Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье рассматриваются аспекты проектирования модульного решения Azure Landing Zones (ALZ) - Bicep, которое можно использовать для развертывания и управления основными возможностями платформы концептуальной архитектуры целевых зон Azure, как это подробно описано в руководстве по внедрению облачных технологий (Cloud Adoption Framework, CAF).
Bicep — это предметно-ориентированный язык (DSL), который использует декларативный синтаксис для развертывания ресурсов Azure. Он имеет краткий синтаксис, безопасность надежных типов и поддержку повторного использования кода.
Реализация этой архитектуры доступна на сайте GitHub: Зоны приземления Azure (ALZ) — реализация Bicep. Ее можно использовать в качестве отправной точки и настроить ее в соответствии с вашими потребностями.
Примечание.
Существуют реализации для нескольких технологий развертывания, включая портал, шаблоны ARM и модули Terraform. Выбор технологии развертывания не должен влиять на результирующее развертывание целевых зон Azure.
Акселератор ALZ Bicep
Пошаговые инструкции по реализации, автоматизации и поддержанию модуля ALZ Bicep с помощью акселератора Bicep ALZ.
Фреймворк ALZ Bicep Accelerator был разработан для обеспечения поддержки конечных пользователей в освоении и развертывании ALZ Bicep с использованием полноценных конвейеров CI/CD, поддержки GitHub Actions и Azure DevOps Pipelines, специально выделенного фреймворка для синхронизации с новыми выпусками ALZ Bicep и изменения или добавления пользовательских модулей. Он также предоставляет рекомендации и дополнительные сведения по стратегии ветвления, а также конвейеры запросов на вытягивание для линтинга и проверки модулей Bicep.
Проект
Архитектура использует модульную природу Azure Bicep и состоит из количества модулей. Каждый модуль инкапсулирует основную возможность концептуальной архитектуры целевых зон Azure. Модули можно развертывать по отдельности, но существуют зависимости, которые следует учитывать.
Архитектура предлагает включение модулей оркестратора для упрощения процесса развертывания. Модули оркестратора можно использовать для автоматизации развертывания модулей и инкапсулирования различных топологий развертывания.
Модули
Основная концепция Bicep — это использование модулей. Модули позволяют упорядочивать развертывания в логические группировки. Модули позволяют повысить удобочитаемость файлов Bicep за счет инкапсуляции сложных сведений о развертывании. Кроме того, модули можно многократно использовать для разных развертываний.
Возможность повторного использования модулей обеспечивает реальную выгоду при определении и развертывании целевых зон. Это обеспечивает создание повторяемых и согласованных сред в коде, уменьшая усилия, необходимые для масштабного развертывания.
Слои и этапы
Помимо модулей, архитектура зоны высадки Bicep структурирована с помощью концепции слоев. Слои — это группы модулей Bicep, которые предназначены для развертывания вместе. Эти группы образуют логические этапы реализации.
Преимуществом этого многоуровневого подхода является возможность добавлять в среду постепенно с течением времени. Например, можно начать с небольшого количества слоев. Остальные слои можно добавить на последующем этапе, когда вы будете готовы.
Описания модулей
В этом разделе представлен общий обзор основных модулей в этой архитектуре.
| Уровень | Модуль | Описание | Полезные ссылки |
|---|---|---|---|
| Основные сведения | Группы управления | Группы управления — это ресурсы самого высокого уровня в клиенте Azure. Группы управления позволяют более легко управлять ресурсами. Вы можете применить политику на уровне группы управления, а ресурсы более низкого уровня наследуют эту политику. В частности, можно на уровне группы управления применить следующие элементы, которые будут унаследованы подписками в группе управления.
