Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La zona di destinazione di Azure è un ambiente che segue i principi di progettazione di base in otto aree di progettazione. Questi principi di progettazione si adattano a tutti i portfolio di applicazioni e consentono la migrazione, la modernizzazione e l'innovazione delle applicazioni su larga scala. La zona di destinazione di Azure usa le sottoscrizioni per isolare e ridimensionare le risorse delle applicazioni e della piattaforma. Le sottoscrizioni per le risorse dell'applicazione sono denominate zone di destinazione dell'applicazione e le sottoscrizioni per le risorse della piattaforma sono denominate zone di destinazione della piattaforma.
Architettura della zona di destinazione di Azure
L'architettura della zona di destinazione di Azure è scalabile e modulare per soddisfare le diverse esigenze di distribuzione. L'infrastruttura ripetibile consente di applicare le configurazioni e i controlli a ogni sottoscrizione in modo coerente. I moduli semplificano la distribuzione e la modifica di componenti specifici dell'architettura della zona di destinazione di Azure in base all'evoluzione dei requisiti.
L'architettura concettuale dell'Azure landing zone (vedere la figura 1) rappresenta un'architettura di destinazione autorevole per la tua Azure landing zone. È consigliabile usare questa architettura concettuale come punto di partenza e personalizzare l'architettura in base alle proprie esigenze.
Figura 1: Architettura concettuale della zona di destinazione di Azure. Scaricare un file di Visio di questa architettura.
Aree di progettazione: l'architettura concettuale illustra le relazioni tra le sue otto aree di progettazione. Queste aree di progettazione sono la fatturazione di Azure e il tenant di Microsoft Entra, la gestione delle identità e degli accessi, l'organizzazione del gruppo di gestione e della sottoscrizione, la topologia di rete e la connettività, la sicurezza, la gestione, la governance e l'automazione della piattaforma e DevOps. Per altre informazioni sulle aree di progettazione, vedere le aree di progettazione dell'ambiente della zona di destinazione di Azure.
Organizzazione delle risorse: l'architettura concettuale mostra una gerarchia di gruppi di gestione di esempio. Organizza le sottoscrizioni (caselle gialle) in base al gruppo di gestione. Le sottoscrizioni nel gruppo di gestione "Piattaforma" rappresentano le zone di destinazione della piattaforma. Le sottoscrizioni nel gruppo di gestione "Zona di destinazione" rappresentano le zone di destinazione dell'applicazione. L'architettura concettuale mostra cinque sottoscrizioni in dettaglio. È possibile visualizzare le risorse in ogni sottoscrizione e i criteri applicati.
Zone di destinazione della piattaforma e zone di destinazione dell'applicazione
La zona di destinazione di Azure è costituita da zone di destinazione della piattaforma e zone di destinazione dell'applicazione. Vale la pena di spiegare la funzione di entrambe in modo più dettagliato.
Zona di destinazione della piattaforma: La zona di destinazione della piattaforma è una sottoscrizione che fornisce servizi condivisi, ad esempio identità, connettività e gestione, alle applicazioni nelle zone di destinazione dell'applicazione. Il consolidamento di questi servizi condivisi spesso migliora l'efficienza operativa. Uno o più team centrali gestiscono le zone di destinazione della piattaforma. Nell'architettura concettuale (vedere la figura 1), la "sottoscrizione di identità", "Sottoscrizione di gestione" e "Sottoscrizione di connettività" rappresentano tre diverse zone di destinazione della piattaforma. L'architettura concettuale mostra in dettaglio queste tre zone di destinazione della piattaforma. Illustra le risorse e i criteri rappresentativi applicati a ogni zona di destinazione della piattaforma.
Zona di destinazione dell'applicazione: La zona di destinazione di un'applicazione è una sottoscrizione per l'hosting di un'applicazione. È possibile eseguire la pre-configurazione delle zone di destinazione delle applicazioni tramite codice e usare gruppi di gestione per assegnare criteri di controllo a tali zone. Nell'architettura concettuale (vedere la figura 1), la "sottoscrizione della zona di destinazione A1" e la "sottoscrizione A2 della zona di destinazione" rappresentano due diverse zone di destinazione dell'applicazione. L'architettura concettuale mostra in dettaglio solo la "sottoscrizione della zona di atterraggio A2". Illustra le risorse e i criteri rappresentativi applicati alla zona di destinazione dell'applicazione.
