你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Azure 中部署工作负荷之前,请务必准备支持它们的基础环境。 此基础设置称为 Azure 登陆区域 ,是构建 Azure 环境的建议起点。 Azure 登陆区域是一种结构化方法,可帮助你从一开始就构建可缩放、安全和管理的云环境。
Azure 登陆区域可帮助解决标识和访问管理、客户协议和核心平台服务配置等关键注意事项。 它为组织共享基础结构和应用程序特定的资源提供了一致的框架。 此模型的核心是两种类型的登陆区域:
平台登陆区域
平台登陆区域充当 Azure 环境的主干。 它在您的组织内建立适用于整个组织的治理和核心服务。 其功能包括跨订阅实施 Azure Policy 的管理组层次结构。 还有专用订阅用于连接、标识、管理和安全共享服务。
根据组织的规模和云成熟度,可以选择实现所有这些、部分或全部集中的服务。 对于较小的团队或云原生团队,轻量级方法可能就足够了。
应用程序登陆区域
应用程序着陆区用于工作负载资源。 工作负荷应在每个环境(开发、测试或生产)中设置应用程序着陆区。 每个应用程序登陆区域由一个或多个订阅组成,以适应缩放和服务限制。 它们嵌套在适当的管理组(如“Online”或“Corp”)下,以从父管理组继承 Azure Policy 定义。 此结构可确保工作负荷以受控且一致的方式进行部署,同时仍可灵活地满足单个工作负荷需求。
适用于所有订阅的配置
订阅是属于平台还是应用程序登陆区域,都应普遍启用某些配置。 这些配置包括:Azure Role-Based 访问控制(RBAC)、成本管理、网络观察程序以及 Microsoft Defender for Cloud。 这些服务有助于在整个 Azure 环境中保持可见性、安全性和作控制。
Azure 登陆区域旅程
在你阅读就绪指南的过程中,请将自己的进度视作一步步迈向创建一个完全可运作的 Azure 登陆区的旅程。 此旅程分四个主要阶段展开,每个阶段都有支持流程和工具:
初始化您的环境
无论是进行全新部署(Greenfield)还是改造现有系统(Brownfield),第一步是创建资源的订阅账户。 根据最佳做法实施新的 Azure 登陆区域环境通常需要多个订阅。 可以手动、编程方式或使用自动售货模块创建这些订阅:
2. 部署平台登陆区域组件
接下来,根据 Azure 登陆区域概念体系结构加快平台资源的部署。 这些组件建立治理和共享服务,例如管理组层次结构、策略强制、连接、安全性和监视。 部署选项包括 Azure 门户、Bicep 和 Terraform:
3. 订阅售货流程
平台到位后,需要在 Azure 租户中创建单个应用程序登陆区域。 建议使用订阅售货解决方案自动执行此过程。 自动售货有助于部署订阅以及网络等核心资源。 Bicep 和 Terraform 模块均可用:
4.部署应用程序登陆区域组件
最后,部署支持工作负荷的组件。 可以使用多个应用程序登陆区域加速器为 Azure 虚拟桌面、SAP 和 Azure Kubernetes 等方案提供参考体系结构和实现指南。 这些加速器有助于在 Azure 登陆中准备应用程序登陆区域。 请参阅 CAF 云采用方案。