你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 登陆区域是遵循八个设计领域的主要设计原则的环境。 这些设计原则适用于所有应用程序组合,支持大规模的应用程序迁移、现代化和创新。 Azure 登陆区域使用订阅来隔离和缩放应用程序资源和平台资源。 对应用程序资源的订阅称为应用程序登陆区域,对平台资源的订阅则称为平台登陆区域。
Azure 登陆区域体系结构
Azure 登陆区域体系结构可缩放且模块化,以满足各种部署需求。 可重复的基础结构可让你始终如一地对每个订阅应用配置和控制。 随着需求的发展,模块可以轻松部署和修改特定的 Azure 登陆区域体系结构组件。
Azure 登陆区域概念体系结构(请参阅图 1)表示了 Azure 登陆区域的推荐目标体系结构。 应将此概念体系结构用作起点,并调整架构以满足你的需求。
图 1:Azure 登陆区域概念体系结构。下载此体系结构的 Visio 文件 或 PDF 文件 。
设计领域:概念体系结构说明了八个设计领域之间的关系。 这些设计领域包括 Azure 计费和 Microsoft Entra 租户、标识和访问管理、管理组和订阅组织、网络拓扑和连接、安全性、管理、治理以及平台自动化和 DevOps。 有关设计区域的详细信息,请参阅 Azure 登陆区域环境设计区域。
资源组织:概念体系结构显示了管理组层次结构示例。 它按管理组组织订阅(黄色框)。 “平台”管理组下的订阅表示平台登陆区域。 “登陆区域”管理组下的订阅表示应用程序登陆区域。 概念体系结构详细展示了五个订阅。 可以看到每个订阅中的资源和应用的策略。
平台登陆区域与应用程序登陆区域
Azure 登陆区域由平台登陆区域和应用程序登陆区域组成。 这值得更详细地解释这两者的功能。
平台登陆区域:平台登陆区域是向应用程序登陆区域中的应用程序提供共享服务(标识、连接性、管理)的订阅。 合并这些共享服务通常会提高运营效率。 一个或多个中心团队管理平台登陆区域。 在概念体系结构(请参阅图 1)中,“标识订阅”、“管理订阅”和“连接订阅”表示三个不同的平台登陆区域。 概念体系结构详细介绍了这三个平台登陆区域。 它描述了应用于每个平台登陆区域的代表性资源和策略。
应用程序登陆区域:应用程序登陆区域是用于托管应用程序的订阅。 通过代码预先预配应用程序登陆区域,并使用管理组向其分配策略控制。 在概念体系结构(请参阅图 1)中,“登陆区域 A1 订阅”和“登陆区域 A2 订阅”表示两个不同的应用程序登陆区域。 概念体系结构仅详细展示“登陆区域 A2 订阅”。 它描述了应用于应用程序登陆区域的代表性资源和策略。
图 2:Azure 登陆区域的概念体系结构,叠加了应用和平台登陆区域。下载此架构的 Visio 文件。
管理应用程序登陆区域有三种主要方法。 应根据自己的需要,采用以下管理方法之一:
- 核心团队方法
- 应用程序团队方法
- 共享团队方法
应用程序登陆区域管理方法 | 说明 |
---|---|
中心团队管理 | 中心 IT 团队全面运营登陆区域。 该团队将控件和平台工具应用于平台和应用程序登陆区域。 |
应用程序团队管理 | 平台管理团队将整个应用程序登陆区域委托给应用程序团队。 应用程序团队管理并支持该环境。 管理组策略可确保平台团队仍控制应用程序登陆区域。 你可以在订阅范围内添加其他策略,并使用替代工具部署、保护或监视应用程序登陆区域。 |
共享管理 | 借助 AKS 或 AVS 等技术平台,中心 IT 团队可以管理基础服务。 应用程序团队负责在技术平台上运行的应用程序。 你需要对此模型使用不同的控件或访问权限。 这些控件和权限不同于集中管理应用程序登陆区域时使用的控件和权限。 |
应用程序登陆区域加速器
应用程序登陆区域加速器可帮助你在应用程序登陆区域订阅中部署常见工作负荷。 使用 Azure 体系结构中心中的可用应用程序登陆区域加速器列表,并部署与方案相匹配的加速器。 在部署 Azure 登陆区域之前,请确保已查看并完成 先决条件 。
Azure 着陆区域中的人工智能
常见问题是是否需要与 Azure 登陆区域一起使用专用 AI 登陆区域。 答案是,不需要单独的 AI 登陆区域。 相反,可以使用现有的 Azure 登陆区域体系结构将 AI 工作负载部署到该体系结构中。 Azure 登陆区域设计区域和原则足以支持 AI 工作负载,因为它们为包括 AI 和非 AI 组件和服务的应用程序和非 AI 组件和服务提供治理、安全性和管理的必要基础。
无需单独的 AI 登陆区域即可将 AI 服务集成到应用程序登陆区域。 Azure 登陆区域体系结构、设计原则和设计领域(例如标识和访问管理、网络拓扑和连接性、安全性和治理)已设计为容纳所有工作负载,包括涉及 AI 的工作负载。
从 Azure 登陆区域的角度来看,AI 只是另一种工作负载或服务,可以通过利用现有的 Azure 登陆区域体系结构、原则和设计区域,在一个或多个应用程序登陆区域订阅中部署、治理和保护,就像平台团队使用现有的 Azure 登陆区域体系结构、原则和设计区域一样。
有关 Azure 中的 AI 采用的详细信息,请参阅 AI 采用方案。 有关 AI 工作负载和登陆区域的具体重点,请参阅 “建立 AI 基础”。
平台登陆区域的 Azure 验证模块
对于基础结构即代码(IaC)部署,可以将 Azure 验证模块用于平台登陆区域。 这些模块适用于 Bicep 和 Terraform,提供一组可重用、可自定义和可扩展的模块,可帮助你部署平台登陆区域。 这些模块旨在帮助加速交付建议的资源层次结构和治理模型。 可以将共享服务、网络连接和应用程序工作负载集成到部署中,或独立管理它们。
若要使用 Bicep 或 Terraform,请参阅 Bicep 和 Terraform 部署选项。
Azure 平台登陆区域门户加速器
此加速器是现成的部署体验。 Azure 登陆区域门户加速器部署概念体系结构(请参阅图 1),并将预先确定的配置应用于管理组和策略等关键组件。 它适合概念体系结构与计划的操作模型和资源结构保持一致的组织。
如果您计划通过 Azure 门户来管理环境,请使用 Azure 平台登陆区门户加速器。 部署 Azure 登陆区域门户加速器需要有在租户 (/
) 范围创建资源的权限。 若要授予这些权限,请按照使用 ARM 模板部署租户:需要的访问权限中的指导操作。
介绍 Azure 登陆区域及其实施原则的视频
后续步骤
Azure 登陆区域是一个在八个设计领域都遵守重要设计原则的环境。 你应该熟悉这些设计原则,使其符合你的需求。
还可以查看常见问题解答(常见问题解答),了解有关 Azure 登陆区域的详细信息,并回答常见问题,例如“是否需要 AI 登陆区域?”或“Azure 登陆区域与企业规模登陆区域之间的区别是什么?”