你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

资源一致性决策指南

Azure 订阅设计定义了如何根据组织的结构、核算实践和工作负载需求来组织云资产。 除了这种级别的结构之外,满足跨云资产的组织治理策略需求还需要能够始终在订阅中组织、部署和管理资源。

显示绘制资源一致性选项(从最小到最复杂)与跳转链接保持一致的关系图。

跳转到:基本分组 | 部署一致性 | 策略一致性 | 层次结构一致性 | 自动一致性

有关云资产资源一致性需求级别的决策主要受以下因素驱动:迁移后的数字资产规模、不完全适合现有订阅设计方法的业务或环境需求,或者在部署资源后逐步强制执行治理的需求。

随着这些因素的重要性,确保基于云的资源的一致部署、分组和管理的优势变得更加重要。 在自动化、工具和一致性强制实施方面,提高资源一致性级别,以满足不断增长的要求。 这一努力使更改管理和跟踪花费的时间更多。

基本分组:资源组

在 Azure 中,资源组是一种核心资源组织机制,用于在订阅中对资源进行逻辑分组。

可以将资源组用作具有常见生命周期和共享管理约束的资源的容器,例如策略或 Azure 基于角色的访问控制(RBAC)要求。 不能嵌套资源组,资源只能属于一个资源组。 所有控制平面操作都会影响资源组中的所有资源。 例如,删除某个资源组时,也会删除该组中的所有资源。

在设计或更新区域资源组织时,请考虑以下因素。 是否有一组逻辑资源:

  • 你可以共同开发?
  • 你可以一起管理、更新和监视? 同一人员或团队能否执行这些任务?
  • 该团队在单个地理/区域中使用?
  • 你能一起退休吗?

如果上述任何问题的答案是 肯定 的,请考虑将这些资源(部署在区域 X 中)放在资源组(也部署在区域 X 中)。

若要最大程度地减少区域中断的影响,请将资源放置在与资源组相同的区域中。 有关详细信息,请参阅 资源组位置对齐方式。

注意

如果资源位于同一资源组中,但资源位于不同的区域,请考虑将资源移到 新的资源组或订阅

若要 确定资源是否支持移动到另一个资源组,请通过交叉引用资源来清点资源。 确保满足相应的 先决条件

提示

审核 资源组与 Azure Policy 的对齐方式。 中间根管理组级别分配内置的 Azure Policy 定义,以验证租户层次结构中资源的位置是否与其各自的资源组的位置匹配。

部署一致性

在基础资源组机制的基础上构建时,Azure 平台提供了一个系统,用于使用模板将资源部署到云环境。 部署工作负荷时,可以使用模板创建一致的组织和命名约定。 模板强制实施资源部署和管理设计的这些方面。

使用 Azure 资源管理器 模板,可以使用预先确定的配置和资源组结构以一致状态重复部署资源。 资源管理器模板可帮助用户定义一组标准作为部署的基础。

例如,可以使用标准模板将包含两个虚拟机的 Web 服务器工作负荷部署为 Web 服务器,并将其与负载均衡器结合使用,以在服务器之间分配流量。 然后,可以重复使用此模板来创建一组结构相同的虚拟机。 每当需要此类工作负荷时,VM 都有负载均衡器,并且仅更改涉及的部署名称和 IP 地址。

还可以以编程方式部署这些模板,并将其与持续集成和持续交付(CI/CD)系统集成。

策略一致性

资源组设计的一部分涉及在部署资源时使用通用配置。 使用通用配置可确保在创建资源时应用治理策略。

通过将资源组和标准化资源管理器模板组合在一起,可以针对部署中所需的设置以及适用于每个资源组或资源的 Azure Policy 规则强制实施标准。

例如,你可能要求在订阅中部署的所有虚拟机都连接到由中心 IT 团队管理的公用子网。 使用标准模板部署工作负荷 VM,为工作负荷创建单独的资源组,并在其中部署所需的 VM。 此资源组有一个策略规则,仅允许资源组中的网络接口加入共享子网。

有关在云部署中强制执行策略决策的更深入讨论,请参阅策略实施

层次结构一致性

通过资源组,可以在订阅中支持组织内部的额外层次结构级别。 层次结构支持资源组级别的 Azure Policy 规则和访问控制。 随着云资产规模的增长,可能需要支持更复杂的跨订阅治理要求。 使用 Azure 企业协议的企业、部门、帐户、订阅层次结构。

Azure 管理组 允许将订阅组织到更复杂的组织结构中。 可以在层次结构中对订阅进行分组,这与企业协议的层次结构不同。 此备用层次结构允许跨多个订阅及其包含的资源应用访问控制和策略强制机制。 可以使用管理组层次结构将云资产的订阅与运营或业务治理要求相匹配。 有关详细信息,请参阅订阅决策指南

自动一致性

对于大型云部署,全局治理变得更加重要和复杂。 部署资源并满足现有部署的更新要求时,自动应用和强制实施治理要求至关重要。

Azure 登陆区域是遵循八个设计领域的主要设计原则的环境。 这些设计原则适用于所有应用程序组合,并大规模启用应用程序迁移、现代化和创新。 有关 Azure 登陆区域的详细信息,请参阅 什么是 Azure 登陆区域?

IT 和开发团队可以使用 Azure 登陆区域快速部署符合不断变化的组织策略要求的新工作负载和网络资产。 平台团队可以使用 基础结构即代码(IaC)模板(包括 策略作为代码 做法)来部署和管理 Azure 登陆区域。 将这些做法合并到 CI/CD 管道中,以确保在更新模板和定义时应用新的治理标准。

下一步

资源一致性只是需要在云采用过程中做出体系结构决策的核心基础结构组件之一。 访问体系结构决策指南概述,了解有关各种类型的基础结构设计决策的模式和模型。