Azure 登陸區域是遵循八個設計領域的主要設計準則的環境。 這些設計準則適用於所有應用程式組合,並支援大規模的應用程式移轉、現代化及創新。 Azure 登陸區域會使用訂用帳戶來隔離和調整應用程式資源及平台資源。 應用程式資源的訂用帳戶稱為應用程式登陸區域,而平台資源的訂用帳戶稱為平台登陸區域。
Azure 登陸區域架構
Azure 登陸區域結構可調整且模組化,可滿足各種部署需求。 可重複的基礎結構可讓您一致地將組態和控件套用至每個訂用帳戶。 隨著需求的變化,模組可以讓您輕鬆部署和修改特定的 Azure 登陸區域結構元件。
Azure 登陸區域的概念架構(請參閱圖 1)代表一個明確且推薦的目標架構,適用於您的 Azure 登陸區域。 您應該使用此概念架構作為起點,並 量身打造架構以符合您的需求。
圖 1:Azure 登陸區域概念架構。下載此架構的 Visio 檔案 或 PDF 檔案 。
設計區域: 概念架構說明其八個設計區域之間的關聯性。 這些設計區域包括 Azure 計費和Microsoft Entra 租使用者、身分識別和存取管理、管理群組和訂用帳戶組織、網路拓撲和連線能力、安全性、管理、治理和平臺自動化和 DevOps。 如需設計區域的詳細資訊,請參閱 Azure 登陸區域環境設計區域。
資源組織: 概念架構會顯示範例管理群組階層。 它會依管理群組組織訂用帳戶(黃色方塊)。 「平臺」管理群組下的訂用帳戶代表平臺登陸區域。 「登陸區域」管理群組下的訂用帳戶代表應用程式登陸區域。 概念架構會詳細顯示五個訂用帳戶。 您可以查看每個訂用帳戶中的資源,以及套用的原則。
平台登陸區域與應用程式登陸區域
Azure 登陸區域包含平台登陸區域和應用程式登陸區域。 值得更詳細地說明兩者的功能。
平台登陸區域:平台登陸區域是一個訂用帳戶,可為應用程式登陸區域中的應用程式提供共用服務 (身分識別、連線、管理)。 合併這些共用服務通常可提升作業效率。 一或多個中央小組會管理平台登陸區域。 在概念架構中(請參閱圖 1),「身分識別訂用帳戶」、「管理訂用帳戶」和「連線訂用帳戶」代表三個不同的平臺登陸區域。 概念架構會詳細說明這三個平臺登陸區域。 其描述適用於每個平臺登陸區域的代表性資源和原則。
應用程式登陸區域:應用程式登陸區域是用於裝載應用程式的訂用帳戶。 您可以透過程式碼預先佈建應用程式登陸區域,並使用管理群組為其指派原則控制項。 在概念架構中(請參閱圖 1),「登陸區域 A1 訂用帳戶」和「登陸區域 A2 訂用帳戶」代表兩個不同的應用程式登陸區域。 概念架構僅會詳細顯示「著陸區 A2 訂閱」。 它描述套用至應用程式登陸區域的代表性資源和原則。
圖 2:具有應用程式與平臺登陸區域的 Azure 登陸區域概念架構。下載此架構的 Visio 檔案 或 PDF 檔案 。
管理應用程式登陸區域主要方法有三種。 根據您的需求,您應該使用下列其中一種管理方法:
- 中央小組方法
- 應用程式小組方法
- 共享團隊方法
| 應用程式登陸區域管理方法 | 描述 |
|---|---|
| 中央小組管理 | 中央 IT 團隊全面運作著陸區。 小組會將控制項和平台工具套用至平台和應用程式登陸區域。 |
| 應用程式小組管理 | 平台系統管理小組會將整個應用程式登陸區域委派給應用程式小組。 應用程式小組會管理並支援環境。 管理群組原則可確保平台小組仍會控管應用程式登陸區域。 您可以在訂用帳戶範圍新增其他原則,並使用替代工具來部署、保護或監視應用程式登陸區域。 |
