Cílové zóny Azure – Aspekty návrhu modulu Terraform

Tento článek popisuje důležité oblasti, které je potřeba vzít v úvahu při použití modulu Terraform cílových zón Azure. Tento modul poskytuje názorný přístup k nasazení a provozu platformy Azure na základě koncepční architektury cílové zóny Azure, jak je podrobně popsáno v architektuře přechodu na cloud (CAF).

Terraform je opensourcový nástroj Infrastruktura jako kód (IaC), který vytvořil HashiCorp, který k nasazení prostředků infrastruktury používá deklarativní syntaxi. Je rozšiřitelný, má podporu pro různé platformy a umožňuje neměnnou infrastrukturu prostřednictvím sledování stavu.

Důležité

Modul je k dispozici v registru Terraformu: modul Terraform cílových zón Azure. Můžete ho použít jako výchozí bod a nakonfigurovat ho podle svých potřeb.

Poznámka:

Existují implementace pro několik technologií nasazení, včetně portálových šablon ARM a modulů Terraformu. Volba technologie nasazení by neměla mít vliv na výsledné nasazení cílových zón Azure.

Akcelerátor Terraformu ALZ

Pokud chcete rychle začít nasazovat ALZ pomocí Terraformu , můžete využít akcelerátor ALZ Terraform, který je navržený tak, aby se používal jako šablona. Toto úložiště poskytuje podpůrnou implementaci modulu Terraform cílové zóny Azure s kanály Azure DevOps a pracovními postupy GitHub Actions.

Akcelerátor ALZ Terraform se řídí 3 fázemi:

1. Požadavky: Pokyny ke konfiguraci přihlašovacích údajů a předplatných
2. Bootstrap: Spuštěním skriptu PowerShellu vygenerujte prostředí průběžného doručování.
3. Spuštění: Aktualizujte modul (v případě potřeby) tak, aby vyhovoval potřebám vaší organizace, a nasaďte ho prostřednictvím průběžného doručování.

Začněte s uživatelskou příručkou s podrobným krokem, abyste zprovozněli prostředí cílové zóny Azure.

Návrh

Architektura využívá konfigurovatelnou povahu Terraformu a skládá se z primárního orchestračního modulu. Tento modul zapouzdřuje několik možností koncepční architektury cílových zón Azure. Každou funkci můžete nasadit jednotlivě nebo částečně. Můžete například nasadit jenom síť centra nebo jenom službu Azure DDoS Protection nebo jenom prostředky DNS. Při tom je potřeba vzít v úvahu, že možnosti mají závislosti.

Architektura využívá přístup orchestrátoru ke zjednodušení prostředí nasazení. Upřednostnit implementaci jednotlivých funkcí pomocí jedné nebo více vyhrazených instancí modulů, ve kterých je každá vyhrazená pro konkrétní část architektury. To vše je možné se správnou konfigurací.

Moduly

Základním konceptem Terraformu je použití modulů. Moduly umožňují uspořádat nasazení do logických seskupení. Díky modulům zlepšíte čitelnost souborů Terraformu zapouzdřením složitých podrobností o nasazení. Moduly můžete také snadno opakovaně používat pro různá nasazení.

Možnost opětovného použití modulů nabízí skutečnou výhodu při definování a nasazování cílových zón. Umožňuje opakovatelná konzistentní prostředí v kódu a zároveň snižuje úsilí potřebné k nasazení ve velkém měřítku.

Implementace Terraformu cílových zón Azure se dodává pomocí jednoho modulu, který funguje jako vrstva orchestrace. Vrstva orchestrace umožňuje vybrat, které prostředky se nasazují a spravují pomocí modulu. Modul lze použít vícekrát ve stejném prostředí k nasazení prostředků nezávisle na sobě. To může být užitečné v organizacích, kde jsou různé týmy zodpovědné za různé možnosti nebo kolekce dílčích prostředků.

Vrstvy a příprava

Implementace se zaměřuje na centrální hierarchii prostředků koncepční architektury cílové zóny Azure. Návrh je zaměřen na následující možnosti:

• Základní prostředky
• Prostředky pro správu
• Prostředky připojení
• Prostředky identit

Modul seskupuje prostředky do těchto funkcí, protože jsou určeny k jejich společnému nasazení. Tyto skupiny tvoří logické fáze implementace.

Nasazení každé z těchto funkcí řídíte pomocí příznaků funkcí. Výhodou tohoto přístupu je možnost přidávat do vašeho prostředí přírůstkově v průběhu času. Můžete například začít s malým počtem funkcí. Zbývající možnosti můžete přidat v pozdější fázi, až budete připraveni.

Základní prostředky

Základní možnosti prostředků modulu odpovídají oblasti návrhu organizace prostředků architektury přechodu na cloud. Nasadí základní prostředky konceptuální architektury pro cílové zóny Azure.

