部署 Azure 登陸區域
本文討論可用來部署平台和應用程式登陸區域的選項。 平台登陸區域提供工作負載所使用的集中式服務。 應用程式登陸區域是針對工作負載本身所部署的環境。
重要
如需平臺與應用程式登陸區域定義和實作的詳細資訊,請參閱 什麼是 Azure 登陸區域?在適用於 Azure 的雲端採用架構中。
本文涵蓋平臺和應用程式登陸區域的部署選項。
選擇平臺登陸區域方法
下列平臺部署選項提供部署及操作 Azure 登陸區域概念架構的有意見方法, 如雲端採用架構中所述。 根據自定義設置,此處列出的部署選項所產生的架構可能不相同。 平臺部署選項之間的差異取決於其使用不同技術的方式、採用不同方法,並以不同的方式自定義。
標準部署選項
標準部署選項可解決一般企業 Azure 使用量。
| Azure 平臺登陸區域部署選項 | 描述 |
|---|---|
| Azure 入口網站部署 | Azure 入口網站型部署,提供完整實作 Azure 登陸區域概念架構,以及管理群組和原則等重要元件的有意見設定。 |
| Bicep 部署 | 模組化的基礎結構即程式代碼型部署,其中每個 Bicep 模組都會封裝 azure 登陸區域概念架構的核心功能,。 雖然模組可以個別部署,但設計建議使用協調器模組來封裝使用模組部署不同拓撲的複雜性。 Bicep 部署支援 Azure 公用雲端、Azure China 21Vianet 區域和 Azure 美國政府雲端。 |
| Terraform 部署 | 此基礎結構即程式代碼型部署提供 Terraform 協調器模組,也可讓您個別或整體部署每個平臺功能。 |
變體和特製化
雖然 標準平臺部署選項 解決了典型的企業 Azure 使用情況,但有一些部署選項專注於特定的專業化。
| 部署選項 | 描述 |
|---|---|
| 主權登陸區域 | 主權登陸區域是 Azure 登陸區域的變體,適用於需要進階主權控制的組織。 |
合作夥伴實作
Azure Migrate 和現代化 等合作夥伴計劃可協助您設計和實作組織需求專屬的平臺登陸區域。 這些實作從 Azure 登陸區域概念架構 開始,並協助設計雲端採用策略、組織拓撲和所需結果的特定設定。
企業政策即程式碼(EPAC)用於政策管理
企業原則即程序代碼 (EPAC) 是跨組織 Azure 資產部署、管理及操作 Azure 原則的替代方法。 您可以使用 EPAC 代替 標準平台選項 來管理 Azure 登陸區域環境中的原則。 如需整合方法的詳細資訊,請參閱整合 EPAC 與 Azure 登陸區域。
企業原則即程式代碼最適合更進階且成熟的 DevOps 和基礎結構即程式代碼客戶。 不過,任何規模的客戶都可以在評估 EPAC 之後使用 EPAC。 為了確保您已對齊,請先參閱 誰應該使用 EPAC?。
注意
在您決定使用長期的方法之前,請先比較這兩種方法的生命週期和彈性。 從檢視預設實作中所提供的內建的政策管理開始,標準平台選項。 如果該實作似乎不適合您的治理需求,請使用 EPAC 執行 MVP 或概念證明。 在實施方法之前,您務必比較選項、驗證並確認您的選擇,因為一旦政策治理方法建立後,變更會是個複雜的過程。
操作 Azure 登陸區域
部署平臺登陸區域之後,您必須操作和維護它。 如需詳細資訊,請參閱如何讓您的 Azure 登陸區域保持最新狀態的指引。
Azure 治理視覺化工具
Azure 治理可視化工具 旨在透過整合資訊並提供全面的報告,協助您取得技術 Azure 治理實作的整體概觀。
訂閱自動販賣
平臺登陸區域和治理策略就緒之後,下一個步驟是針對工作負載擁有者建立和運作訂用帳戶的方式建立一致性。 訂用帳戶大眾化是 Azure 登陸區域的設計原則,其使用訂用帳戶做為管理和規模單位。 此方法可加速應用程式移轉和新應用程式開發。
訂閱管理標準化 標準化平臺小組供工作負載小組用來申請訂閱,以及平臺小組用來部署和管理這些訂閱的流程。 它可讓應用程式小組以一致且受控的方法存取 Azure,確保需求收集已完成。
組織也常有多種不同樣式的訂用帳戶,這些訂用帳戶可以出售到其租使用者中,通常稱為業界的「產品線」。 如需貴組織的建議「產品線」,請參閱 建立通用訂閱自動售貨產品線。
若要開始使用,請遵循 訂用帳戶自動售貨實作指引中的實作指引。 然後,檢閱下列基礎結構即程式代碼模組,以提供彈性以符合您的實作需求。
| 部署選項 | 描述 |
|---|---|
| Bicep 訂閱自動販賣 | 訂用帳戶自動售貨 Bicep 模組的設計目的是根據每個工作負載組態協調個別應用程式登陸區域的部署。 它們可以手動執行,或作為自動化的一部分。 |
| Terraform 訂閱自動販賣 | 這些模組會使用 Terraform 協調個別應用程式登陸區域的部署。 |
應用程式登陸區域架構
