Arquitectura de la zona de aterrizaje a escala empresarial de Cloud Adoption FrameworkCloud Adoption Framework enterprise-scale landing zone architecture

El término "escala empresarial" hace referencia a un enfoque de arquitectura y una implementación de referencia que permite la construcción y la puesta en marcha eficaz de zonas de aterrizaje en Azure, a escala.Enterprise-scale is an architectural approach and a reference implementation that enables effective construction and operationalization of landing zones on Azure, at scale. Este enfoque está en línea con la hoja de ruta de Azure y Cloud Adoption Framework para Azure.This approach aligns with the Azure roadmap and the Cloud Adoption Framework for Azure.

Introducción a la arquitecturaArchitecture overview

La arquitectura de la zona de aterrizaje de escala empresarial de Cloud Adoption Framework representa la ruta de acceso de diseño estratégica y el estado técnico de destino del entorno de Azure de una organización.The Cloud Adoption Framework enterprise-scale landing zone architecture represents the strategic design path and target technical state for an organization's Azure environment. Evolucionará al mismo tiempo que la plataforma Azure y la definirán las distintas decisiones de diseño que su organización debe tomar para asignar su recorrido en Azure.It will continue to evolve alongside the Azure platform and is defined by the various design decisions that your organization must make to map your Azure journey.

No todas las empresas adoptan Azure de la misma manera, por lo que la arquitectura de la zona de aterrizaje de escala empresarial de Cloud Adoption Framework varía de un cliente a otro.Not all enterprises adopt Azure the same way, so the Cloud Adoption Framework enterprise-scale landing zone architecture varies between customers. Las consideraciones técnicas y las recomendaciones de diseño de esta guía pueden producir diferentes desventajas en función del escenario de su organización.The technical considerations and design recommendations in this guide might yield different trade-offs based on your organization's scenario. Puede haber cierta variación, pero si sigue las recomendaciones principales, la arquitectura de destino resultante colocará a su organización en una ruta de acceso hacia una escala sostenible.Some variation is expected, but if you follow the core recommendations, the resulting target architecture will set your organization on a path to sustainable scale.

Zona de aterrizaje de escala empresarialLanding zone in enterprise-scale

Las zonas de aterrizaje de Azure son la salida de un entorno de Azure con varias suscripciones que tiene en cuenta la escala, seguridad, gobernanza, redes e identidad.Azure landing zones are the output of a multisubscription Azure environment that accounts for scale, security, governance, networking, and identity. Las zonas de aterrizaje de Azure permiten la migración de aplicaciones y el desarrollo de Greenfield a escala empresarial en Azure.Azure landing zones enable application migrations and greenfield development at enterprise-scale in Azure. Estas zonas tienen en cuenta todos los recursos de la plataforma necesarios para dar soporte a la cartera de aplicaciones del cliente y no diferencian entre infraestructura como servicio o plataforma como servicio.These zones consider all platform resources that are required to support the customer's application portfolio and don't differentiate between infrastructure as a service or platform as a service.

Un ejemplo podría ser el modo en que se puede obtener acceso a los servicios de la ciudad como el agua, el gas y la electricidad antes de que se construyan nuevos hogares.An example is how city utilities such as water, gas, and electricity are accessible before new homes are constructed. En este contexto, la red, administración de identidades y acceso, directivas, administración y supervisión son servicios de utilidades compartidos que deben estar disponibles fácilmente para ayudar al usuario a simplificar el proceso de migración de la aplicación antes de que comience.In this context, the network, identity and access management, policies, management, and monitoring are shared utility services that must be readily available to help streamline the application migration process before it begins.

Diagrama que muestra un diseño de zona de aterrizaje.

Figura 1: diseño de la zona de aterrizaje.Figure 1: Landing zone design.

Arquitectura de alto nivelHigh-level architecture

Una arquitectura de escala empresarial se define mediante un conjunto de recomendaciones y consideraciones de diseño en ocho áreas de diseño críticas, con dos topologías de red recomendadas: una arquitectura de escala empresarial basada en una topología de red de Azure Virtual WAN (que se muestra en la figura 2) o en una topología de red de Azure tradicional basada en una arquitectura en estrella tipo hub-and-spoke (que se describe en la figura 3).An enterprise-scale architecture is defined by a set of design considerations and recommendations across eight critical design areas, with two network topologies recommended: an enterprise-scale architecture based on an Azure Virtual WAN network topology (depicted in figure 2), or based on a traditional Azure network topology based on the hub and spoke architecture (depicted in figure 3).

Diagrama que muestra la arquitectura de la zona de aterrizaje de escala empresarial de Cloud Adoption Framework que se basa en una topología de red de Azure Virtual WAN.Diagram that shows Cloud Adoption Framework enterprise-scale landing zone architecture based on an Azure Virtual WAN network topology.

