Obszar projektowania: zarządzanie na platformie Azure

Użyj zarządzania platformą Azure, aby ustanowić narzędzia potrzebne do obsługi zarządzania chmurą, audytu zgodności i automatycznych zasad ochronnych.

Przegląd obszaru projektowania

role lub funkcje : ład platformy Azure pochodzi z ładu w chmurze. Może być konieczne zaimplementowanie platformy w chmurze lub centrum doskonałości chmury w celu zdefiniowania i zastosowania pewnych wymagań technicznych. pl-PL: Zarządzanie koncentruje się na wymuszaniu wymagań dotyczących operacji i zabezpieczeń, które mogą wymagać zabezpieczeń w chmurze, centralnego ITlub operacji w chmurze .

Zakres : Rozważ decyzje dotyczące tożsamości, sieci, bezpieczeństwai zarządzania w kontekście przeglądów obszaru projektowania. Twój zespół może porównać decyzje dotyczące przeglądu z zautomatyzowanego zarządzania, które jest częścią akceleratora strefy początkowej platformy Azure. Przegląd decyzji może pomóc w ustaleniu, co należy przeprowadzić inspekcję lub wymusić i jakie zasady mają być wdrażane automatycznie.

Poza zakresem: zarządzanie platformą Azure kładzie fundamenty sieci. Nie dotyczy to jednak składników związanych ze zgodnością, takich jak zaawansowane zabezpieczenia sieci lub zautomatyzowane zabezpieczenia w celu wymuszania decyzji dotyczących sieci. Można zająć się tymi decyzjami dotyczącymi sieci podczas przeglądania obszarów projektowania zgodnego, związanych z zabezpieczeniami , i oraz zarządzania. Zespół ds. platformy w chmurze powinien spełnić początkowe wymagania dotyczące sieci przed rozwiązaniem bardziej złożonych składników.

nowe (greenfield) środowisko chmury: Aby rozpocząć swoją przygodę z chmurą, utwórz mały zestaw subskrypcji. Szablony wdrażania Bicep umożliwiają tworzenie nowych stref docelowych platformy Azure. Aby uzyskać więcej informacji, zobacz strefy docelowe platformy Azure Bicep — przepływ wdrażania.

istniejące (brownfield) środowisko chmury: Jeśli chcesz zastosować sprawdzone zasady ładu platformy Azure do istniejących środowisk platformy Azure, rozważ następujące wskazówki:

• Ustanów punkt odniesienia zarządzania dla środowiska hybrydowego lub wielochmurowego.

• Zaimplementuj funkcje usługi Microsoft Cost Management, takie jak zakresy rozliczeniowe, budżety i alerty, aby upewnić się, że nie przekroczysz limitu wydatków.

• Użyj usługi Azure Policy, aby egzekwować zasady ładu we wdrożeniach platformy Azure i uruchomić zadania naprawcze, aby przywrócić istniejące zasoby platformy Azure do stanu zgodności.

• Rozważ użycie funkcji zarządzania uprawnieniami Microsoft Entra w celu zautomatyzowania przepływów pracy żądań dostępu do platformy Azure, przypisań dostępu, przeglądów dostępu i daty wygaśnięcia.

• Skorzystaj z rekomendacji usługi Azure Advisor, aby zapewnić optymalizację kosztów i doskonałość operacyjną na platformie Azure, które są kluczowymi zasadami platformy Microsoft Azure Well-Architected Framework.

Repozytorium stref docelowych platformy Azure Bicep — przepływ wdrażania zawiera szablony wdrażania Bicep, które mogą przyspieszyć wdrożenia strefy docelowej platformy Azure i pola zielonego. Te szablony zawierają zintegrowane wskazówki dotyczące zasad zarządzania zgodnie ze sprawdzonymi praktykami firmy Microsoft.

Rozważ użycie domyślnych przypisań zasad strefy docelowej Azure oraz modułu Bicep, aby z wyprzedzeniem zapewnić zgodność środowisk Azure.

