Azure giriş bölgeleri - Bicep modülleri tasarımında dikkat edilmesi gerekenler

Bu makalede, azure giriş bölgesi kavramsal mimarisinin temel platform özelliklerini dağıtmak ve yönetmek için kullanabileceğiniz modülerleştirilmiş Azure Giriş Bölgeleri (ALZ) - Bicep çözümünün tasarım konuları Bulut Benimseme Çerçevesi (CAF) bölümünde ayrıntılı olarak açıklanmaktadır.

Bicep , Azure kaynaklarını dağıtmak için bildirim temelli söz dizimi kullanan etki alanına özgü bir dildir (DSL). Kısa söz dizimi, güvenilir tür güvenliği ve kodu yeniden kullanma desteği vardır.

GitHub logosu Bu mimarinin bir uygulaması GitHub'da kullanılabilir: Azure Giriş Bölgeleri (ALZ) - Bicep Uygulaması. Başlangıç noktası olarak kullanabilir ve gereksinimlerinize göre yapılandırabilirsiniz.

Not

Portal tabanlı, ARM şablonları ve Terraform modülleri de dahil olmak üzere çeşitli dağıtım teknolojilerine yönelik uygulamalar vardır. Dağıtım teknolojisi seçimi, sonuçta elde edilen Azure giriş bölgeleri dağıtımını etkilememelidir.

Tasarım

Azure giriş bölgelerini dağıtmaya yönelik bicep modüllerini gösteren diyagram.

Mimari, Azure Bicep'in modüler doğasından yararlanır ve modül sayısından oluşur. Her modül, Azure Giriş Bölgeleri kavramsal mimarisinin temel bir özelliğini kapsüller. Modüller tek tek dağıtılabilir, ancak dikkat edilmesi gereken bağımlılıklar vardır.

Mimari, dağıtım deneyimini basitleştirmek için düzenleyici modüllerinin eklenmesini önerir. Düzenleyici modülleri, modüllerin dağıtımını otomatikleştirmek ve farklı dağıtım topolojilerini kapsüllemek için kullanılabilir.

Modül

Bicep'teki temel kavramlardan biri modüllerin kullanılmasıdır. Modüller, dağıtımları mantıksal gruplandırmalar halinde düzenlemenizi sağlar. Modüllerle, dağıtımınızın karmaşık ayrıntılarını kapsülleyerek Bicep dosyalarınızın okunabilirliğini geliştirirsiniz. Ayrıca farklı dağıtımlar için modülleri kolayca yeniden kullanabilirsiniz.

Modülleri yeniden kullanma özelliği, giriş bölgelerini tanımlarken ve dağıtırken gerçek bir avantaj sunar. Kodda yinelenebilir ve tutarlı ortamlar sağlarken, büyük ölçekte dağıtım için gereken çabayı azaltır.

Katmanlar ve hazırlama

Modüllere ek olarak, Bicep giriş bölgesi mimarisi katman kavramı kullanılarak yapılandırılmıştır. Katmanlar, birlikte dağıtılması amaçlanan Bicep modülleri gruplarıdır. Bu gruplar uygulamanın mantıksal aşamalarını oluşturur.

Dağıtım katmanlarını gösteren diyagram.

Bu katmanlı yaklaşımın bir avantajı, ortamınıza zaman içinde artımlı olarak ekleme olanağıdır. Örneğin, az sayıda katmanla başlayabilirsiniz. Hazır olduğunuzda sonraki bir aşamada kalan katmanları ekleyebilirsiniz.

Modül açıklamaları

Bu bölümde, bu mimarideki temel modüllere üst düzey bir genel bakış sağlanır.

Katman Modül Açıklama Faydalı Bağlantılar
Çekirdek Yönetim Grupları Yönetim grupları, Bir Azure kiracısının en üst düzey kaynaklarıdır. Yönetim grupları, kaynaklarınızı daha kolay yönetmenize olanak sağlar. İlkeyi yönetim grubu düzeyinde uygulayabilirsiniz ve alt düzey kaynaklar bu ilkeyi devralır. Özellikle, yönetim grubu altındaki abonelikler tarafından devralınacak yönetim grubu düzeyinde aşağıdaki öğeleri uygulayabilirsiniz:
  • Azure İlkeleri
  • Azure Rol Tabanlı Erişim Denetimleri (RBAC) rol atamaları
  • Maliyet denetimleri

Bu modül, Yönetim grubu hiyerarşisini Azure giriş bölgesi kavramsal mimarisinde tanımlandığı şekilde dağıtır.
Çekirdek Özel İlke Tanımları DeployIfNotExists (DINE) veya Değiştirme ilkeleri, giriş bölgelerini oluşturan aboneliklerin ve kaynakların uyumlu olmasını sağlamaya yardımcı olur. İlkeler, giriş bölgelerinin yönetimi yükünü de kolaylaştırır.

Bu modül, özel ilke tanımlarını yönetim gruplarına dağıtır. Tüm müşteriler DINE veya Değiştirme ilkelerini kullanamaz. Sizin için böyle bir durum söz konusuysa, özel ilkelerle ilgili CAF kılavuzu rehberlik sağlar.
Çekirdek Özel Rol Tanımları Rol tabanlı erişim denetimi (RBAC), sistem içindeki kullanıcı haklarının yönetimini basitleştirir. Kişilerin haklarını yönetmek yerine sisteminizdeki farklı roller için gereken hakları belirlersiniz. Azure RBAC'nin birkaç yerleşik rolü vardır. Özel rol tanımları, ortamınız için özel roller oluşturmanıza olanak tanır.

