你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍可用于帮助你部署平台登陆区域和应用程序登陆区域的选项。 平台着陆区提供供工作负载使用的集中化服务。 应用程序登陆区域是为工作负载本身部署的环境。
重要说明
有关平台登陆区域及其连接的应用程序登陆区域的定义的详细信息,请参阅 平台登陆区域与应用程序登陆区域。
选择平台登陆区域方法
以下平台部署选项提供了一种建议的方法来部署和操作 Azure 登陆区域参考体系结构,如适用于 Azure 的云采用框架中所述。 生成的体系结构可能因自定义项而异,因此对于本文中列出的所有部署选项来说,该体系结构可能不同。 平台部署选项之间的差异取决于它们使用不同的技术、方法和自定义。
标准部署选项
标准部署选项解决了典型的企业 Azure 使用情况。
| Azure 平台登陆区域部署选项 | 说明 | Azure 公有云 | Azure 主权云,如美国政府云和世纪互联 |
|---|---|---|---|
| Azure 门户部署 | 基于 Azure 门户的部署,提供 Azure 登陆区域参考体系结构 的完整实现,并为关键组件(包括管理组和策略)提供自定义配置。 | 已支持 | 不支持。 可以使用 Azure 门户部署单个资源。 但此方法不提供跨资源统一的引导式体验。 |
| Bicep 部署 | 基础架构即代码(IaC)部署使用了Azure 验证的模块,并提供一种使用 Bicep 可自定义部署平台着陆区的方式。 | 已支持 | 不支持。 可以使用 Bicep 代码 作为起点来构建遵循 Azure 平台登陆区域 最佳做法的自定义实现。 有关代码所需的自定义项的详细信息,请参阅 Azure 主权云部署 部分。 |
| Terraform 部署 | 使用 Azure 验证模块 的 IaC 部署,并提供使用 Terraform 部署平台登陆区域的可自定义方式。 | 已支持 | 不支持。 可以使用 Terraform 代码 作为起点来构建遵循 Azure 平台登陆区域 最佳做法的自定义实现。 有关代码所需的自定义项的详细信息,请参阅 Azure 主权云部署 部分。 |
还可以查看 Azure 登陆区域的实现选项 ,以帮助为组织选择最佳部署选项。
Azure 主权云部署
Azure 门户、Bicep 和 Terraform 部署选项支持 Azure 的公共云、全球云和商业云服务。 如果需要部署到其他 Azure 云中,例如美国政府云的 Azure 基础结构服务或世纪互联运营的 Azure,平台团队需要对部署资产进行手动配置更改。 只能修改 Bicep 和 Terraform 部署选项来适应这些更改。 请考虑以下特定于云的限制和配置要求:
Azure Policy 定义、计划和分配: 并非所有 Azure 策略在所有云中都可用,因此需要在部署之前删除不受支持的策略。
某些资源的 API 版本: 某些云中可能不存在特定的 API 版本,因此需要在部署之前调整资源 API 版本。
资源可用性: 某些云中可能不存在某些资源。 例如,Azure DDoS 防护计划在中国 Azure 中不可用。 部署前需要删除这些资源。
Azure 登陆区域体系结构在所有 Azure 云中均有效且受支持。 但是,该体系结构的部署未在适用于所有云的自动化解决方案中提供。 如果需要对这些云的自动部署支持, 请请求该功能。
变体和专业资质
标准平台部署选项满足所有行业和规模的大多数组织的要求。 对于其他方案,请参阅以下定制的体系结构和部署选项,帮助你快速部署平台登陆区域。
以下选项提供专用的平台登陆区域实现,你可以使用这些实现,而不是 标准部署选项。
| 平台登陆区域变体 | 说明 |
|---|---|
| 主权登陆区域 | 主权登陆区域是 Azure 登陆区域参考体系结构的专用实现,专为具有严格的法规、合规性和数据驻留要求的组织设计,侧重于主权。 它包括定制的配置和策略,以帮助满足这些需求,同时仍遵循 Azure 登陆区域的核心设计原则和设计区域。 |
合作伙伴的实施
Azure 加速等合作伙伴计划可帮助你设计和实现满足组织需求的平台登陆区域。 这些实现从 Azure 登陆区域参考体系结构 和特定于云采用策略、组织拓扑和目标的设计配置开始。
企业策略作为策略管理代码
企业策略即代码(EPAC) 是在贵组织的 Azure 资产中部署、管理和运营 Azure Policy 的替代方法。 可以使用 EPAC 而不是 标准平台选项 来管理 Azure 登陆区域环境中的策略。 有关集成方法的详细信息,请参阅 将 EPAC 与 Azure 登陆区域集成。
EPAC 最适合更高级的开发作(DevOps)和 IaC 客户,但任何规模的组织都可以在评估 EPAC 后使用 EPAC。 有关详细信息,请参阅 谁应使用 EPAC?