| 共用管理 | 透過 AKS 或 AVS 等技術平台,中央 IT 小組可管理基礎服務。 應用程式小組則負責在技術平台上執行的應用程式。 您需要針對此模型使用不同的控制項或存取權限。 這些控制項和權限和您用於集中管理應用程式登陸區域的控制項和權限不同。 |
應用程式登陸區域加速器
應用程式登陸區域加速器可協助您在應用程式登陸區域訂用帳戶中部署常見的工作負載。 使用 Azure 架構中心內可用的應用程式登陸區域加速器清單,並部署符合您案例的加速器。 在部署 Azure 登陸區域之前,請確定您已檢閱並完成 必要條件 。
Azure 登陸區域中的 AI
常見問題是您是否需要與 Azure 登陸區域並排的專用 AI 登陸區域。 答案是,您不需要個別的 AI 登陸區域。 相反地,您可以使用現有的 Azure 登陸區域架構來部署 AI 工作負載。 Azure 登陸區域設計區域和原則足以支援 AI 工作負載,因為它們為包含 AI 和非 AI 元件和服務的應用程式與工作負載提供治理、安全性和管理的必要基礎。
您可以將 AI 服務整合到應用程式登陸區域,而不需要個別的 AI 登陸區域。 Azure 登陸區域架構、設計原則和設計區域,例如身分識別和存取管理、網路拓撲和連線能力、安全性和治理,已設計成容納所有工作負載,包括涉及 AI 的工作負載。
從 Azure 登陸區域的觀點來看,AI 只是另一個工作負載或服務,可在一或多個應用程式登陸區域訂用帳戶內部署、控管及保護,就像平臺小組利用現有的 Azure 登陸區域架構、原則和設計區域一樣,就像任何其他應用程式、工作負載或服務一樣。
如需 Azure 中 AI 採用的詳細資訊,請參閱 AI 採用案例。 如需 AI 工作負載和登陸區域的特定焦點,請參閱 建立 AI 基礎。
適用於平臺登陸區域的 Azure 已驗證模組
針對基礎結構即程式代碼 (IaC) 部署,您可以使用適用於平臺登陸區域的 Azure 驗證模組。 這些模組適用於 Bicep 和 Terraform,提供一組可重複使用、可自定義且可延伸的模組,可協助您部署平臺登陸區域。 這些模組旨在協助您加速傳遞建議的資源階層和治理模型。 您可以將共用服務、網路連線和應用程式工作負載整合到部署中,或獨立管理它們。
如果您想要使用 Bicep 或 Terraform,請參閱 Bicep 和 Terraform 部署選項。
Azure 平臺登陸區域入口網站加速器
此加速器是現成的部署體驗。 Azure 登陸區域入口網站加速器會部署概念架構(請參閱圖 1),並將預先確定的設定套用至主要元件,例如管理群組和原則。 其適合概念結構和規劃的營運模型與資源結構一致的組織。
如果您計劃透過 Azure 入口網站來管理您的環境,請使用 Azure 平臺登陸區域入口網站加速器。 部署 Azure Landing Zone 入口網站加速器需要擁有權限,以便在租用戶(/)範圍內建立資源。 若要授與這些許可權,請遵循 使用ARM模板進行租戶部署的指引:必要的存取權。
說明 Azure 登陸區域及其實作原則的影片
下一步
Azure 登陸區域指的是一個符合八個設計領域重要設計原則的運行環境。 您應該熟悉這些設計原則,以根據您的需求量身打造。
您也可以檢閱 常見問題(FAQ), 以深入瞭解 Azure 登陸區域,並回答常見問題,例如 「我需要 AI 登陸區域嗎?」 或 「Azure 登陸區域與企業級登陸區域有何差異?」。