Aby uzyskać więcej informacji, zapoznaj się z kwestiami dotyczącymi środowiska Brownfield .

Omówienie obszaru projektowania

Podróż po wdrożeniu chmury w organizacji rozpoczyna się od silnych mechanizmów kontroli dla środowisk rządowych.

Ład zapewnia mechanizmy i procesy utrzymania kontroli nad platformami, aplikacjami i zasobami na platformie Azure.

Zapoznaj się z poniższymi zagadnieniami i zaleceniami, aby podejmować świadome decyzje podczas planowania strefy docelowej.

Obszar projektowania zarządzania koncentruje się na decyzjach projektowych dotyczących strefy docelowej. Aby uzyskać informacje na temat procesów i narzędzi zarządzania, zobacz "Govern in the Cloud Adoption Framework for Azure".

Zagadnienia dotyczące zarządzania platformą Azure

Usługa Azure Policy pomaga zapewnić bezpieczeństwo i zgodność z infrastrukturą techniczną przedsiębiorstwa. Usługa Azure Policy może wymuszać istotne konwencje zarządzania i zabezpieczeń w usługach platformy Azure. Usługa Azure Policy uzupełnia kontrolę dostępu opartą na rolach (RBAC) platformy Azure, która kontroluje akcje dla autoryzowanych użytkowników. Usługa Cost Management może również pomóc w zarządzaniu bieżącymi kosztami i wydatkami związanymi z ładem na platformie Azure lub w innych środowiskach wielochmurowych.

Zagadnienia dotyczące wdrażania

Rady doradczo-kontrolne ds. zmian mogą utrudniać innowacje i elastyczność biznesową w organizacji. Usługa Azure Policy eliminuje potrzebę takich przeglądów dzięki zautomatyzowanym zabezpieczeniom i audytom zgodności, aby poprawić wydajność obciążeń.

• Ustal, które zasady platformy Azure są potrzebne na podstawie mechanizmów kontroli biznesowej lub przepisów dotyczących zgodności. Użyj zasad uwzględnionych w akceleratorze strefy docelowej platformy Azure jako punktu wyjścia.

• Użyj zasad uwzględnionych w implementacji referencyjnej stref docelowych platformy Azure, aby rozważyć inne zasady, które mogą być zgodne z wymaganiami biznesowymi.

• Wymuszanie zautomatyzowanych konwencji dotyczących sieci, tożsamości, zarządzania i zabezpieczeń.

• Zarządzanie przypisaniami zasad i tworzenie ich przy użyciu definicji zasad, które można ponownie używać w wielu dziedziczonych zakresach przypisania. Można mieć scentralizowane przypisania zasad bazowych w zakresie zarządzania, subskrypcji i grupy zasobów.

• Zapewnij ciągłą zgodność z raportowaniem zgodności i inspekcją.

• Dowiedz się, że usługa Azure Policy ma limity, takie jak ograniczenie definicji w dowolnym określonym zakresie. Aby uzyskać więcej informacji, zobacz Limity polisy.

• Omówienie zasad zgodności z przepisami. Zasady mogą obejmować kryteria HIPAA, PCI-DSS lub SOC 2 Trust Services.

Zagadnienia dotyczące zarządzania kosztami

• Rozważ strukturę modelu kosztów i refakturowania w organizacji. Określ kluczowe punkty danych, które dokładnie przekazują wydatki na usługi w chmurze.

• Wybierz strukturę tagów pasujących do modelu kosztów i ładowania, aby ułatwić śledzenie wydatków na chmurę.

• Skorzystaj z kalkulatora cen platformy Azure, aby oszacować oczekiwane miesięczne koszty korzystania z produktów platformy Azure.