注意
在决定使用长期的方法之前,请比较这两种方法的生命周期和灵活性。 首先评估 默认实现中的本机策略管理。 如果该实现不符合治理需求,请使用 EPAC 执行最小可行产品(MVP)或概念证明。 比较选项、验证结果,并在实现方法之前确认你的选择,因为在建立方法后,你无法轻松更改策略治理方法。
操作 Azure 登陆区域
部署平台着陆区后,您需要对其进行操作和维护。 有关详细信息,请参阅使 Azure 登陆区域保持最新状态。
Azure 治理可视化工具
Azure 治理可视化工具 通过将数据置于上下文中并提供精细的报表,帮助你全面了解技术 Azure 治理实现。
订阅自动售货
创建平台着陆区和治理策略后,请建立一致的方法来为工作负载所有者创建和管理订阅。 订阅民主化 是一种 Azure 登陆区域设计原则,它使用订阅作为管理和规模单元。 这种方法可加速应用程序迁移和新应用程序开发。
订阅自动售货标准化了平台团队使用的流程,以便工作负荷团队可请求订阅,而平台团队可部署和治理这些订阅。 它允许应用程序团队以一致且受管理的方式使用 Azure,这有助于确保团队满足所有要求。
组织通常有不同类型的订阅模式,可以分配到其租户中,通常称为产品线。 有关详细信息,请参阅建立常见的订阅自动售货产品线。
若要开始,请按照 订阅自动售货实施指南 进行操作。 然后查看以下 IaC 模块,以便灵活地满足实现需求。
| 部署选项 | 说明 |
|---|---|
| Bicep 订阅自动售货 | 订阅售货 Bicep 模块协调单个应用程序登陆区域的部署。 |
| Terraform 订阅自动售货 | 此方法使用 Terraform 协调单个应用程序登陆区域的部署。 |
可以使用所有部署选项手动部署应用程序登陆区域,但它们在自动化过程中最为有效。
应用程序登陆区域体系结构
应用程序登陆区域是一个或多个订阅中的指定区域,专门设置为应用程序团队为特定工作负荷管理的资源的已批准目标。 工作负载可以利用平台登陆区中的服务,或保持与这些中央资源隔离。 将应用程序登陆区域用于集中管理的应用程序、应用程序团队拥有的分散工作负载,以及可托管多个业务部门的应用程序的 Azure Kubernetes 服务(AKS)等集中托管平台。 除非异常情况限制应用程序登陆区域订阅,否则它们通常仅包含来自单个工作负荷或逻辑应用程序边界的资源,例如其生命周期或关键性分类。
工作负荷团队通过平台团队建立的正式流程来传达其工作负载的要求。 平台团队通常会部署已使用所有必要治理注册的空白订阅。 然后,工作负荷架构师设计了一个解决方案,该解决方案在应用程序登陆区域的约束下工作,并在实际情况下利用共享平台功能,如防火墙和跨界路由。
架构师可以改编不是专门为应用程序登陆区域设计的参考体系结构。 但是,Microsoft Learn 还为专门解决应用程序登陆区域上下文的工作负荷团队提供了应用程序和数据平台指南。 让平台团队了解本指南,以便他们可以预测组织中的工作负荷类型和特征。
| 应用程序登陆区域体系结构 | 说明 |
|---|---|
| 应用服务环境 | 跨多租户和应用服务环境用例的经过验证的建议与考虑事项,并提供参考实现。 |
| Azure API 管理 | 关于如何将内部 API 管理实例作为参考实现的一部分进行部署的经过验证的建议和注意事项。 此方案使用 Azure 应用程序网关来帮助提供安全入口控制,并使用 Azure Functions 作为后端。 |
| 适用于混合和多云方案的 Azure Arc | Azure Arc 启用的服务器、Kubernetes 和 Azure SQL 托管实例指南。 |
| Azure 容器应用 | 概述战略设计路径并定义用于部署容器应用的目标技术状态的指南。 专用工作负荷团队拥有并运行此平台。 |
| Azure 数据工厂 | 有关如何在应用程序登陆区域中托管奖牌湖屋的指南。 |
| Microsoft Foundry 聊天工作负载 | 有关如何在应用程序登陆区域中集成典型 Foundry 聊天体系结构 ,同时使用集中式平台登陆区域资源实现共享服务、治理和成本效益的指导。 它为工作负载团队提供有关基础设施和代理部署与管理的指导。 |
| AKS | 指导和相关 IaC 模板,这些模板表示在应用程序登陆区域中运行的 AKS 部署的战略设计路径和目标技术状态。 |
| Azure Red Hat OpenShift | Terraform 模板的开源集合,表示包括 Azure 和 Red Hat 资源的最佳 Azure Red Hat OpenShift 部署。 |
| Azure 虚拟桌面 | 设计 Azure 虚拟桌面部署时要引用的 Azure 资源管理器、Bicep 和 Terraform 模板。 这些模板包括创建主机池、网络、存储和监视。 |
| Azure 虚拟机 | 将指南从虚拟机基线体系结构扩展到应用程序登陆区域的体系结构。 它提供有关订阅设置、修补程序符合性和其他组织治理问题的指南。 |
| Azure VMware 解决方案 | ARM 模板、Bicep 模板和 Terraform 模板可用于帮助设计 Azure VMware 解决方案部署。 这些部署包括 Azure VMware 解决方案私有云、跳转盒、网络和监视。 |
| Azure 上的 Citrix | Azure 企业级登陆区域中 Citrix Cloud 云采用框架的设计指南包括多个设计领域。 |
| Azure 上的 Red Hat Enterprise Linux (RHEL) | 体系结构指南和参考实现建议的开源集合,可用于在 Azure 上设计基于 RHEL 的工作负荷。 |
| 高性能计算(HPC)工作负载 | Azure 中使用 Terraform、Ansible 和 Packer 等工具的端到端 HPC 群集解决方案。 它解决了 Azure 登陆区域最佳做法,包括标识实现、跳转盒访问和自动缩放。 |
| 任务关键型工作负荷 | 介绍如何设计任务关键型工作负荷,以在应用程序登陆区域中运行。 |
| SAP 工作负载 | 为符合 Azure 登陆区域最佳做法的 SAP 工作负荷提供指导和建议。 提供有关如何创建基础结构组件(如计算、网络、存储、监视和 SAP 系统生成)的建议。 |
工作负荷通常由不同的技术和分类组成。 查看工作负载中所有技术的相关参考资料。 例如,Azure OpenAI 聊天和 API 管理中的指南可帮助你检查生成 AI 方案是否受益于 API 网关。