Strefy docelowe platformy Azure — zagadnienia dotyczące projektowania modułów Bicep

W tym artykule omówiono zagadnienia dotyczące projektowania modułowych stref docelowych platformy Azure (ALZ) — rozwiązanie Bicep , którego można użyć do wdrażania podstawowych możliwości platformy azure i zarządzania nimi w architekturze koncepcyjnej strefy docelowej platformy Azure zgodnie z opisem w przewodniku Cloud Adoption Framework (CAF).

Bicep to język specyficzny dla domeny (DSL), który używa składni deklaratywnej do wdrażania zasobów platformy Azure. Ma zwięzłą składnię, bezpieczeństwo niezawodnego typu i obsługę ponownego użycia kodu.

Implementacja tej architektury jest dostępna w witrynie GitHub: Strefy docelowe platformy Azure (ALZ) — implementacja Bicep. Można go użyć jako punktu początkowego i skonfigurować zgodnie z potrzebami.

Uwaga

Istnieją implementacje dla kilku technologii wdrażania, w tym opartych na portalu, szablonach usługi ARM i modułach programu Terraform. Wybór technologii wdrażania nie powinien mieć wpływu na wynikowe wdrożenie stref docelowych platformy Azure.

Akcelerator Bicep ALZ

Wskazówki krok po kroku dotyczące implementowania, automatyzowania i obsługi modułu ALZ Bicep można znaleźć za pomocą akceleratora ALZ Bicep.

Struktura ALZ Bicep Accelerator została opracowana w celu zapewnienia użytkownikom końcowym obsługi dołączania i wdrażania alz Bicep przy użyciu pełnowartościowych potoków ciągłej integracji/ciągłego wdrażania, obsługi funkcji GitHub Actions i Azure DevOps Pipelines, dedykowanej platformy w celu zapewnienia synchronizacji z nowymi wydaniami ALZ Bicep i modyfikowania lub dodawania modułów niestandardowych oraz zapewnia wskazówki dotyczące strategii rozgałęziania i potoków żądań ściągnięcia na potrzeby lintingu i walidacji modułów Bicep.

Projektowanie

Architektura korzysta z modułowego charakteru usługi Azure Bicep i składa się z wielu modułów. Każdy moduł hermetyzuje podstawową funkcję architektury koncepcyjnej stref docelowych platformy Azure. Moduły można wdrażać indywidualnie, ale istnieją zależności, o których należy pamiętać.

Architektura proponuje włączenie modułów orkiestratora w celu uproszczenia środowiska wdrażania. Moduły orkiestratora mogą służyć do automatyzacji wdrażania modułów i hermetyzacji różnych topologii wdrażania.

Moduły

Podstawową koncepcją Bicep jest użycie modułów. Moduły umożliwiają organizowanie wdrożeń w grupach logicznych. Dzięki modułom można poprawić czytelność plików Bicep, hermetyzując złożone szczegóły wdrożenia. Można również łatwo używać modułów dla różnych wdrożeń.

Możliwość ponownego używania modułów zapewnia rzeczywistą korzyść podczas definiowania i wdrażania stref docelowych. Umożliwia powtarzalne, spójne środowiska w kodzie przy jednoczesnym zmniejszeniu nakładu pracy wymaganego do wdrożenia na dużą skalę.

Warstwy i przemieszczanie

Oprócz modułów architektura strefy docelowej Bicep jest ustrukturyzowana przy użyciu koncepcji warstw. Warstwy to grupy modułów Bicep, które mają być wdrażane razem. Grupy te tworzą logiczne etapy implementacji.

Zaletą tego podejścia warstwowego jest możliwość przyrostowego dodawania środowiska w czasie. Na przykład można zacząć od niewielkiej liczby warstw. Pozostałe warstwy można dodać na kolejnym etapie, gdy wszystko będzie gotowe.

Opisy modułów

Ta sekcja zawiera ogólne omówienie podstawowych modułów w tej architekturze.

