Architectuur voor Cloud acceptatie Framework voor de schaal zone voor ondernemingenCloud Adoption Framework enterprise-scale landing zone architecture

Enter prise-Scale is een architectonische benadering en een referentie-implementatie waarmee de aanvoer-en uitoefening in azure op schaal kunnen worden geïmplementeerd.Enterprise-scale is an architectural approach and a reference implementation that enables effective construction and operationalization of landing zones on Azure, at scale. Deze aanpak wordt afgestemd op het Azure-schema en het Cloud-acceptatie raamwerk voor Azure.This approach aligns with the Azure roadmap and the Cloud Adoption Framework for Azure.

Overzicht van de architectuurArchitecture overview

De architectuur voor de overgangs zone op ondernemings niveau voor Cloud acceptatie Framework vertegenwoordigt het strategische ontwerp traject en de technische status van het doel voor de Azure-omgeving van een organisatie.The Cloud Adoption Framework enterprise-scale landing zone architecture represents the strategic design path and target technical state for an organization's Azure environment. Het blijft meegroeien met het Azure-platform en wordt gedefinieerd door de verschillende ontwerpbeslissingen die uw organisatie moet nemen om uw Azure-reis in kaart te brengen.It will continue to evolve alongside the Azure platform and is defined by the various design decisions that your organization must make to map your Azure journey.

Niet alle bedrijven nemen Azure op dezelfde manier aan, dus de architectuur van de Enter prise-Scale-Cloud voor het aanbrengen van de infra structuur van de onderneming varieert tussen klanten.Not all enterprises adopt Azure the same way, so the Cloud Adoption Framework enterprise-scale landing zone architecture varies between customers. De technische aandachtspunten en ontwerp aanbevelingen in deze hand leiding kunnen verschillende trans acties leveren op basis van het scenario van uw organisatie.The technical considerations and design recommendations in this guide might yield different trade-offs based on your organization's scenario. Enige variatie is dus te verwachten, maar als u de belangrijkste aanbevelingen volgt, zal de resulterende doelarchitectuur uw organisatie richting een duurzame schaal leiden.Some variation is expected, but if you follow the core recommendations, the resulting target architecture will set your organization on a path to sustainable scale.

Landings zone in Enter prise-ScaleLanding zone in enterprise-scale

Azure-landingszones zijn de uitvoer van een Azure-omgeving met meer abonnementen die is afgestemd op schaal, beveiliging, governance, netwerken en identiteit.Azure landing zones are the output of a multisubscription Azure environment that accounts for scale, security, governance, networking, and identity. Azure-aanvoer zones maken het mogelijk om toepassings migraties en ontwikkel te ontwikkelen op ondernemings schaal in Azure.Azure landing zones enable application migrations and greenfield development at enterprise scale in Azure. Deze zones nemen alle platformbronnen in beschouwing die nodig zijn voor de ondersteuning van de toepassingsportefeuille van de klant en onderscheiden zich niet van de infrastructuur als een dienst of platform als een dienst.These zones consider all platform resources that are required to support the customer's application portfolio and don't differentiate between infrastructure as a service or platform as a service.

Een voor beeld is de wijze waarop stads hulpprogramma's, zoals water, gas en elektriciteit, toegankelijk zijn voordat nieuwe huizen worden gebouwd.An example is how city utilities such as water, gas, and electricity are accessible before new homes are constructed. In deze context zijn het netwerk, identiteits-en toegangs beheer, beleids regels, beheer en bewaking gedeelde hulp programma-services die snel beschikbaar moeten zijn om het migratie proces van de toepassing te stroom lijnen voordat deze wordt gestart.In this context, the network, identity and access management, policies, management, and monitoring are shared utility services that must be readily available to help streamline the application migration process before it begins.

Diagram waarin het ontwerp van de landings zone wordt weer gegeven.

Afbeelding 1: het ontwerp van de landings zone.Figure 1: Landing zone design.

