Azure giriş bölgeleri - Bicep modülleri tasarımında dikkat edilmesi gerekenler
Bu makalede, azure giriş bölgesi kavramsal mimarisinin temel platform özelliklerini dağıtmak ve yönetmek için kullanabileceğiniz modülerleştirilmiş Azure Giriş Bölgeleri (ALZ) - Bicep çözümünün tasarım konuları Bulut Benimseme Çerçevesi (CAF) bölümünde ayrıntılı olarak açıklanmaktadır.
Bicep , Azure kaynaklarını dağıtmak için bildirim temelli söz dizimi kullanan etki alanına özgü bir dildir (DSL). Kısa söz dizimi, güvenilir tür güvenliği ve kodu yeniden kullanma desteği vardır.
Bu mimarinin bir uygulaması GitHub'da kullanılabilir: Azure Giriş Bölgeleri (ALZ) - Bicep Uygulaması. Başlangıç noktası olarak kullanabilir ve gereksinimlerinize göre yapılandırabilirsiniz.
Not
Portal tabanlı, ARM şablonları ve Terraform modülleri de dahil olmak üzere çeşitli dağıtım teknolojilerine yönelik uygulamalar vardır. Dağıtım teknolojisi seçimi, sonuçta elde edilen Azure giriş bölgeleri dağıtımını etkilememelidir.
Tasarım
Mimari, Azure Bicep'in modüler doğasından yararlanır ve modül sayısından oluşur. Her modül, Azure Giriş Bölgeleri kavramsal mimarisinin temel bir özelliğini kapsüller. Modüller tek tek dağıtılabilir, ancak dikkat edilmesi gereken bağımlılıklar vardır.
Mimari, dağıtım deneyimini basitleştirmek için düzenleyici modüllerinin eklenmesini önerir. Düzenleyici modülleri, modüllerin dağıtımını otomatikleştirmek ve farklı dağıtım topolojilerini kapsüllemek için kullanılabilir.
Modül
Bicep'teki temel kavramlardan biri modüllerin kullanılmasıdır. Modüller, dağıtımları mantıksal gruplandırmalar halinde düzenlemenizi sağlar. Modüllerle, dağıtımınızın karmaşık ayrıntılarını kapsülleyerek Bicep dosyalarınızın okunabilirliğini geliştirirsiniz. Ayrıca farklı dağıtımlar için modülleri kolayca yeniden kullanabilirsiniz.
Modülleri yeniden kullanma özelliği, giriş bölgelerini tanımlarken ve dağıtırken gerçek bir avantaj sunar. Kodda yinelenebilir ve tutarlı ortamlar sağlarken, büyük ölçekte dağıtım için gereken çabayı azaltır.
Katmanlar ve hazırlama
Modüllere ek olarak, Bicep giriş bölgesi mimarisi katman kavramı kullanılarak yapılandırılmıştır. Katmanlar, birlikte dağıtılması amaçlanan Bicep modülleri gruplarıdır. Bu gruplar uygulamanın mantıksal aşamalarını oluşturur.
Bu katmanlı yaklaşımın bir avantajı, ortamınıza zaman içinde artımlı olarak ekleme olanağıdır. Örneğin, az sayıda katmanla başlayabilirsiniz. Hazır olduğunuzda sonraki bir aşamada kalan katmanları ekleyebilirsiniz.
Modül açıklamaları
Bu bölümde, bu mimarideki temel modüllere üst düzey bir genel bakış sağlanır.
| Katman | Modül | Açıklama | Faydalı Bağlantılar |
|---|---|---|---|
| Çekirdek | Yönetim Grupları | Yönetim grupları, Bir Azure kiracısının en üst düzey kaynaklarıdır. Yönetim grupları, kaynaklarınızı daha kolay yönetmenize olanak sağlar. İlkeyi yönetim grubu düzeyinde uygulayabilirsiniz ve alt düzey kaynaklar bu ilkeyi devralır. Özellikle, yönetim grubu altındaki abonelikler tarafından devralınacak yönetim grubu düzeyinde aşağıdaki öğeleri uygulayabilirsiniz:
Bu modül, Yönetim grubu hiyerarşisini Azure giriş bölgesi kavramsal mimarisinde tanımlandığı şekilde dağıtır. |
|
| Çekirdek | Özel İlke Tanımları | DeployIfNotExists (DINE) veya Değiştirme ilkeleri, giriş bölgelerini oluşturan aboneliklerin ve kaynakların uyumlu olmasını sağlamaya yardımcı olur. İlkeler, giriş bölgelerinin yönetimi yükünü de kolaylaştırır. Bu modül, özel ilke tanımlarını yönetim gruplarına dağıtır. Tüm müşteriler DINE veya Değiştirme ilkelerini kullanamaz. Sizin için böyle bir durum söz konusuysa, özel ilkelerle ilgili CAF kılavuzu rehberlik sağlar. |
|
