你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
部署 Azure 登陆区域
本文讨论可用于部署平台和应用程序登陆区域的选项。 平台登陆区域提供工作负载使用的集中式服务。 应用程序登陆区域是为工作负载本身部署的环境。
重要
有关平台与应用程序登陆区域定义的详细信息,请参阅 Azure 云采用框架文档中的什么是 Azure 登陆区域?。
本文介绍不同云运营模型的常见角色和职责。 它还列出了平台和应用程序登陆区域的部署选项。
云运营模型角色和职责
云采用框架介绍了四种常见的云操作模型。 如果组织的云运营模型需要自定义基于角色的访问控制,则登陆区域的 Azure 身份验证和访问控制建议了五个角色定义(角色)。 如果组织具有更分散的操作,则 Azure 内置角色可能就足够了。
下表概述了每个云运营模型的关键角色。
| 角色 | 分散运营 | 集中运营 | 企业运营 | 分布式运营 |
|---|---|---|---|---|
| Azure 平台所有者(例如内置所有者角色) | 工作负载团队 | 中央云策略 | 云卓越中心 (CCoE) 中的企业架构师 | 基于项目组合分析。 请参阅业务一致性和业务承诺。 |
| 网络管理 (NetOps) | 工作负载团队 | 中央 IT | CCoE 中的中心网络 | 每个分布式团队的中心网络 + CCoE。 |
| 安全运营 (SecOps) | 工作负载团队 | 安全操作中心 (SOC) | CCoE + SOC | 混合。 请参阅定义安全策略。 |
| 订阅所有者 | 工作负载团队 | 中央 IT | 中心 IT + 应用程序所有者 | CCoE + 应用程序所有者。 |
| 应用程序所有者(DevOps、AppOps) | 工作负载团队 | 工作负载团队 | 中心 IT + 应用程序所有者 | CCoE + 应用程序所有者。 |
平台
以下选项提供了一种部署和操作 Azure 登陆区域概念体系结构的个性化方法,如云采用框架中详述。 对于这里列出的所有选项,生成的体系结构可能不同,具体取决于自定义项。 选项之间的差异在于部署体系结构的方式。 它们使用不同的技术,采用不同的方法,并采用不同的方式进行自定义。
| 部署选项 | 描述 |
|---|---|
| Azure 登陆区域门户加速器 | 基于 Azure 门户的部署可提供概念体系结构的完整实现以及用于关键组件(例如管理组和策略)的个性化配置。 |
| Azure 登陆区域 Terraform 加速器 | 此加速器提供业务流程协调程序模块,还允许单独或部分部署每个功能。 |
| Azure 登陆区域 Bicep 加速器 | 模块化的加速器,每个模块封装 Azure 登陆区域概念体系结构的核心功能。 虽然模块可以单独部署,但设计建议使用业务流程协调程序模块来封装使用模块部署不同拓扑的复杂性。 |
变量
| 部署选项 | 说明 |
|---|---|
| 主权登陆区域 | 主权登陆区域 (SLZ) 是企业级 Azure 登陆区域的一种变体,适用于需要高级主权控制的组织。 |
操作 Azure 登陆区域
部署登陆区域后,需要操作和维护它。 有关详细信息,请参阅有关如何使 Azure 登陆区域保持最新状态的指南。
Azure 治理可视化工具旨在通过连接点并提供复杂的报告,帮助你全面了解技术 Azure 治理实现。
使用企业策略即代码 (EPAC) 为策略部署备选平台
企业策略即代码 (EPAC) 是一种备选方法,用于在环境中部署、管理和操作 Azure 策略。 可以使用 EPAC 而不是前面的平台选项来管理 Azure 登陆区域环境中的策略。 有关集成方法的详细信息,请参阅将 EPAC 与 Azure 登陆区域集成。
EPAC 最适合更高级、更成熟的 DevOps 和基础结构即代码客户。 但是,任何规模的客户都可以在评估 EPAC 后根据需要使用 EPAC。 若要确保你保持一致,首先请参阅谁应使用 EPAC?。
注意
请仔细评估并考虑这两个选项。 在决定长期使用哪些内容之前,可能需要完成 MVP 或概念证明。
订阅自动售货
平台登陆区域就位后,下一步是为工作负载所有者创建和操作应用程序登陆区域。 订阅大众化是 Azure 登陆区域的一项设计原则,它使用订阅作为管理和缩放单元。 这种方法可加速应用程序迁移和新应用程序开发。
