你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
纵向扩展 Azure 开发测试实验室基础结构
在企业范围内协调开发测试实验室的成功实施需要考虑关键的决策点,并规划一种方法来快速部署和实施 Azure 开发测试实验室。
本文将介绍规划实施方法时要考虑的关键决策点,并提供建议的部署方法。
关键决策点
在以企业规模实施开发测试实验室之前,有几个关键的决策点。 组织大致了解这些决策点有助于将来做出设计决策。 但是,这些要点不应阻碍组织的概念证明工作。
初始纵向扩展规划的三个首要方面包括:
- 网络和安全性
- 订阅拓扑
- 角色和职责
网络和安全性
网络和安全性是所有组织的基石。 尽管企业范围的部署所需的分析要深入得多,但成功实现概念证明所要满足的要求较少。 部分重要关注面包括:
- Azure 订阅 - 若要部署开发测试实验室,必须有权访问 Azure 订阅,并且有权创建资源。 可通过多种方法获取 Azure 订阅的访问权限,包括企业协议和即用即付。 有关获取 Azure 订阅访问权限的详细信息,请参阅为企业获得 Azure 许可。
- 本地资源的访问权限 - 某些组织要求开发测试实验室中的资源有权访问本地资源。 需要建立从本地环境到 Azure 的安全连接。 在开始之前,设置和配置 VPN 或 Azure ExpressRoute 连接非常重要。 有关详细信息,请参阅虚拟网络概述。
- 其他安全要求 - 计算机策略、访问公共 IP 地址、连接到 Internet 等其他安全要求是在实施概念证明之前可能需要审查的方案。
订阅拓扑
在企业中部署开发测试实验室时,订阅拓扑是关键的设计考虑因素。 但是,只有在完成概念证明之后,才需要强化所有决策。 评估企业实施方案所需的订阅数时,存在两种极端:
- 整个组织只有一个订阅
- 用户各有订阅
接下来,我们将重点分析每种方法的优势。
一个订阅
通常,采用一个订阅的方法在大型企业中不易管理。 但是,限制订阅数可提供以下优势:
- 预测企业的成本。 使用单个订阅能使预算变得非常容易,因为所有资源都在一个池中。 使用此方法可以在计费周期内的任何给定时间更方便地决定何时行使成本控制措施。
- VM、项目、公式、网络配置、权限和策略等的“管理”更轻松,因为只需在一个订阅中完成所有更新,而不用在许多订阅中进行更新。
- 对于要求使用本地连接的企业而言,单个订阅中的网络工作可以简化。 使用添加的订阅时,必须跨订阅连接虚拟网络(中心辐射模型),这就需要更多配置、管理和 IP 地址空间。
- 每个人在同一订阅中操作可以简化团队协作。 例如,可以更轻松地将 VM 重新分配给同事或共享团队资源。
用户各有订阅
从备选范围来看,每个用户使用单独的订阅可以提供均等的机会。 使用多个订阅的优势包括:
- Azure 缩放配额不会阻碍采用。 例如,在撰写本文时,Azure 允许为每个订阅创建 200 个存储帐户。 Azure 中的大多数服务都有运行配额(有些服务可自定义,有些则不可以)。 在用户各有订阅模型中,达到大部分配额的可能性很低。 有关当前 Azure 缩放配额的详细信息,请参阅 Azure 订阅和服务限制、配额与约束。
- 组或单个开发人员的费用分摊会容易得多,使组织能够使用其当前模型考量成本。
- 开发测试实验室环境的所有权和权限非常简单。 为开发人员授予订阅级访问权限,他们将完全负责所有工作,包括网络配置、实验室策略和 VM 管理。
企业可能对选择范围的极端施加了足够的约束。 因此,可能需要在这些极端的中间位置设置订阅。 作为最佳做法,组织的目标应该是尽量少用订阅。 同时注意会增加订阅总数的外力因素。 重申一下,订阅拓扑对于企业部署开发测试实验室至关重要,但不应延缓概念证明。 有关如何在组织中确定订阅和实验室粒度的监管文章提供了更多详细信息。
角色和职责
开发测试实验室概念证明包括三个界定了职责的主要角色 – 订阅所有者、开发测试实验室所有者、开发测试实验室用户和可选的参与者。
- 订阅所有者 - 订阅所有者有权管理 Azure 订阅,包括分配用户、管理策略、创建和管理网络拓扑、请求提高配额。 有关详细信息,请参阅此文章。