• Możesz skorzystać z Azure Hybrid Benefit, aby zmniejszyć koszty działania Twoich obciążeń w chmurze. Możesz użyć lokalnych licencji systemu Windows Server i programu SQL Server z obsługą lokalnego pakietu Software Assurance na platformie Azure. Możesz również używać subskrypcji systemów Red Hat i SUSE Linux.

• Uzyskaj rezerwacje platformy Azure i zatwierdź plany roczne lub trzyletnie dla wielu produktów. Plany rezerwacji zapewniają rabaty na zasoby, które mogą znacznie obniżyć koszty zasobów o maksymalnie 72% w porównaniu z cenami płatności zgodnie z rzeczywistym użyciem.

• Uzyskaj plan oszczędności platformy Azure dla obliczeniowych, aby zaoszczędzić do 65% w porównaniu z cenami płatności zgodnie z rzeczywistym użyciem. Wybierz roczne lub trzyletnie zobowiązanie, które ma zastosowanie do usług obliczeniowych, niezależnie od regionu, rozmiaru wystąpienia lub systemu operacyjnego. Wybierz plan dla składników obliczeniowych, takich jak maszyny wirtualne, dedykowane hosty, instancje kontenerów, funkcje premium Azure i usługi aplikacji Azure. Połącz plan oszczędności platformy Azure z rezerwacjami platformy Azure, aby zoptymalizować koszt obliczeniowy i elastyczność.

• Użyj zasad platformy Azure, aby zezwolić na określone regiony, typy zasobów i jednostki SKU zasobów.

• Użyj zasad opartych na regułach zarządzania cyklem życia usługi Azure Storage, aby przenieść dane obiektów blob do odpowiednich warstw dostępu lub wygasnąć dane na końcu cyklu życia danych.

• Skorzystaj z subskrypcji tworzenia i testowania platformy Azure, aby uzyskać rabat na dostęp do wybranych usług platformy Azure dla obciążeń nieprodukcyjnych.

• Automatyczne skalowanie umożliwia dynamiczne przydzielanie i cofanie przydziału zasobów zgodnie z potrzebami w zakresie wydajności, co pozwala zaoszczędzić pieniądze.

• Użyj maszyn wirtualnych typu spot platformy Azure, aby korzystać z nieużywanej pojemności obliczeniowej przy niskich kosztach. Maszyny Wirtualne Spot doskonale nadają się do obciążeń, które mogą tolerować przerwy, na przykład zadania przetwarzania wsadowego, środowiska deweloperskie/testowe i obciążenia intensywnie obliczeniowe.

• Wybierz odpowiednie usługi platformy Azure, aby zmniejszyć koszty. Niektóre usługi platformy Azure są bezpłatne przez 12 miesięcy, a niektóre są zawsze bezpłatne.

• Wybierz odpowiednią usługę obliczeniową dla aplikacji, aby zwiększyć efektywność kosztową. Platforma Azure oferuje wiele sposobów hostowania kodu.

Zagadnienia dotyczące zarządzania zasobami

• Ustal, czy grupy zasobów w danym środowisku mogą współdzielić wymagane konfiguracje, wspólny cykl życia lub typowe ograniczenia dostępu (takie jak kontrola dostępu oparta na rolach), aby zapewnić spójność.

• Wybierz projekt subskrypcji aplikacji lub obciążenia, który jest odpowiedni dla potrzeb związanych z operacją.

• Użyj standardowych konfiguracji zasobów w organizacji, aby zapewnić spójną konfigurację punktu odniesienia.

Zagadnienia dotyczące zabezpieczeń

• Wprowadzanie narzędzi i barier zabezpieczających w całym środowisku jako część podstawowego poziomu zabezpieczeń.
• Powiadom odpowiednie osoby po znalezieniu odchyleń.
• Rozważ użycie usługi Azure Policy, aby wymusić narzędzia, takie jak Microsoft Defender for Cloud, lub zabezpieczenia, takie jak test porównawczy zabezpieczeń w chmurze firmy Microsoft.

