Развертывание основы системы управления облаком

  • 10 мин

Развертывание основы системы управления облаком ускорит управление всей средой Azure. В этом уроке определены рекомендации и реализации, необходимые для развертывания основы, обеспечивающей согласованность ресурсов и поддерживающей другие дисциплины управления.

Что будет настроено?

В этом уроке предполагается, что вы уже развернули ресурсы в Azure. Теперь вам нужно настроить среду для более эффективной организации, мониторинга и контроля этих ресурсов. После завершения этого урока вы узнаете , почему и как настроить группы управления, дизайн подписки, группы ресурсов и теги.

Стратегические соображения

Организация ресурсов зависит от того, что важно для вашей организации. Прежде чем определять структуру группы управления или подписки, необходимо понимать приоритет следующих конкурирующих аспектов.

  • Прозрачность затрат. Каждое внедрение облака должно быть согласовано с отделами, бизнес-подразделениями, проектами или другими механизмами распределения затрат для требований к выставлению счетов и обратному учету.
  • Соответствие требованиям и безопасность. Все операции внедрения облачных технологий должны соответствовать конкретным требованиям соблюдения норм, предъявляемым относительно рисков, безопасности и соответствия стандартам организации.
  • Демократизация (делегированная ответственность). Все операции внедрения облачных технологий должны соответствовать командам, группам продуктов или проектам для упрощения разделения обязанностей по командам.

Понимание этих стратегических приоритетов поможет определить оптимальную отправную точку для создания проекта управления и подписки.

Организация ресурсов в Azure

В основе всех систем управления лежит согласованная организация ресурсов.

Image that demonstrates the Resource Consistency baseline as a hierarchy of resources.

Рис. 1. Согласованность ресурсов.

Ниже перечислены три основных компонента организации ресурсов.

  • Группы управления, которые отражают иерархии безопасности, операций и ведения бизнеса или учета.
  • Подписки, которые объединяют схожие ресурсы в логические группы.
  • Группы ресурсов, которые далее объединяют приложения или рабочие нагрузки в единицы развертывания и эксплуатации.

Рекомендация по структуре системы управления

Чтобы удовлетворить потребности управления в долгосрочной перспективе, разработайте иерархию высокого уровня, но реализуйте только то, что вам нужно. По мере необходимости добавляйте в иерархию новые узлы.

Image that demonstrates management group hierarchy.

Рис. 2. Иерархия групп управления.

Следующие компоненты расположены в порядке убывания в иерархии группы управления, показанной на рис. 2.

  • Группа управления: подразделение, география и среда
  • Подписка: для каждой категории приложений, предварительной подготовки, сред разработки и рабочей среды
  • Группы ресурсов: для каждого приложения

Упражнение. Настройка первой иерархии групп управления

Начните с небольшой иерархии, чтобы поэкспериментировать и быстро пройти начальные схемы обучения.

Diagram of a reduced-size management group hierarchy.

Рис. 3. Начальная, меньшая иерархия групп управления.

В этой версии попробуйте выполнить следующие действия по настройке.

  • Родительский узел: определите группу управления для корпоративных ИТ-ресурсов.
  • Дочерние узлы: определите дочерние узлы для каждой производственной и непроизводственной среды.

Рекомендации по созданию этих групп управления см. в кратком руководстве по созданию группы управления в портал Azure.

Разработка подписки

Подписка — это логический контейнер для всех развернутых ресурсов. Они используются для объединения общих рабочих нагрузок на основе требований к выставлению счетов, соответствия нормам, обеспечению безопасности или доступа. Чтобы максимально повысить эффективность управления, следует использовать как можно меньше подписок.

Diagram of two separate subscriptions, one labeled production and one labeled nonproduction.

Рис. 4. Рабочие и непроизводственные подписки.

Масштабирование с использованием подписок

Существует несколько технических и нетехнических причин масштабирования с несколькими подписками. Ознакомьтесь с основными понятиями, чтобы ознакомиться с общими причинами масштабирования.

Следующие вопросы могут помочь понять необходимость масштабирования подписок.

  • Существуют ли возможности или технические ограничения?
  • Требуется ли четкое разграничение проблем? Пример:
    • Разделение обязанностей
    • Разработка, тестирование и универсальные непроизводственные операции
    • Разные клиенты
    • Разные отделы или подразделения
    • Разные проекты
  • Вы можете распределить стоимость общей инфраструктуры между владельцами приложений? (Часто выделенная подписка используется для общей инфраструктуры, например идентификатора Microsoft Entra, мониторинга или средств исправления.)
  • Требуется ли четкое разделение обязанностей через общие подписки на службы для команд управления операциями, обеспечения безопасности, синхронизации удостоверений, подключения или DevOps?