應用程式著陸區域包含一或多個訂用帳戶,這些訂用帳戶被部署為工作負載之應用程式小組資源的指定合規區域。 工作負載可以利用部署在平臺登陸區域中的服務,也可以與這些集中式資源隔離。 應用程式登陸區域應該用於集中管理的應用程式、應用程式小組所擁有的分散式工作負載,以及集中管理的裝載平臺,例如 Azure Kubernetes Service (AKS),這些平臺可以裝載多個業務單位的應用程式。 除非受到異常限制條件的強制,否則應用程式著陸區域訂閱只會包含來自單一工作負載或邏輯應用程式邊界的資源,例如其生命週期或重要性分類。
工作負載小組會透過平臺小組所建立的正式程式來傳達其工作負載的需求。 平臺小組通常會部署符合所有必要控管的空白訂用帳戶。 然後,工作負載架構設計人員會設計一個解決方案,讓其在應用程式著陸區的限制內運作,並在可行的情況下利用共享平台功能(例如防火牆和跨網域路由)。
架構設計人員可能會調整參考架構,而該參考架構並未特別針對應用程式著陸區進行設計。 不過,Microsoft Learn 也包含任務團隊的應用程式和資料平台指引,專門處理應用程式落地區域內容。 平臺小組應瞭解工作負載小組可用的指引,讓平臺小組可以預期組織中可能出現的工作負載類型和特性。
| 應用程式登陸區域架構 | 描述 |
|---|---|
| Azure App Service 環境 | 提供參考實作,跨多租戶和 App Service 環境使用案例的建議和考量。 |
| Azure API 管理 (APIM) | 部署內部 API 管理實例的證實建議和考量,作為參考實作的一部分。 此案例使用 Azure 應用程式閘道來提供安全的輸入控件,並使用 Azure Functions 作為後端。 |
| 適用於混合式和多重雲端案例的 Azure Arc | 已啟用 Azure Arc 的伺服器、Kubernetes 和已啟用 Azure Arc 的 SQL 受控執行個體。 |
| Azure Container Apps | 此 Azure Container Apps 指引概述策略設計路徑,並定義部署 Azure Container Apps 的目標技術狀態。 專用的工作負載小組擁有並操作此平臺。 |
| Azure Data Factory | 瞭解如何採用傳統的 獎牌湖屋,並將它裝載在應用程式登陸區域內。 |
| Azure OpenAI 聊天工作負載 | 概述如何在 Azure 登陸區域中整合典型的 Azure OpenAI 聊天應用程式,以利用集中式共用資源,同時遵循治理和成本效益,提供部署和管理工作負載小組的指引。 |
| Azure Kubernetes Service (AKS) | 指引和相關基礎結構即程式代碼範本,代表在應用程式登陸區域內執行的AKS部署策略設計路徑和目標技術狀態。 |
| Azure Red Hat OpenShift | Terraform 範本的開放原始碼集合,代表包含 Azure 和 Red Hat 資源的最佳 Azure Red Hat OpenShift 部署。 |
| Azure Synapse Analytics | 為 Azure Synapse Analytics 的典型企業部署準備應用程式登陸區域的架構方法。 |
| Azure 虛擬桌面 | 設計 Azure 虛擬桌面部署時應該參考的 ARM、Bicep 和 Terraform 範本,包括建立主機集區、網路、記憶體、監視和附加元件。 |
| Azure 虛擬機器 | 此架構會將 Azure 虛擬機 (VM) 基準架構 的指導方針延伸至應用程式登陸區域,並提供訂用帳戶設定、修補程式合規性和其他組織治理考慮的指引。 |
| Azure VMware 解決方案 | 設計 VMware 部署時很有用的 ARM、Bicep 和 Terraform 範本,包括 Azure VMware 解決方案私人雲端、跳躍方塊、網路、監視和附加元件。 |
| Citrix 在 Azure 上 | Azure 企業級登陸區域中適用於 Citrix Cloud 雲端採用架構的設計指導方針涵蓋許多設計區域。 |
| Azure 上的 |
Azure 上的 Red Hat Enterprise Linux (RHEL) 登陸區域是一組開放原始碼的架構指引和參考實作建議,用於在 Microsoft Azure 上設計 RHEL 型工作負載。 |
| 高效能計算 (HPC) 工作負載 | Azure 中使用 Terraform、Ansible 和 Packer 等工具的端對端 HPC 叢集解決方案。 它涵蓋了 Azure 登陸區域設計的最佳實踐,包括執行身分識別、跳板機存取,以及自動調整。 |
| 任務關鍵性工作負載 | 解決分類為任務關鍵性工作負載的設計方式,以在應用程式登陸區域內執行。 |
| SAP 工作負載 | 針對符合 Azure 登陸區域最佳做法的 SAP 工作負載提供指引和建議。 提供建立基礎結構元件的建議,例如計算、網路、記憶體、監視和建置 SAP 系統。 |
工作負載通常是各種技術和分類的集合。 建議您檢閱工作負載中所有技術的相關參考數據。 例如,瞭解 Azure OpenAI 聊天和 Azure API 管理中的指引,對於瞭解您的產生 AI 案例是否受益於新增 API 閘道非常重要。