Azure 登陸區域 - Bicep 模組設計考慮

本文討論模組化 Azure 登陸區域 （ALZ） 的設計考慮 - Bicep 解決方案，您可以用來部署和管理 Azure 登陸區域概念架構的核心平臺功能，如 雲端採用架構 （CAF） 中所述。

Bicep 是使用宣告式語法來部署 Azure 資源的特定領域語言 (DSL)。 它具有簡潔的語法、可靠的類型安全性，以及重複使用程式碼的支援。

GitHub 上 提供此架構的實作：Azure 登陸區域 （ALZ） - Bicep 實作。 您可以使用它作為起點，並根據您的需求進行設定。

注意

有 數種部署技術的實 作，包括入口網站型、ARM 範本和 Terraform 模組。 部署技術的選擇不應影響產生的 Azure 登陸區域部署。

ALZ Bicep Accelerator

您可以使用 ALZ Bicep 加速器，找到實作、自動化和維護 ALZ Bicep 模組的逐步指引。

ALZ Bicep Accelerator 架構是針對使用完整 CI/CD 管線、GitHub Actions 和 Azure DevOps Pipelines 的支援、專用架構與新的 ALZ Bicep 版本和修改或新增自定義模組保持同步處理，並提供分支策略指引和提取要求管線，以利於處理和驗證 Bicep 模組，提供用戶支援，以提供用戶支援。

設計

此架構會利用 Azure Bicep 的模組化本質，由模組數目組成。 每個模組都會封裝 Azure 登陸區域概念架構的核心功能。 模組可以個別部署，但有相依性需要注意。

架構建議包含協調器模組，以簡化部署體驗。 協調器模組可用來自動化模組的部署，並封裝不同的部署拓撲。

模組

Bicep 的核心概念是使用 模組。 模組可讓您將部署組織成邏輯群組。 透過模組，您可以封裝部署的複雜詳細數據，以改善 Bicep 檔案的可讀性。 您也可以輕鬆地針對不同的部署重複使用模組。

