在 Azure 中部署工作負載之前,請務必準備支援工作負載的基礎環境。 此基礎設定稱為 Azure 登陸區域 ,是建置 Azure 環境的建議起點。 Azure 登陸區域是一種結構化方法,可協助您從一開始就建置可調整、安全且受控管的雲端環境。
Azure 登陸區域可協助您解決重要考慮,例如身分識別和存取管理、客戶合約,以及核心平臺服務的設定。 它提供了一個一致的框架來組織共享基礎設施和特定於應用程式的資源。 此模型的核心是兩種類型的登陸區域:
平台登陸區域
平臺登陸區域可作為 Azure 環境的骨幹。 它會建立適用於整個組織的治理和中央服務。 其功能包括管理群組階層,並跨訂用帳戶強制執行 Azure 原則。 還有用於連接、身份、管理和安全共享服務的專用訂閱。
根據組織的規模和雲端成熟度,您可以選擇實作所有、部分或不實作這些集中式服務。 對於較小或雲端原生團隊,輕量型方法可能就足夠了。
應用程式登陸區域
應用程式著陸區用於工作負載資源。 工作負載應該具有每個環境的應用程式登陸區域 (開發、測試或生產) 。 每個應用程式登陸區域都包含一或多個訂用帳戶,以容納調整和服務限制。 它們會巢狀化在適當的管理群組下,例如 「線上」 或 「公司」,以從父管理群組繼承 Azure 原則 定義 () 。 此結構可確保以受控且一致的方式部署工作負載,同時仍可靈活地滿足個別工作負載需求。
套用至所有訂用帳戶的組態
無論訂用帳戶屬於平臺或應用程式登陸區域,都應該普遍啟用某些設定。 這些設定包括:Azure 角色型存取控制 (RBAC)、成本管理、網路監視,以及 Microsoft Defender for Cloud。 這些服務有助於維護整個 Azure 環境的可見度、安全性和作業控制。
Azure 登陸區域歷程
當您完成就緒指南時,請將您的進度視為建立完整運作的 Azure 登陸區域的旅程。 這個旅程分為四個主要階段,每個階段都有支援流程和工具:
1. 初始化您的環境
不論您是從頭開始(Greenfield,意即全新設置)或是將現有系統現代化(Brownfield,意即更新舊系統),第一步是建立會託管您資源的訂閱帳戶。 根據最佳做法實作新的 Azure 登陸區域環境通常需要多個訂用帳戶。 您可以手動、以程式設計方式或使用自動自動販賣模組建立這些訂閱:
2. 部署平臺登陸區域元件
接著,根據 Azure 登陸區參考架構加速平台資源的部署。 這些元件會建立治理和共用服務,例如管理群組階層、原則強制執行、連線、安全性和監視。 部署選項包括 Azure 入口網站、Bicep 和 Terraform:
3. 訂閱銷售流程
平台就緒之後,您必須在 Azure 租使用者內建立個別的應用程式登陸區域。 建議使用訂閱自動售貨解決方案來自動化此過程。 自動售貨機有助於部署訂閱以及網路等核心資源。 Bicep 和 Terraform 模組都可供使用:
4.部署應用程式登陸區域元件
最後,部署支援工作負載的元件。 多個應用程式登陸區域加速器可用來提供 Azure 虛擬桌面、SAP 和 Azure Kubernetes 等案例的參考架構和實作指引。 這些加速器可協助在 Azure 登陸中準備應用程式登陸區域。 請參閱 CAF 雲端採用案例。