Figura 2: Arquitectura de la zona de aterrizaje de escala empresarial de Cloud Adoption Framework que se basa en una topología de red de Azure Virtual WAN. Tenga en cuenta que la suscripción de conectividad usa un centro de conectividad de Virtual WAN.Figure 2: Cloud Adoption Framework enterprise-scale landing zone architecture based on an Azure Virtual WAN network topology. Note that the connectivity subscription uses a Virtual WAN hub.

Diagrama que muestra la arquitectura de la zona de aterrizaje a escala empresarial de Cloud Adoption Framework.Diagram that shows Cloud Adoption Framework enterprise-scale landing zone architecture.

Figura 3: Arquitectura de la zona de aterrizaje de escala empresarial de Cloud Adoption Framework que se basa en una topología de red de Azure tradicional. Tenga en cuenta que la suscripción de conectividad usa una red virtual de centro de conectividad.Figure 3: Cloud Adoption Framework enterprise-scale landing zone architecture based on a traditional Azure networking topology. Note that the connectivity subscription uses a hub VNet.

Descargue los archivos PDF o Visio que contienen los diagramas de la arquitectura de escala empresarial basada en la topología de red de Virtual WAN (PDF) o en una topología de red de Azure tradicional basada en la arquitectura en estrella tipo hub-and-spoke (PDF).Download the PDF or Visio files that contain the enterprise-scale architecture diagrams based on the Virtual WAN (PDF) network topology or a traditional Azure network topology based on the hub and spoke (PDF) architecture. Un archivo de Visio que contenga Virtual WAN y el diagrama de la arquitectura de estrella tipo hub-and-spoke se puede descargar como diagrama de Visio (VSDX).A Visio file containing both the Virtual WAN and the hub and spoke architecture diagram can be downloaded as a Visio diagram (VSDX).

En las figuras 2 y 3 se hace referencia a las áreas de diseño críticas de la escala empresarial, que se indican con las letras de la "A" a la "I":On figures 2 and 3 there are references to the enterprise-scale critical design areas, which are indicated with the letters A to I:

La letra A Inscripción en el Contrato Enterprise (EA) e inquilinos de Azure Active Directory.The letter A Enterprise Agreement (EA) enrollment and Azure Active Directory tenants. Una inscripción en el Contrato Enterprise (EA) representa la relación comercial entre Microsoft y el modo en que su organización usa Azure.An Enterprise Agreement (EA) enrollment represents the commercial relationship between Microsoft and how your organization uses Azure. Proporciona la base de facturación en todas las suscripciones y afecta a la administración de su patrimonio digital.It provides the basis for billing across all your subscriptions and affects administration of your digital estate. La inscripción en EA se administra mediante el portal de Azure EA.Your EA enrollment is managed via the Azure EA portal. Una inscripción suele representar la jerarquía de una organización, la cual incluye departamentos, cuentas y suscripciones.An enrollment often represents an organization's hierarchy, which includes departments, accounts, and subscriptions. Un inquilino de Azure AD proporciona administración de identidades y acceso, lo cual es una parte importante de su posición de seguridad.An Azure AD tenant provides identity and access management, which is an important part of your security posture. Un inquilino de Azure AD garantiza que los usuarios autenticados y autorizados solo tengan acceso a los recursos para los que tienen permisos de acceso.An Azure AD tenant ensures that authenticated and authorized users have access to only the resources for which they have access permissions.

La letra B Administración de identidades y acceso.The letter B Identity and access management. El diseño y la integración de Azure Active Directory deben compilarse para garantizar la autenticación del servidor y del usuario.Azure Active Directory design and integration must be built to ensure both server and user authentication. El control de acceso basado en rol de Azure (RBAC de Azure) se debe modelar e implementar para aplicar la separación de deberes y derechos necesarios para la administración y el funcionamiento de la plataforma.Azure role-based access control (Azure RBAC) must be modeled and deployed to enforce separation of duties and the required entitlements for platform operation and management. La administración de claves debe diseñarse e implementarse para garantizar un acceso seguro a los recursos y las operaciones de soporte, como la rotación y la recuperación.Key management must be designed and deployed to ensure secure access to resources and support operations such as rotation and recovery. En última instancia, los roles de acceso se asignan a los propietarios de la aplicación en los planos de control y de datos para crear y administrar los recursos de forma autónoma.Ultimately, access roles are assigned to application owners at the control and data planes to create and manage resources autonomously.

