通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

规划防御云采用

  • 项目

计划方法属于云采用的命令域。

显示域跟踪器的图。它显示命令、平台和任务。突出显示命令以显示我们在云采用的命令域中。图 1:域跟踪器 - 命令域

计划方法是任务所有者为云采用做好准备的地方。 他们需要定义要求、做出有助于实现任务目标的决策,并吸引适当的利益干系人。 这些计划确定人员和平台管理需求。 适当的规划有助于确保项目从利益干系人那里获得购买。

建议使用云中转站,规划是任务所有者选择使用云代理服务的方法。 我们假设任务所有者定义了满足其目标的技术要求。 如果没有,则这是在决定云代理策略之前必须就绪的先决条件。 使用云中转站是防御组织中的最佳做法,因为关系提供的许多好处。 某些防御组织要求在命令链中使用特定的云代理。 鉴于云代理的重要性和优势,值得探索云中转站的优势和方法。

云代理权益

云代理是用于构建和管理云平台的集中式组。 云代理执行管理云环境所需的许多任务,并使任务所有者的云采用更简单。 防御组织有时需要云中转站要求,任务所有者应将这些要求纳入其计划。 如果任务所有者可以从多个云代理中进行选择,则需要确定哪个云代理为此项目提供最佳服务和价格。

云代理具有以下优势:

受治理的平台登陆区域 - 在防御环境中托管的服务、解决方案和应用程序需要受治理的环境。 云代理构建和维护符合合规性要求的受治理平台环境(平台登陆区域)。

Azure 登陆区域提供一个目标体系结构,其中包括安全、可靠且经济高效的云操作所需的所有组件防御应用程序(请参阅图 2)。 Azure 登陆区域遵循八个设计领域的关键原则。 Azure 登陆区域环境由平台登陆区域和应用程序登陆区域组成。

  • 平台登陆区域:平台登陆区域是一个订阅,它提供多个应用程序使用的核心服务。 在示例体系结构(见图 2)中,以红色列出的组件和订阅是平台登陆区域。 它们向此环境中的应用程序提供共享服务,例如标识、管理和连接。

  • 应用程序登陆区域:应用程序登陆区域是托管应用程序的订阅。 在示例体系结构(见图 2)中,蓝色框概述了应用程序登陆区域。 体系结构中有两个应用程序登陆区域:“应用程序登陆区域 A1 订阅”和“应用程序登陆区域 A2 订阅”。 体系结构仅详细显示“应用程序登陆区域 A2 订阅”。

Azure 登陆区域体系结构示意图。显示平台登陆区域和应用程序登陆区域的示例体系结构。它显示下面具有管理组的 Microsoft Entra 租户。管理组划分为平台、登陆区域、停用和沙盒。在这些管理组和子管理组下,这些管理组和子管理组下方有订阅。体系结构显示这些订阅的内容。平台登陆区域管理组包含标识、管理和连接订阅。平台登陆区域订阅周围有黑匣子。应用程序登陆区域管理组包含两个应用程序登陆区域订阅。其中详细显示了一个订阅的内容。应用程序登陆区域订阅周围有红色框。图 2:概念 Azure 登陆区域体系结构

如果没有云代理,任务所有者负责应用程序登陆区域和平台登陆区域。 但是,借助云代理,任务所有者只需管理应用程序登陆区域,并可以专注于现代化应用程序以满足任务目标。 云代理对平台登陆区域中的核心服务承担技术责任。

平台登陆区域功能设计决策,包括以下规则:

  • 成本管理
  • 安全基线管理
  • 标识基线管理
  • 资源一致性
  • 部署加速

有关详细信息,请参阅 平台与应用程序登陆区域

核心服务 - 云代理实现和管理核心服务 ,例如标识、网络和管理。 在大多数情况下,云代理安全地将新的云环境连接到本地网络,构建操作环境,并根据任务要求建立标识访问管理(IAM)解决方案,实施策略。

平台授权运营 (ATO) - 经验丰富的云代理可以帮助实现比任务所有者更快速的平台级 ATO。 平台级 ATO 直接影响任务所有者可以部署关键应用程序的速度。 有关详细信息,请参阅 加速 ATO

提高效率 - 云中转站可以自动执行信息流,无需手动生成数据并管理平台符合性要求。 通过此自动化,可以及时准确地路由到应用程序部署的审批机构,从而提供可跟踪性和责任性。 如果没有云代理,任务所有者必须导航以下障碍:

  • 获取和分配资金
  • 管理监督和合规性要求
  • 获取安全团队的批准
  • 将项目移交给用于应用程序生成的技术团队

这些活动可以持续几周或几个月,在某些情况下, 云代理简化了任务所有者的过程并加快了流程。

云中转站方法

使用云代理时,任务所有者需要考虑不同的方法。 任务所有者可以使用单个云代理或多个云代理,正确的方法取决于任务需求。

单一云代理方法 - 在单个云中转站方法 中,任务所有者与单个实体签订云服务合同。 可能存在各种支持模型,但云代理是单一联系点。 单个云代理提供称为租户的单个云标识解决方案。 单租户有一些明显的优势。 单个租户具有以下优势:

  • 通过提高所有云环境的可见性和透明度,减少标识和访问管理复杂性
  • 提高安全性,同时促进合规的信息共享
  • 简化构建零信任体系结构
  • 提高战机在紧缩条件下的数据传输效率

如果这些权益满足任务所有者的需求,则单个代理可能是更好的方法。

多个云代理方法 - 多云中转站方法 使用两个或多个云中转站来提供托管云服务。 在复杂的组织中,多个云中转站更好,防御环境通常具有足够的复杂性来保证多个云中转站策略。 但有一个警告。 多个云代理可以为云采用计划增加更多风险,并为组织添加更多通信线路进行管理。

以下因素可帮助你确定多个云中转站方法是否是正确的方法。

  • 所有权:任务所有者可能需要自己的云代理。 决策组通常需要自己的租户来满足任务目标,并避免依赖项导致的延迟。

  • 隔离:任务所有者出于合规性、治理或标识原因可能需要隔离的环境。 每个租户(Microsoft Entra ID 实例)表示隔离的标识环境,并在需要时可以创建一个坚定的隔离屏障。

  • 管理:分离复杂环境可能是管理和现代化云应用程序的理想环境。 但是,这种管理分离在命令链中增加了更高的复杂性。 拥有所有云资产的单一视图变得更加困难。

  • 安全性:不同影响级别的数据符合性可能需要多个租户和多个云代理获得授权,并具有管理这些影响级别的体验。

多云中转站策略可在防御组织的不同级别使用。 可以向各个军事分支(海军、空中、地面)或应用程序组分配经纪人。 选择取决于防御组织围绕所有权、隔离、管理和安全性的需求。

有关详细信息,请参阅规划概述迁移评估检查列表

下一步

规划防御组织以供执行。 组织方法使用此计划并开始完成非技术先决条件。

组织