Azure 登陸區域是所有使用 Azure 的組織的標準化和建議方法。 它提供一致的方式來大規模設定和管理 Azure 環境。 它會透過 平臺和應用程式登陸區域,與安全性、合規性和作業效率的關鍵需求保持一致,以確保整個組織的一致性。 它們提供了一個與八個設計領域的核心設計原則一致的良好架構基礎。
Azure 登陸區域架構
Azure 登陸區域結構可調整且模組化,可滿足各種部署需求。 可重複的基礎結構可讓您一致地將組態和控件套用至每個訂用帳戶。 隨著需求的變化,模組可以讓您輕鬆部署和修改特定的 Azure 登陸區域結構元件。
Azure 著陸區參考架構(見圖 1)代表了你 Azure 著陸區的一個有主見的目標架構。 你應該以這個參考架構作為起點,並 根據需求調整架構。
圖 1:Azure 著陸區參考架構。下載此架構的 Visio 檔案 或 PDF 檔案 。
設計領域: 參考架構展示了其八個設計區域之間的關係。 這些設計區域包括 Azure 計費和Microsoft Entra 租使用者、身分識別和存取管理、管理群組和訂用帳戶組織、網路拓撲和連線能力、安全性、管理、治理和平臺自動化和 DevOps。 如需設計區域的詳細資訊,請參閱 Azure 登陸區域環境設計區域。
資源組織: 參考架構顯示樣本管理群組階層結構。 它會依管理群組組織訂用帳戶(黃色方塊)。 在「平台」管理群組下的訂用帳戶,裝載了構成平台著陸區的共用服務。 「登陸區域」管理群組下的訂用帳戶代表應用程式登陸區域。 參考架構詳細列出五個訂閱。 您可以查看每個訂用帳戶中的資源,以及套用的原則。
平臺登陸區域與應用程式登陸區域
Azure 登陸區域包含一個平臺登陸區域和一或多個應用程式登陸區域。 值得更詳細地說明兩者的功能。
平台登陸區: 平臺登陸區域會為應用程式登陸區域中的應用程式提供共用服務 (身分識別、連線、管理) 。 合併這些共用服務通常可提升作業效率。 一或多個中央小組會管理平臺登陸區域中的服務。 在參考架構中(見圖 1),「身份訂閱」、「管理訂閱」與「連接訂閱」是平台著陸區的組成部分。 參考架構描繪了應用於承載平台著陸區共享服務的訂閱的代表性資源與政策。
應用程式登陸區域: 應用程式登陸區域包含裝載單一工作負載/應用程式的資源。 工作負載應該具有每個環境的應用程式登陸區域 (開發、測試或生產) 。 每個應用程式登陸區域都包含一或多個訂用帳戶,視需要容納調整和服務限制。 你透過程式碼預先配置應用程式著陸區訂閱,透過 訂閱自動售貨流程,而工作負載團隊負責將工作負載元件部署到他們的應用程式著陸區。
應用程式著陸區會巢狀於適當的管理群組下,例如 Online 或 Corp,以繼承來自父管理群組的 Azure 政策定義。 此結構可確保以受控且一致的方式部署工作負載訂閱,同時仍允許彈性滿足個別工作負載需求。
在 Azure 著陸區架構中(見圖 1),例如「著陸區 A2 訂閱」即為應用程式著陸區。 架構描述套用至「登陸區域 A2 訂用帳戶」的代表性資源和原則。 「Landing zone P1 訂閱」被平台團隊用來建置與部署支援多個應用程式著陸區與團隊的服務,例如虛擬機映像庫與容器登錄檔。 這些服務並非特定應用程式,訂閱仍受應用著陸區層級治理政策的約束。
圖 2:Azure 著陸區參考架構,並疊加應用程式著陸區與平台著陸區。下載此架構的 Visio 檔案 或 PDF 檔案 。
管理應用程式登陸區域主要方法有三種。 根據您的需求,您應該使用下列其中一種管理方法:
- 中央小組方法
- 應用程式小組方法
- 共享團隊方法
| 應用程式登陸區域管理方法 | 描述 |
|---|---|
