charakteru usługi Azure Bicep i składa się z wielu modułów. Każdy moduł hermetyzuje podstawową funkcję architektury koncepcyjnej stref docelowych platformy Azure. Moduły można wdrażać indywidualnie, ale istnieją zależności, o których należy pamiętać.
Architektura proponuje włączenie modułów orkiestratora w celu uproszczenia środowiska wdrażania. Moduły orkiestratora mogą służyć do automatyzacji wdrażania modułów i hermetyzacji różnych topologii wdrażania.
Moduły
Podstawową koncepcją w środowisku Bicep jest użycie modułów. Moduły umożliwiają organizowanie wdrożeń w logiczne grupy. Dzięki modułom można zwiększyć czytelność plików Bicep, hermetyzując złożone szczegóły wdrożenia. Można również łatwo ponownie używać modułów dla różnych wdrożeń.
Możliwość ponownego używania modułów daje realną korzyść podczas definiowania i wdrażania stref docelowych. Umożliwia powtarzalne, spójne środowiska w kodzie przy jednoczesnym zmniejszeniu nakładu pracy wymaganego do wdrożenia na dużą skalę.
Warstwy i przemieszczanie
Oprócz modułów architektura strefy docelowej Bicep jest ustrukturyzowana przy użyciu koncepcji warstw. Warstwy to grupy modułów Bicep, które mają być wdrażane razem. Grupy te tworzą logiczne etapy implementacji.
Zaletą tego podejścia warstwowego jest możliwość przyrostowego dodawania do środowiska w czasie. Na przykład można zacząć od niewielkiej liczby warstw. Pozostałe warstwy można dodać na kolejnym etapie, gdy wszystko będzie gotowe.
Opisy modułów
Ta sekcja zawiera ogólne omówienie podstawowych modułów w tej architekturze.
Warstwa | Moduł | Opis | Przydatne linki |
---|---|---|---|
Core | Grupy zarządzania | Grupy zarządzania to zasoby najwyższego poziomu w dzierżawie platformy Azure. Grupy zarządzania umożliwiają łatwiejsze zarządzanie zasobami. Zasady można stosować na poziomie grupy zarządzania, a zasoby niższego poziomu będą dziedziczyć te zasady. W szczególności można zastosować następujące elementy na poziomie grupy zarządzania, które będą dziedziczone przez subskrypcje w grupie zarządzania:
Ten moduł wdraża hierarchię grup zarządzania zgodnie z definicją w architekturze koncepcyjnej strefy docelowej platformy Azure. |
|
Core | Definicje zasad niestandardowych | Zasady DeployIfNotExists (DINE) lub Modyfikuj pomagają zapewnić zgodność subskrypcji i zasobów tworzących strefy docelowe. Zasady te ułatwiają również zarządzanie strefami docelowymi. Ten moduł wdraża niestandardowe definicje zasad w grupach zarządzania. Nie wszyscy klienci mogą używać zasad DINE lub Modify. Jeśli tak się dzieje, wskazówki caF dotyczące zasad niestandardowych zawierają wskazówki. |
|
Core | Definicje ról niestandardowych | Kontrola dostępu oparta na rolach (RBAC) upraszcza zarządzanie prawami użytkowników w systemie. Zamiast zarządzać prawami osób fizycznych, określasz prawa wymagane dla różnych ról w systemie. Kontrola dostępu oparta na rolach platformy Azure ma kilka wbudowanych ról. Definicje ról niestandardowych umożliwiają tworzenie ról niestandardowych dla danego środowiska. W tym module są wdrażane definicje ról niestandardowych. Moduł powinien postępować zgodnie ze wskazówkami caF dotyczącymi kontroli dostępu opartej na rolach na platformie Azure. |
|
Zarządzanie | Rejestrowanie, usługa Automation & Sentinel | Usługi Azure Monitor, Azure Automation i Microsoft Sentinel umożliwiają monitorowanie infrastruktury i obciążeń oraz zarządzanie nimi. Usługa Azure Monitor to rozwiązanie, które umożliwia zbieranie, analizowanie i reagowanie na dane telemetryczne ze środowiska. Microsoft Sentinel to natywna dla chmury funkcja zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Pozwala to na:
