Azure-Zielzonen: Überlegungen zum Entwurf von Bicep-Modulen

In diesem Artikel werden die Entwurfsaspekte der modularisierten Lösung Azure-Zielzonen – Bicep erläutert, die Sie verwenden können, um die wichtigsten Plattformfunktionen der konzeptionellen Azure-Zielzonenarchitektur bereitzustellen und zu verwalten, wie im Cloud Adoption Framework (CAF) beschrieben.

Bicep ist eine domänenspezifische Sprache (Domain-Specific Language, DSL), die eine deklarative Syntax zur Bereitstellung von Azure-Ressourcen verwendet. Sie besitzt eine präzise Syntax, zuverlässige Typsicherheit und Unterstützung für die Wiederverwendung von Code.

Eine Implementierung dieser Architektur ist hier verfügbar: GitHub: Azure-Zielzonen – Bicep-Implementierung. Sie können diese als Startpunkt verwenden und gemäß Ihren Anforderungen konfigurieren.

Hinweis

Es gibt Implementierungen für mehrere Bereitstellungstechnologien, einschließlich portalbasierter, ARM-Vorlagen- und Terraform-Module. Die Auswahl der Bereitstellungstechnologie sollte die resultierende Bereitstellung von Azure-Zielzonen nicht beeinflussen.

ALZ Bicep-Beschleuniger

Schrittweise Anleitungen zur Implementierung, Automatisierung und Wartung Ihres ALZ Bicep-Moduls finden Sie mit dem ALZ Bicep-Beschleuniger.

Das Framework für den ALZ Bicep-Beschleuniger wurde entwickelt, um Endbenutzern Unterstützung für das Onboarding und die Bereitstellung von ALZ Bicep mithilfe von vollwertigen CI/CD-Pipelines, Unterstützung für GitHub Actions und Azure DevOps-Pipelines, ein dediziertes Framework, um mit neuen ALZ Bicep-Versionen synchron zu bleiben und benutzerdefinierte Module zu ändern oder hinzuzufügen und Anleitungen für Verzweigungsstrategien und Pull Request-Pipelines für Linten und Validieren von Bicep-Modulen zu bieten.

Design

Die Architektur nutzt die modulare Natur von Azure Bicep und setzt sich aus mehreren Modulen zusammen. Jedes Modul kapselt eine Kernfunktion der konzeptionellen Azure-Zielzonenarchitektur. Die Module können einzeln bereitgestellt werden, aber es gibt Abhängigkeiten, die beachtet werden sollten.

Die Architektur schlägt die Einbeziehung von Orchestratormodulen vor, um die Bereitstellungserfahrung zu vereinfachen. Die Orchestratormodule können verwendet werden, um die Bereitstellung der Module zu automatisieren und unterschiedliche Bereitstellungstopologien zu kapseln.

Module

Ein Kernkonzept von Bicep ist die Verwendung von Modulen. Module ermöglichen es Ihnen, Bereitstellungen in logischen Gruppierungen zu organisieren. Mit Modulen verbessern Sie die Lesbarkeit Ihrer Bicep-Dateien, indem Sie komplexe Details Ihrer Bereitstellung kapseln. Sie können Module auch problemlos für verschiedene Bereitstellungen wiederverwenden.

Die Möglichkeit, Module erneut zu verwenden, bietet einen echten Vorteil beim Definieren und Bereitstellen von Zielzonen. Es ermöglicht wiederholbare, konsistente Umgebungen in Code, während der für eine Bereitstellung im großen Stil erforderliche Aufwand reduziert wird.

Ebenen und Staging

Zusätzlich zu Modulen strukturiert sich die Bicep-Zielzonenarchitektur mithilfe eines Ebenenkonzepts. Ebenen sind Gruppen von Bicep-Modulen, die zusammen bereitgestellt werden sollen. Diese Gruppen bilden logische Phasen der Implementierung.

Ein Vorteil dieses Ebenenansatzes ist die Möglichkeit, Ihre Umgebung inkrementell im Laufe der Zeit zu erweitern. Sie können beispielsweise mit einer kleinen Anzahl von Ebenen beginnen. Wenn Sie dazu bereit sind, können Sie die verbleibenden Ebenen in einer nachfolgenden Phase hinzufügen.

Modulbeschreibungen

Dieser Abschnitt enthält einen Überblick über die Kernmodule in dieser Architektur.