Warstwa	Moduł	opis	Przydatne linki
Podstawowe funkcje	Grupy zarządzania	Grupy zarządzania to zasoby najwyższego poziomu w dzierżawie platformy Azure. Grupy zarządzania umożliwiają łatwiejsze zarządzanie zasobami. Zasady można stosować na poziomie grupy zarządzania, a zasoby niższego poziomu będą dziedziczyć te zasady. W szczególności można zastosować następujące elementy na poziomie grupy zarządzania, które będą dziedziczone przez subskrypcje w grupie zarządzania: Zasady platformy Azure Przypisania ról kontroli dostępu opartej na rolach (RBAC) platformy Azure Kontrole kosztów Ten moduł wdraża hierarchię grup zarządzania zgodnie z definicją w architekturze koncepcyjnej strefy docelowej platformy Azure.	Grupy zarządzania — dokumentacja przewodnika Cloud Adoption Framework (CAF) Moduł: Grupy zarządzania — implementacja referencyjna
Podstawowe funkcje	Definicje zasad niestandardowych	Zasady DeployIfNotExists (DINE) lub Modyfikuj pomagają zapewnić zgodność subskrypcji i zasobów tworzących strefy docelowe. Zasady ułatwiają również zarządzanie strefami docelowymi. Ten moduł wdraża niestandardowe definicje zasad w grupach zarządzania. Nie wszyscy klienci mogą używać zasad DINE lub Modify. Jeśli tak się dzieje, wskazówki caF dotyczące zasad niestandardowych zawierają wskazówki.	Wdrażanie barier zabezpieczających opartych na zasadach — dokumentacja caF Moduł: niestandardowe definicje zasad — implementacja referencyjna Definicje zasad niestandardowych wdrożone w implementacjach referencyjnych
Podstawowe funkcje	Definicje ról niestandardowych	Kontrola dostępu oparta na rolach (RBAC) upraszcza zarządzanie prawami użytkowników w systemie. Zamiast zarządzać prawami osób fizycznych, należy określić prawa wymagane dla różnych ról w systemie. Kontrola dostępu oparta na rolach platformy Azure ma kilka wbudowanych ról. Definicje ról niestandardowych umożliwiają tworzenie ról niestandardowych dla danego środowiska. W tym module są wdrażane definicje ról niestandardowych. Moduł powinien postępować zgodnie ze wskazówkami caF dotyczącymi kontroli dostępu opartej na rolach na platformie Azure.	Kontrola dostępu oparta na rolach platformy Azure — dokumentacja caF Definicje ról niestandardowych wdrożone w implementacji referencyjnej
Zarządzanie	Rejestrowanie, automatyzacja i usługa Sentinel	Usługi Azure Monitor, Azure Automation i Microsoft Sentinel umożliwiają monitorowanie infrastruktury i obciążeń oraz zarządzanie nimi. Azure Monitor to rozwiązanie, które umożliwia zbieranie, analizowanie i wykonywanie działań telemetrycznych ze środowiska. Microsoft Sentinel to natywna dla chmury funkcja zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Umożliwia to: Zbieranie — zbieranie danych w całej infrastrukturze Wykrywanie — wykrywanie zagrożeń, które wcześniej nie zostały wykryte Reagowanie — reagowanie na uzasadnione zagrożenia za pomocą wbudowanej aranżacji Badanie — badanie zagrożeń za pomocą sztucznej inteligencji Usługa Azure Automation to oparty na chmurze system automatyzacji. Zawartość: Zarządzanie konfiguracją — spis i śledzenie zmian maszyn wirtualnych z systemem Linux i Windows oraz zarządzanie konfiguracją żądanego stanu Zarządzanie aktualizacjami — ocena zgodności systemu Windows i Linux oraz tworzenie zaplanowanych wdrożeń w celu spełnienia wymagań zgodności Automatyzacja procesów — automatyzowanie zadań zarządzania W tym module wdrażane są narzędzia niezbędne do monitorowania zagrożeń i zarządzania nimi w danym środowisku oraz zarządzania nimi. Te narzędzia powinny obejmować usługi Azure Monitor, Azure Automation i Microsoft Sentinel.	Zarządzanie obciążeniami i monitorowanie — dokumentacja caF Moduł: Rejestrowanie, automatyzacja i sentinel — implementacja referencyjna
Łączność	Sieć	Topologia sieci to kluczowa kwestia we wdrożeniach strefy docelowej platformy Azure. CaF koncentruje się na 2 podstawowych podejściach sieciowych: Topologie oparte na usłudze Azure Virtual WAN Tradycyjne topologie Te moduły wdrażają wybraną topologię sieci.	Definiowanie topologii sieci platformy Azure — dokumentacja interfejsu CAF Moduły: wdrażanie topologii sieci — implementacja referencyjna
Tożsamość	Przypisania ról	Zarządzanie tożsamościami i dostępem (IAM) to kluczowa granica zabezpieczeń w przetwarzaniu w chmurze. Kontrola dostępu oparta na rolach platformy Azure umożliwia wykonywanie przypisań ról wbudowanych lub niestandardowych definicji ról do podmiotów zabezpieczeń. W tym module są wdrażane przypisania ról do jednostek usługi, tożsamości zarządzanych lub grup zabezpieczeń w grupach zarządzania i subskrypcjach. Moduł powinien postępować zgodnie ze wskazówkami caF dotyczącymi zarządzania tożsamościami i dostępem na platformie Azure.	Obszar projektowania zarządzania tożsamościami i dostępem na platformie Azure — dokumentacja caF Moduł: przypisania ról dla grup zarządzania i subskrypcji — implementacja referencyjna
Podstawowe funkcje	Umieszczanie subskrypcji	Subskrypcje przypisane do grupy zarządzania dziedziczą: Zasady platformy Azure Przypisania ról kontroli dostępu opartej na rolach (RBAC) platformy Azure Kontrole kosztów Ten moduł przenosi subskrypcje w ramach odpowiedniej grupy zarządzania.	Grupy zarządzania — dokumentacja przewodnika Cloud Adoption Framework (CAF) Moduł: umieszczanie subskrypcji
Podstawowe funkcje	Wbudowane i niestandardowe przypisania zasad	Ten moduł wdraża domyślne przypisania usługi Azure Policy do grup zarządzania w domyślnej strefie docelowej platformy Azure. Tworzy również przypisania ról dla tożsamości zarządzanych przypisanych przez system utworzonych przez zasady.	Wdrażanie barier zabezpieczających opartych na zasadach — dokumentacja caF Moduł: domyślne przypisania zasad ALZ
Zarządzanie	Moduły programu Orchestrator	Moduły programu Orchestrator mogą znacznie poprawić środowisko wdrażania. Te moduły hermetyzują wdrażanie wielu modułów w jednym module. Powoduje to ukrycie złożoności użytkownika końcowego.	Moduł: Orkiestracja — hubPeeredSpoke — sieć szprych, w tym komunikacja równorzędna z piastą (piasta i szprycha lub wirtualna sieć WAN)