| Çekirdek | Özel Rol Tanımları | Rol tabanlı erişim denetimi (RBAC), sistem içindeki kullanıcı haklarının yönetimini basitleştirir. Kişilerin haklarını yönetmek yerine sisteminizdeki farklı roller için gereken hakları belirlersiniz. Azure RBAC'nin birkaç yerleşik rolü vardır. Özel rol tanımları, ortamınız için özel roller oluşturmanıza olanak tanır. Bu modülde özel rol tanımları dağıtılır. Modül, Azure rol tabanlı erişim denetimiyle ilgili CAF yönergelerini izlemelidir. |
|
| Yönetim | Günlüğe Kaydetme, Otomasyon & Sentinel | Azure İzleyici, Azure Otomasyonu ve Microsoft Sentinel, altyapınızı ve iş yüklerinizi izlemenize ve yönetmenize olanak sağlar. Azure İzleyici, ortamınızdan telemetri toplamanızı, analiz etmenizi ve üzerinde işlem yapmanızı sağlayan bir çözümdür. Microsoft Sentinel, buluta özel bir güvenlik bilgileri ve olay yönetimi (SIEM) hizmetidir. Şunları yapmanızı sağlar:
Azure Otomasyonu bulut tabanlı bir otomasyon sistemidir. Şunları içerir:
Bu modülde ortamınıza yönelik tehditleri izlemek, yönetmek ve bunlara erişmek için gereken araçlar dağıtılır. Bu araçlar Azure İzleyici, Azure Otomasyonu ve Microsoft Sentinel'i içermelidir. |
|
| Bağlantı | Ağ | Ağ topolojisi, Azure giriş bölgesi dağıtımlarında dikkat edilmesi gereken önemli noktalardan biridir. CAF, 2 çekirdek ağ yaklaşımına odaklanır:
Bu modüller seçtiğiniz ağ topolojisini dağıtır. |
|
| Kimlik | Rol Atamaları | Kimlik ve erişim yönetimi (IAM), bulut bilişimdeki temel güvenlik sınırıdır. Azure RBAC, yerleşik rollerin rol atamalarını veya özel rol tanımlarını güvenlik sorumlularına gerçekleştirmenizi sağlar. Bu modül, yönetim grupları ve abonelikler arasında Hizmet Sorumlularına, Yönetilen Kimliklere veya güvenlik gruplarına rol atamaları dağıtır. Modülün Azure kimlik ve erişim yönetimiyle ilgili CAF yönergelerini izlemesi gerekir. |
|
| Çekirdek | Abonelik Yerleşimi | Bir yönetim grubuna atanan abonelikler devralır:
Bu modül, abonelikleri uygun yönetim grubu altına taşır. |
|
| Çekirdek | Built-In ve Özel İlke Atamaları | Bu modül, yönetim gruplarına varsayılan Azure giriş bölgesi Azure İlkesi atamalarını dağıtır. Ayrıca, ilkeler tarafından oluşturulan sistem tarafından atanan Yönetilen Kimlikler için rol atamaları da oluşturur. | |
| Yönetim | Orchestrator Modülleri | Orchestrator modülleri dağıtım deneyimini büyük ölçüde geliştirebilir. Bu modüller tek bir modülde birden çok modülün dağıtımını kapsüller. Bu, karmaşıklığı son kullanıcıdan gizler. |
Bicep uygulamasını özelleştirme
Bulut Benimseme Çerçevesi parçası olarak sağlanan Azure giriş bölgesi uygulamaları çok çeşitli gereksinimlere ve kullanım örneklerine uygundur. Ancak, genellikle belirli iş gereksinimlerini karşılamak için özelleştirmenin gerekli olduğu senaryolar vardır.
İpucu
Daha fazla bilgi için bkz. Azure giriş bölgesi mimarisini gereksinimleri karşılayacak şekilde uyarlama .
Platform giriş bölgesi uygulandıktan sonraki adım, yönetim grubu altındaki landing zones uygulama ekiplerinin Merkezi BT veya PlatformOps yöneticilerinin gerektirdiği korumalarla olanak tanıyan Uygulama giriş bölgeleri dağıtmaktır. Yönetim corp grubu şirkete bağlı uygulamalara yönelikken online , yönetim grubu öncelikli olarak genel kullanıma yönelik olan ancak bazı senaryolarda hub ağları aracılığıyla şirket uygulamalarına bağlanmaya devam edebilir.
Bicep Azure giriş bölgesi uygulaması, özelleştirilmiş dağıtımınızın temeli olarak kullanılabilir. Hazır bir seçeneği belirten belirli bir gerekli değişiklik nedeniyle sıfırdan başlama gereksinimini ortadan kaldırarak uygulamanızı hızlandırmanın bir yolunu sağlar.
Modülleri özelleştirme hakkındaki bilgilere GitHub deposu wiki'si GitHub: Azure Giriş Bölgeleri (ALZ) Bicep - Wiki- Tüketici Kılavuzu sayfasından ulaşabilirsiniz. Başlangıç noktası olarak kullanabilir ve gereksinimlerinize göre yapılandırabilirsiniz.