什麼是 Azure 登陸區域?
Azure 登陸區域是遵循八個設計領域的主要設計準則的環境。 這些設計準則適用於所有應用程式組合,並支援大規模的應用程式移轉、現代化及創新。 Azure 登陸區域會使用訂用帳戶來隔離和調整應用程式資源及平台資源。 應用程式資源的訂用帳戶稱為應用程式登陸區域,而平台資源的訂用帳戶稱為平台登陸區域。
Azure 登陸區域架構
Azure 登陸區域結構可調整且模組化,可滿足各種部署需求。 可重複的基礎結構可讓您一致地將組態和控件套用至每個訂用帳戶。 隨著需求的變化,模組可以讓您輕鬆部署和修改特定的 Azure 登陸區域結構元件。
Azure 登陸區域概念架構(請參閱圖 1)代表 Azure 登陸區域有意見的目標架構。 您應該使用此概念架構作為起點,並 量身打造架構以符合您的需求。
圖 1:Azure 登陸區域概念架構。 下載此架構的 Visio 檔案 。
設計區域: 概念架構說明其八個設計區域之間的關聯性。 這些設計區域包括 Azure 計費和Microsoft Entra 租使用者、身分識別和存取管理、管理群組和訂用帳戶組織、網路拓撲和連線能力、安全性、管理、治理和平臺自動化和 DevOps。 如需設計區域的詳細資訊,請參閱 Azure 登陸區域環境設計區域。
資源組織: 概念架構會顯示範例管理群組階層。 它會依管理群組組織訂用帳戶(黃色方塊)。 「平臺」管理群組下的訂用帳戶代表平臺登陸區域。 「登陸區域」管理群組下的訂用帳戶代表應用程式登陸區域。 概念架構會詳細顯示五個訂用帳戶。 您可以查看每個訂用帳戶中的資源,以及套用的原則。
平台登陸區域與應用程式登陸區域
Azure 登陸區域包含平台登陸區域和應用程式登陸區域。 值得更詳細地說明兩者的功能。
平台登陸區域:平台登陸區域是一個訂用帳戶,可為應用程式登陸區域中的應用程式提供共用服務 (身分識別、連線、管理)。 合併這些共用服務通常可提升作業效率。 一或多個中央小組會管理平台登陸區域。 在概念架構中(請參閱圖 1),「身分識別訂用帳戶」、「管理訂用帳戶」和「連線訂用帳戶」代表三個不同的平臺登陸區域。 概念架構會詳細說明這三個平臺登陸區域。 其描述適用於每個平臺登陸區域的代表性資源和原則。
應用程式登陸區域:應用程式登陸區域是用於裝載應用程式的訂用帳戶。 您可以透過程式碼預先佈建應用程式登陸區域,並使用管理群組為其指派原則控制項。 在概念架構中(請參閱圖 1),「登陸區域 A1 訂用帳戶」和「登陸區域 A2 訂用帳戶」代表兩個不同的應用程式登陸區域。 概念架構只會詳細顯示「登陸區域 A2 訂用帳戶」。 它描述套用至應用程式登陸區域的代表性資源和原則。
管理應用程式登陸區域主要方法有三種。 根據您的需求,您應該使用下列其中一種管理方法:
- 中央小組方法
- 應用程式小組方法
- 共用小組方法
| 應用程式登陸區域管理方法 | 描述 |
|---|---|
| 中央小組管理 | 中央 IT 小組可完全運作登陸區域。 小組會將控制項和平台工具套用至平台和應用程式登陸區域。 |
| 應用程式小組管理 | 平台系統管理小組會將整個應用程式登陸區域委派給應用程式小組。 應用程式小組會管理並支援環境。 管理群組原則可確保平台小組仍會控管應用程式登陸區域。 您可以在訂用帳戶範圍新增其他原則,並使用替代工具來部署、保護或監視應用程式登陸區域。 |
| 共用管理 | 透過 AKS 或 AVS 等技術平台,中央 IT 小組可管理基礎服務。 應用程式小組則負責在技術平台上執行的應用程式。 您需要針對此模型使用不同的控制項或存取權限。 這些控制項和權限和您用於集中管理應用程式登陸區域的控制項和權限不同。 |
Azure 登陸區域加速器
加速器是基礎結構即程式碼實作,可協助您正確地部署 Azure 登陸區域。 我們有平台登陸區域加速器和數個您可以部署的應用程式登陸區域加速器。
平台登陸區域加速器
有稱為 Azure 登陸區域入口網站加速器的現成部署體驗。 Azure 登陸區域入口網站加速器會部署概念架構(請參閱圖 1),並將預先確定的設定套用至主要元件,例如管理群組和原則。 其適合概念結構和規劃的營運模型與資源結構一致的組織。
如果您打算使用 Azure 入口網站管理環境,即應該使用 Azure 登陸區域入口網站加速器。 如果您想要使用 Bicep 或 Terraform,請參閱 Bicep 和 Terraform 部署選項。 部署 Azure 登陸區域入口網站加速器需要許可權,才能在租使用者 (/) 範圍建立資源。 遵循使用 ARM 範本進行租使用者部署中的 指引:授與這些許可權的必要存取 權。
應用程式登陸區域加速器
應用程式登陸區域加速器可協助您部署應用程式登陸區域。 使用 Azure 架構中心內可用的應用程式登陸區域加速器清單,並部署符合您案例的加速器。
說明應用程式登陸區域及其實作原則的影片
下一步
Azure 登陸區域是一個環境,可遵循八個設計區域的重要設計原則。 您應該熟悉這些設計原則,以根據您的需求量身打造。