Archetypy

Důležitým konceptem v rámci základních prostředků je zahrnutí archetypů.

Archetypy poskytují opakovaně použitelný přístup založený na kódu k definování definic zásad, definic sad zásad, přiřazení zásad, definic rolí a přiřazení rolí se musí použít v daném oboru. Při implementaci Terraformu se tato rozhodnutí zapouzdřují jako definice archetypu.

K vytvoření cílové zóny jsou skupiny pro správu přidružené k definici archetypu. V následujícím příkladu cílové zóny corp má archetype_config ukazatel na definici archetypu "es_corp". Tato definice obsahuje všechny konfigurace zásad a rolí, které budou přidány do této skupiny pro správu.

  es_corp_landing_zones = {
    "contoso-corp" = {
      display_name               = "Corp"
      parent_management_group_id = "contoso-landing-zones"
      subscription_ids           = []
      archetype_config           = {
        archetype_id ="es_corp"
        parameters   = {}
        access_control = {}
    }
  }

Pokud předdefinované archetypy nevyhovují vašim požadavkům, modul poskytuje možnosti pro vytvoření nových archetypů nebo provádění změn stávajících.

Prostředky pro správu

Možnosti prostředků pro správu modulu odpovídají oblasti návrhu správy architektury přechodu na cloud. Tato funkce poskytuje možnost nasadit prostředky pro správu a monitorování do cílové zóny platformy pro správu.

Prostředky připojení

Funkce prostředků připojení modulu poskytuje možnost nasadit topologii sítě a připojení koncepční architektury pro cílové zóny Azure.

Prostředky identit

Funkce prostředků identit modulu odpovídá oblasti návrhu správy identit a přístupu Azure v rámci architektury přechodu na cloud. Tato funkce poskytuje možnost konfigurovat zásady v cílové zóně platformy Identity Platform.

Poznámka:

S touto funkcí se nenasazují žádné prostředky. deploy_identity_resources Když je proměnná nastavená na hodnotu true, nakonfigurují se přiřazení azure Policy, která chrání prostředky v předplatném cílové zóny platformy Identity Platform.

Popisy modulů

Tato část obsahuje základní přehled prostředků nasazených v tomto modulu.

Vrstva	Typy prostředků	Popis	Užitečné odkazy
Základ	Skupiny pro správu	Skupiny pro správu jsou prostředky nejvyšší úrovně v tenantovi Azure. Skupiny pro správu umožňují snadněji spravovat vaše prostředky. Zásady můžete použít na úrovni skupiny pro správu a na nižší úrovni prostředků zdědí tuto zásadu. Konkrétně můžete použít následující položky na úrovni skupiny pro správu, které budou zděděny předplatnými v rámci skupiny pro správu: Zásady Azure Přiřazení rolí řízení přístupu na základě role (RBAC) Azure Řízení nákladů	Skupiny pro správu – Dokumentace k rozhraní CAF (Cloud Adoption Framework)
Základ	Definice zásad, přiřazení zásad a definice sady zásad	Zásady DeployIfNotExists (DINE) nebo Modify pomáhají zajistit, aby předplatná a prostředky, které tvoří cílové zóny, dodržovaly předpisy. Zásady se přiřazují skupinám pro správu prostřednictvím přiřazení zásad. Zásady usnadňují správu cílových zón. Sady definic zásad společně seskupují sady zásad. Ne všichni zákazníci můžou používat zásady DINE nebo Modify. Pokud je to pro vás , pokyny CAF k vlastním zásadám poskytují pokyny.	Přijetí mantinelí řízených zásadami – dokumentace k CAF Definice vlastních zásad nasazené v referenčních implementacích
Základ	Definice rolí a přiřazení rolí	Řízení přístupu na základě role (RBAC) zjednodušuje správu uživatelských práv v systému. Místo správy práv jednotlivců určíte práva potřebná pro různé role ve vašem systému. Azure RBAC má několik předdefinovaných rolí. Definice vlastních rolí umožňují vytvářet vlastní role pro vaše prostředí. Správa identit a přístupu (IAM) je klíčovou hranicí zabezpečení v cloud computingu. Azure RBAC umožňuje provádět přiřazení rolí předdefinovaných rolí nebo vlastních definic rolí k instančním objektům, spravovaným identitám nebo skupinám zabezpečení napříč skupinami pro správu a předplatnými.	Řízení přístupu na základě role v Azure – Dokumentace k CAF Oblast návrhu správy identit a přístupu Azure – Dokumentace k CAF Definice vlastních zásad nasazené v referenčních implementacích
Správa	Azure Monitor, Azure Automation a Microsoft Sentinel	Azure Monitor, Azure Automation a Microsoft Sentinel umožňují monitorovat a spravovat infrastrukturu a úlohy. Azure Monitor je řešení, které umožňuje shromažďovat, analyzovat a reagovat na telemetrii z vašeho prostředí. Microsoft Sentinel je cloudově nativní informace o zabezpečení a správa událostí (SIEM). Umožňuje: Shromažďování – shromažďování dat v celé infrastruktuře Detekce – detekce hrozeb, které byly dříve nezjištěny Reakce – reakce na legitimní hrozby pomocí integrované orchestrace Zkoumání – zkoumání hrozeb pomocí umělé inteligence Azure Automation je cloudový systém automatizace. Patří mezi ně: Správa konfigurace – Inventarizace a sledování změn pro virtuální počítače s Linuxem a Windows a správa konfigurace požadovaného stavu Správa aktualizací – Posouzení dodržování předpisů systému Windows a Linux a vytvoření naplánovaných nasazení pro splnění dodržování předpisů Automatizace procesů – Automatizace úloh správy	Správa a monitorování úloh – Dokumentace k CAF
Připojení	Základní typy síťových prostředků uvedené tady	Topologie sítě je klíčovým aspektem nasazení cílových zón Azure. CAF se zaměřuje na dva základní síťové přístupy: Topologie založené na službě Azure Virtual WAN Tradiční topologie	Definování síťové topologie Azure – Dokumentace k CAF
Připojení	Ochrana Azure DDoS	Pokyny k cílové zóně Azure doporučují povolení služby Azure DDoS Network Protection. Tato služba nabízí ochranu proti útokům DDoS na klíč.	Azure DDoS Network Protection
Připojení	Zóny DNS, zóny Privátní DNS a propojení virtuální sítě se zónou Privátní DNS	Privátní DNS zóny je možné nasadit pro podporu používání privátních koncových bodů. Privátní koncový bod je síťová karta, která má přiřazenou privátní IP adresu z vaší virtuální sítě. Privátní IP adresu můžete použít k zabezpečené komunikaci se službami, které podporují Azure Private Link. Privátní DNS zón lze nakonfigurovat tak, aby přeložila plně kvalifikovaný název domény (FQDN) služby na privátní IP adresu privátního koncového bodu.	Konfigurace DNS privátního koncového bodu v Azure

