Azure giriş bölgeleri - Bicep modülleri tasarım konuları

Bu makalede, azure giriş bölgesi kavramsal mimarisinin temel platform özelliklerini dağıtmak ve yönetmek için kullanabileceğiniz modüler Azure Giriş Bölgeleri (ALZ) - Bicep çözümünün tasarım konuları Bulut Benimseme Çerçevesi (CAF) ayrıntılarıyla açıklanmaktadır.

Bicep, Azure kaynaklarını dağıtmak için bildirim temelli söz dizimi kullanan, etki alanına özgü bir dildir (DSL). Kısa söz dizimi, güvenilir tür güvenliği ve kod yeniden kullanımı desteğine sahiptir.

Bu mimarinin bir uygulaması GitHub'da kullanılabilir: Azure Giriş Bölgeleri (ALZ) - Bicep Uygulaması. Başlangıç noktası olarak kullanabilir ve gereksinimlerinize göre yapılandırabilirsiniz.

Dekont

Portal tabanlı, ARM şablonları ve Terraform modülleri dahil olmak üzere çeşitli dağıtım teknolojileri için uygulamalar vardır. Dağıtım teknolojisi seçimi, sonuçta elde edilen Azure giriş bölgeleri dağıtımını etkilememelidir.

ALZ Bicep Hızlandırıcısı

ALZ Bicep Hızlandırıcısı ile ALZ Bicep modülünüzü uygulama, otomatikleştirme ve bakım konusunda adım adım yönergeler bulabilirsiniz.

ALZ Bicep Hızlandırıcısı çerçevesi, son kullanıcılara tam teşekküllü CI/CD işlem hatlarını kullanarak ALZ Bicep'i ekleme ve dağıtma desteği, GitHub Actions ve Azure DevOps İşlem Hatları desteği, yeni ALZ Bicep sürümleriyle eşit durumda kalmak, özel modülleri değiştirmek veya eklemek için ayrılmış Çerçeve sağlamak için geliştirilmiştir ve Bicep modüllerini lint etmek ve doğrulamak için dallanma stratejisi kılavuzu ve çekme isteği işlem hatları sağlar.

Tasarlama

Mimari, Azure Bicep'in modüler doğasından yararlanır ve modül sayısından oluşur. Her modül, Azure Giriş Bölgeleri kavramsal mimarisinin temel bir özelliğini kapsüller. Modüller tek tek dağıtılabilir, ancak dikkat edilmesi gereken bağımlılıklar vardır.

Mimari, dağıtım deneyimini basitleştirmek için orchestrator modüllerinin eklenmesini önerir. Düzenleyici modülleri, modüllerin dağıtımını otomatikleştirmek ve farklı dağıtım topolojilerini kapsüllemek için kullanılabilir.

Modül

Bicep'teki temel kavramlardan biri modüllerin kullanımıdır. Modüller, dağıtımları mantıksal gruplandırmalar halinde düzenlemenizi sağlar. Modüllerle, dağıtımınızın karmaşık ayrıntılarını kapsülleyerek Bicep dosyalarınızın okunabilirliğini geliştirirsiniz. Ayrıca farklı dağıtımlar için modülleri kolayca yeniden kullanabilirsiniz.

Modülleri yeniden kullanabilme özelliği, giriş bölgelerini tanımlarken ve dağıtırken gerçek bir avantaj sunar. Kodda yinelenebilir ve tutarlı ortamlar sağlarken, büyük ölçekte dağıtım için gereken çabayı azaltır.

Katmanlar ve hazırlama

Modüllere ek olarak, Bicep giriş bölgesi mimarisi katman kavramı kullanılarak yapılandırılmıştır. Katmanlar, birlikte dağıtılması amaçlanan Bicep modüllerinin gruplarıdır. Bu gruplar uygulamanın mantıksal aşamalarını oluşturur.

Bu katmanlı yaklaşımın avantajlarından biri, ortamınıza zaman içinde artımlı olarak ekleme olanağıdır. Örneğin, az sayıda katmanla başlayabilirsiniz. Hazır olduğunuzda kalan katmanları sonraki bir aşamada ekleyebilirsiniz.

Modül açıklamaları

Bu bölümde, bu mimarideki temel modüllere üst düzey bir genel bakış sağlanmaktadır.

