Dostosowywanie architektury strefy docelowej platformy Azure w celu spełnienia wymagań

  • Artykuł

W ramach wskazówek dotyczących strefy docelowej platformy Azure dostępnych jest kilka opcji implementacji referencyjnej:

  • Strefa docelowa platformy Azure z usługą Azure Virtual WAN
  • Strefa docelowa platformy Azure z tradycyjnym koncentratorem i szprychą
  • Podstawy strefy docelowej platformy Azure
  • Strefa docelowa platformy Azure dla małych przedsiębiorstw

Te opcje mogą pomóc organizacji w szybkim rozpoczęciu pracy przy użyciu konfiguracji, które dostarczają architekturę koncepcyjną strefy docelowej platformy Azure i najlepsze rozwiązania w obszarach projektowania.

Implementacje referencyjne są oparte na najlepszych rozwiązaniach i nauce zespołów firmy Microsoft od zaangażowania klientów i partnerów. Ta wiedza reprezentuje stronę "80" reguły 80/20. Różne implementacje zajmują stanowiska w zakresie decyzji technicznych, które są częścią procesu projektowania architektury.

Ponieważ nie wszystkie przypadki użycia są takie same, nie wszystkie organizacje mogą używać podejścia implementacji w dokładny sposób, w jaki był zamierzony. Należy zrozumieć zagadnienia, gdy zidentyfikowano wymaganie dostosowania.

Co to jest archetyp strefy docelowej w strefach docelowych platformy Azure?

Archetyp strefy docelowej opisuje, co musi być prawdziwe, aby zapewnić, że strefa docelowa (subskrypcja platformy Azure) spełnia oczekiwane wymagania dotyczące środowiska i zgodności w określonym zakresie. Oto kilka przykładów:

  • Przypisania usługi Azure Policy.
  • Przypisania kontroli dostępu opartej na rolach (RBAC).
  • Centralnie zarządzane zasoby, takie jak sieć.

Należy rozważyć każdą grupę zarządzania w hierarchii zasobów jako współtworzenia końcowych danych wyjściowych archetypu strefy docelowej ze względu na sposób działania dziedziczenia zasad na platformie Azure. Pomyśl o tym, co jest stosowane na wyższych poziomach w hierarchii zasobów podczas projektowania niższych poziomów.

Istnieje ścisła relacja między grupami zarządzania i archetypami strefy docelowej, ale sama grupa zarządzania nie jest archetypem strefy docelowej. Zamiast tego stanowi część struktury używanej do implementowania poszczególnych archetypów strefy docelowej w danym środowisku.

Tę relację można zobaczyć w architekturze koncepcyjnej strefy docelowej platformy Azure. Przypisania zasad są tworzone w pośredniej głównej grupie zarządzania, na przykład Contoso, dla ustawień, które muszą mieć zastosowanie do wszystkich obciążeń. Więcej przypisań zasad jest tworzonych na niższych poziomach hierarchii w celu uzyskania bardziej szczegółowych wymagań.

Umieszczanie subskrypcji w hierarchii grup zarządzania określa wynikowy zestaw przypisań usługi Azure Policy i kontroli dostępu (IAM), które są dziedziczone, stosowane i wymuszane dla tej konkretnej strefy docelowej (subskrypcja platformy Azure).

W celu zapewnienia, że strefa docelowa ma wymagane zasoby zarządzane centralnie, może być wymagane więcej procesów i narzędzi. Przykłady obejmują:

  • Ustawienia diagnostyczne służące do wysyłania danych dziennika aktywności do obszaru roboczego usługi Log Analytics.
  • Ustawienia eksportu ciągłego dla Microsoft Defender dla Chmury.
  • Sieć wirtualna z zarządzaną przestrzenią adresów IP dla obciążeń aplikacji.
  • Łączenie sieci wirtualnych z rozproszoną ochroną sieciową typu "odmowa usługi" (DDoS).

Uwaga

W implementacjach odwołań do strefy docelowej platformy Azure zasady platformy Azure z efektami DeployIfNotExists i Modifysłużą do osiągnięcia wdrożenia niektórych z powyższych zasobów. Są one zgodne z zasadą projektowania ładu opartą na zasadach.