Použití modulu Terraform

Nasazení základních prostředků

Modul ve výchozím nastavení nasadí následující hierarchii, což je základní sada skupin pro správu cílových zón:

• Kořen
  • Nástupiště
    • Identita
    • Správa
    • Připojení
  • Cílové zóny
  • Vyřazený
  • Sandbox

Skupiny pro správu cílových zón SAP, Corp a Online se nevztahují na všechny, takže se ve výchozím nastavení nenasazují. Toto jsou následující způsoby nasazení:

1. Pro ukázkové účely můžete proměnnou nastavit deploy_demo_landing_zones na true, která nasadí cílové zóny SAP, Corp a Online.
2. Pro produkční účely můžete zapnout požadované skupiny pro správu nastavením následujících proměnných na hodnotu true:
   • deploy_corp_landing_zones
   • deploy_online_landing_zones
   • deploy_sap_landing_zones
3. Vlastní skupiny pro správu cílových zón můžete nasadit vytvořením vlastní definice cílové zóny .

Nasazení prostředků pro správu

Pokud chcete nasadit prostředky pro správu, musí být proměnná nastavená na hodnotu true a subscription_id_management proměnná musí být nastavená na ID předplatného pro správu, deploy_management_resources ve kterém se mají prostředky nasadit.

deploy_management_resources = true
subscription_id_management = <management subscription id>

Nasazení prostředků připojení

Prostředky pro nasazení připojení poskytují pokyny k nasazení těchto topologií.

Nasazení prostředků identit

Pokud chcete nasadit funkci identity, musí být proměnná nastavená na hodnotu true a subscription_id_identity proměnná musí být nastavená na ID předplatného identity, deploy_identity_resources ve kterém se mají zásady konfigurovat.

deploy_identity_resources = true
subscription_id_identity = <identity subscription id>

Přizpůsobení implementace Terraformu

Implementace cílových zón Azure poskytované jako součást architektury přechodu na cloud odpovídají široké škále požadavků a případů použití. Existují však často scénáře, kdy se přizpůsobení vyžaduje ke splnění konkrétních obchodních potřeb.

Tip

Další informace najdete v tématu Přizpůsobení architektury cílové zóny Azure tak, aby splňovala požadavky .

Modul Terraform cílových zón Azure se dá použít jako základ vašeho přizpůsobeného nasazení. Poskytuje způsob, jak urychlit implementaci odebráním nutnosti začít úplně od začátku, protože konkrétní požadovaná změna pravidel je připravená možnost.

Informace o přizpůsobení modulů jsou k dispozici na wikiwebu úložiště GitHubu: Modul Terraform cílových zón Azure – Wiki. Můžete ho použít jako výchozí bod a nakonfigurovat ho podle svých potřeb.