分享方式:

量身打造 Azure 登陸區域架構以符合需求

  • 文章

作為 Azure 登陸區域指引的一部分,有數個參考 實作選項 可供使用:

  • Azure 虛擬 WAN 的 Azure 登陸區域
  • 具有傳統中樞和輪輻的 Azure 登陸區域
  • Azure 登陸區域基礎
  • 適用於小型企業的 Azure 登陸區域

這些選項可協助您的組織使用在設計區域中提供 Azure 登陸區域概念架構和最佳做法的設定來快速開始使用。

參考實作是以與客戶和合作夥伴互動的 Microsoft 小組最佳做法和學習為基礎。 此知識代表 80/20 規則的「80」 端。 各種實作會就屬於架構設計程式一部分的技術決策採取立場。

因為並非所有使用案例都相同,並非所有組織都可以以預期的方式使用實作方法。 當識別出量身訂做的需求時,您必須瞭解考慮事項。

什麼是 Azure 登陸區域中的登陸區域原型?

登陸區域原型描述著陸區域(Azure 訂用帳戶)符合特定範圍的預期環境和合規性需求,這需要正確。 範例包含:

  • Azure 原則 指派。
  • 角色型訪問控制 (RBAC) 指派。
  • 集中管理的資源,例如網路功能。

請考慮資源階層中的每個管理群組,因為原則繼承在 Azure 中的運作方式,導致最終登陸區域原型輸出。 當您設計較低層級時,請考慮資源階層中上層套用的內容。

管理群組與登陸區域原型之間有密切的關係,但僅管理群組就不是登陸區域原型。 相反地,它會形成用來在您的環境中實作每個登陸區域原型的架構的一部分。

您可以在 Azure 登陸區域概念架構中看到此關聯性。 原則指派是在中繼根管理群組中建立,例如 Contoso,用於必須套用至所有工作負載的設定。 針對更特定的需求,會在階層的較低層級建立更多原則指派。

管理群組階層內的訂用帳戶放置會決定繼承、套用並強制執行至該特定登陸區域 (Azure 訂用帳戶) 的 Azure 原則 和訪問控制 (IAM) 指派結果集。

可能需要更多程式和工具,以確保登陸區域具有必要的集中管理資源。 這些範例包含:

  • 將活動記錄數據傳送至Log Analytics工作區的診斷設定。
  • 適用於雲端的 Microsoft Defender的連續匯出設定。
  • 具有應用程式工作負載受控IP位址空間的虛擬網路。
  • 將虛擬網路連結至分散式阻斷服務 (DDoS) 網路保護。

注意

在 Azure 登陸區域參考實作中,會使用具有 DeployIfNotExistsModify效果 的 Azure 原則來達成上述某些資源的部署。 它們遵循 原則驅動的治理 設計原則。

如需詳細資訊,請參閱 採用原則驅動的護欄

Azure 登陸區域概念架構的內建原型

概念架構包含應用程式工作負載的範例登陸區域原型,例如 corponline。 這些原型可能會套用至您的組織,並符合您的需求。 您可能想要變更這些原型,或建立新的原型。 您的決策取決於貴組織的需求和需求。

提示

若要檢閱 Azure 登陸區域加速器中的登陸區域原型,請參閱 Azure 登陸區域加速器中的管理群組。

您也可以在資源階層中的其他位置建立變更。 當您規劃組織 Azure 登陸區域的實作階層時,請遵循設計區域中指導方針。

概念架構中的下列登陸區域原型範例可協助您瞭解其用途和用途:

登陸區域原型 (管理群組) 用途或使用
公司 公司登陸區域的專用管理群組。 此群組適用於需要透過連線訂用帳戶中樞與公司網路連線或混合式連線的工作負載。
線上存取 在線登陸區域的專用管理群組。 此群組適用於可能需要直接因特網輸入/輸出連線的工作負載,或可能不需要虛擬網路的工作負載。
沙箱 僅供組織測試和探索之訂用帳戶的專用管理群組。 這些訂用帳戶將會與公司與在線登陸區域安全地中斷連線。 沙箱也有一組較不嚴格的原則,可啟用 Azure 服務的測試、探索和設定。

可能需要量身打造的案例

如前所述,我們在 Azure 登陸區域概念架構提供常見的登陸區域原型。 他們是公司在線。 這些原型不會修正,而且不是應用程式工作負載唯一允許的登陸區域原型。 您可能需要量身打造登陸區域原型,以符合您的需求和需求。

在量身打造登陸區域原型之前,請務必瞭解概念,並將建議自定義的階層區域可視化。 下圖顯示 Azure 登陸區域概念架構的預設階層。

Diagram that shows Azure landing zone default hierarchy with tailoring areas highlighted.