Aby uzyskać więcej informacji, zobacz Wdrażanie barier zabezpieczających opartych na zasadach.

Wbudowane archetypy architektury koncepcyjnej strefy docelowej platformy Azure

Architektura koncepcyjna zawiera przykładowe archetypy strefy docelowej dla obciążeń aplikacji, takich jak corp i online. Te archetypy mogą mieć zastosowanie do organizacji i spełnić wymagania. Możesz wprowadzić zmiany w tych archetypach lub utworzyć nowe. Twoja decyzja zależy od potrzeb i wymagań organizacji.

Napiwek

Aby przejrzeć archetypy strefy docelowej w akceleratorze strefy docelowej platformy Azure, zobacz Grupy zarządzania w akceleratorze strefy docelowej platformy Azure.

Możesz również utworzyć zmiany w innej części hierarchii zasobów. Podczas planowania hierarchii dla implementacji stref docelowych platformy Azure dla organizacji postępuj zgodnie z wytycznymi w obszarach projektowania.

Następujące przykłady archetypu strefy docelowej z architektury koncepcyjnej pomagają zrozumieć ich przeznaczenie i przeznaczenie:

Archetyp strefy docelowej (grupa zarządzania) Przeznaczenie lub użycie
Corp Dedykowana grupa zarządzania dla firmowych stref docelowych. Ta grupa dotyczy obciążeń wymagających łączności lub łączności hybrydowej z siecią firmową za pośrednictwem centrum w subskrypcji łączności.
W trybie online Dedykowana grupa zarządzania dla stref docelowych online. Ta grupa dotyczy obciążeń, które mogą wymagać bezpośredniej łączności przychodzącej/wychodzącej z Internetu lub obciążeń, które mogą nie wymagać sieci wirtualnej.
Piaskownica Dedykowana grupa zarządzania dla subskrypcji, która będzie używana tylko do testowania i eksploracji przez organizację. Te subskrypcje zostaną bezpiecznie odłączone od stref docelowych firmowych i online. Piaskownice mają również mniej restrykcyjny zestaw zasad przypisanych do włączania testowania, eksploracji i konfiguracji usług platformy Azure.

Scenariusze, w których może być wymagane dostosowanie

Jak wspomniano, udostępniamy typowe archetypy strefy docelowej w architekturze koncepcyjnej strefy docelowej platformy Azure. Są one corp i online. Te archetypy nie są stałe i nie są jedynymi dozwolonymi archetypami strefy docelowej dla obciążeń aplikacji. Może być konieczne dostosowanie archetypów strefy docelowej do własnych potrzeb i wymagań.

Przed dostosowaniem archetypów strefy docelowej ważne jest, aby zrozumieć pojęcia, a także zwizualizować obszar hierarchii, który sugerujemy dostosować. Na poniższym diagramie przedstawiono domyślną hierarchię architektury koncepcyjnej strefy docelowej platformy Azure.

Diagram that shows Azure landing zone default hierarchy with tailoring areas highlighted.

Wyróżniono dwa obszary hierarchii. Jeden znajduje się pod strefami docelowymi, a drugi znajduje się pod platformą.

Dostosowywanie archetypów strefy docelowej aplikacji

Zwróć uwagę na obszar wyróżniony na niebiesko pod grupą zarządzania Strefami docelowymi. Jest to najbardziej typowe i najbezpieczniejsze miejsce w hierarchii, aby dodać więcej archetypów w celu spełnienia nowych lub większej liczby wymagań, których nie można dodać jako większej liczby przypisań zasad do istniejącego archetypu przy użyciu istniejącej hierarchii.

Na przykład może istnieć nowe wymaganie dotyczące hostowania zestawu obciążeń aplikacji, które muszą spełniać wymagania dotyczące zgodności z kartami płatniczymi (PCI). Jednak to nowe wymaganie nie musi dotyczyć wszystkich obciążeń w całej infrastrukturze.

Istnieje prosty i bezpieczny sposób spełnienia tego nowego wymagania. Utwórz nową grupę zarządzania o nazwie PCI poniżej grupy zarządzania Strefy docelowe w hierarchii. Do nowej grupy zarządzania PCI w wersji 3.2.2018 można przypisać więcej zasad, takich jak inicjatywa zasad zgodności z przepisami Microsoft Defender dla Chmury. Ta akcja stanowi nowy archetyp.

