部署 Azure 登陸區域
本文討論可用來部署平台和應用程式登陸區域的選項。 平台登陸區域提供工作負載所使用的集中式服務。 應用程式登陸區域是針對工作負載本身所部署的環境。
重要
如需平台與應用程式登陸區域定義的詳細資訊,請參閱適用於 Azure 的雲端採用架構文件中的什麼是 Azure 登陸區域?。
本文涵蓋不同雲端作業模型的常見角色和責任。 其中也會列出平台和應用程式登陸區域的部署選項。
雲端作業模型角色和責任
雲端採用架構描述了四種常見的雲端作業模型。 如果您組織的雲端作業模型需要自訂的角色型存取控制,登陸區域的 Azure 身分識別和存取建議考慮使用五種角色定義 (角色)。 如果您的組織有更分散的作業,Azure 內建角色可能就已足夠。
下表概述每種雲端作業模型的主要角色。
| 角色 | 非集中式作業 | 集中式作業 | 企業作業 | 分散式作業 |
|---|---|---|---|---|
| Azure 平台擁有者 (例如內建擁有者角色) | 工作負載小組 | 中央雲端策略 | 卓越雲端中心 (CCoE) 中的企業架構師 | 根據產品組合分析。 請參閱商務一致性和商務承諾。 |
| 網路管理 (NetOps) | 工作負載小組 | 中央 IT | CCoE 中的中央網路 | 每個分散式小組的中央網路 + CCoE。 |
| 安全性作業 (SecOps) | 工作負載小組 | 安全性作業中心 (SOC) | CCoE + SOC | 混合。 請參閱定義安全性策略。 |
| 訂用帳戶擁有者 | 工作負載小組 | 中央 IT | 中央 IT + 應用程式擁有者 | CCoE + 應用程式擁有者。 |
| 應用程式擁有者 (DevOps、AppOps) | 工作負載小組 | 工作負載小組 | 中央 IT + 應用程式擁有者 | CCoE + 應用程式擁有者。 |
平台
下列選項提供部署及操作 Azure 登陸區域概念架構的固定方法,如雲端採用架構中所述。 根據自訂項目而定,產生的架構可能與此處所列的所有選項不同。 選項之間的差異在於您部署架構的方式。 他們使用不同的技術、採用不同的方法,並以不同的方式自訂。
| 部署選項 | 描述 |
|---|---|
| Azure 登陸區域入口網站加速器 | Azure 入口網站架構的部署會提供此概念架構的完整實作,以及主要元件的固定設定,例如管理群組和原則。 |
| Azure 登陸區域 Terraform 加速器 | 此加速器會提供協調器模組,也可讓您個別或部分地部署每個功能。 |
| Azure 登陸區域 Bicep 加速器 | 模組化加速器,其中每個模組都會封裝 Azure 登陸區域概念架構的核心功能。 雖然模組可以個別部署,但設計建議使用協調器模組來封裝使用模組部署不同拓撲的複雜性。 |
變體
| 部署選項 | 描述 |
|---|---|
| 主權登陸區域 | 主權登陸區域 (SLZ) 是企業規模的 Azure 登陸區域變體,適用於需要進階主權控制的組織。 |
操作 Azure 登陸區域
部署登陸區域之後,您必須操作和維護它。 如需詳細資訊,請參閱如何讓您的 Azure 登陸區域保持最新狀態的指引。
Azure 治理視覺化檢視旨在透過連接各點並提供複雜的報告,協助您取得技術 Azure 治理實作的整體概觀。
使用企業原則即程式碼 (EPAC) 的原則替代平台部署
企業原則即程式碼 (EPAC) 是在您的環境中部署、管理及操作 Azure 原則的替代方法。 您可以使用 EPAC 取代上述平台選項來管理 Azure 登陸區域環境中的原則。 如需整合方法的詳細資訊,請參閱整合 EPAC 與 Azure 登陸區域。
EPAC 最適合更進階且成熟的 DevOps 和基礎結構即程式碼客戶。 不過,任何規模的客戶都可以在評估 EPAC 之後使用 EPAC。 為了確定您的目標是否一致,請先參閱誰應該使用 EPAC?。
注意
請仔細評估並考慮這兩個選項。 在您決定要長期使用何者之前,或許可透過 MVP 或概念證明來執行。
訂閱自動販賣
平台登陸區域就緒之後,下一個步驟是建立和運作工作負載擁有者的應用程式登陸區域。 訂用帳戶大眾化是 Azure 登陸區域的設計原則,其使用訂用帳戶做為管理和規模單位。 此方法可加速應用程式移轉和新應用程式開發。
訂閱自動販賣會將您用來要求、部署及控管訂用帳戶的程序標準化。 它可讓應用程式小組更快速地部署其工作負載。 若要開始使用,請參閱訂閱自動販賣實作指引。 然後檢閱下列基礎結構即程式碼模組。 它們提供彈性以符合您的實作需求。
| 部署選項 | 描述 |
|---|---|