階層的兩個區域會反白顯示。 其中一個位於登陸區域下方,另一個位於平臺下方

量身打造應用程式登陸區域原型

請注意登陸區域管理群組下方藍色醒目提示的區域。 這是 階層中最常見的最安全位置 ,可新增更多原型,以符合新的或更多需求,而無法使用現有階層將更多原則指派新增至現有原型。

例如,您可能有新的需求來裝載一組需要符合支付卡產業 (PCI) 合規性需求的應用程式工作負載。 但這項新需求不需要套用至整個資產的所有工作負載。

有一個簡單且安全的方法來滿足這個新的需求。 在階層中的登陸區域管理群組底下,建立名為PCI的新管理群組。 您可以將PCI v3.2.1:2018 適用於雲端的 Microsoft Defender 法規合規性政策方案等更多原則指派給新的PCI管理群組。 此動作會形成新的原型。

現在您可以將新的或將現有的 Azure 訂用帳戶移至新的 PCI 管理群組,使其繼承必要的原則,並形成新的原型。

另一個範例是 Microsoft Cloud for Sovereignty,其會新增機密計算的管理群組,並配合在受管制產業中使用。 Microsoft Cloud for Sovereignty 提供工具、指引和護欄,以適當的主權控制來採用公用雲端。

提示

您必須知道在與 RBAC 和 Azure 原則 相關的管理群組之間移動 Azure 訂用帳戶時要考慮什麼,以及會發生什麼情況。 如需詳細資訊,請參閱 將現有的 Azure 環境轉換為 Azure 登陸區域概念架構

量身打造平臺登陸區域原型

您可能也想要量身打造平臺管理群組下方橙色醒目提示的區域。 此區域中的區域稱為 平臺登陸區域

例如,您可能有一個專用的SOC小組,其需要自己的原型來裝載其工作負載。 這些工作負載必須符合與管理管理群組不同的 Azure 原則 和 RBAC 指派需求。

在階層中的平臺管理群組底下建立新的安全性管理群組。 您可以將必要的 Azure 原則 和 RBAC 指派指派給它。

現在您可以將新的 Azure 訂用帳戶或將現有的 Azure 訂用帳戶移至新的 安全性 管理群組,使其繼承必要的原則,並形成新的原型。

量身打造的 Azure 登陸區域階層範例

下圖顯示量身打造的 Azure 登陸區域階層。 它會使用上圖中的範例。

Diagram that shows a tailored Azure landing zone hierarchy.

要考慮的點

當您考慮在階層中量身打造 Azure 登陸區域原型的實作時,請考慮下列幾點:

  • 量身打造階層並非必要專案。 我們提供的預設原型和階層適用於大部分案例。

  • 請勿在原型中重新建立您的組織階層、小組或部門。

  • 請一律嘗試建置在現有的原型和階層上,以符合新的需求。

  • 只有在真正需要時,才建立新的原型。

    例如,只有應用程式工作負載的子集需要PCI之類的新合規性需求,而且不需要套用至所有工作負載。

  • 只在上圖中顯示的醒目提示區域中建立新的原型。

  • 避免超越四層的階層深度,以避免複雜性和不必要的排除。 水平展開原型,而不是在階層中垂直展開原型。

  • 請勿為開發、測試和生產環境等環境建立原型。

    如需詳細資訊,請參閱 如何在 Azure 登陸區域概念架構中處理開發/測試/生產工作負載登陸區域?

  • 如果來自棕色環境,或正在尋找在登陸區域管理群組中裝載訂用帳戶的方法,並採用「僅限稽核」強制模式的原則,請檢閱 案例:複製登陸區域管理群組來轉換環境