Azure的正確打開方式（下）企業(yè)級LandingZone,自己制作的鏡像怎么發(fā)布到azure

Azure的正確打開方式（下）企業(yè)級LandingZone

本地上云，將重量的數據中心建設維護工作交給專業(yè)的科技公司，以代碼的方式在云上實現輕量的云上數據中心，是企業(yè)擺脫現狀尋求持續(xù)發(fā)展出路的最佳出路。

從小規(guī)模到企業(yè)級

經過《Azure的正確打開方式（上）小規(guī)模Landing Zone》文章中的介紹，我們已經了解到，Azure Landing Zone是一套為應用縮放、安全管理、網絡訪問和身份標識服務的基礎架構資源，通過Azure Landing Zone，可在 Azure 中實現企業(yè)級的應用程序遷移、現代化和創(chuàng)新。

小規(guī)模的Landing Zone解決了具有較少工作負載的小型企業(yè)云環(huán)境，但無法做到大規(guī)模的資源擴展。面對應用程序的不斷增長和如何實現無感知移動的問題，如何為整個平臺和所有涵蓋的應用提供安全、簡化且合規(guī)的運營和管理，本文將介紹一套適用于大規(guī)模云負載環(huán)境的Landing Zone架構—Enterprise Scale Landing Zone（ESLZ，企業(yè)級Landing Zone）。

企業(yè)級Landing Zone指導原則

就像圖書館中按照一套特定原則擺放書籍一樣，企業(yè)級Landing Zone體系架構的定義也來源于5個設計原則的指導，每個原則既相互獨立，又相輔相成，組合在一起完善了整套企業(yè)級Landing Zone體系架構，下面我們展開來介紹。

民主化的訂閱

作為管理和規(guī)模的基本單位，訂閱應該與業(yè)務需求和優(yōu)先級對齊。要避免創(chuàng)建和維護集中控制模式的訂閱，且允許業(yè)務側自己創(chuàng)建訂閱，支持他們進行新工作負載的設計、開發(fā)和測試以及工作負載的遷移等工作。

策略驅動的治理

Azure Policy在企業(yè)級Landing Zone中具有重要的作用，它能提供安全防護并確保平臺和部署在其上的應用程序具有持續(xù)合規(guī)性，同時還為應用程序所有者提供足夠的自由度和安全無阻的上云道路。

單一控制和管理的平臺

企業(yè)級架構不應讓團隊各行其道，例如使用自己開發(fā)門戶或工具，而應為 AppOps（應用運營團隊）和 DevOps（開發(fā)運營團隊）提供一致的體驗。Azure基于角色的訪問控制（RBAC）和策略驅動（Azure Policy）提供了所有 Azure 資源和供應商渠道具有一致體驗的控制平臺。極大提升了用戶體驗，有益于用戶快速上手和使用。

以應用為中心和原型中立的目標

企業(yè)級架構應專注于以應用程序為中心的遷移和開發(fā)，而不是單純地將基礎架構進行l(wèi)ift and shift模式遷移上云（比如虛擬機的遷移）。同樣的也不應該區(qū)別對待新的或舊的應用程序，或者區(qū)分IaaS還是PaaS 應用程序。

對齊Azure的原生設計和路線圖

企業(yè)級架構強烈建議盡可能使用原生平臺的服務和功能，以確保能夠為客戶環(huán)境快速提供安全可靠的服務和新功能，這與 Azure 平臺路線圖的目標不謀而合。Azure 平臺路線圖致力于為遷移戰(zhàn)略和企業(yè)級規(guī)模（Enterprise Scale）軌跡提供支持。

企業(yè)級Landing Zone體系架構

除了5個基本設計原則，企業(yè)級Landing Zone體系架構的構建需要考慮8大關鍵領域的規(guī)劃。這8個關鍵設計領域有助于將客戶需求轉化為 Microsoft Azure 架構和功能，并解決本地和云基礎設施之間的不匹配問題。

針對實際環(huán)境中網絡網絡拓撲的不同，有兩種網絡部署類型：基于Azure的VWAN網絡拓撲或者基于傳統的中心輻射（HubSpoke）型網絡拓撲。考慮到可擴展性和安全性，微軟強烈建議為平臺資源提供專用訂閱來規(guī)劃網絡部署，因此兩種網絡部署模型帶來的兩種體系架構的區(qū)別，僅體現在連接訂閱（Connectivity Subscription）版塊中網絡拓撲的不同。

