Obszar projektowania: ład na platformie Azure
Użyj ładu platformy Azure, aby ustanowić narzędzia potrzebne do obsługi ładu w chmurze, inspekcji zgodności i automatycznych poręczy.
Przegląd obszaru projektowania
Role lub funkcje: ład platformy Azure pochodzi z ładu w chmurze. Może być konieczne zaimplementowanie platformy w chmurze lub centrum doskonałości w chmurze w celu zdefiniowania i zastosowania pewnych wymagań technicznych. Ład koncentruje się na wymuszaniu operacji i wymagań dotyczących zabezpieczeń, które mogą wymagać zabezpieczeń chmury, centralnych operacji IT lub operacji w chmurze.
Zakres: Rozważ decyzje dotyczące tożsamości, sieci, zabezpieczeń i przeglądów obszaru projektowego zarządzania. Twój zespół może porównać decyzje dotyczące przeglądu ze zautomatyzowanego ładu, który jest częścią akceleratora strefy docelowej platformy Azure. Przegląd decyzji może pomóc w ustaleniu, co należy przeprowadzić inspekcję lub wymusić i jakie zasady mają być wdrażane automatycznie.
Poza zakresem: ład platformy Azure ustanawia podstawy dla sieci. Nie dotyczy to jednak składników związanych ze zgodnością, takich jak zaawansowane zabezpieczenia sieci lub zautomatyzowane zabezpieczenia w celu wymuszania decyzji dotyczących sieci. Te decyzje dotyczące sieci można rozwiązać podczas przeglądania obszarów projektowania zgodności, które są związane z zabezpieczeniami i ładem. Zespół ds. platformy w chmurze powinien spełnić początkowe wymagania dotyczące sieci przed rozwiązaniem bardziej złożonych składników.
Nowe (greenfield) środowisko chmury: aby rozpocząć podróż do chmury, utwórz mały zestaw subskrypcji. Szablony wdrażania Bicep umożliwiają tworzenie nowych stref docelowych platformy Azure. Aby uzyskać więcej informacji, zobacz Bicep — przepływ wdrażania stref docelowych platformy Azure.
Istniejące (brownfield) środowisko chmury: Jeśli chcesz zastosować sprawdzone zasady ładu platformy Azure do istniejących środowisk platformy Azure, rozważ następujące wskazówki:
Ustanów punkt odniesienia zarządzania dla środowiska hybrydowego lub wielochmurowego.
Zaimplementuj funkcje usługi Microsoft Cost Management , takie jak zakresy rozliczeniowe, budżety i alerty, aby upewnić się, że nie przekroczysz limitu wydatków.
Użyj usługi Azure Policy , aby wymusić zabezpieczenia ładu we wdrożeniach platformy Azure i wyzwolić zadania korygowania w celu przełączenia istniejących zasobów platformy Azure w stan zgodności.
Rozważ użycie funkcji zarządzania upoważnieniami firmy Microsoft w celu zautomatyzowania przepływów pracy żądań dostępu platformy Azure, przypisań dostępu, przeglądów i wygaśnięcia.
Skorzystaj z zaleceń usługi Azure Advisor , aby zapewnić optymalizację kosztów i doskonałość operacyjną na platformie Azure, z których oba są podstawowymi zasadami platformy Microsoft Azure Well-Architected Framework.
Repozytorium przepływów wdrażania stref docelowych platformy Azure — wdrożenie zawiera szablony wdrażania Bicep, które mogą przyspieszyć wdrożenia strefy docelowej platformy Azure i pola zielonego. Te szablony zawierają zintegrowane wskazówki dotyczące zapewniania ładu sprawdzonej praktyki firmy Microsoft.
Rozważ użycie modułu Bicep domyślnych przypisań zasad strefy docelowej platformy Azure, aby rozpocząć pracę nad zapewnieniem zgodności środowisk platformy Azure.
Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące środowiska Brownfield.
Omówienie obszaru projektowania
Podróż po wdrożeniu chmury w organizacji rozpoczyna się od silnych mechanizmów kontroli dla środowisk rządowych.
Ład zapewnia mechanizmy i procesy utrzymania kontroli nad platformami, aplikacjami i zasobami na platformie Azure.
Zapoznaj się z poniższymi zagadnieniami i zaleceniami, aby podejmować świadome decyzje podczas planowania strefy docelowej.
Obszar projektowania ładu koncentruje się na decyzjach projektowych dotyczących strefy docelowej. Aby uzyskać informacje na temat procesów i narzędzi ładu, zobacz Zarządzanie w przewodniku Cloud Adoption Framework dla platformy Azure.
Zagadnienia dotyczące ładu platformy Azure
Usługa Azure Policy pomaga zapewnić bezpieczeństwo i zgodność z infrastrukturą techniczną przedsiębiorstwa. Usługa Azure Policy może wymuszać istotne konwencje zarządzania i zabezpieczeń w usługach platformy Azure. Usługa Azure Policy uzupełnia kontrolę dostępu opartą na rolach (RBAC) platformy Azure, która kontroluje akcje dla autoryzowanych użytkowników. Usługa Cost Management może również pomóc w obsłudze bieżących kosztów ładu i wydatków na platformie Azure lub w innych środowiskach wielochmurowych.