Ebene	Modul	BESCHREIBUNG	Nützliche Links
Core	Verwaltungsgruppen	Verwaltungsgruppen sind die Ressourcen der höchsten Ebene in einem Azure-Mandanten. Verwaltungsgruppen ermöglichen es Ihnen, Ihre Ressourcen einfacher zu verwalten. Sie können Richtlinien auf Verwaltungsgruppenebene anwenden, und Ressourcen auf niedrigerer Ebene erben diese Richtlinie. Insbesondere können Sie die folgenden Elemente auf Verwaltungsgruppenebene anwenden, die dann von Abonnements unter der Verwaltungsgruppe geerbt werden: Azure-Richtlinien RBAC-Rollenzuweisungen (Rollenbasierte Zugriffssteuerung von Azure) Kostenkontrollen Dieses Modul stellt die Verwaltungsgruppenhierarchie so bereit, wie in der konzeptionellen Azure-Zielzonenarchitektur definiert.	Verwaltungsgruppen – Cloud Adoption Framework-Dokumentation (CAF) Modul: Verwaltungsgruppen – Referenzimplementierung
Core	Benutzerdefinierte Richtliniendefinitionen	DeployIfNotExists (DINE)- oder Änderungsrichtlinien helfen sicherzustellen, dass die Abonnements und Ressourcen, die Zielzonen bilden, konform sind. Die Richtlinien erleichtern auch die Verwaltung von Zielzonen. Dieses Modul stellt benutzerdefinierte Richtliniendefinitionen für Verwaltungsgruppen bereit. Nicht alle Kunden können DINE- oder Änderungsrichtlinien verwenden. Wenn dies auf Sie zutrifft, bietet Ihnen der CAF-Leitfaden für benutzerdefinierte Richtlinien eine Anleitung.	Einführen richtliniengesteuerter Schutzmaßnahmen – CAF-Dokumentation Modul: Benutzerdefinierte Richtliniendefinitionen – Referenzimplementierung In Referenzimplementierungen bereitgestellte benutzerdefinierte Richtliniendefinitionen
Core	Benutzerdefinierte Rollendefinitionen	Die rollenbasierte Zugriffssteuerung (RBAC) vereinfacht die Verwaltung von Benutzerrechten innerhalb eines Systems. Anstatt die Rechte von Einzelpersonen zu verwalten, bestimmen Sie die für verschiedene Rollen in Ihrem System erforderlichen Rechte. Azure RBAC verfügt über mehrere integrierte Rollen. Benutzerdefinierte Rollendefinitionen ermöglichen es Ihnen, benutzerdefinierte Rollen für Ihre Umgebung zu erstellen. Dieses Modul stellt benutzerdefinierte Rollendefinitionen bereit. Das Modul sollte den CAF-Leitfaden für rollenbasierte Zugriffssteuerung von Azure befolgen.	Rollenbasierten Zugriffssteuerung von Azure (RBAC) – CAP-Dokumentation In einer Referenzimplementierung bereitgestellte benutzerdefinierte Rollendefinitionen
Verwaltung	Protokollierung, Automatisierung und Sentinel	Azure Monitor, Azure Automation und Microsoft Sentinel ermöglichen es Ihnen, Ihre Infrastruktur und Workloads zu überwachen und zu verwalten. Azure Monitor ist eine Lösung, mit der Sie Telemetriedaten aus Ihrer Umgebung sammeln, analysieren und darauf reagieren können. Microsoft Sentinel ist eine cloudnative SIEM-Lösung (Security Information & Event Management). Die Funktion ermöglicht Folgendes: Sammeln: Sammeln von Daten in Ihrer gesamten Infrastruktur Erkennen: Erkennen von Bedrohungen, die zuvor nicht erkannt wurden Reagieren: Reagieren auf echte Bedrohungen mit integrierter Orchestrierung Untersuchen: Untersuchen von Bedrohungen mit künstlicher Intelligenz Azure Automation ist ein cloudbasiertes Automatisierungssystem. Sie hat folgenden Inhalt: Konfigurationsverwaltung: Bestand und Änderungsnachverfolgung für virtuelle Linux- und Windows-Computer sowie das Verwalten der gewünschten Zustandskonfiguration (Desired State Configuration, DSC) Updateverwaltung: Bewerten der Windows- und Linux-Systemcompliance sowie das Erstellen geplanter Bereitstellungen zur Einhaltung der Compliance Prozessautomatisierung: Automatisieren von Verwaltungsaufgaben Dieses Modul stellt die Tools bereit, die zum Überwachen, Verwalten und Bewerten von Bedrohungen für Ihre Umgebung erforderlich sind. Diese Tools sollten Azure Monitor, Azure Automation und Microsoft Sentinel umfassen.	Verwaltung und Überwachung von Workloads – CAF-Dokumentation Modul: Protokollierung, Automatisierung und Sentinel – Referenzimplementierung
Konnektivität	Netzwerk	Die Netzwerktopologie ist ein wichtiger Aspekt bei Azure-Zielzonenbereitstellungen. CAF konzentriert sich auf 2 Kernansätze beim Netzwerkbetrieb: Topologien auf Grundlage von Azure Virtual WAN Herkömmliche Topologien Diese Module stellen die von Ihnen ausgewählte Netzwerktopologie bereit.	Definieren einer Azure-Netzwerktopologie – CAF-Dokumentation Module: Netzwerktopologiebereitstellung – Referenzimplementierung
Identität	Rollenzuweisungen	IAM (Identity & Access Management, Identitäts- und Zugriffsverwaltung) ist die wichtigste Sicherheitsgrenze im Cloud Computing. Azure RBAC ermöglicht es Ihnen, Rollenzuweisungen integrierter Rollen oder benutzerdefinierter Rollendefinitionen an Sicherheitsprinzipale auszuführen. Dieses Modul stellt Rollenzuweisungen an Dienstprinzipale, verwaltete Identitäten oder Sicherheitsgruppen über Verwaltungsgruppen und Abonnements hinweg bereit. Das Modul sollte den CAF-Leitfaden zur Azure-Identitäts- und Zugriffsverwaltung befolgen.	Entwurfsbereich für die Azure-Identitäts- und Zugriffsverwaltung – CAF-Dokumentation Modul: Rollenzuweisungen für Verwaltungsgruppen und Abonnements – Referenzimplementierung
Core	Abonnementplatzierung	Abonnements, die einer Verwaltungsgruppe zugewiesen sind, erben: Azure-Richtlinien RBAC-Rollenzuweisungen (Rollenbasierte Zugriffssteuerung von Azure) Kostenkontrollen Dieses Modul verschiebt Abonnements unter die entsprechende Verwaltungsgruppe.	Verwaltungsgruppen – Cloud Adoption Framework-Dokumentation (CAF) Modul: Abonnementplatzierung
Core	Integrierte und benutzerdefinierte Richtlinienzuweisungen	Dieses Modul stellt die standardmäßige Azure Policy-Zuordnungen von Azure-Zielzonen zu Verwaltungsgruppen bereit. Es erstellt außerdem Rollenzuweisungen für systemseitig zugewiesene verwaltete Identitäten, die von Richtlinien erstellt wurden.	Einführen richtliniengesteuerter Schutzmaßnahmen – CAF-Dokumentation Modul: Standardrichtlinienzuweisungen in Azure-Zielzonen
Verwaltung	Orchestratormodule	Orchestratormodule können die Bereitstellungserfahrung erheblich verbessern. Diese Module kapseln die Bereitstellung mehrerer Module in einem einzigen Modul. Dadurch wird die Komplexität vor dem Endbenutzer verborgen.	Modul: Orchestrierung – hubPeeredSpoke – Spoke-Netzwerk, einschließlich Peering zu Hub (Hub-and-Spoke oder Virtual WAN)

