你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在Azure中部署工作负荷之前,请准备支持它们的基础环境。 CAF 就绪提供了一种结构化方法,可帮助你从一开始就构建可缩放、安全和管理的云环境。 此基础设置称为平台登陆区域。 Azure 着陆区是平台着陆区的推荐实现。
平台登陆区域
平台登陆区域充当 Azure 环境的主干。 它在您的组织内建立适用于整个组织的治理和核心服务。 其功能包括跨订阅实施 Azure Policy 的管理组层次结构。 还有专用订阅用于连接、标识、管理和安全共享服务。
根据组织的规模和云成熟度,可以选择实现所有这些、部分或全部集中的服务。 对于较小的团队或云原生团队,轻量级方法可能就足够了。
平台登陆区域的一部分应包括接收应用程序登陆区域请求的功能,并将这些请求分发到工作负荷团队以实施。
应用程序登陆区域
应用程序着陆区用于工作负载资源。 工作负荷应在每个环境(开发、测试或生产)中设置应用程序着陆区。 每个应用程序登陆区域由一个或多个订阅组成,以适应缩放和服务限制。 它们嵌套在适当的管理组(如“Online”或“Corp”)下,以从父管理组继承 Azure Policy 定义。 此结构可确保工作负荷以受控且一致的方式进行部署,同时仍可灵活地满足单个工作负荷需求。
适用于所有订阅的配置
订阅是属于平台还是应用程序登陆区域,都应普遍启用某些配置。 这些配置包括:Azure Role-Based 访问控制(RBAC)、成本管理、网络观察程序以及 Microsoft Defender for Cloud。 这些服务有助于在整个 Azure 环境中保持可见性、安全性和作控制。
Azure 着陆区实施
Azure 着陆区是平台着陆区的推荐实现。 实现在主要阶段展开,每个阶段都有支持流程和工具:
初始化您的环境
无论是进行全新部署(Greenfield)还是改造现有系统(Brownfield),第一步是创建资源的订阅账户。 根据最佳做法实施新的 Azure 登陆区域环境通常需要多个订阅。 可以手动、编程方式或使用自动售货模块创建这些订阅:
2. 部署平台登陆区域组件
接下来,根据 Azure 登陆区域参考体系结构加快平台资源的部署。 这些组件建立治理和共享服务,例如管理组层次结构、策略强制、连接、安全性和监视。 部署选项包括 Azure 门户、Bicep 和 Terraform:
3. 订阅售货流程(可选)
平台到位后,需要在 Azure 租户中创建单个应用程序登陆区域。 建议使用订阅售货解决方案自动执行此过程。 自动售货有助于部署订阅以及网络等核心资源。 Bicep 和 Terraform 模块均可用: