共用方式為

建立常見的 訂閱自動販賣 生產線

  • 發行項

訂用帳戶自動販賣可協助組織達到 Azure 登陸區域的訂用帳戶民主化設計原則 ,這對於 Azure 環境的一致調整、安全性和治理至關重要。 訂閱自動售貨也可協助組織符合 平臺工程原則。 如需詳細資訊,請參閱 採用產品思維 ,並使用 護欄讓開發人員能夠透過自助。

許多組織都難以讓應用程式小組有彈性地有效地提供工作負載和服務。 其中一個關鍵障礙是缺乏標準化的 訂閱自動販賣 方法,這可能導致混淆、延遲和效率低下。

本文探討平臺小組如何建立一般 訂閱自動販賣 生產線,以滿足各種應用程式小組的各種需求。 本文討論提供各種產品線的優點,並提供以實際客戶部署為基礎的常見案例範例。 您也會了解為什麼 訂閱自動販賣 沒有「一個大小適合」的設計,以及為何您必須為應用程式小組提供各種生產線。

下圖顯示 Azure 環境中管理群組和訂用帳戶的組織。

此圖顯示 Azure 環境中管理群組和訂用帳戶的組織。

下列指引說明為何您可能需要各種產品線,並說明使用 Azure 登陸區域和 訂閱自動販賣 的客戶的產品線範例。

利用各種產品線

應用程式小組傳遞工作負載和服務所需的訂用帳戶有許多類型和樣式。 在應用程式小組之外,您的組織可能會有其他需要使用 Azure 訂用帳戶的需求,例如各種合規性和數據處理規則或架構模式。

當您決定組織設計和實作 訂閱自動販賣 的方法時,請考慮提出下列問題:

  • 平臺小組應該在 訂閱自動販賣 程式中出售哪些其他資源?

  • 針對每個應用程式小組,您預設會部署多個訂用帳戶,例如每個環境一個訂用帳戶嗎?

  • 針對每個應用程式,您預設會對等互連或將輪輻虛擬網路連線回連線中樞嗎?

  • 您應該如何在每個訂用帳戶內建構角色型存取控制 (RBAC) ?

  • 您應該如何控管和控制您在訂用帳戶內使用的架構或原型的資源和樣式?

您無法使用您出售的任何單一訂用帳戶類型或訂用帳戶樣式,解決每個應用程式和平臺小組的獨特需求。平臺小組必須讓應用程式小組彈性地從多個訂用帳戶類型和樣式中選擇,小組可以透過自助系統向他們出售這些訂用帳戶。 這些類型的訂用帳戶稱為 產品線

只提供「一個大小適合所有」方法的組織,訂閱自動販賣 通常會限制其內部客戶的彈性。 例如,缺乏彈性可能會限制應用程式小組的架構設計選擇,而且可能會因為其被出售而造成危害。

因此,平臺小組需要提供各種產品線,以滿足其組織的需求。 這種彈性可確保消費者可以選擇最符合其需求的生產線。

管理應用程式環境

貴組織必須管理應用程式小組的應用程式環境,作為 訂閱自動販賣 程式和實作的一部分。 不過,您也應該提供彈性,讓應用程式小組可以管理其應用程式環境,例如開發/測試/生產環境,以及他們傳遞應用程式時想要的方式。 如需詳細資訊,請參閱 環境、訂用帳戶和管理群組

某些 Azure 服務提供原生功能,以協助隔離單一 Azure 訂用帳戶中單一資源實例內的環境,例如 Azure App 服務 其部署位置功能。 此範例會強制應用程式小組使用不同的訂用帳戶,因此小組無法利用 Azure 所提供的完整功能服務集。 個別訂用帳戶也可以增加應用程式傳遞成本,包括作業和維護額外負荷。

設計 訂閱自動販賣 的通用產品線

既然您已瞭解平臺小組必須為其 Azure 平臺的取用者提供多個 Azure 訂用帳戶類型和樣式或產品線,本節將說明您可以跨產業和國家或地區使用的數個常見產品線。

您的平臺小組應使用這些常見的 訂閱自動販賣 生產線作為基準。 您的小組可以現裝提供多個選項給其取用者,這符合客戶平臺工程原則的優先順序。 這種方法可讓內部客戶自由使用 Azure 登陸區域 設計原則設計區域建議 ,以提供其工作負載和服務,並提供 Azure 平臺控管。

注意

使用這些範例作為起點。 您可以自定義並擴充這些產品線,以符合組織的需求。

訂閱自動販賣 的常見產品線包括:

  • 已連線的公司:需要透過連線訂用帳戶,將傳統第 3 層 IP 路由連線至其他應用程式和內部部署環境的工作負載。

  • 在線:透過新式連線服務和架構與其他應用程式連線的工作負載,例如 Azure Private Link,或透過每個應用程式的公開 API 或端點進行互動。

  • 技術平臺:建置平臺的工作負載,您可以建置其他應用程式。 例如,AKS 平臺小組管理的 Azure Kubernetes Service (AKS) 叢集車隊可以代表其他應用程式小組在其 AKS 叢集內裝載其他應用程式。

  • 共用應用程式組合:針對一組常用的緊密結合應用程式,在同一個應用程式小組之間共用工作負載。 您不想自行或裝載任何特定工作負載的應用程式。

  • 沙箱:應用程式小組可以建置概念證明(PoC)或最低可行產品(MVP)的區域,並施加較少的控件,讓小組可以從可用的 Azure 服務類別目錄來提升開發、發明和自由,以建置最佳的可能應用程式。

公司連線的產品線

公司連線的生產線也稱為內部或私人產品線,適用於應用程式登陸區域 訂閱自動販賣 透過傳統第 3 層 IP 方法提供連線能力。 您可以使用此產品線來提供下列資源之間的連線:

  • 在相同的應用程式登陸區域中。

  • 在不同的公司連線應用程式登陸區域,透過 Azure 防火牆或網路虛擬裝置 (NVA) 。

  • 透過 Azure ExpressRoute 或 VPN 連線,在內部部署或不同雲端中。

使用 訂閱自動販賣 的組織通常會納入此產品線,因為它與大部分內部部署環境目前的運作方式緊密一致。 不過,當您需要時,您應該只使用公司連線的產品線。 建議您在可以時偏好更現代化的雲端原生方法,例如在線產品線。

提示

如需公司與在線工作負載之間差異的相關信息,請參閱 連線能力、公司與在線管理群組的用途為何?

下圖顯示公司連線 訂閱自動販賣 生產線的範例。 您可以將此設定用於中樞和輪輻網路模型,以協助有效管理網路流量和原則。

此圖顯示公司連線 訂閱自動販賣 生產線的範例。

使用公司連線產品線的時機

在下列情況下,請使用公司聯機的產品線:

  • 您要根據 合理化的五個 Rs 來執行重新載入和重構移轉和應用程式建置。

  • 您想要在 Azure 中開始旅程,並熟悉類似的內部部署架構。

  • 您想要將應用程式「隨即轉移」至 Azure。

  • 您想要將應用程式隔離到自己的登陸區域訂用帳戶,並從零信任轉向微分割原則,以增強工作負載之間的安全性,而不需要重新架構應用程式以完全雲端原生。

請記下公司連線產品線的下列其他考慮:

  • 您的平臺小組可以將虛擬網路傳送至應用程式登陸區域訂用帳戶,並將虛擬網路對等互連至區域中樞虛擬網路或 Azure 虛擬 WAN 中樞。 然後,您的小組可以使用IP位址管理 (IPAM) 工具來控制IP位址配置。

  • 平臺小組通常不會將子網或任何其他資源傳送至虛擬網路。 相反地,平臺小組會將這些活動指派給應用程式小組,讓他們可以設計應用程式網路的方式。

  • 平臺小組會使用指派給訂用帳戶上方管理群組的 Azure 原則來強制執行所需的行為,例如連結至每個子網的標準化網路安全組(NSG)。 應用程式小組會繼承此 Azure 原則,且無法加以編輯。 此方法遵循訂用帳戶民主化的 Azure 登陸區域設計原則。

在線產品線

在線產品線也稱為外部或公用產品線,適用於應用程式登陸區域 訂閱自動販賣 不會透過其他應用程式登陸區域或透過 ExpressRoute 或 VPN 連線,透過傳統第 3 層 IP 方法,透過其他應用程式登陸區域或內部部署的資源之間提供連線。 相同在線應用程式登陸區域訂用帳戶中的資源可以使用虛擬網路,透過第 3 層 IP 方法彼此通訊。 但虛擬網路通常不會與區域連線中樞或其他應用程式登陸區域對等互連。

相反地,您可以透過下列資源之間的公用介面提供連線能力:

  • 在不同的應用程式登陸區域中。

  • 內部部署。

  • 在不同的雲端中的工作負載中。

您可以使用網路控制、驗證功能和授權功能來保護連線,這些功能是由您用來建構應用程式的各種平臺即服務 (PaaS) 解決方案所公開。

您可以在 在線應用程式登陸區域訂用帳戶之間使用 Private Link 服務和 Azure 私人端點 ,在應用程式之間啟用和公開私人的第 3 層連線。 您也可以在應用程式登陸區域內使用的 PaaS 服務之間使用此方法,以防止使用這些 PaaS 服務的公用介面進行安全性或法規控制。

您也可以搭配私人端點使用 Private Link 服務,公開和發佈您在在線應用程式登陸區域內裝載的應用程式,並將其發佈至公司連線的應用程式登陸區域、內部部署位置或其他雲端。 您可以將私人端點放在公司連線的應用程式登陸區域或直接放在連線中樞,然後透過傳統第 3 層連線方法授與這些私人端點的存取權,例如虛擬網路對等互連、ExpressRoute 連線或 VPN 連線。

將在線應用程式登陸區產品線視為孤立的島嶼。 根據預設,唯一可以存取訂用帳戶內資源的資源是您在相同在線應用程式登陸區域訂用帳戶內部署的資源。 如先前所述,您可以使用本文中的技術,擴充與其他應用程式登陸區域、內部部署位置或其他雲端的連線能力。

提示

如需公司與在線工作負載之間差異的詳細資訊,請參閱 連線能力、公司與在線管理群組的用途為何?

下圖顯示在線 訂閱自動販賣產品線的範例。

顯示在線 訂閱自動販賣 產品線範例的圖表。

何時使用在線產品線

當您想要下列專案時,請使用線上產品線:

  • 根據 合理化的五個 Rs,重構、重新架構、重建和執行移轉和應用程式建置。

  • 為應用程式小組提供完全民主化的應用程式登陸區域,即使是關於網路設定也一起使用。

  • 利用雲端原生服務和架構。

  • 大幅增強與零信任原則的一致性。

  • 使用公司連線的產品線,但私人IP位址空間無法使用或有限。

Tech 平台產品線

使用技術平臺的小組,例如 Azure VMware 解決方案 或 Azure 虛擬桌面,應實作技術平台產品線。 技術平台產品線基本上是 訂閱自動販賣 生產線,更符合高度的技術需求。 您可以使用技術平臺產品線來裝載及管理大型且複雜的工作負載,這些工作負載通常會為組織中其他數個應用程式小組裝載多個應用程式。 如果您的應用程式小組只管理應用程式元件,而不是基礎技術平臺部分,請使用此產品線。

提示

若要進一步瞭解此產品線,請考慮下列範例。 技術平臺小組,例如 AKS 小組,旨在將 AKS 作為受控服務提供給其他需要在 AKS 平臺上執行其應用程式的應用程式小組。 AKS 技術平臺小組提供 AKS 的管理、維護、安全性和設定。 因此,應用程式小組只會維護其應用程式,並將其部署在平臺上。

您可能會在技術平台產品線中包含下列產品:

  • App Service 環境,通常是透過個別的 App Service 方案。

  • AKS,通常是透過一或多個叢集內的命名空間。

  • Azure VMware 解決方案 叢集或主機上的 Azure 虛擬機器

  • Azure 虛擬桌面 可為整個組織提供虛擬桌面或應用程式。

您可以根據小組想要為組織中的其他應用程式小組提供服務的技術平臺需求,在公司連線在線產品線中包含這些產品。

共用應用程式組合

應用程式登陸區域的共用應用程式群組產品線 訂閱自動販賣 適用於不需要數個個別應用程式登陸區域訂用帳戶的工作負載,這些應用程式可能只從少數 Azure 資源建構。

您的應用程式小組和部門可以使用此產品線來裝載數個小型應用程式或共用元件,例如記憶體帳戶或 SQL Server。 小組在單一訂用帳戶或少數訂用帳戶中,在數個自己的應用程式之間共用這些元件。

重要

一個常見的小組擁有您在此產品線下販賣的訂用帳戶。 此小組會管理您為此產品線在此訂用帳戶中部署之應用程式的相關組合。 請勿將此產品線用於具有不同應用程式群組擁有者之不相關的應用程式工作負載的一般部署。

如果您的組織變更為單一訂用帳戶,並使用資源群組來委派存取權,請仔細規劃,以確保持續彈性、訪問控制、控管及維護性。

如果您在多個小組之間的單一訂用帳戶中考慮資源群組委派,請在做出最終決策之前考慮下列考慮:

區域 考量
相關應用程式組合的一般擁有權 - 擁有共同擁有者,例如部門的業務單位,管理應用程式以簡化變更管理,使其保留在相同實體的核准範圍內。

- 確定工作負載會遵循訂用帳戶之間的一致原則指派,包括記錄、監視和安全性。
法規合規性 - 使用 IAM 和 Azure 原則來建立具有法規合規性需求的工作負載訂用帳戶,包括國家標準與技術研究院(NIST)、因特網安全性中心(CIS)、支付卡產業安全性標準委員會(PCI SSC)、產業需求和區域需求。 如需詳細資訊,請參閱 量身打造 Azure 登陸區域

- 針對使用隱私權和數據處理需求的工作負載建立訂用帳戶以進行治理。 個別訂用帳戶可減少存取。
Azure 原則 將 Azure 原則的範圍設定為管理群組、訂用帳戶、資源群組和資源。 當您在資源群組中部署資源時,請在高範圍層級指派 Azure 原則,以有效率地治理。

當您在資源群組範圍層級管理 Azure 原則 時,請考慮下列條件約束:
- 當您將新的資源群組新增至訂用帳戶時,增加建立 Azure 原則 指派的管理額外負荷

- 當您管理原則指派的變更時增加工作負載

- 當您未立即將原則指派給資源群組時,增加安全性和治理差距

- 減少在高範圍匯總合規性狀態的能力,例如管理群組和訂用帳戶
訂用帳戶限制 - 檢查限制,以確保應用程式不會達到防止成長的硬性限制。 每個訂用帳戶都有 Azure 服務的軟式和硬性限制。

- 為預期符合訂用帳戶限制之大型成長模式的應用程式建立個別訂用帳戶。

- 請勿與來自不同業務單位或部門的應用程式小組共用訂用帳戶,以避免 發生吵雜的鄰近 問題。
Azure 服務和功能對齊 您可以在單一資源群組內部署提供基本 Azure 服務基本類型的服務,例如 虛擬機器、虛擬網路和簡單的 PaaS 服務。 但是,新式複合供應項目的複雜性可能需要您將這些更複雜的服務部署在單一資源群組的界限之外。 針對這些部署案例,請使用本文稍早所述的其他民主化訂用帳戶方法。
只有平臺小組可以建立資源群組 當您跨業務單位或部門在各種應用程式小組之間共用訂用帳戶時,您可能會限制任何小組在共用訂用帳戶中建立新資源群組的能力。

