Compartilhar via

Zonas de aterrissagem do Azure - Considerações sobre o design dos módulos Bicep

Este artigo fala sobre considerações de design da solução modularizada Zonas de Destino do Azure (ALZ) - Bicep que você pode usar para implantar e gerenciar os principais recursos da plataforma de arquitetura conceitual de zona de destino do Azure conforme detalhado na Cloud Adoption Framework (CAF).

O Bicep é um DSL (linguagem específica de domínio) que usa sintaxe declarativa para implantar recursos do Azure. Ele tem sintaxe concisa, segurança de tipos confiável e suporte para reutilização de código.

Logotipo do GitHub Uma implementação dessa arquitetura está disponível no GitHub: Zonas de Destino do Azure (ALZ) - Implementação Bicep. Use essa implementação como ponto de partida e configure de acordo com suas necessidades.

Observação

Existem implementações para diversas tecnologias de implantação, incluindo modelos ARM baseados em portal e módulos Terraform. A escolha da tecnologia de implantação não deve influenciar a implantação resultante das zonas de aterrissagem do Azure.

Acelerador de bíceps ALZ

Você pode encontrar um guia passo a passo sobre como implementar, automatizar e manter seu módulo ALZ Bicep com o Acelerador Bicep de ALZ.

A estrutura do ALZ Bicep Accelerator foi desenvolvida para fornecer suporte aos usuários finais para integração e implantação do ALZ Bicep usando pipelines de CI/CD completos, suporte para GitHub Actions e Azure DevOps Pipelines, estrutura dedicada para permanecer sincronizado com novos lançamentos do ALZ Bicep e modificar ou adicionar módulos personalizados, além de fornecer orientação de estratégia de ramificação e pipelines de solicitação de pull para linting e validação de módulos Bicep.

Design

Diagrama mostrando os módulos bíceps para implantação de zonas de aterrissagem do Azure.

A arquitetura aproveita a natureza modular do Azure Bicep e é composta por vários módulos. Cada módulo encapsula um recurso central da arquitetura conceitual do Azure Landing Zones. Os módulos podem ser implantados individualmente, mas há dependências a serem observadas.

A arquitetura propõe a inclusão de módulos orquestradores para simplificar a experiência de implantação. Os módulos do orquestrador podem ser usados para automatizar a implantação dos módulos e encapsular diferentes topologias de implantação.

Módulos

Um conceito central no Bicep é o uso de módulos. Os módulos permitem organizar implantações em agrupamentos lógicos. Com os módulos, você melhora a legibilidade dos seus arquivos Bicep encapsulando detalhes complexos da sua implantação. Você também pode facilmente reutilizar módulos em implantações diferentes.

A capacidade de reutilizar módulos oferece um benefício real ao definir e implantar zonas de destino. Ele permite ambientes repetíveis e consistentes no código, reduzindo o esforço necessário para implantar em escala.

Camadas e preparação

Além dos módulos, a arquitetura da zona de aterrissagem do bíceps é estruturada usando um conceito de camadas. Camadas são grupos de módulos Bicep que devem ser implantados juntos. Esses grupos formam estágios lógicos da implementação.

Diagrama mostrando as camadas de implantação.

Um benefício dessa abordagem em camadas é a capacidade de adicionar ao seu ambiente incrementalmente ao longo do tempo. Por exemplo, você pode começar com um pequeno número camadas. Você poderá adicionar as camadas restantes em um estágio subsequente quando estiver pronto.

Descrições do módulo

Esta seção fornece uma visão geral de alto nível dos módulos principais dessa arquitetura.

Camada Módulo Descrição Links úteis
Núcleo Grupos de Gerenciamento Os grupos de gerenciamento são os recursos de nível mais alto em um locatário do Azure. Os grupos de gerenciamento permitem que você gerencie seus recursos com mais facilidade. Você pode aplicar a política no nível do grupo de gerenciamento, e os recursos de nível inferior herdarão essa política. Especificamente, você pode aplicar os seguintes itens no nível do grupo de gerenciamento que serão herdados pelas assinaturas no grupo de gerenciamento:
  • Políticas do Azure
  • Atribuições de funções de Controles de Acesso Baseados em Função do Azure (RBAC)
  • Controles de custos

Este módulo implanta a hierarquia do grupo de gerenciamento conforme definido na arquitetura conceitual da zona de destino do Azure.
Núcleo Definições de políticas personalizadas As políticas DeployIfNotExists (DINE) ou Modify ajudam a garantir que as assinaturas e os recursos que compõem as zonas de aterrissagem estejam em conformidade. As políticas também aliviam o fardo da gestão das zonas de destino.

Este módulo implanta definições de política personalizadas em grupos de gerenciamento. Nem todos os clientes podem usar as políticas DINE ou Modify. Se esse for o seu caso, as diretrizes do CAF sobre políticas personalizadas fornecem orientação.
Núcleo Definições de função personalizadas O RBAC (controle de acesso baseado em função) simplifica o gerenciamento de direitos de usuário em um sistema. Em vez de gerenciar os direitos dos indivíduos, você determina os direitos necessários para diferentes funções em seu sistema. O RBAC do Azure tem várias funções internas. As definições de função personalizadas permitem criar funções personalizadas para seu ambiente.