在定義和部署登陸區域時，重複使用模組的能力提供真正的好處。 它可在程式代碼中啟用可重複且一致的環境，同時減少大規模部署所需的工作。

圖層和預備

除了模組之外，Bicep 登陸區域架構也會使用圖層的概念進行結構化。 層是 Bicep 模組的群組，這些模組是要一起部署。 這些群組會形成實作的邏輯階段。

這種分層方法的優點是能夠隨著時間累加地新增至您的環境。 例如，您可以從少量圖層開始。 當您準備好時，可以在後續階段新增剩餘的圖層。

模組描述

本節提供此架構中核心模組的高階概觀。

層	模組	描述	實用連結
核心	管理群組	管理群組是 Azure 租使用者中最高層級的資源。 管理群組可讓您更輕鬆地管理資源。 您可以在管理群組層級套用原則，而較低層級的資源將會繼承該原則。 具體而言，您可以在管理群組下的訂用帳戶繼承的管理群組層級套用下列專案： Azure 原則 Azure 角色型 存取控制 （RBAC） 角色指派 成本控制 本課程模組會部署管理群組階層，如 Azure 登陸區域概念架構中所定義。	管理群組 - 雲端採用架構 （CAF） 檔 模組：管理群組 - 參考實作
核心	自定義原則定義	DeployIfNotExists （DINE） 或修改原則可協助確保構成登陸區域的訂用帳戶和資源符合規範。 這些政策也減輕了登陸區域的管理負擔。 本課程模組會將自定義原則定義部署至管理群組。 並非所有客戶都能夠使用 DINE 或修改原則。 如果是這種情況， 則自定義原則 的 CAF 指引會提供指引。	採用原則驅動的護欄 - CAF 檔 模組：自定義原則定義 - 參考實作 參考實作中部署的自定義原則定義
核心	自訂角色定義	角色型訪問控制 （RBAC） 可簡化系統內用戶權力的管理。 您不必管理個人的許可權，而是決定系統中不同角色所需的許可權。 Azure RBAC 有數 個內建角色。 自定義角色定義可讓您為環境建立自定義角色。 本課程模組會部署自定義角色定義。 本課程模組應遵循 Azure 角色型訪問控制的 CAF 指引。	Azure 角色型存取控制 - CAF 檔 參考實作中部署的自定義角色定義
管理	記錄、自動化和 Sentinel	Azure 監視器、Azure 自動化 和 Microsoft Sentinel 可讓您監視和管理基礎結構和工作負載。 Azure 監視器是一種解決方案，可讓您收集、分析及處理來自您環境的遙測數據。 Microsoft Sentinel 是雲端原生安全性資訊和事件管理 （SIEM）。 這可讓您： 收集 - 收集整個基礎結構的數據 偵測 - 偵測先前未偵測到的威脅 回應 - 使用內建協調流程回應合法威脅 調查 - 使用人工智慧調查威脅 Azure 自動化 是雲端式自動化系統。 包括： 設定管理 - 清查和追蹤 Linux 和 Windows 虛擬機的變更，以及管理所需的狀態設定 更新管理 - 評估 Windows 和 Linux 系統合規性，並建立排程的部署以符合合規性 程式自動化 - 自動化管理工作 本課程模組會部署監視、管理及存取環境威脅所需的工具。 這些工具應包括 Azure 監視器、Azure 自動化 和 Microsoft Sentinel。	工作負載管理和監視 - CAF 檔 模組：記錄、自動化和 Sentinel - 參考實作
連線性	網路	網路拓撲是 Azure 登陸區域部署中的重要考慮。 CAF 著重於 2 個核心網路方法： 以 Azure 虛擬 WAN 為基礎的拓撲 傳統拓撲 這些模組會部署您選擇的網路拓撲。	定義 Azure 網路拓撲 - CAF 檔 模組：網路拓撲部署 - 參考實作
身分識別	角色指派	身分識別和存取管理 （IAM） 是雲端運算中的主要安全性界限。 Azure RBAC 可讓您對安全性主體執行內建角色的角色指派或自定義角色定義。 本課程模組會將角色指派部署到服務主體、受控識別或跨管理群組和訂用帳戶的安全組。 本課程模組應遵循 有關 Azure 身分識別和存取管理的 CAF 指引。	Azure 身分識別和存取管理設計區域 - CAF 檔 模組：管理群組和訂用帳戶的角色指派 - 參考實作
核心	訂用帳戶放置	指派給管理群組的訂用帳戶會繼承： Azure 原則 Azure 角色型 存取控制 （RBAC） 角色指派 成本控制 本課程模組會在適當的管理群組下移動訂用帳戶。	管理群組 - 雲端採用架構 （CAF） 檔 模組：訂用帳戶放置
核心	內建和自定義原則指派	本課程模組會將預設 Azure 登陸區域 Azure 原則 指派至管理群組。 它也會為原則所建立的系統指派受控識別建立角色指派。	採用原則驅動的護欄 - CAF 檔 模組：ALZ 默認原則指派
管理	Orchestrator 模組	Orchestrator 模組可以大幅改善部署體驗。 這些模組會在單一模組中封裝多個模組的部署。 這會隱藏用戶的複雜度。	模組：協調流程 - hubPeeredSpoke - 輪輻網路，包括對中樞的對等互連（中樞和輪輻或虛擬 WAN）

自定義 Bicep 實作

作為 雲端採用架構 一部分提供的 Azure 登陸區域實作，符合各種不同的需求和使用案例。 不過，通常在某些情況下，需要自定義才能符合特定商務需求。

提示

如需詳細資訊，請參閱 量身打造 Azure 登陸區域架構以符合需求。

一旦實作平臺登陸區域，下一個步驟是部署 應用程式登陸區域 ，以中央 IT 或 PlatformOps 系統管理員所需的護欄，在管理群組下 landing zones 啟用應用程式小組。 管理 corp 群組適用於公司連線的應用程式，而 online 管理群組則適用於主要公開面向的應用程式，但在某些情況下仍可能透過中樞網路連線到公司應用程式。

Bicep Azure 登陸區域實作可作為自定義部署的基礎。 它可讓您藉由移除從頭開始的需求來加速實作，因為規則已備妥選項的特定必要變更。

自定義模組的相關信息可在 GitHub 存放庫 Wiki GitHub：Azure 登陸區域 （ALZ） Bicep - Wiki- 取用者指南中取得。 您可以使用它作為起點，並根據您的需求進行設定。