Bu modülde özel rol tanımları dağıtılır. Modül, Azure rol tabanlı erişim denetimiyle ilgili CAF yönergelerini izlemelidir.
Yönetim Günlüğe Kaydetme, Otomasyon & Sentinel Azure İzleyici, Azure Otomasyonu ve Microsoft Sentinel, altyapınızı ve iş yüklerinizi izlemenize ve yönetmenize olanak sağlar. Azure İzleyici, ortamınızdan telemetri toplamanızı, analiz etmenizi ve üzerinde işlem yapmanızı sağlayan bir çözümdür.

Microsoft Sentinel, buluta özel bir güvenlik bilgileri ve olay yönetimi (SIEM) hizmetidir. Şunları yapmanızı sağlar:
  • Toplama - Altyapınızın tamamında veri toplama
  • Algıla - Daha önce algılanmayan tehditleri algılama
  • Yanıtla - Yerleşik düzenleme ile meşru tehditlere yanıt verme
  • Araştırma - Yapay zeka ile tehditleri araştırma

Azure Otomasyonu bulut tabanlı bir otomasyon sistemidir. Şunları içerir:
  • Yapılandırma yönetimi - Linux ve Windows sanal makineleri için değişiklikleri envantere alma ve izleme ve istenen durum yapılandırmasını yönetme
  • Güncelleştirme yönetimi - Windows ve Linux sistem uyumluluğunu değerlendirme ve uyumluluğu karşılamak için zamanlanmış dağıtımlar oluşturma
  • İşlem otomasyonu - Yönetim görevlerini otomatikleştirme

Bu modülde ortamınıza yönelik tehditleri izlemek, yönetmek ve bunlara erişmek için gereken araçlar dağıtılır. Bu araçlar Azure İzleyici, Azure Otomasyonu ve Microsoft Sentinel'i içermelidir.
Bağlantı Ağ topolojisi, Azure giriş bölgesi dağıtımlarında dikkat edilmesi gereken önemli noktalardan biridir. CAF, 2 çekirdek ağ yaklaşımına odaklanır:
  • Azure Sanal WAN temel alan topolojiler
  • Geleneksel topolojiler

Bu modüller seçtiğiniz ağ topolojisini dağıtır.
Kimlik Rol Atamaları Kimlik ve erişim yönetimi (IAM), bulut bilişimdeki temel güvenlik sınırıdır. Azure RBAC, yerleşik rollerin rol atamalarını veya özel rol tanımlarını güvenlik sorumlularına gerçekleştirmenizi sağlar.

Bu modül, yönetim grupları ve abonelikler arasında Hizmet Sorumlularına, Yönetilen Kimliklere veya güvenlik gruplarına rol atamaları dağıtır. Modülün Azure kimlik ve erişim yönetimiyle ilgili CAF yönergelerini izlemesi gerekir.
Çekirdek Abonelik Yerleşimi Bir yönetim grubuna atanan abonelikler devralır:
  • Azure İlkeleri
  • Azure Rol Tabanlı Erişim Denetimleri (RBAC) rol atamaları
  • Maliyet denetimleri

Bu modül, abonelikleri uygun yönetim grubu altına taşır.
Çekirdek Built-In ve Özel İlke Atamaları Bu modül, yönetim gruplarına varsayılan Azure giriş bölgesi Azure İlkesi atamalarını dağıtır. Ayrıca, ilkeler tarafından oluşturulan sistem tarafından atanan Yönetilen Kimlikler için rol atamaları da oluşturur.
Yönetim Orchestrator Modülleri Orchestrator modülleri dağıtım deneyimini büyük ölçüde geliştirebilir. Bu modüller tek bir modülde birden çok modülün dağıtımını kapsüller. Bu, karmaşıklığı son kullanıcıdan gizler.

Bicep uygulamasını özelleştirme

Bulut Benimseme Çerçevesi parçası olarak sağlanan Azure giriş bölgesi uygulamaları çok çeşitli gereksinimlere ve kullanım örneklerine uygundur. Ancak, genellikle belirli iş gereksinimlerini karşılamak için özelleştirmenin gerekli olduğu senaryolar vardır.

Platform giriş bölgesi uygulandıktan sonraki adım, yönetim grubu altındaki landing zones uygulama ekiplerinin Merkezi BT veya PlatformOps yöneticilerinin gerektirdiği korumalarla olanak tanıyan Uygulama giriş bölgeleri dağıtmaktır. Yönetim corp grubu şirkete bağlı uygulamalara yönelikken online , yönetim grubu öncelikli olarak genel kullanıma yönelik olan ancak bazı senaryolarda hub ağları aracılığıyla şirket uygulamalarına bağlanmaya devam edebilir.

Bicep Azure giriş bölgesi uygulaması, özelleştirilmiş dağıtımınızın temeli olarak kullanılabilir. Hazır bir seçeneği belirten belirli bir gerekli değişiklik nedeniyle sıfırdan başlama gereksinimini ortadan kaldırarak uygulamanızı hızlandırmanın bir yolunu sağlar.

GitHub logosu Modülleri özelleştirme hakkındaki bilgilere GitHub deposu wiki'si GitHub: Azure Giriş Bölgeleri (ALZ) Bicep - Wiki- Tüketici Kılavuzu sayfasından ulaşabilirsiniz. Başlangıç noktası olarak kullanabilir ve gereksinimlerinize göre yapılandırabilirsiniz.