你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 登陆区域是所有使用 Azure 的组织采用的标准化推荐方法。 它提供了一种一致的方式来大规模设置和管理 Azure 环境。 它通过与安全、合规性以及运营效率的关键要求对齐的平台和应用程序登陆区域,确保整个组织的一致性。 它们提供了一个精心构建的基础,符合八个设计领域的核心设计原则。
Azure 登陆区域体系结构
Azure 登陆区域体系结构可缩放且模块化,以满足各种部署需求。 可重复的基础结构可让你始终如一地对每个订阅应用配置和控制。 随着需求的发展,模块可以轻松部署和修改特定的 Azure 登陆区域体系结构组件。
Azure 登陆区域参考架构(见图 1)表示 Azure 登陆区域的指导性目标体系结构。 应将此参考体系结构用作起点, 并根据需求定制体系结构。
图 1:Azure 登陆区域参考体系结构。下载此体系结构的 Visio 文件 或 PDF 文件 。
设计区域: 参考体系结构说明了其八个设计领域之间的关系。 这些设计领域包括 Azure 计费和 Microsoft Entra 租户、标识和访问管理、管理组和订阅组织、网络拓扑和连接、安全性、管理、治理以及平台自动化和 DevOps。 有关设计区域的详细信息,请参阅 Azure 登陆区域环境设计区域。
资源组织: 参考体系结构显示示例管理组层次结构。 它按管理组组织订阅(黄色框)。 在“平台”管理组下的订阅负责托管组成平台着陆区的共享服务。 “登陆区域”管理组下的订阅表示应用程序登陆区域。 参考体系结构详细展示了五个订阅。 可以看到每个订阅中的资源和应用的策略。
平台登陆区域与应用程序登陆区域
Azure 登陆区域由一个平台登陆区域和一个或多个应用程序登陆区域组成。 这值得更详细地解释这两者的功能。
平台登陆区域: 平台登陆区域为应用程序登陆区域中的应用程序提供共享服务(标识、连接性、管理)。 合并这些共享服务通常会提高运营效率。 一个或多个中心团队在平台登陆区域中管理服务。 在参考体系结构(见图 1)中,“标识订阅”、“管理订阅”和“连接订阅”是平台登陆区域的组件。 参考体系结构描述了用于平台着陆区共享服务订阅的代表性资源和策略。
应用程序登陆区域: 应用程序登陆区域包含用于托管单个工作负荷/应用程序的资源。 工作负荷应在每个环境(开发、测试或生产)中设置应用程序着陆区。 每个应用程序登陆区域都包含一个或多个订阅,以满足缩放和服务限制的需求。 通过代码通过 订阅分发过程预先预配应用程序登陆区域订阅,而工作负荷团队负责将工作负荷组件部署到其应用程序登陆区域。
应用程序登陆区域嵌套在适当的管理组下,例如 Online ,或者 Corp,从父管理组继承 Azure Policy 定义。 此结构可确保工作负荷订阅以受控且一致的方式进行部署,同时仍可灵活地满足单个工作负荷需求。
在 Azure 登陆区域体系结构(见图 1)中,“登陆区域 A2 订阅”是应用程序登陆区域。 该体系结构描述了应用于“登陆区域 A2 订阅”的代表资源和策略。 平台团队使用“登陆区域 P1 订阅”来构建和部署支持多个应用程序登陆区域和团队的服务,例如 VM 映像存储库和容器注册表。 这些服务不是特定于应用程序的,订阅仍受应用程序登陆区域级别应用的治理策略的约束。
图 2:覆盖了应用程序登陆区域和平台登陆区域的 Azure 登陆区域参考体系结构。下载此体系结构的 Visio 文件 或 PDF 文件 。
管理应用程序登陆区域有三种主要方法。 应根据自己的需要,采用以下管理方法之一:
- 核心团队方法
- 应用程序团队方法
- 共享团队方法
| 应用程序登陆区域管理方法 | 说明 |
|---|---|