- 开发测试实验室所有者 – 开发测试实验室所有者对实验室拥有完全管理访问权限。 此人负责添加/删除用户、管理成本设置、常规实验室设置和其他基于 VM/项目的任务。 实验室所有者还拥有开发测试实验室用户的所有权限。
- 开发测试实验室用户 – 开发测试实验室用户可以在实验室中创建和使用虚拟机。 这些人可以在他们创建的 VM 上执行一些很次要的管理功能(启动/停止/删除/配置其 VM)。 这些用户不能管理其他用户的 VM。
安排实现开发测试实验室
本部分提供快速部署和实施 Azure 开发测试实验室的建议方法。 下图突出显示了整个过程(规范性指导),同时反映了支持各种行业要求和方案的灵活性。
假设
本文假设在实施开发测试实验室试验之前已准备好以下各项:
- Azure 订阅:试点团队有权在 Azure 订阅中部署资源。 如果工作负荷仅仅是开发和测试,则我们建议选择企业开发测试套餐,以获得更多可用映像并降低 Windows 虚拟机的费用。
- 本地访问:已根据需要配置本地访问。 可以通过站点到站点 VPN 连接或 Express Route 实现本地访问。 通过需要花费几周时间才能建立 Express Route 连接,因此,我们建议在启动项目之前事先部署好 Express Route。
- 试点团队:确定了使用开发测试实验室的初始开发项目团队以及适用的开发或测试活动,并为这些团队建立了要求/目标。
里程碑 1:建立初始网络拓扑和设计
部署 Azure 开发测试实验室解决方案时,第一个侧重点是为虚拟机建立计划的连接。 以下步骤概述了所需的过程:
- 定义分配到 Azure 中开发测试实验室订阅的初始 IP 地址范围。 此步骤需要预测 VM 的预期使用数量,以便能够为将来的扩展提供足够大的区块。
- 确定开发测试实验室的所需访问方法(例如外部/内部访问)。 此步骤的一个要点是确定虚拟机是否有公共 IP 地址(即,是否可从 Internet 直接访问)。
- 确定并规定其他 Azure 云环境和本地的连接方法。 如果启用了通过 Express Route 进行强制路由,则虚拟机可能需要相应的代理配置才能遍历企业防火墙。
- 如果 VM 要加入域,请确定它们是要加入基于云的域(例如 Microsoft Entra 目录服务)还是本地域。 如果加入本地域,请确定虚拟机要加入 Active Directory 中的哪个组织单位 (OU)。 此外,确认用户是否有权执行加入(或者建立一个可在域中创建计算机记录的服务帐户)
里程碑 2:部署试点实验室
准备好网络拓扑后,可执行以下步骤来创建第一个/试点实验室:
- 创建初始开发测试实验室环境。
- 确定允许在实验室中使用的 VM 映像和大小。 确定是否可将自定义映像上传到 Azure,以便在开发测试实验室中使用。
- 通过为实验室(实验室所有者和实验室用户)创建初始 Azure 基于角色的访问控制 (Azure RBAC) 来保护对实验室的访问。 我们建议对开发测试实验室的标识结合使用同步的 Active Directory 帐户和 Microsoft Entra ID。
- 将开发测试实验室配置为使用计划、成本管理、可认领 VM、自定义映像或公式等策略。
- 建立 Azure Repos/Git 等联机存储库。
- 确定是要使用公共存储库、专用存储库,还是两者的组合。 组织用于部署和长期保留的 JSON 模板。
- 根据需要创建自定义项目。 此步骤是可选的。
里程碑 3:文档、支持、学习和改进
初始试点团队可能需要深入的支持才能入门。 他们可以凭经验来确保提供正确的文档和支持,以便持续实施 Azure 开发测试实验室。
- 向试点团队介绍新的开发测试实验室资源(演示、文档)
- 基于试点团队的经验,根据需要规划和交付文档
- 将新团队入职过程(创建和配置实验室中、提供访问权限等)正式化
- 根据最初的领会,验证 IP 地址空间的原始预测是否仍然合理且准确
- 确保已完成相应的合规性与安全性评审
后续步骤
参阅本系列教程的下一篇文章:Azure 开发测试实验室基础结构的监管