Anpassen der Bicep-Implementierung

Die Azure-Zielzonenimplementierungen, die als Bestandteil des Cloud Adoption Framework bereitgestellt werden, sind für eine breite Vielzahl von Anforderungen und Anwendungsfällen geeignet. Es gibt jedoch häufig Szenarien, in denen Anpassungen erforderlich sind, um bestimmte Geschäftsanforderungen zu erfüllen.

Tipp

Weitere Informationen finden Sie unter Anpassen der Architektur der Azure-Zielzonen an die Anforderungen.

Sobald die Plattform-Zielzone implementiert wurde, besteht der nächste Schritt darin, Anwendungszielzonen bereitzustellen, die Anwendungsteams unter der landing zones Verwaltungsgruppe mit den Guardrails ermöglichen, die zentrale IT- oder PlatformOps-Administratoren benötigen. Die corp-Verwaltungsgruppe ist für verbundene Unternehmensanwendungen vorgesehen, während die online-Verwaltungsgruppe für Anwendungen ist, die hauptsächlich öffentlich zugänglich sind, aber in einigen Szenarien weiterhin eine Verbindung mit Unternehmensanwendungen über Hubnetzwerke herstellen können.

Die Bicep-Implementierung von Azure-Zielzonen kann als Grundlage Ihrer angepassten Bereitstellung verwendet werden. Sie bietet Ihnen eine Möglichkeit, Ihre Implementierung zu beschleunigen, indem Sie die Notwendigkeit beseitigen, aufgrund einer bestimmten erforderlichen Änderung, die eine vorgefertigte Option ausschließt, von Grund auf neu beginnen zu müssen.

Informationen zum Anpassen der Module finden Sie im GitHub-Repository-Wiki GitHub: Azure-Zielzonen Bicep – Wiki– Consumerleitfaden. Sie können diese als Startpunkt verwenden und gemäß Ihren Anforderungen konfigurieren.