Этот модуль развертывает иерархию групп управления, как определено в концептуальной архитектуре целевой зоны Azure. |
|
| Ядро | Пользовательские определения политик | DeployIfNotExists (DINE) или Политики изменения помогают обеспечить соответствие подписок и ресурсов, составляющих посадочные зоны. Политики также упрощают бремя управления зонами посадки. Этот модуль развертывает пользовательские определения политик в группах управления. Не все клиенты могут использовать политики DINE или Modify. Если это ваш случай, руководство CAF по пользовательским политикам окажет поддержку. |
|
| Ядро | Пользовательские определения ролей | Управление доступом на основе ролей (RBAC) упрощает управление правами пользователей в системе. Вместо управления правами отдельных лиц вы определяете права, необходимые для различных ролей в вашей системе. Azure RBAC имеет несколько встроенных ролей. Пользовательские определения ролей позволяют создавать пользовательские роли для вашей среды. Этот модуль развертывает пользовательские определения ролей. Модуль должен следовать рекомендациям CAF по управлению доступом на основе ролей Azure. |
|
| Управление | Ведение журнала, автоматизация и Sentinel | Azure Monitor, служба автоматизации Azure и Microsoft Sentinel позволяют отслеживать инфраструктуру и рабочие нагрузки и управлять ими. Azure Monitor — это решение, которое позволяет собирать, анализировать и работать с данными телеметрии из вашего окружения. Microsoft Sentinel — это облачная информация о безопасности и управление событиями (SIEM). Оно предоставляет следующие возможности.
служба автоматизации Azure — это облачная система автоматизации. Сюда входят:
Этот модуль развертывает средства, необходимые для мониторинга, управления и оценки угроз в вашей среде. Эти средства должны включать Azure Monitor, служба автоматизации Azure и Microsoft Sentinel. |
|
| Подключение | Сеть | Топология сети является ключевым аспектом в развертываниях целевой зоны Azure.
CAF фокусируется на двух основных сетевых подходах:
Эти модули развертывают выбранную топологию сети. |
|
| Идентификация | Назначения ролей | Управление удостоверениями и доступом (IAM) — это ключевая граница безопасности в облачных вычислениях. Azure RBAC позволяет назначать встроенные роли или определенные пользователем роли субъектам безопасности. Этот модуль развертывает назначения ролей для узлов-служб, идентификаций или групп безопасности в рамках групп управления и подписок. Модуль должен соответствовать рекомендациям CAF по управлению удостоверениями и доступом Azure. |
|
| Ядро | Размещение подписки | Подписки, назначенные группе управления, наследуют её параметры.
Этот модуль перемещает подписки в соответствующую группу управления. |
|
| Основа | Встроенные и настраиваемые назначения политик | Этот модуль развертывает целевую зону Azure по умолчанию, Политика Azure назначения в группах управления. Он также создает назначения ролей для назначаемых системой управляемых удостоверений, созданных политиками. | |
| Управление | Модули Orchestrator | Модули Orchestrator могут значительно улучшить возможности развертывания. Эти модули инкапсулируют развертывание нескольких модулей в одном модуле. Это скрывает сложность от конечного пользователя. |
|
Настройка реализации Bicep
Реализации целевой зоны Azure, предоставляемые в рамках Cloud Adoption Framework, соответствуют широкому спектру требований и вариантов использования. Однако часто существуют сценарии, в которых требуется настройка для удовлетворения конкретных бизнес-потребностей.
Совет
См. статью "Настройка архитектуры целевой зоны Azure в соответствии с требованиями" для получения дополнительной информации.
После реализации целевой зоны платформы следующим шагом является развертывание целевых зон приложений, которые позволяют рабочим группам приложений действовать в рамках группы управления с необходимыми ограничениями, которые требуют администраторы центральной ИТ-службы или PlatformOps. Группа corp управления предназначена для корпоративных подключенных приложений, в то время как online группа управления предназначена для приложений, которые в основном являются общедоступными, но могут по-прежнему подключаться к корпоративным приложениям через центральные сети в некоторых сценариях.
Реализация целевой зоны Bicep Azure может использоваться в качестве основы настраиваемого развертывания. Он предоставляет способ ускорить реализацию, удалив необходимость начать с нуля из-за определенного необходимого изменения, которое правила готовый вариант.
Сведения о настройке модулей доступны в вики-репозитории GitHub GitHub: Целевые зоны Azure (ALZ) Bicep — вики-потребительское руководство. Ее можно использовать в качестве отправной точки и настроить ее в соответствии с вашими потребностями.