订阅自动售货可标准化用于请求、部署和管理订阅的过程。 它使应用程序团队能够更快地部署其工作负载。 若要开始,请参阅订阅自动售货实施指南。 然后查看以下基础结构即代码模块。 它们让你能够灵活地满足你的实现需求。
| 部署选项 | 描述 |
|---|---|
| Bicep 订阅自动售货 | 订阅自动售货 Bicep 模块旨在加快 Microsoft Entra 租户在企业协议 (EA)、Microsoft 客户协议 (MCA) 和 Microsoft 合作伙伴协议 (MPA) 计费帐户中的单个着陆区(也称为订阅)的部署。 |
| Terraform 订订阅自动售货 | 订阅自动售货 Terraform 模块旨在让你能够在 EA、MCA 和 MPA 计费帐户上的 Microsoft Entra 租户中更快地部署单个登陆区域(也称为订阅) |
应用程序
应用程序登陆区域是部署为工作负载或应用程序环境的一个或多个订阅。 这些工作负载可以利用平台登陆区域中部署的服务。 应用程序登陆区域可以是集中管理的应用程序、分散式工作负载或技术平台,例如托管应用程序的 Azure Kubernetes 服务 (AKS)。
可以使用以下选项在应用程序登陆区域中部署和管理应用程序或工作负载。
| 应用程序 | 说明 |
|---|---|
| AKS 登陆区域加速器 | 它是 Azure 资源管理器 (ARM)、Bicep 和 Terraform 模板的开源集合,表示 AKS 部署的战略设计路径和目标技术状态。 |
| Azure 应用服务登陆区域加速器 | 跨多租户和应用服务环境用例的成熟建议和注意事项,以及基于 ASEv3 的部署的参考实现。 |
| Azure API 管理登陆区域加速器 | 有关部署 APIM 管理的成熟建议和注意事项,并通过参考实现展示以支持内部 APIM 实例的 Azure Functions 作为后端的 Azure 应用程序网关。 |
| Azure 上的 SAP 登陆区域加速器 | 使用 Azure 登陆区域最佳做法加速 SAP 工作负载部署的 Terraform 和 Ansible 模板,包括创建基础结构组件(如计算、网络、存储、监视和构建 SAP 系统)。 |
| HPC 登陆区域加速器 | Azure 中使用 Terraform、Ansible 和 Packer 等工具的端到端 HPC 群集解决方案。 它解决了 Azure 登陆区域的最佳做法,包括实现标识、jumpbox 访问和自动缩放。 |
| Azure VMware 解决方案登陆区域加速器 | 用于加速 VMware 部署的 ARM、Bicep 和 Terraform 模板,包括 Azure VMware 解决方案私有云、jumpbox、网络、监视和加载项。 |
| Azure 虚拟桌面登陆区域加速器 | 用于加速 Azure 虚拟桌面部署的 ARM、Bicep 和 Terraform 模板,包括创建主机池、网络、存储、监视和加载项。 |
| Azure Red Hat OpenShift 登陆区域加速器 | Terraform 模板的开源集合,表示包括 Azure 和 Red Hat 资源的最佳 Azure Red Hat OpenShift 部署。 |
| 面向混合云和多云的 Azure Arc 登陆区域加速器 | 已启用 Azure Arc 的服务器、Kubernetes 和已启用 Azure Arc 的 SQL 托管实例。 请参阅 Jumpstart ArcBox 概述。 |
| Azure Spring Apps 登陆区域加速器 | Azure Spring Apps 登陆区域加速器适用于采用典型登陆企业区域设计生成和部署 Spring Boot 应用程序的应用程序团队。 作为工作负载所有者,请使用此加速器中提供的体系结构指南,自信地实现目标技术状态。 |
| Azure 上 Citrix 的企业级登陆区域 | Azure 企业级登陆区域中 Citrix Cloud 云采用框架的设计准则涵盖了多个设计领域。 |
| Azure 容器应用登陆区域加速器 | 此 Azure 容器应用登陆区域加速器概述了战略设计路径,并定义了用于部署 Azure 容器应用的目标技术状态。 它由专门的工作负荷团队负责和运营。 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