Dostosowywanie implementacji Bicep

Implementacje strefy docelowej platformy Azure udostępniane w ramach przewodnika Cloud Adoption Framework odpowiadają szerokiej gamie wymagań i przypadków użycia. Jednak często istnieją scenariusze, w których dostosowanie jest wymagane do spełnienia określonych potrzeb biznesowych.

Napiwek

Aby uzyskać więcej informacji, zobacz Dostosowywanie architektury strefy docelowej platformy Azure w celu spełnienia wymagań .

Po wdrożeniu strefy docelowej platformy następnym krokiem jest wdrożenie stref docelowych aplikacji, które umożliwiają zespołom aplikacji w landing zones grupie zarządzania zabezpieczenia, których potrzebują administratorzy centrali IT lub PlatformOps. Grupa zarządzania jest przeznaczona corp dla aplikacji połączonych firmowo, natomiast online grupa zarządzania jest przeznaczona dla aplikacji, które są przede wszystkim dostępne publicznie, ale nadal mogą łączyć się z aplikacjami firmowymi za pośrednictwem sieci koncentratorów w niektórych scenariuszach.

Implementacja strefy docelowej platformy Azure Bicep może służyć jako podstawa dostosowanego wdrożenia. Dzięki temu można przyspieszyć implementację, usuwając konieczność rozpoczęcia od podstaw z powodu określonej wymaganej zmiany reguł gotowej opcji.

Informacje na temat dostosowywania modułów są dostępne w witrynie typu wiki repozytorium GitHub: Azure Landing Zones (ALZ) Bicep — Wiki - Przewodnik dla konsumentów. Można go użyć jako punktu początkowego i skonfigurować zgodnie z potrzebami.