Figura 2: Architettura concettuale della zona di destinazione di Azure con le zone di destinazione dell'applicazione e della piattaforma sovrapposte. Scaricare un file di Visio di questa architettura.
Esistono tre approcci principali per la gestione delle zone di destinazione delle applicazioni. È consigliabile usare uno degli approcci di gestione seguenti a seconda delle esigenze:
- Approccio del team centrale
- Approccio del team dell'applicazione
- Approccio di squadra condiviso
| Approccio di gestione della zona di destinazione dell'applicazione | Descrizione |
|---|---|
| Gestione del team a livello centrale | Un team IT centrale gestisce completamente la zona di destinazione. Il team applica i controlli e gli strumenti della piattaforma alle zone di destinazione della piattaforma e dell'applicazione. |
| Gestione del team a livello di applicazione | Un team di amministrazione della piattaforma delega l'intera zona di destinazione dell'applicazione a un team dell'applicazione. Il team dell'applicazione gestisce e supporta l'ambiente. I criteri del gruppo di gestione assicurano che il team della piattaforma continui a gestire la zona di destinazione dell'applicazione. È possibile aggiungere altri criteri nell'ambito della sottoscrizione e usare strumenti alternativi per la distribuzione, la protezione o il monitoraggio delle zone di destinazione dell'applicazione. |
| Gestione condivisa | Tramite piattaforme tecnologiche, ad esempio AKS o AVS, un team IT centrale gestisce il servizio sottostante. I team dell'applicazione sono responsabili delle applicazioni in esecuzione sulle piattaforme tecnologiche. Per questo modello è necessario usare controlli o autorizzazioni di accesso diversi. Tali controlli e autorizzazioni differiscono da quelli usati per gestire centralmente le zone di destinazione dell'applicazione. |
Moduli verificati di Azure per le zone di destinazione della piattaforma
Per le distribuzioni di infrastruttura come codice (IaC), è possibile usare i moduli verificati di Azure per le zone di destinazione della piattaforma. Disponibili sia per Bicep che per Terraform, questi moduli offrono un set di moduli riutilizzabili, personalizzabili ed estendibili che consentono di distribuire una zona di destinazione della piattaforma. I moduli sono progettati per accelerare il recapito della gerarchia di risorse consigliata e del modello di governance. È possibile integrare i servizi condivisi, la connettività di rete e i carichi di lavoro dell'applicazione nella distribuzione o gestirli in modo indipendente.
Per usare Bicep o Terraform, vedere le opzioni di distribuzione di Bicep e Terraform.
Acceleratore del portale delle zone di destinazione della piattaforma Azure
Questo acceleratore è una soluzione di distribuzione preconfigurata. L'acceleratore del portale della zona di destinazione di Azure distribuisce l'architettura concettuale (vedere la figura 1) e applica configurazioni predeterminate ai componenti chiave, ad esempio i gruppi di gestione e i criteri. Si adatta inoltre alle organizzazioni la cui architettura concettuale è allineata al modello operativo pianificato e alla struttura delle risorse.
Se si prevede di gestire l'ambiente con il portale di Azure, usare l'acceleratore del portale delle zone di destinazione della piattaforma Azure. La distribuzione dell'Azure Landing Zone Portal Accelerator richiede le autorizzazioni per creare risorse nell'ambito del tenant (/). Per concedere queste autorizzazioni richieste, seguire le indicazioni riportate in Distribuzioni di tenant con i modelli ARM: Accesso necessario.
Acceleratori di zona di destinazione dell'applicazione
Gli acceleratori di zona di destinazione dell'applicazione consentono di distribuire le zone di destinazione dell'applicazione. Usa l'elenco degli acceleratori di zona di partenza per le applicazioni disponibili nel Centro Architettura di Azure e distribuisci l'acceleratore che corrisponde al tuo scenario.
Video che illustra le zone di destinazione dell'applicazione e i relativi principi di implementazione
Passaggi successivi
Una zona di destinazione di Azure è un ambiente conforme ai principi di progettazione cruciali in otto aree di progettazione. È consigliabile acquisire familiarità con questi principi di progettazione per adattarli alle proprie esigenze.