Упражнение. Добавление подписок в группы управления

Добавьте существующие подписки в каждый узел среды, чтобы четко разделить ресурсы производства, разработки и контроля качества.

Screenshot that shows adding a subscription to a management group in the Azure portal.

Рис. 5. Добавление подписки в группу управления

Инструкции по добавлению подписок в группу управления см. в руководстве.

Расстановка тегов

Группы управления отражают организационную структуру с наивысшим приоритетом. Теги представляют ряд дополнительных организационных принципов, которые также отражаются через метаданные. Ниже приведены предлагаемые теги для всех рабочих нагрузок.

  • Рабочая нагрузка (и (или) приложение)
  • Конфиденциальность данных; Классификация ссылочных данных для примеров
  • Критически важное значение для миссии; Критичность ссылочной рабочей нагрузки для примеров
  • Ответственное лицо
  • Отдел (центр затрат)
  • Среда

Упражнение. Назначение политики тегов

Политики Azure можно применять ко всем подпискам в группе управления. Чтобы понять роль политики в основе системы управления, примените политику к одной из групп управления в иерархии.

Screenshot that shows assigning a policy in the Azure portal.

Рис. 6. Назначение политики на портале Azure

Руководство по применению политики проверка руководства по созданию политик и управлению ими

  • На шаге 4 инструкций по назначению политики обсуждается область. На этом шаге выберите группу управления, чтобы убедиться, что политики применяются ко всем подпискам в группе управления.
  • На шагах 6 и 7 обсуждается определение политики. В списке встроенных политик рекомендуется выбрать одну из политик, связанных с добавлением тегов. В частности, политика, требующая тега для всех ресурсов , помогает установить основу управления.

Важно!

На шаге 9 в руководстве демонстрируется применение политики. При изучении системы управления не забудьте задать параметру Применение политики значение Отключено. Если этот параметр отключен, вы можете выполнять аудит среды без внесения каких-либо изменений и запрета будущих развертываний.

Ускорение развертывания

Упаковка всех изменений системы управления в схему ускоряет развертывания и создает согласованное приложение по управлению. При назначении схемы в следующем упражнении управление последовательно применяется ко всем подпискам в назначенной группе управления. Она также применяется ко всем группам ресурсов и ресурсам в этих подписках.

Упражнение. Назначение схемы CAF Foundation

Azure Blueprints объединяет шаблоны Azure Resource Manager, политик Azure и параметры управления доступом на основе ролей в один пакет. Схема основы Cloud Adoption Framework (CAF) для Azure содержит пример и является отправной точкой для использования схем в управлении облаком для

  • Развертывание Azure Key Vault
  • Развертывание Log Analytics в журналах Azure Monitor
  • Разверните Microsoft Defender для облака (стандартная версия).

Схема основы CAF также определяет и развертывает политики:

  • Применение тегов cost center к группам ресурсов
  • Добавление ресурсов в группу ресурсов с помощью тега cost center
  • Разрешение региона Azure для ресурсов и групп ресурсов
  • Разрешение ценовых категорий учетной записи хранения (выбираются при развертывании)
  • Разрешение ценовых категорий виртуальных машин Azure (выбираются при развертывании)
  • Требование развертывания Наблюдателя за сетями Azure
  • Требование шифрования безопасной передачи для учетных записей хранения Azure
  • Запрет на использование типов ресурсов (выбираются при развертывании)
  • Создание инициативы для включения мониторинга в Microsoft Defender для облака (89 политик)

Выполните описанные действия, чтобы опубликовать схему и назначить ее группе управления.

Упражнение. Оценка текущей среды

Как правило, клиенты пытаются добавить функции управления к уже существующим и отработанным действиям по внедрению в нескольких подписках. По мере совершенствования методов управления визуализатор Системы управления Azure может предоставлять аналитические сведения о текущей конфигурации системы управления.

Diagram of the Azure Governance Visualizer.

Рис. 7. Визуализатор системы управления Azure

Разверните визуализатор Системы управления Azure, чтобы увидеть, каким образом в вашей среде были применены группы управления, схемы, политики и другие конфигурации системы управления.

В этих упражнениях демонстрируется начальная точка или основа для системы управления. В следующем уроке на этой основе будет создана зрелая дисциплина "Управление затратами".