Zagadnienia dotyczące zarządzania tożsamościami

• Określ, kto ma dostęp do dzienników inspekcji na potrzeby zarządzania tożsamościami i dostępem.

• Powiadom odpowiednie osoby po wystąpieniu podejrzanych zdarzeń logowania.

• Rozważ użycie raportów Microsoft Entra do zarządzania aktywnością.

• Rozważ wysłanie dzienników Microsoft Entra ID do centralnego obszaru roboczego dzienników Azure Monitor.

• Zapoznaj się z funkcjami usługi Microsoft Entra ID Governance, takimi jak przeglądy dostępu i zarządzanie uprawnieniami .

Narzędzia innej firmy niż Microsoft

• Aby uzyskać aktualizacje zarządzania Azure, użyj AzAdvertizer. Na przykład możesz znaleźć szczegółowe informacje na temat definicji zasad, inicjatyw, aliasów, zabezpieczeń i mechanizmów kontroli zgodności z przepisami w definicjach ról usługi Azure Policy lub RBAC platformy Azure. Możesz również uzyskać wgląd w operacje dostawcy zasobów, definicje ról i akcje roli firmy Microsoft oraz uprawnienia interfejsu API firmy Microsoft.

• Użyj wizualizatora zarządzania platformą Azure, aby śledzić stan zarządzania technicznego. Możesz użyć funkcji sprawdzania wersji zasad dla stref docelowych platformy Azure, aby zapewnić aktualność środowiska przy użyciu najnowszego stanu wydania zasad strefy docelowej platformy Azure.

Zalecenia dotyczące zarządzania platformą Azure

Zalecenia dotyczące przyspieszania wdrażania

• Zidentyfikuj wymagane tagi platformy Azure i użyj trybu zasad dołączania, aby wymusić użycie. Aby uzyskać więcej informacji, zobacz Definiowanie strategii tagowania.

• Mapuj wymagania prawne i zgodności na definicje usługi Azure Policy i przypisania ról platformy Azure.

• Ustanów definicje usługi Azure Policy w głównej grupie zarządzania na poziomie najwyższym, ponieważ mogą być przypisane w dziedziczonych zakresach.

• W razie potrzeby zarządzaj przypisaniami zasad na najwyższym odpowiednim poziomie przy użyciu wykluczeń na najniższych poziomach.

• Użyj usługi Azure Policy, aby kontrolować rejestracje dostawców zasobów na poziomach subskrypcji lub grupy zarządzania.

• Użyj wbudowanych zasad, aby zminimalizować nakład pracy operacyjnej.

• Przypisz wbudowaną rolę Współautora zasad zarządzania zasobami na określonym poziomie, aby umożliwić zarządzanie na poziomie aplikacji.

• Ogranicz liczbę przypisań usługi Azure Policy w zakresie głównej grupy zarządzania, aby uniknąć zarządzania wykluczeniami w dziedziczonych zakresach.

Zalecenia dotyczące zarządzania kosztami

• Usługa Cost Management umożliwia zaimplementowanie nadzoru finansowego nad zasobami w danym środowisku.
• Użyj tagów, takich jak centrum kosztów lub nazwa projektu, aby dołączyć metadane zasobu. Takie podejście ułatwia szczegółową analizę wydatków.

Zarządzanie platformą Azure w akceleratorze strefy wdrożeniowej Azure

Akcelerator strefy docelowej platformy Azure udostępnia organizacjom dojrzałe mechanizmy zarządzania.

Można na przykład zaimplementować następujące elementy:

• Hierarchia grup zarządzania, która grupuje zasoby według funkcji lub typu obciążenia. Takie podejście zachęca do spójności zasobów.
• Bogaty zestaw zasad platformy Azure, który umożliwia kontrole zarządzania na poziomie grup zarządzania. Takie podejście pomaga sprawdzić, czy wszystkie zasoby wchodzą w zakres.