Uwagi dotyczące wdrażania
Zarządy przeglądu zmian mogą utrudniać innowacje w organizacji i elastyczność biznesową. Usługa Azure Policy zastępuje takie przeglądy zautomatyzowanymi zabezpieczeniami i inspekcjami zgodności w celu zwiększenia wydajności obciążeń.
Ustal, które zasady platformy Azure są potrzebne na podstawie mechanizmów kontroli biznesowej lub przepisów dotyczących zgodności. Użyj zasad uwzględnionych w akceleratorze strefy docelowej platformy Azure jako punktu wyjścia.
Użyj zasad uwzględnionych w implementacji referencyjnej stref docelowych platformy Azure, aby wziąć pod uwagę inne zasady, które mogą być zgodne z wymaganiami biznesowymi.
Wymuszanie zautomatyzowanych konwencji dotyczących sieci, tożsamości, zarządzania i zabezpieczeń.
Zarządzanie przypisaniami zasad i tworzenie ich przy użyciu definicji zasad, które można używać ponownie w wielu dziedziczych zakresach przypisania. Można mieć scentralizowane przypisania zasad punktu odniesienia w zakresie zarządzania, subskrypcji i grupy zasobów.
Zapewnij ciągłą zgodność z raportowaniem zgodności i inspekcją.
Dowiedz się, że usługa Azure Policy ma limity, takie jak ograniczenie definicji w dowolnym określonym zakresie. Aby uzyskać więcej informacji, zobacz Limity zasad.
Omówienie zasad zgodności z przepisami. Zasady mogą obejmować kryteria HIPAA, PCI-DSS lub SOC 2 Trust Services.
Zagadnienia dotyczące zarządzania kosztami
Rozważ strukturę modelu kosztów i ładowania organizacji. Określ kluczowe punkty danych, które dokładnie przekazują wydatki na usługi w chmurze.
Wybierz strukturę tagów pasujących do modelu kosztów i ładowania, aby ułatwić śledzenie wydatków na chmurę.
Skorzystaj z kalkulatora cen platformy Azure, aby oszacować oczekiwane miesięczne koszty korzystania z produktów platformy Azure.
Uzyskaj Korzyść użycia hybrydowego platformy Azure, aby zmniejszyć koszty uruchamiania obciążeń w chmurze. Możesz użyć lokalnych licencji systemu Windows Server i programu SQL Server z obsługą lokalnego pakietu Software Assurance na platformie Azure. Możesz również używać subskrypcji systemów Red Hat i SUSE Linux.
Uzyskaj rezerwacje platformy Azure i zatwierdź plany roczne lub trzyletnie dla wielu produktów. Plany rezerwacji zapewniają rabaty na zasoby, które mogą znacznie zmniejszyć koszty zasobów o maksymalnie 72% w porównaniu z cenami płatności zgodnie z rzeczywistym użyciem.
Uzyskaj plan oszczędności platformy Azure na potrzeby obliczeń, aby zaoszczędzić do 65% w porównaniu z cenami płatności zgodnie z rzeczywistym użyciem. Wybierz roczne lub trzyletnie zobowiązanie, które ma zastosowanie do usług obliczeniowych, niezależnie od regionu, rozmiaru wystąpienia lub systemu operacyjnego. Wybierz plan składników obliczeniowych, takich jak maszyny wirtualne, dedykowane hosty, wystąpienia kontenerów, funkcje premium platformy Azure i usługi aplikacji platformy Azure. Połącz plan oszczędności platformy Azure z rezerwacjami platformy Azure, aby zoptymalizować koszt obliczeniowy i elastyczność.
Użyj zasad platformy Azure, aby zezwolić na określone regiony, typy zasobów i jednostki SKU zasobów.
Użyj zasad opartych na regułach zarządzania cyklem życia usługi Azure Storage, aby przenieść dane obiektów blob do odpowiednich warstw dostępu lub wygasnąć dane na końcu cyklu życia danych.
Skorzystaj z subskrypcji tworzenia i testowania platformy Azure, aby uzyskać rabat na dostęp do wybranych usług platformy Azure dla obciążeń nieprodukcyjnych.
Automatyczne skalowanie umożliwia dynamiczne przydzielanie i cofanie przydziału zasobów zgodnie z potrzebami w zakresie wydajności, co pozwala zaoszczędzić pieniądze.
Użyj maszyn wirtualnych typu spot platformy Azure, aby korzystać z nieużywanej pojemności obliczeniowej przy niskich kosztach. Maszyny wirtualne typu spot doskonale nadają się do obsługi obciążeń, które mogą obsługiwać przerwy, na przykład zadania przetwarzania wsadowego, środowiska deweloperskie/testowe i obciążenia dużych obliczeń.
Wybierz odpowiednie usługi platformy Azure, aby zmniejszyć koszty. Niektóre usługi platformy Azure są bezpłatne przez 12 miesięcy, a niektóre są zawsze bezpłatne.