| Bicep 訂閱自動販賣 | 訂閱自動販賣 Bicep 模組的設計旨在加速 Enterprise 合約 (EA)、Microsoft 客戶合約 (MCA) 和 Microsoft 合作夥伴合約 (MPA) 計費帳戶上 Microsoft Entra 租用戶內的個別登陸區域 (也稱為訂用帳戶) 的部署。 |
| Terraform 訂閱自動販賣 | 訂閱自動販賣 Terraform 模組的設計旨在加速 EA、MCA 和 MPA 計費帳戶上 Microsoft Entra 租用戶內個別登陸區域 (也稱為訂用帳戶) 的部署 |
申請
應用程式登陸區域是部署為工作負載或應用程式環境的一個或多個訂用帳戶。 這些工作負載可以利用部署在平台登陸區域中的服務。 應用程式登陸區域可以是集中管理的應用程式、分散式工作負載,或裝載應用程式的 Azure Kubernetes Service (AKS) 等技術平台。
您可以使用下列選項,在應用程式登陸區域中部署和管理應用程式或工作負載。
| 申請 | 描述 |
|---|---|
| AKS 登陸區域加速器 | Azure Resource Manager (ARM)、Bicep 和 Terraform 範本的開放原始碼集合,代表 AKS 部署的策略設計路徑和目標技術狀態。 |
| Azure 登陸區域中的 Azure OpenAI 聊天基準架構 | 概述如何在 Azure 登陸區域內整合 Azure OpenAI 聊天應用程式,以利用集中式共用資源,同時遵循治理和成本效益,為工作負載小組提供部署和管理的指引。 |
| Azure App Service 登陸區域加速器 | 多組織用戶共享和 App Service 環境使用案例中經過證實的建議和考量,以及 ASEv3 型部署的參考實作。 |
| Azure API 管理登陸區域加速器 | 部署 APIM 管理經過證實的建議和考量,以及展示以內部 APIM 執行個體支援的 Azure Functions 做為後端之 Azure 應用程式閘道的參考實作。 |
| SAP on Azure 登陸區域加速器 | 使用 Azure 登陸區域最佳做法加速 SAP 工作負載部署的 Terraform 和 Ansible 範本,包括建立基礎結構元件,例如計算、網路、儲存體、監視以及建置 SAP 系統。 |
| HPC 登陸區域加速器 | Azure 中使用 Terraform、Ansible 和 Packer 等工具的端對端 HPC 叢集解決方案。 其可解決 Azure 登陸區域最佳做法,包括實作身分識別、Jumpbox 存取和自動調整。 |
| Azure VMware 解決方案登陸區域加速器 | 可加速 VMware 部署的 ARM、Bicep 和 Terraform 範本,包括 Azure VMware 解決方案私人雲端、Jumpbox、網路、監視和附加元件。 |
| Azure 虛擬桌面登陸區域加速器 | 可加速 Azure 虛擬桌面部署的 ARM、Bicep 和 Terraform 範本,包括建立主機集區、網路、儲存體、監視和附加元件。 |
| Azure Red Hat OpenShift 登陸區域加速器 | Terraform 範本的開放原始碼集合,代表包含 Azure 和 Red Hat 資源的最佳 Azure Red Hat OpenShift 部署。 |
| 混合式和多重雲端的 Azure Arc 登陸區域加速器 | 已啟用 Azure Arc 的伺服器、Kubernetes 和已啟用 Azure Arc 的 SQL 受控執行個體。 請參閱 Jumpstart ArcBox 概觀。 |
| Azure Spring Apps 登陸區域加速器 | Azure Spring Apps 登陸區域加速器適用於在一般登陸企業區域設計中建置和部署 Spring Boot 應用程式的應用程式小組。 身為工作負載擁有者,請使用此加速器中提供的架構指引,自信地達成您的目標技術狀態。 |
| Azure 上 Citrix 的企業級登陸區域 | Azure 企業級登陸區域中適用於 Citrix Cloud 雲端採用架構的設計指導方針涵蓋許多設計區域。 |
| Azure 容器應用程式登陸區域加速器 | 此 Azure 容器應用程式登陸區域加速器概述策略設計路徑,並定義部署 Azure 容器應用程式的目標技術狀態。 它是由專屬工作負載小組所擁有和操作。 |
| Azure 上的 Red Hat Enterprise Linux (RHEL) 登陸區域 | Azure 上的 Red Hat Enterprise Linux (RHEL) 登陸區域是架構指引和參考實作建議的開放原始碼集合,用來加速將 RHEL 架構工作負載移轉和部署至 Microsoft Azure 的作業。 |