| 中心团队管理 | 中心 IT 团队全面运营登陆区域。 该团队将控件和平台工具应用于平台和应用程序登陆区域。 |
| 应用程序团队管理 | 平台管理团队将整个应用程序登陆区域委托给应用程序团队。 应用程序团队管理并支持该环境。 管理组策略可确保平台团队仍控制应用程序登陆区域。 你可以在订阅范围内添加其他策略,并使用替代工具部署、保护或监视应用程序登陆区域。 |
| 共享管理 | 借助 AKS 或 AVS 等技术平台,中心 IT 团队可以管理基础服务。 应用程序团队负责在技术平台上运行的应用程序。 你需要对此模型使用不同的控件或访问权限。 这些控件和权限不同于集中管理应用程序登陆区域时使用的控件和权限。 |
小窍门
可以在“建立通用订阅售货”产品行中查看有关不同类型的应用程序登陆区域的更多指南
应用程序登陆区域加速器
应用程序登陆区域加速器可帮助你在应用程序登陆区域订阅中部署常见工作负荷。 使用 Azure 体系结构中心中的可用应用程序登陆区域加速器列表,并部署与方案相匹配的加速器。
Azure 着陆区域中的人工智能
一个常见问题是,是否需要与 Azure 登陆区域一起使用专用 AI 登陆区域。 答案是,不需要单独的 AI 登陆区域。 而是使用现有的 Azure 登陆区域体系结构将 AI 工作负载部署到应用程序登陆区域。 Azure 登陆区域设计区域和原则足以支持 AI 工作负载,因为它们为包括 AI 和非 AI 组件和服务的应用程序和非 AI 组件和服务提供治理、安全性和管理的必要基础。
无需单独的 AI 登陆区域即可将 AI 服务集成到应用程序登陆区域。 Azure 登陆区域体系结构、设计原则和设计领域(例如标识和访问管理、网络拓扑和连接性、安全性和治理)已设计为容纳所有工作负载,包括涉及 AI 的工作负载。
从 Azure 登陆区域的角度来看,AI 只是另一种工作负载或服务,可以通过利用现有的 Azure 登陆区域体系结构、原则和设计区域,在一个或多个应用程序登陆区域订阅中部署、治理和保护,就像平台团队使用现有的 Azure 登陆区域体系结构、原则和设计区域一样。
有关 Azure 中的 AI 采用的详细信息,请参阅 AI 采用方案。 有关 AI 工作负载和登陆区域的具体重点,请参阅 “建立 AI 基础”。
部署和管理 Azure 登陆区域
可通过多种方式部署和管理平台登陆区域,这是 Azure 登陆区域的一部分(见上图),详见 登陆区域实现选项。 可以选择最适合组织需求和专业知识的方法。 有多个可用选项:
-
Azure 着陆区域基础设施即代码(IaC)加速器(建议的方法)
- 平台登陆区域的 Azure 验证模块 (AVM) - Terraform(如果需要,也可在加速器外部使用)
- 适用于平台登陆区域的 Azure 验证模块 (AVM) - Bicep(如果需要,也可在加速器外部使用)
- Azure 平台登陆区域门户加速器
强烈建议使用基础结构即代码(IaC)选项(例如 Bicep 或 Terraform),通过 Azure 登陆区域基础结构即代码 (IaC) 加速器部署和管理 Azure 登陆区域。 与门户加速器相比,这些选项提供更大的灵活性、可重复性和可伸缩性。
但是,如果你的组织在 IaC 中没有必要的专业知识,或者更喜欢更直观的方法,则门户加速器可能是一种合适的替代方法。 有关详细信息,请参阅 使用基础结构即代码更新 Azure 登陆区域 ,以帮助你了解 IaC 为何是首选方法。
后续步骤
查看 Azure 登陆区域背后的设计原则,了解它们如何引导安全且可缩放的环境。 如果已准备好部署,请浏览用于创建和管理登陆区域的可用实现选项。 有关常见问题的快速解答(例如,是否需要 AI 登陆区域或企业规模的差异),请查看常见问题解答。