Architectuur op hoog niveauHigh-level architecture

Een architectuur op ondernemings niveau wordt gedefinieerd door een aantal ontwerp overwegingen en aanbevelingen in acht kritische ontwerp gebieden, waarbij twee netwerk topologieën worden aanbevolen: een architectuur op ondernemings niveau die is gebaseerd op een Azure Virtual WAN-netwerk topologie (geillustratied op afbeelding 2), of op basis van een traditionele Azure-netwerk topologie op basis van de hub-en spoke-architectuur (zie afbeelding 3).An enterprise-scale architecture is defined by a set of design considerations and recommendations across eight critical design areas, with two network topologies recommended: an enterprise-scale architecture based on an Azure Virtual WAN network topology (depictured on figure 2), or based on a traditional Azure network topology based on the hub and spoke architecture (depicted on figure 3).

Diagram waarin de architectuur van de Enter prise-schaal van het Cloud acceptatie Framework wordt weer gegeven op basis van een Azure Virtual WAN-netwerk topologie.Diagram that shows Cloud Adoption Framework enterprise-scale landing zone architecture based on an Azure Virtual WAN network topology.

Afbeelding 2: Cloud adoptie Framework Enter prise-Scale-architectuur op basis van een virtuele WAN-netwerk topologie van Azure. Houd er rekening mee dat het connectiviteits abonnement gebruikmaakt van een virtuele WAN-hub.Figure 2: Cloud Adoption Framework enterprise-scale landing zone architecture based on an Azure Virtual WAN network topology. Note that the connectivity subscription uses a Virtual WAN hub.

Diagram waarin de architectuur van de Enter prise-schaal voor Cloud acceptatie Framework wordt weer gegeven.Diagram that shows Cloud Adoption Framework enterprise-scale landing zone architecture.

Afbeelding 3: Cloud adoptie Framework Enter prise-Scale-architectuur op basis van een traditionele Azure-netwerk topologie. Houd er rekening mee dat het connectiviteits abonnement een hub-VNet gebruikt.Figure 3: Cloud Adoption Framework enterprise-scale landing zone architecture based on a traditional Azure networking topology. Note that the connectivity subscription uses a hub VNet.

Down load de PDF-of Visio-bestanden die de architectuur diagrammen op ondernemings niveau bevatten die zijn gebaseerd op de virtuele WAN -netwerk topologie of een traditionele Azure-netwerk topologie op basis van de hub-en spoke-architectuur (PDF) .Download the PDF or Visio files that contain the enterprise-scale architecture diagrams based on the Virtual WAN (PDF) network topology or a traditional Azure network topology based on the hub and spoke (PDF) architecture. Een Visio-bestand met zowel het virtuele WAN-als het hub-en spoke-architectuur diagram kan worden gedownload als een Visio-diagram (VSDX).A Visio file containing both the Virtual WAN and the hub and spoke architecture diagram can be downloaded as a Visio diagram (VSDX).

In figuren 2 en 3 vindt u verwijzingen naar de essentiële ontwerp gebieden op ondernemings niveau, die worden aangeduid met de letters a tot en met I:On figures 2 and 3 there are references to the enterprise-scale critical design areas, which are indicated with the letters a to I:

De letter A Enterprise Agreement (EA)-inschrijving en Azure Active Directory tenants.The letter A Enterprise Agreement (EA) enrollment and Azure Active Directory tenants. Een Enterprise Agreement-inschrijving (EA) vertegenwoordigt de commerciële relatie tussen Microsoft en de wijze waarop uw organisatie gebruikmaakt van Azure.An Enterprise Agreement (EA) enrollment represents the commercial relationship between Microsoft and how your organization uses Azure. Deze inschrijving vormt de basis voor facturering binnen al uw abonnementen en heeft invloed op het beheer van uw digitale estate.It provides the basis for billing across all your subscriptions and affects administration of your digital estate. Uw EA-inschrijving wordt beheerd via de Azure EA-Portal.Your EA enrollment is managed via the Azure EA portal. Een inschrijving vertegenwoordigt vaak de hiërarchie van een organisatie, die afdelingen, accounts en abonnementen bevat.An enrollment often represents an organization's hierarchy, which includes departments, accounts, and subscriptions. Een Azure AD-tenant biedt identiteits- en toegangsbeheer, dat een belangrijk onderdeel van uw beveiligingspostuur is.An Azure AD tenant provides identity and access management, which is an important part of your security posture. Een Azure AD-tenant zorgt ervoor dat geverifieerde en gemachtigde gebruikers alleen toegang hebben tot de resources waarvoor ze toegangsmachtigingen hebben.An Azure AD tenant ensures that authenticated and authorized users have access to only the resources for which they have access permissions.

