部署云治理基础
通过部署云治理基础,你能够更快地治理整个 Azure 环境。 此单元概述了部署实现资源一致性的基础以及为其他治理规则做准备所需的注意事项和实现。
需要配置哪些内容?
本单元假设你已将资产部署到 Azure。 现在,你想要配置环境,以便更好地组织、跟踪和治理这些资产。 完成本单元后,你将了解为何以及如何配置管理组、订阅设计、资源组和标记。
战略注意事项
资源组织基于对组织重要的内容。 在定义管理组或订阅设计之前,请务必先了解以下竞争优先级的优先顺序:
- 成本透明度:所有云采用都应与部门、业务部门、项目或其他成本分配机制保持一致,以满足退款和成本分析计帐要求。
- 合规性和安全性:所有云采用都应映射到特定的合规性要求,这些要求将云采用映射到特定的风险、安全性和合规性组织结构。
- 大众化(委托责任):所有云采用都应映射到团队、产品组或项目,以便更容易地按团队划分责任。
了解这些战略优先级可帮助确定管理和订阅设计的最佳起点。
Azure 中的资源组织
所有治理的基本基础都是一致的资源组织。
图 1:资源一致性。
资源组织的三个主要组成部分是:
- 管理组,反映安全、操作和业务或计帐层次结构。
- 订阅,将相似的资源分组到逻辑边界中。
- 资源组,进一步将应用程序或工作负载分组到部署和操作单位中。
治理设计注意事项
为了适应长期的治理需求,请设计一个高级层次结构,但仅实现所需的层次结构。 根据要求向层次结构添加新节点。
图 2:管理组层次结构。
以下组件在图 2 中所示的管理组层次结构中以降序级别表示:
- 管理组:业务部门、地域和环境
- 订阅:按应用程序类别、预生产、开发环境和生产
- 资源组:按应用程序
练习:配置你的第一个管理组层次结构
从较小的层次结构开始,以便可以试验和快速攻克初始学习曲线。
图 3:初始的较小管理组层次结构。
在这个较小版本中,尝试以下配置步骤:
- 父节点:定义公司 IT 管理组。
- 子节点:定义每个生产和非生产环境的子节点。
有关创建这些管理组的指南,请参考在 Azure 门户中创建管理组的快速入门指南。
订阅设计
订阅是所有已部署资产的逻辑容器。 订阅用于根据计费、合规性、安全性或访问要求将常见工作负载组合在一起。 若要最大程度地提高治理效率,应使用尽可能少的订阅。
图 4:生产和非生产订阅。
使用订阅进行缩放
使用多个订阅进行缩放有几个技术和非技术原因。 有关缩放的常见原因的概述,请查看基本概念一文。
以下问题可能有助于说明缩放订阅的原因:
- 是否有容量或技术限制?
- 是否需要明确区分问题? 例如:
- 职责分离
- 开发/测试与泛型非生产
- 不同客户
- 不同部门或业务单位
- 不同项目
- 你是否能够在应用程序所有者之间分摊共享基础结构的成本? (通常,专用订阅用于共享基础结构,比如 Microsoft Entra ID、监视或修补工具。)
- 是否需要通过共享服务订阅为操作管理、安全、标识同步、连接或 DevOps 团队创建更清晰的责任分离?
练习:将订阅添加到管理组
在每个环境节点中添加现有的订阅,以清晰地划分生产、开发和 QA 资源。
图 5:将订阅添加到管理组。
有关将订阅添加到管理组的指南,请参考操作指南。
标记
管理组反映优先级最高的组织结构。 标记反映了各种组织原则,这些原则在元数据中同样有所反映。 下面是所有工作负载的建议标记:
练习:分配标记策略
可以将 Azure 策略应用于管理组的所有订阅。 若要了解策略在治理基础中的作用,请将策略应用到层次结构中的某个管理组。
图 6:在 Azure 门户中分配策略。
有关应用策略的指南,请查看有关创建和管理策略的教程
- 分配策略说明的步骤 4 介绍了范围。 在此步骤中,你将选择管理组,以确保将策略应用到管理组中的所有订阅。
- 步骤 6 和 7 介绍了策略定义。 我们建议从“内置”策略列表中选择一个与标记相关的策略。 具体而言,要求标记所有资源的策略将有助于建立治理基础。
重要
本教程中的步骤 9 演示了“策略实施”。 了解治理时,请务必将“策略实施”设置为“禁用”。 如果禁用此设置,则无需进行任何更改即可审核你的环境,并且不会阻止之后的部署。
部署加速
将所有治理更改打包到蓝图中可以加速部署并创建一致的治理应用程序。 在下一个练习中分配蓝图时,将对分配的管理组中的所有订阅一致地应用治理。 它还适用于这些订阅中的所有资源组和资产。
练习:分配 CAF 基础蓝图
使用 Azure 蓝图将 Azure 资源管理器模板、Azure 策略和基于角色的访问控制设置打包到单个包中。 Azure 的云采用框架 (CAF) 基础蓝图提供了一个示例和一个起点,用于在云治理中使用蓝图:
- 部署 Azure Key Vault
- 将 Log Analytics 部署到 Azure Monitor 日志中
- 部署 Microsoft Defender for Cloud(标准版)
CAF 基础蓝图还定义和部署了策略来执行以下操作:
- 将
cost center
标记应用于资源组 - 将资源追加到带有
cost center
标记的资源组中 - 允许资源和资源组使用 Azure 区域
- 允许使用存储帐户 SKU(在部署时选择)
- 允许使用 Azure 虚拟机 SKU(在部署时选择)
- 要求部署 Azure 网络观察程序
- 要求对 Azure 存储帐户进行安全传输加密
- 拒绝资源类型(在部署时选择)
- 制定在 Microsoft Defender for Cloud 中启用监视的计划(89 个策略)
按照规定的步骤发布此示例蓝图并将其分配给管理组。
练习:评估当前环境
客户通常会尝试在多个订阅中对现有的成熟采用工作添加治理。 当你在整个组合中完善治理做法时,可借助 Azure 治理可视化工具查看当前治理配置。
图 7:Azure 治理可视化工具。
部署 Azure 治理可视化工具,来查看管理组、蓝图、策略和其他治理配置是如何在你的环境中应用的。
这些练习有助于说明治理的起点或基础。 在下一个单元中,你将在此基础上建立成熟的成本管理规则。