Teraz możesz umieścić nowe lub przenieść istniejące subskrypcje platformy Azure do nowej grupy zarządzania PCI , aby odziedziczyć wymagane zasady i utworzyć nowy archetyp.

Innym przykładem jest chmura firmy Microsoft dla suwerenności, która dodaje grupy zarządzania do poufnych zasobów obliczeniowych i jest dopasowywana do użytku w branżach regulowanych. Usługa Microsoft Cloud for Sovereignty udostępnia narzędzia, wskazówki i zabezpieczenia na potrzeby wdrażania chmury publicznej z odpowiednimi mechanizmami kontroli suwerenności.

Napiwek

Musisz wiedzieć, co należy wziąć pod uwagę i co się stanie po przeniesieniu subskrypcji platformy Azure między grupami zarządzania w odniesieniu do kontroli dostępu opartej na rolach i usługi Azure Policy. Aby uzyskać więcej informacji, zobacz Przenoszenie istniejących środowisk platformy Azure do architektury koncepcyjnej strefy docelowej platformy Azure.

Dostosowywanie archetypów strefy docelowej platformy

Możesz również dostosować obszar wyróżniony kolorem pomarańczowym pod grupą zarządzania platformą . Strefy w tym obszarze są nazywane strefami docelowymi platformy.

Na przykład może istnieć dedykowany zespół SOC, który wymaga własnego archetypu do hostowania obciążeń. Te obciążenia muszą spełniać wymagania dotyczące przypisywania usługi Azure Policy i RBAC różnić się od wymagań grupy zarządzania.

Utwórz nową grupę zarządzania zabezpieczeniami poniżej grupy zarządzania platformą w hierarchii. Do niego można przypisać wymagane przypisania usługi Azure Policy i kontroli dostępu opartej na rolach.

Teraz możesz umieścić nowe lub przenieść istniejące subskrypcje platformy Azure do nowej grupy zarządzania zabezpieczeniami , aby odziedziczyć wymagane zasady i utworzyć nowy archetyp.

Przykład dostosowanej hierarchii strefy docelowej platformy Azure

Na poniższym diagramie przedstawiono dostosowaną hierarchię strefy docelowej platformy Azure. Używa przykładów z poprzedniego diagramu.

Diagram that shows a tailored Azure landing zone hierarchy.

Kwestie do rozważenia

Podczas myślenia o dostosowaniu implementacji archetypów strefy docelowej platformy Azure w hierarchii należy wziąć pod uwagę następujące kwestie:

  • Dostosowanie hierarchii nie jest obowiązkowe. Domyślne archetypy i hierarchia, które udostępniamy, są odpowiednie dla większości scenariuszy.

  • Nie twórz ponownie hierarchii organizacyjnej, zespołów ani działów w archetypach.

  • Zawsze staraj się opierać na istniejących archetypach i hierarchii, aby spełnić nowe wymagania.

  • Twórz tylko nowe archetypy, gdy są naprawdę potrzebne.

    Na przykład nowe wymaganie zgodności, takie jak PCI, jest wymagane tylko dla podzbioru obciążeń aplikacji i nie musi być stosowane do wszystkich obciążeń.

  • Utwórz tylko nowe archetypy w wyróżnionych obszarach pokazanych na poprzednich diagramach.

  • Unikaj wykraczania poza głębokość hierarchii czterech warstw, aby uniknąć złożoności i niepotrzebnych wykluczeń. Rozwiń archetypy w poziomie zamiast pionowo w hierarchii.

  • Nie twórz archetypów dla środowisk, takich jak programowanie, testowanie i produkcja.

    Aby uzyskać więcej informacji, zobacz Jak obsługiwać strefy docelowe obciążeń tworzenia i testowania/produkcji w architekturze koncepcyjnej stref docelowych platformy Azure?

  • Jeśli pochodzi ze środowiska brownfield lub szukasz podejścia do hostowania subskrypcji w grupie zarządzania strefami docelowymi z zasadami w trybie wymuszania "tylko inspekcja", zapoznaj się z artykułem Scenariusz: Przenoszenie środowiska przez duplikowanie grupy zarządzania strefy docelowej