基于 Azure 虛擬 WAN 網絡拓撲的ESLZ體系架構

基于傳統 HubSpoke網絡拓撲的ESLZ體系架構

8大關鍵領域可以一一對應到企業(yè)級Landing Zone體系架構圖中，我們根據圖中大寫字母AI的順序，依次介紹8個關鍵設計領域：

企業(yè)注冊和 Azure AD 租客

此層次結構標識組織內的成本中心：

企業(yè)注冊表示您的組織與微軟Azure之間如何使用的商業(yè)關系，為您的訂閱提供了資源計費基礎；

部門用于將成本進行細分，在部門一級可以設定預算或者配額；

賬戶是Azure企業(yè)門戶中的組織單位。它們可用于管理訂閱和訪問報告；

訂閱是Azure企業(yè)門戶中最小的單位。它們是Azure服務部署的容器，由服務管理員進行管理。

身份標識和訪問管理

身份和訪問管理 （IAM） 被視為企業(yè)組織云的安全邊界，最佳實踐是采用最小權限的方式進行運營和資源訪問。企業(yè)級Landing Zone體系架構中將其進行擴展，以便通過Azure 活動目錄 （Azure AD）、Azure 基于角色的訪問控制 （Azure RBAC） 和自定義角色來使用 Azure資源。

此外，企業(yè)組織應徹底評估Landing Zone內資源的身份驗證要求，根據角色和安全要求，考慮使用何種認證方式（Azure AD、Azure AD 域服務（Azure AD DS）和本地活動目錄域服務 （AD DS））最為可靠，其中依賴域服務和使用舊協議的應用程序可以使用Azure AD DS服務。

管理組和訂閱

企業(yè)級Landing Zone中一個重要的架構形態(tài)是使用多級管理組樹狀結構，在一個Azure AD租戶下，按照資源屬性的不同創(chuàng)建樹狀結構的資源組，有助于將組織資源進行歸類，并且有利于Azure Policy的聚合和分配。需要注意的是管理組樹狀結構的深度一般不超過34層，最多不超過6層，否則會帶來管理的復雜度和難度。

訂閱是 Azure 內部管理、計費和規(guī)模的一個單位，在此架構中，專用的訂閱都是創(chuàng)建于專門的管理組中，這種分組模式能夠確保具有相同Policy和Azure角色分配的訂閱可以從管理組中繼承，從而避免重復分配。

例如管理組下的管理訂閱用于支持全局管理功能，部署Azure Monitor日志分析工作空間方便獲取報表和告警；使用Azure自動化運行手冊簡化運維管理。身份標識管理組下的身份訂閱可用于部署身份認證相關資源，等等。

訂閱作為Azure Policy和管理的邊界，可以在必要的時候實現策略隔離，從而避免使用過多的管理組隔離。作為工作負載承載的平臺，需要在工作量設計期間考慮訂閱的資源限制，避免使用單個訂閱導致資源超限的問題。

管理和監(jiān)控

企業(yè)級Landing Zone管理和監(jiān)控主要關注企業(yè)如何運營和集中管理其Azure資產。管理和監(jiān)控建議符合企業(yè)級設計原則，并專注于原生的Azure功能。

在平臺層面進行集中管理和監(jiān)控能夠為組織在大型 Azure 平臺內保持運營的統一可見性。通常使用單個監(jiān)視器日志工作空間（Azure Monitor Log Analytics Workspace）集中管理平臺，集中式日志記錄有利于運營管理團隊管理服務健康、配置和 IT 操作等報表，從而減少管理開銷。

Azure安全審核日志具有很多的應用場景，可以與本地SIEM系統集成，也可以與SaaS產品集成，同時Azure上也擁有豐富的原生監(jiān)控產品，如Azure活動日志、Azure AD審計報告、Azure診斷服務、日志和指標、Azure密鑰保管庫審計日志、NSG流量日志、網絡觀察器、Azure安全中心和Azure Sentinel等。

此外還應規(guī)劃Azure 數據保留和存檔日期，Azure監(jiān)視器日志的默認保留期為30天，最長為兩年，如果日志保留要求超過兩年，則需要將日志導出到 Azure 存儲中。

網絡拓撲和鏈接

網絡拓撲是Enterprise Scale架構的一個關鍵要素，因為它定義了應用程序之間如何相互通信。企業(yè)級Landing Zone側重兩個核心解決方法：Azure 虛擬 WAN拓撲和傳統HubSpoke拓撲。

Azure虛擬 WAN拓撲用于大規(guī)?；ミB的需求，此拓撲類型是微軟管理的服務，這降低了整體網絡的復雜性，有助于組織實現網絡現代化。如果組織需求滿足以下幾點，則可以考慮使用Azure 虛擬 WAN拓撲：

計劃在多個Azure區(qū)域部署資源，并要求這些Azure區(qū)域的vNet與多個本地站點之間進行全局連接。

計劃通過部署軟件定義WAN（SDWAN）將大型分支網絡直接集成到 Azure，或者需要 30 個以上分支站點的本地 IPsec。

需要在VPN和快速路由（ExpressRoute）之間進行臨時路由。

傳統HubSpoke拓撲可以在Azure上構建定制化的安全大型網絡，并實現由客戶自主管理的路由和安全性。如果組織需求滿足以下幾點，則可以考慮使用傳統HubSpoke拓撲：