Wybierz odpowiednią usługę obliczeniową dla aplikacji, aby zwiększyć efektywność kosztową. Platforma Azure oferuje wiele metod hostowania kodu.
Zagadnienia dotyczące zarządzania zasobami
Ustal, czy grupy zasobów w danym środowisku mogą współdzielić wymagane konfiguracje, wspólny cykl życia lub typowe ograniczenia dostępu (takie jak kontrola dostępu oparta na rolach), aby zapewnić spójność.
Wybierz projekt subskrypcji aplikacji lub obciążenia, który jest odpowiedni dla potrzeb związanych z operacją.
Użyj standardowych konfiguracji zasobów w organizacji, aby zapewnić spójną konfigurację punktu odniesienia.
Zagadnienia dotyczące zabezpieczeń
- Wymuszanie narzędzi i barier zabezpieczających w całym środowisku w ramach punktu odniesienia zabezpieczeń.
- Powiadom odpowiednie osoby po znalezieniu odchyleń.
- Rozważ użycie usługi Azure Policy, aby wymusić narzędzia, takie jak Microsoft Defender dla Chmury lub zabezpieczenia, takie jak test porównawczy zabezpieczeń w chmurze firmy Microsoft.
Zagadnienia dotyczące zarządzania tożsamościami
Określ, kto ma dostęp do dzienników inspekcji na potrzeby zarządzania tożsamościami i dostępem.
Powiadom odpowiednie osoby po wystąpieniu podejrzanych zdarzeń logowania.
Rozważ użycie raportów firmy Microsoft Entra do zarządzania działaniami.
Rozważ wysłanie dzienników identyfikatora entra firmy Microsoft do centralnego obszaru roboczego dzienników usługi Azure Monitor dla platformy.
Zapoznaj się z funkcjami Zarządzanie tożsamością Microsoft Entra, takimi jak przeglądy dostępu i zarządzanie upoważnieniami.
Narzędzia innej firmy niż Microsoft
Użyj narzędzia AzAdvertizer , aby uzyskać aktualizacje ładu platformy Azure. Na przykład możesz znaleźć szczegółowe informacje na temat definicji zasad, inicjatyw, aliasów, zabezpieczeń i mechanizmów kontroli zgodności z przepisami w definicjach ról usługi Azure Policy lub RBAC platformy Azure. Możesz również uzyskać wgląd w operacje dostawcy zasobów, definicje ról i akcje roli firmy Microsoft oraz uprawnienia interfejsu API firmy Microsoft.
Użyj wizualizatora ładu platformy Azure, aby śledzić stan ładu technicznego. Możesz użyć funkcji sprawdzania wersji zasad dla stref docelowych platformy Azure, aby zapewnić aktualność środowiska przy użyciu najnowszego stanu wydania zasad strefy docelowej platformy Azure.
Zalecenia dotyczące ładu platformy Azure
Zalecenia dotyczące przyspieszania wdrażania
Zidentyfikuj wymagane tagi platformy Azure i użyj trybu zasad dołączania, aby wymusić użycie. Aby uzyskać więcej informacji, zobacz Definiowanie strategii tagowania.
Mapuj wymagania prawne i zgodności na definicje usługi Azure Policy i przypisania ról platformy Azure.
Ustanów definicje usługi Azure Policy w głównej grupie zarządzania najwyższego poziomu, ponieważ mogą być przypisane w dziedziczych zakresach.
W razie potrzeby zarządzaj przypisaniami zasad na najwyższym odpowiednim poziomie przy użyciu wykluczeń na najniższych poziomach.
Użyj usługi Azure Policy, aby kontrolować rejestracje dostawców zasobów na poziomach subskrypcji lub grupy zarządzania.
Użyj wbudowanych zasad, aby zminimalizować nakład pracy operacyjnej.
Przypisz wbudowaną rolę Współautor zasad zasobów w określonym zakresie, aby umożliwić zarządzanie na poziomie aplikacji.
Ogranicz liczbę przypisań usługi Azure Policy w zakresie głównej grupy zarządzania, aby uniknąć zarządzania wykluczeniami w dziedziczonych zakresach.
Zalecenia dotyczące zarządzania kosztami
- Usługa Cost Management umożliwia zaimplementowanie nadzoru finansowego nad zasobami w danym środowisku.
- Użyj tagów, takich jak centrum kosztów lub nazwa projektu, aby dołączyć metadane zasobu. Takie podejście ułatwia szczegółową analizę wydatków.
Ład platformy Azure w akceleratorze strefy docelowej platformy Azure
Akcelerator strefy docelowej platformy Azure udostępnia organizacjom dojrzałe mechanizmy kontroli ładu.
Można na przykład zaimplementować następujące elementy:
- Hierarchia grup zarządzania, która grupuje zasoby według funkcji lub typu obciążenia. Takie podejście zachęca do spójności zasobów.
- Bogaty zestaw zasad platformy Azure, który umożliwia sterowanie ładem na poziomie grupy zarządzania. Takie podejście pomaga sprawdzić, czy wszystkie zasoby znajdują się w zakresie.