Este módulo implanta definições de função personalizadas. O módulo deve seguir as diretrizes do CAF sobre o controle de acesso baseado em função do Azure.
Gerenciamento Registro, Automação e Sentinel O Azure Monitor, a Automação do Azure e o Microsoft Sentinel permitem que você monitore e gerencie sua infraestrutura e cargas de trabalho. O Azure Monitor é uma solução que permite coletar, analisar e agir na telemetria do seu ambiente.

O Microsoft Sentinel é um SIEM (gerenciamento de eventos de informação de segurança) nativo da nuvem. Ele permite que você:
  • Coletar - Colete dados em toda a sua infraestrutura
  • Detectar - Detectar ameaças que não foram detectadas anteriormente
  • Responder - Responda a ameaças legítimas com orquestração integrada
  • Investigar - Investigue as ameaças com inteligência artificial

A Automação do Azure é um sistema de automação baseado em nuvem. Ele inclui:
  • Gerenciamento de configuração - Inventarie e rastreie alterações para máquinas virtuais Linux e Windows e gerencie a configuração de estado desejada
  • Gerenciamento de atualizações - Avalie a conformidade do sistema Windows e Linux e crie implantações agendadas para atender à conformidade
  • Automação de processos - Automatize tarefas de gerenciamento

Este módulo implanta as ferramentas necessárias para monitorar, gerenciar e avaliar ameaças ao seu ambiente. Essas ferramentas devem incluir o Azure Monitor, a Automação do Azure e o Microsoft Sentinel.
Conectividade Rede A topologia de rede é uma consideração importante nas implantações de Zona de Destino do Azure. O CAF se concentra em duas abordagens de rede principais:
  • Topologias baseadas na WAN Virtual do Azure
  • Topologias tradicionais

Esses módulos implantam a topologia de rede escolhida.
Identidade Atribuições de Funções O IAM (gerenciamento de identidades e acesso) é um limite importante de segurança em cloud computing. O Azure RBAC permite que você execute atribuições de funções de funções integradas ou definições de funções personalizadas para entidades de segurança.

Esse módulo implanta atribuições de funções para Entidades de Serviço, Identidades Gerenciadas ou grupos de segurança em grupos de gerenciamento e assinaturas. O módulo deve seguir as diretrizes do CAF sobre o gerenciamento de identidade e acesso do Azure.
Núcleo Colocação de Assinatura Assinaturas atribuídas a um grupo de gerenciamento herdam:
  • Políticas do Azure
  • Atribuições de funções de Controles de Acesso Baseados em Função do Azure (RBAC)
  • Controle de custos

Este módulo move as assinaturas para o grupo de gerenciamento apropriado.
Núcleo Atribuições de políticas integradas e personalizadas Esse módulo implanta as atribuições de Azure Policy da zona de aterrissagem padrão do Azure para grupos de gerenciamento. Ele também cria atribuições de função para identidades gerenciadas atribuídas pelo sistema criadas por políticas.
Gerenciamento Módulos do Orchestrator Os módulos do Orchestrator podem melhorar muito a experiência de implantação. Esses módulos encapsulam a implantação de vários módulos em um único módulo. Isso oculta a complexidade do usuário final.

Personalizando a implementação do Bicep

As implementações da Zona de Destino do Azure fornecidas como parte da Cloud Adoption Framework se ajustam a diversos requisitos e casos de uso. No entanto, geralmente há cenários em que a personalização é necessária para atender a necessidades comerciais específicas.

Dica

Confira Personalizar a arquitetura da zona de destino do Azure para atender aos requisitos, para obter mais informações.

Depois que a zona de destino da plataforma for implementada, a próxima etapa será implantar zonas de destino de aplicativos, que permitem às equipes de aplicativos no grupo de gerenciamento landing zones atuar com as proteções exigidas pelos administradores de TI Central ou PlatformOps. O grupo de gerenciamento corp é para aplicativos corporativos conectados, enquanto o grupo de gerenciamento online é para aplicativos que são principalmente voltados para o público, mas ainda podem se conectar a aplicativos corporativos por meio de redes de hub em alguns cenários.

A implementação da zona de aterrissagem do Bicep Azure pode ser usada como base para sua implantação personalizada. Ele fornece uma maneira de acelerar sua implementação, eliminando a necessidade de começar do zero devido a uma mudança específica necessária que descarta uma opção pronta.

Logotipo do GitHub Informações sobre como personalizar os módulos estão disponíveis no wiki do repositório GitHub GitHub: Zonas de Aterrissagem do Azure (ALZ) Bicep - Wiki - Guia do Consumidor. Use essa implementação como ponto de partida e configure de acordo com suas necessidades.