計劃在一個或多個Azure區(qū)域部署資源，但不需要在所有Azure區(qū)域部署完整的拓撲網絡。

在每個區(qū)域的遠程或分支機構數量較少（往往少于30個IPsec站點到站點的通道）。

對手動配置Azure網絡路由策略需要完全控制和細粒度。

業(yè)務持續(xù)性和災難恢復

制定業(yè)務連續(xù)性和災難恢復計劃對組織至關重要，因為它決定了組織在業(yè)務意外中斷或發(fā)生災難之后恢復正常所需的時間。Azure備份服務（backup service）和 Azure站點恢復（Site Recovery）服務共同構成了Azure中的業(yè)務連續(xù)性和災難恢復解決方案。

組織數據的備份是恢復數據的必要條件和關鍵，與上圖中企業(yè)級Landing Zone架構涉及的產品突出相關的是強制啟用和使用的Azure備份策略（Backup Policy），Azure備份策略需要與組織定義的RTO（恢復時間目標）和RPO（恢復點目標）目標保持一致。

除了使用原生Azure備份功能外，在設計時使用多區(qū)域和對等（peering）位置進行快速路由（ExpressRoute）連接，有助于發(fā)生區(qū)域中斷時確保有不間斷的跨區(qū)域連接。

安全、治理和合規(guī)

企業(yè)級Landing Zone的安全治理和合規(guī)從3個方面進行設計，定義加密和密鑰管理、定義治理計劃和定義安全監(jiān)控和審計策略。

加密是確保數據隱私、合規(guī)性和數據不外泄的重要一步，這也是許多企業(yè)最關心的安全問題之一。配置適用于Key Vault的訂閱和縮放限制，將密鑰、機密信息和證書的訪問權限收縮到Vault級別，并啟用軟刪除和清除策略，以便對已刪除的對象進行保留保護。啟用Key Vault上的防火墻和虛擬網絡服務端點，以控制對密鑰庫的訪問，使用平臺中央 Azure 監(jiān)視器日志分析工作空間對密鑰庫中每個實例中的密鑰、證書和秘密使用進行審核。禁止在應用程序之間共享Key Vault實例，以避免跨環(huán)境進行密鑰共享

安全治理提供機制和流程，以保持對Azure應用和資源的控制。Azure策略對于確保企業(yè)技術產業(yè)的安全性和合規(guī)性至關重要，它可以在整個 Azure平臺服務中執(zhí)行重要的安全管理。Azure策略還可以補充Azure基于角色的訪問控制（RBAC），該控制可確定授權用戶可以執(zhí)行哪些操作。

安全監(jiān)控和審計記錄是可擴展框架的關鍵組成部分，設計考慮將審計數據和平臺活動日志設置保留日期，使用Azure策略通過VM擴展自動部署軟件配置，并強制執(zhí)行合規(guī)的VM基線配置，并通過Azure監(jiān)視器日志和Azure安全中心監(jiān)控基礎操作系統的補丁和安全配置變化情況。

平臺自動化和DevOps

許多傳統的 IT 運營模式與云不兼容，組織必須進行運營和組織轉型，才能實現針對企業(yè)遷移目標的目標。DevOps方法可以為應用團隊和開發(fā)團隊有效解決這個問題。

通過建立一個跨功能DevOps平臺團隊，以構建、管理和維護您的企業(yè)規(guī)模架構。該團隊應包括來自您中央IT團隊、安全、合規(guī)和業(yè)務團隊的成員，以確保組織具有廣泛的代表性。一些推薦的 DevOps 角色可供參考：

平臺操作角色：提供訂閱和授權所需的網絡、身份和訪問管理和策略；平臺管理和監(jiān)控；成本管理；代碼管理的平臺（管理模板、腳本和其他資產）；負責Azure活動目錄租戶內的整體操作（管理服務委托人、注冊微軟圖形API和定義角色）。

安全操作角色：Azure基于角色的訪問控制（Azure RBAC）；關鍵管理（服務、簡單的郵件傳輸協議和域控制器管理等）；策略管理和執(zhí)行；安全監(jiān)控和審計。

網絡運營：網絡操作和網絡管理。

應用開發(fā)角色：應用程序遷移或轉換；應用程序管理和監(jiān)控；應用資源的RBAC，安全監(jiān)控管理，成本管理和網絡管理。

基于以上的設計原則和關鍵設計領域，方能構建基于微軟云采用框架（Microsoft Cloud Adoption Framework，簡稱CAF）Azure Enterprise Scale Landing Zone（ESLZ）架構，實現企業(yè)級的云上環(huán)境，實現和業(yè)務發(fā)展曲線相同的基礎架構支撐，將云上資源治理妥當。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發(fā)表后的30日內與ESG跨境電商聯系。