| 中央小組管理 | 中央 IT 團隊全面運作著陸區。 小組會將控制項和平台工具套用至平台和應用程式登陸區域。 |
| 應用程式小組管理 | 平台系統管理小組會將整個應用程式登陸區域委派給應用程式小組。 應用程式小組會管理並支援環境。 管理群組原則可確保平台小組仍會控管應用程式登陸區域。 您可以在訂用帳戶範圍新增其他原則,並使用替代工具來部署、保護或監視應用程式登陸區域。 |
| 共用管理 | 透過 AKS 或 AVS 等技術平台,中央 IT 小組可管理基礎服務。 應用程式小組則負責在技術平台上執行的應用程式。 您需要針對此模型使用不同的控制項或存取權限。 這些控制項和權限和您用於集中管理應用程式登陸區域的控制項和權限不同。 |
小提示
您可以在「建立常見訂閱販賣產品線」中看到更多關於不同應用著陸區的指引
應用程式登陸區域加速器
應用程式登陸區域加速器可協助您在應用程式登陸區域訂用帳戶中部署常見的工作負載。 使用 Azure 架構中心內可用的應用程式登陸區域加速器清單,並部署符合您案例的加速器。
Azure 登陸區域中的 AI
常見的問題是,您是否需要 Azure 登陸區域旁邊的專用 AI 登陸區域。 答案是,您不需要個別的 AI 登陸區域。 相反地,您可以使用現有的 Azure 登陸區域架構,將 AI 工作負載部署至應用程式登陸區域。 Azure 登陸區域設計區域和原則足以支援 AI 工作負載,因為它們為包含 AI 和非 AI 元件和服務的應用程式與工作負載提供治理、安全性和管理的必要基礎。
您可以將 AI 服務整合到應用程式登陸區域,而不需要個別的 AI 登陸區域。 Azure 登陸區域架構、設計原則和設計區域,例如身分識別和存取管理、網路拓撲和連線能力、安全性和治理,已設計成容納所有工作負載,包括涉及 AI 的工作負載。
從 Azure 登陸區域的觀點來看,AI 只是另一個工作負載或服務,可在一或多個應用程式登陸區域訂用帳戶內部署、控管及保護,就像平臺小組利用現有的 Azure 登陸區域架構、原則和設計區域一樣,就像任何其他應用程式、工作負載或服務一樣。
如需 Azure 中 AI 採用的詳細資訊,請參閱 AI 採用案例。 如需 AI 工作負載和登陸區域的特定焦點,請參閱 建立 AI 基礎。
部署與管理 Azure 著陸區
有多種方式可以部署和管理您的平台著陸區,該平台是Azure著陸區的一部分(見上文),詳見著 陸區實作選項。 您可以選擇最適合您組織需求與專業的方法。 有多種選擇:
-
Azure 登陸區域基礎建設即程式碼 (IaC)加速器(推薦方法)
- Azure 驗證模組(AVM)用於平台著陸區(ALZ)- Terraform(若需要,亦可在加速器外使用)
- Azure 驗證模組(AVM)用於平台著陸區域(ALZ)- Bicep(若有需要,亦可在加速器之外使用)
- Azure 平台降落區入口加速器
我們強烈建議透過 Azure 登陸區的基礎設施即程式碼(IaC)加速器,使用 Infrastructure-as-Code(IaC)選項,如 Bicep 或 Terraform,來部署和管理 Azure 登陸區。 這些選項比入口加速器提供更高的彈性、重複性與可擴展性。
但如果您的組織在 IaC 方面缺乏必要的專業知識,或偏好更具視覺化的處理方式,入口加速器則是合適的替代方案。 請參閱 使用基礎設施作為程式碼來更新 Azure 登陸區 ,以獲得更多資訊,幫助您了解為何 IaC 是首選方式。
下一步
請檢視 Azure 著陸區的設計原則,了解它們如何引導安全且可擴展的環境。 如果你準備好部署,請探索可用的著陸區建立與管理實施選項。 若想快速回答常見問題,例如是否需要 AI 著陸區,或企業規模的差異,請參閱常見問題集。