Azure Automation to oparty na chmurze system automatyzacji. Obejmuje ona:
W tym module są wdrażane narzędzia niezbędne do monitorowania zagrożeń środowiska i zarządzania nimi oraz zarządzania nimi. Te narzędzia powinny obejmować usługę Azure Monitor, Azure Automation i usługę Microsoft Sentinel. |
|
Łączność | Sieć | Topologia sieci jest kluczowym czynnikiem w przypadku wdrożeń strefy docelowej platformy Azure. CaF koncentruje się na 2 podstawowych podejściach sieciowych:
Te moduły wdrażają wybraną topologię sieci. |
|
Tożsamość | Przypisania ról | Zarządzanie tożsamościami i dostępem (IAM) to kluczowa granica zabezpieczeń w przetwarzaniu w chmurze. Kontrola dostępu oparta na rolach platformy Azure umożliwia wykonywanie przypisań ról wbudowanych lub niestandardowych definicji ról do podmiotów zabezpieczeń. Ten moduł wdraża przypisania ról w jednostkach usługi, tożsamościach zarządzanych lub grupach zabezpieczeń w grupach zarządzania i subskrypcjach. Moduł powinien postępować zgodnie ze wskazówkami caF dotyczącymi zarządzania tożsamościami i dostępem na platformie Azure. |
|
Core | Umieszczanie subskrypcji | Subskrypcje przypisane do grupy zarządzania dziedziczą:
Ten moduł przenosi subskrypcje w ramach odpowiedniej grupy zarządzania. |
|
Core | Built-In i niestandardowe przypisania zasad | Ten moduł wdraża domyślną strefę docelową platformy Azure Azure Policy przypisania do grup zarządzania. Tworzy również przypisania ról dla tożsamości zarządzanych przypisanych przez system utworzonych przez zasady. | |
Zarządzanie | Moduły programu Orchestrator | Moduły programu Orchestrator mogą znacznie poprawić środowisko wdrażania. Te moduły hermetyzują wdrożenie wielu modułów w jednym module. Ukrywa to złożoność użytkownika końcowego. |
Dostosowywanie implementacji Bicep
Implementacje strefy docelowej platformy Azure udostępniane w ramach Cloud Adoption Framework odpowiadają szerokiej gamie wymagań i przypadków użycia. Jednak często istnieją scenariusze, w których dostosowanie jest wymagane do spełnienia określonych potrzeb biznesowych.
Porada
Aby uzyskać więcej informacji, zobacz Dostosowywanie architektury strefy docelowej platformy Azure, aby spełnić wymagania .
Po zaimplementowaniu strefy docelowej platformy następnym krokiem jest wdrożenie stref docelowych aplikacji , które umożliwiają zespołom aplikacji w landing zones
grupie zarządzania zabezpieczenia, których potrzebują administratorzy centralni IT lub PlatformOps. corp
Grupa zarządzania jest przeznaczona dla firmowych połączonych aplikacji, podczas gdy online
grupa zarządzania jest przeznaczona głównie dla aplikacji, które są publicznie dostępne, ale nadal może łączyć się z aplikacjami firmowymi za pośrednictwem sieci koncentratorów w niektórych scenariuszach.
Implementacja strefy docelowej platformy Azure Bicep może być używana jako podstawa dostosowanego wdrożenia. Zapewnia ona sposób przyspieszenia implementacji przez usunięcie konieczności rozpoczęcia od podstaw z powodu określonej wymaganej zmiany, która regułuje gotową opcję.
Informacje na temat dostosowywania modułów są dostępne w repozytorium GitHub wiki GitHub: Azure Landing Zones (ALZ) Bicep — wiki — przewodnik dla konsumentów. Można go użyć jako punktu wyjścia i skonfigurować zgodnie z potrzebami.