Katman	Modül	Açıklama	Faydalı Bağlantılar
Temel	Yönetim Grupları	Yönetim grupları, Bir Azure kiracısının en üst düzey kaynaklarıdır. Yönetim grupları, kaynaklarınızı daha kolay yönetmenize olanak sağlar. İlkeyi yönetim grubu düzeyinde uygulayabilirsiniz ve alt düzey kaynaklar bu ilkeyi devralır. Özellikle, yönetim grubu altındaki abonelikler tarafından devralınacak yönetim grubu düzeyinde aşağıdaki öğeleri uygulayabilirsiniz: Azure İlkeleri Azure Rol Tabanlı Erişim Denetimleri (RBAC) rol atamaları Maliyet denetimleri Bu modül, Azure giriş bölgesi kavramsal mimarisinde tanımlandığı gibi yönetim grubu hiyerarşisini dağıtır.	Yönetim grupları - Bulut Benimseme Çerçevesi (CAF) belgeleri Modül: Yönetim Grupları - Başvuru Uygulaması
Temel	Özel İlke Tanımları	DeployIfNotExists (DINE) veya Değiştirme ilkeleri, giriş bölgelerini oluşturan aboneliklerin ve kaynakların uyumlu olmasını sağlamaya yardımcı olur. İlkeler, giriş bölgelerinin yönetiminin yükünü de kolaylaştırır. Bu modül, özel ilke tanımlarını yönetim gruplarına dağıtır. Tüm müşteriler DINE veya Değiştirme ilkelerini kullanamaz. Sizin için böyle bir durum söz konusuysa, özel ilkelerle ilgili CAF kılavuzu rehberlik sağlar.	İlke temelli korumaları benimseme - CAF belgeleri Modül: Özel ilke tanımları - Başvuru Uygulaması Başvuru uygulamalarında dağıtılan özel ilke tanımları
Temel	Özel Rol Tanımları	Rol tabanlı erişim denetimi (RBAC), sistem içindeki kullanıcı haklarının yönetimini basitleştirir. Kişilerin haklarını yönetmek yerine sisteminizdeki farklı roller için gereken hakları belirlersiniz. Azure RBAC'nin birkaç yerleşik rolü vardır. Özel rol tanımları, ortamınız için özel roller oluşturmanıza olanak tanır. Bu modülde özel rol tanımları dağıtılır. Modül, Azure rol tabanlı erişim denetimiyle ilgili CAF yönergelerini izlemelidir.	Azure rol tabanlı erişim denetimi - CAF belgeleri Başvuru uygulamasında dağıtılan özel rol tanımları
Yönetim	Günlüğe Kaydetme, Otomasyon ve Sentinel	Azure İzleyici, Azure Otomasyonu ve Microsoft Sentinel, altyapınızı ve iş yüklerinizi izlemenize ve yönetmenize olanak sağlar. Azure İzleyici, ortamınızdan telemetri toplamanızı, analiz etmenizi ve üzerinde işlem yapmanızı sağlayan bir çözümdür. Microsoft Sentinel, buluta özel güvenlik bilgileri ve olay yönetimi (SIEM) hizmetidir. Şunları yapmanızı sağlar: Toplama - Altyapınızın tamamında veri toplama Algıla - Önceden algılanmamış tehditleri algılama Yanıtla - Yerleşik düzenleme ile meşru tehditlere yanıt verme Araştırma - Yapay zeka ile tehditleri araştırma Azure Otomasyonu bulut tabanlı bir otomasyon sistemidir. İçerik: Yapılandırma yönetimi - Linux ve Windows sanal makineleri için değişiklikleri envantere alma ve izleme ve istenen durum yapılandırmasını yönetme Güncelleştirme yönetimi - Windows ve Linux sistem uyumluluğunu değerlendirme ve uyumluluğu karşılamak için zamanlanmış dağıtımlar oluşturma Süreç otomasyonu - Yönetim görevlerini otomatikleştirme Bu modülde ortamınıza yönelik tehditleri izlemek, yönetmek ve bunlara erişmek için gereken araçlar dağıtılır. Bu araçlar Azure İzleyici, Azure Otomasyonu ve Microsoft Sentinel'i içermelidir.	İş yükü yönetimi ve izleme - CAF belgeleri Modül: Günlük, Otomasyon ve Sentinel - Başvuru Uygulaması
Bağlantı	Ağ	Ağ topolojisi, Azure giriş bölgesi dağıtımlarında dikkat edilmesi gereken önemli noktalardan biridir. CAF, 2 çekirdek ağ yaklaşımına odaklanır: Azure Sanal WAN tabanlı topolojiler Geleneksel topolojiler Bu modüller seçtiğiniz ağ topolojisini dağıtır.	Azure ağ topolojisi tanımlama - CAF Belgeleri Modüller: Ağ Topolojisi Dağıtımı - Başvuru Uygulaması
Kimlik	Rol Atamaları	Kimlik ve erişim yönetimi (IAM), bulut bilişimdeki temel güvenlik sınırıdır. Azure RBAC, yerleşik rollerin veya özel rol tanımlarının rol atamalarını güvenlik sorumlularına gerçekleştirmenizi sağlar. Bu modül yönetim grupları ve abonelikler arasında Hizmet Sorumlularına, Yönetilen Kimliklere veya güvenlik gruplarına rol atamaları dağıtır. Modül, Azure kimlik ve erişim yönetimiyle ilgili CAF yönergelerini izlemelidir.	Azure kimlik ve erişim yönetimi tasarım alanı - CAF belgeleri Modül: Yönetim Grupları ve Abonelikler için Rol Atamaları - Başvuru Uygulaması
Temel	Abonelik Yerleşimi	Bir yönetim grubuna atanan abonelikler devralır: Azure İlkeleri Azure Rol Tabanlı Erişim Denetimleri (RBAC) rol atamaları Maliyet denetimleri Bu modül, abonelikleri uygun yönetim grubu altına taşır.	Yönetim grupları - Bulut Benimseme Çerçevesi (CAF) belgeleri Modül: Abonelik Yerleşimi
Temel	Yerleşik ve Özel İlke Atamaları	Bu modül, yönetim gruplarına varsayılan Azure giriş bölgesi Azure İlkesi atamalarını dağıtır. Ayrıca, ilkeler tarafından oluşturulan sistem tarafından atanan Yönetilen Kimlikler için rol atamaları da oluşturur.	İlke temelli korumaları benimseme - CAF belgeleri Modül: ALZ Varsayılan İlke Atamaları
Yönetim	Orchestrator Modülleri	Orchestrator modülleri dağıtım deneyimini büyük ölçüde geliştirebilir. Bu modüller tek bir modülde birden çok modülün dağıtımını kapsüller. Bu, karmaşıklığı son kullanıcıdan gizler.	Modül: Orchestration - hubPeeredSpoke - Merkez ile eşleme de dahil olmak üzere uç ağı (Merkez & Uç veya Sanal WAN)