La letra C Organización de grupos de administración y suscripciones.The letter C Management group and subscription organization. Las estructuras de grupo de administración dentro de un inquilino de Azure Active Directory (Azure AD) son compatibles con la asignación organizativa y deben examinarse a fondo cuando una organización planea adoptar Azure a escala.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and must be considered thoroughly when an organization plans Azure adoption at scale. Las suscripciones son una unidad de administración, facturación y escalado en Azure.Subscriptions are a unit of management, billing, and scale within Azure. Desempeñan un papel fundamental cuando se lleva a cabo el diseño para la adopción de Azure a gran escala.They play a critical role when you're designing for large-scale Azure adoption. Esta área de diseño crítica le ayuda a comprender los requisitos de suscripción y a diseñar suscripciones de destino basadas en factores críticos.This critical design area helps you capture subscription requirements and design target subscriptions based on critical factors. Estos factores son el tipo de entorno, la propiedad y el modelo de gobierno, la estructura de la organización y las carteras de aplicaciones.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

La letra D Administración y supervisión.The letter D Management and monitoring. Deben diseñarse, implementarse e integrarse la supervisión y la generación de alertas de recursos holísticas (horizontales) en el nivel de la plataforma.Platform-level holistic (horizontal) resource monitoring and alerting must be designed, deployed, and integrated. También se deben definir y optimizar tareas operativas como la revisión y la copia de seguridad.Operational tasks such as patching and backup must also be defined and streamlined. Igualmente, las operaciones de seguridad, la supervisión y el registro deben diseñarse e integrarse con ambos recursos en Azure, así como en los sistemas locales existentes.Security operations, monitoring, and logging must be designed and integrated with both resources on Azure and existing on-premises systems. Todos los registros de actividades de la suscripción que capturan las operaciones del plano de control entre los recursos se deben transmitir a Log Analytics para que estén disponibles para su consulta y análisis, en función de los permisos de RBAC de Azure.All subscription activity logs that capture control plane operations across resources should be streamed into Log Analytics to make them available for query and analysis, subject to Azure RBAC permissions.

La letra E Topología de red y conectividad.The letter E Network topology and connectivity. La topología de red de un extremo a otro se debe compilar e implementar entre las regiones de Azure y los entornos locales para garantizar la conectividad de tipo norte-sur y este-oeste entre las implementaciones de la plataforma.The end-to-end network topology must be built and deployed across Azure regions and on-premises environments to ensure north-south and east-west connectivity between platform deployments. Los servicios y recursos necesarios como firewalls y aplicaciones virtuales de red deben identificarse, implementarse y configurarse en el diseño de seguridad de red para garantizar que se cumplen los requisitos de seguridad.Required services and resources such as firewalls and network virtual appliances must be identified, deployed, and configured throughout network security design to ensure that security requirements are fully met.

La letra F, la letra G y la letra H Continuidad empresarial y recuperación ante desastres y Seguridad, gobernanza y cumplimiento.The letter F, The letter G, The letter H Business continuity and disaster recovery and Security, governance, and compliance. Las directivas holísticas y específicas de la zona de aterrizaje deben identificarse, describirse, compilarse e implementarse en la plataforma de Azure de destino para garantizar que se implementen controles corporativos, normativos y de línea de negocio.Holistic and landing-zone-specific policies must be identified, described, built, and deployed onto the target Azure platform to ensure corporate, regulatory, and line-of-business controls are in place. Asimismo, deben usarse directivas para garantizar el cumplimiento normativo de las aplicaciones y los recursos subyacentes que no cuenten con ninguna funcionalidad de aprovisionamiento o administración de la abstracción.Ultimately, policies should be used to guarantee the compliance of applications and underlying resources without any abstraction provisioning or administration capability.

La letra I Automatización de la plataforma y DevOps.The letter I Platform automation and DevOps. Una experiencia de DevOps de un extremo a otro con prácticas eficaces del ciclo de vida de desarrollo de software debe diseñarse, compilarse e implementarse para garantizar una entrega segura, repetible y coherente de artefactos de infraestructura como código.An end-to-end DevOps experience with robust software development lifecycle practices must be designed, built, and deployed to ensure a safe, repeatable, and consistent delivery of infrastructure-as-code artifacts. Estos artefactos se van a desarrollar, probar e implementar con canalizaciones de integración, lanzamiento e implementación que cuenten con controles de código fuente y rastreabilidad seguros.Such artifacts are to be developed, tested, and deployed by using dedicated integration, release, and deployment pipelines with strong source control and traceability.

Pasos siguientesNext steps

Personalice la implementación de esta arquitectura con las directrices de diseño de escala empresarial de Cloud Adoption Framework.Customize implementation of this architecture by using the Cloud Adoption Framework enterprise-scale design guidelines.