此限制會限制資源群組的蔓延。 只有平臺小組可以建立及控管新的資源群組。

此方法會增加 RBAC 指派的複雜性,並增加對平臺小組的相依性,以管理應用程式部署,這可能會阻礙應用程式小組的靈活度和授權能力。

您可以將您出售的訂用帳戶放在 Corp 或 Online 管理群組之下的共用應用程式公事包產品線中。 此方法與 Azure 登陸區域預設建議的階層一致。 或者,如果您的組織管理群組階層遵循量身打造 Azure 登陸區域架構中的 指引,以符合需求,您可以將訂用帳戶放在新的管理群組之下。

下圖顯示共用應用程式組合 訂閱自動販賣產品線的範例。

此圖顯示共用應用程式組合 訂閱自動販賣 產品線的範例。

如果下列狀況,請使用共用應用程式公事包產品線:

  • 您的應用程式小組必須提供數個應用程式共用的小型資源或元件,但元件無法直接放入任何專用的應用程式登陸區域。

  • 您有資源或元件,您需要在相同部門的應用程式之間共用,但元件無法直接放入任何專用的應用程式登陸區域。

  • 技術平臺小組想要裝載受管理的大型共用服務,例如AKS、Azure 虛擬桌面和 Azure VMware 解決方案,讓其他應用程式小組可以在服務上使用或裝載其應用程式。

沙箱

針對應用程式登陸區域使用沙箱產品線 訂閱自動販賣,協助提供安全、輕控且可見的測試區域,以在 Azure 中建置 PoC 或 MVP。

如需詳細資訊,請參閱登陸區域沙盒環境和在 Azure 登陸區域中管理應用程式開發環境。

沙箱通常是限時或預算限制,這表示沙箱具有時間限制或預算限制。 在這些情況下,您必須擴充或移除沙箱並解除委任。

如果您的組織未為應用程式小組或其他人員提供沙盒產品線,以測試及實驗 Azure 中的服務,小組可能會求助於 影子 IT 設定。 若是如此,您的組織可能會難以提供報告和可見度,並將治理套用至商務使用者在您平臺小組控制與監督之外建立的訂用帳戶。

您的平臺小組必須為貴組織的使用者和小組提供容易存取、最好是自助,以及自動核准沙盒訂用帳戶的存取權。 提供使用者和小組存取平臺小組可檢視及控管的環境,以防止 平臺小組無法存取或控制的影子IT 環境,進而造成風險。

沙箱通常會遵循在線產品線訂用帳戶的網路設定方法,因為您不會將它們對等互連至沙箱訂用帳戶界限以外的其他虛擬網路。 沙箱通常也有額外的控件,以防止混合式連線到內部部署位置或其他位置。 使用這些控制件,讓未知的來源無法從沙箱將數據外流至未核准的位置。 您可以使用 Azure 原則來強制執行這些控制件。

就像共用的應用程式群組和技術平臺產品線一樣,您也可以在相同部門的小組之間共用沙盒產品線,但考慮相同。 請勿建立單一沙盒訂用帳戶,並透過資源群組在小組之間共用。 請改為建立其他沙箱訂用帳戶。

如果您需要為想要在 Azure 中實驗、建立 PoC 或建立 MVP 的組織中任何人提供安全、安全且受控的 Azure 訂用帳戶,請使用沙箱產品線。 您必須輕視管理這些使用者,並授與他們存取所有服務的存取權,以防止 影子 IT 做法。

摘要和外賣

本文概述可協助您流覽複雜 訂閱自動販賣 程式並移至實作的規範性指引。

決定未來應用程式小組的需求,以選擇最適合其 訂閱自動販賣產品線。 識別您建置或移轉的初始工作負載集需求,以協助排定您想要透過自助介面啟用和公開的 訂閱自動販賣 產品線的優先順序。

每個生產線都有實作成本和維護成本。 評估長期成本與長期權益和使用方式。

客戶一開始通常會啟用下列 訂閱自動販賣 生產線:

其他資源

若要進一步支援您的平臺工程方法,請在設計及實作組織的 訂閱自動販賣產品線和供應專案時,檢閱下列資源:

後續步驟

為了獲得最佳結果,您應該盡可能自動化 訂閱自動販賣 程式。 使用關於實作 訂閱自動販賣 自動化的隨附指引。

訂閱自動售貨實作指引