Bicep uygulamasını özelleştirme

Bulut Benimseme Çerçevesi parçası olarak sağlanan Azure giriş bölgesi uygulamaları çok çeşitli gereksinimlere ve kullanım örneklerine uygundur. Ancak, genellikle belirli iş gereksinimlerini karşılamak için özelleştirmenin gerekli olduğu senaryolar vardır.

Bahşiş

Daha fazla bilgi için bkz . Azure giriş bölgesi mimarisini gereksinimleri karşılayacak şekilde uyarlama.

Platform giriş bölgesi uygulandıktan sonra bir sonraki adım, Yönetim grubu altındaki landing zones uygulama ekiplerinin Merkezi BT veya PlatformOps yöneticilerinin gerektirdiği korumalar ile olanak tanıyan Uygulama giriş bölgelerini dağıtmaktır. Yönetim corp grubu şirkete bağlı uygulamalara yönelikken online , yönetim grubu öncelikli olarak genel kullanıma yönelik olan ancak bazı senaryolarda merkez ağları aracılığıyla şirket uygulamalarına bağlanmaya devam eden uygulamalara yöneliktir.

Bicep Azure giriş bölgesi uygulaması, özelleştirilmiş dağıtımınızın temeli olarak kullanılabilir. Hazır bir seçeneği yöneten belirli bir gerekli değişiklik nedeniyle sıfırdan başlama gereksinimini ortadan kaldırarak uygulamanızı hızlandırmanız için bir yol sağlar.

Modülleri özelleştirme hakkında bilgi GitHub deposu wiki GitHub: Azure Giriş Bölgeleri (ALZ) Bicep - Wiki- Tüketici Kılavuzu'nda bulunabilir. Başlangıç noktası olarak kullanabilir ve gereksinimlerinize göre yapılandırabilirsiniz.