De letter B identiteits-en toegangs beheer.The letter B Identity and access management. Azure Active Directory-ontwerp en-integratie moeten zijn gebouwd om zowel server-als gebruikers verificatie te garanderen.Azure Active Directory design and integration must be built to ensure both server and user authentication. Op resources gebaseerd toegangs beheer (RBAC) moet zijn gemodelleerd en geïmplementeerd om schei ding van taken af te dwingen en de vereiste rechten voor platform bewerkingen en-beheer.Resource-based access control (RBAC) must be modeled and deployed to enforce separation of duties and the required entitlements for platform operation and management. Sleutel beheer moet zijn ontworpen en geïmplementeerd om beveiligde toegang tot resources en ondersteunings bewerkingen, zoals rotatie en herstel, te garanderen.Key management must be designed and deployed to ensure secure access to resources and support operations such as rotation and recovery. Access-rollen worden uiteindelijk toegewezen aan eigen aren van toepassingen op het besturings element en op Data-abonnementen om bronnen autonoom te maken en te beheren.Ultimately, access roles are assigned to application owners at the control and data planes to create and manage resources autonomously.

De letter C -beheer groep en-abonnements organisatie.The letter C Management group and subscription organization. Beheergroepsstructuren binnen een Azure AD-tenant (Azure Active Directory) ondersteunen organisatietoewijzing en moeten zorgvuldig worden overwogen wanneer een organisatie ingebruikname van Azure op schaal plant.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and must be considered thoroughly when an organization plans Azure adoption at scale. Abonnementen vormen een eenheid van beheer, facturering en schaal binnen Azure.Subscriptions are a unit of management, billing, and scale within Azure. Ze spelen een kritieke rol bij het ontwerpen voor grootschalige ingebruikname van Azure.They play a critical role when you're designing for large-scale Azure adoption. Met dit kritieke ontwerp gebied kunt u abonnements vereisten vastleggen en doel abonnementen ontwerpen op basis van essentiële factoren.This critical design area helps you capture subscription requirements and design target subscriptions based on critical factors. Deze factoren zijn omgevingstype, eigendoms- en governancemodel, organisatiestructuur en toepassingsportfolio's.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

Het beheer en de bewakingvan de letter D.The letter D Management and monitoring. Er moet op platformniveau een holistisch (horizontaal) controle- en waarschuwingssysteem voor resources worden ontworpen, geïmplementeerd en geïntegreerd.Platform-level holistic (horizontal) resource monitoring and alerting must be designed, deployed, and integrated. Operationele taken, zoals patches en back-ups, moeten ook worden gedefinieerd en gestroomlijnd.Operational tasks such as patching and backup must also be defined and streamlined. Beveiligings bewerkingen, bewaking en logboek registratie moeten worden ontworpen en geïntegreerd met zowel resources op Azure als bestaande on-premises systemen.Security operations, monitoring, and logging must be designed and integrated with both resources on Azure and existing on-premises systems. Alle activiteiten logboeken van het abonnement die het vastleggen van bewerkingen op het vlak van resources tussen bronnen moeten worden gestreamd naar Log Analytics om ze beschikbaar te maken voor query's en analyses, onder voor behoud van RBAC-machtigingen.All subscription activity logs that capture control plane operations across resources should be streamed into Log Analytics to make them available for query and analysis, subject to RBAC permissions.

De letter E- netwerk topologie en-connectiviteit.The letter E Network topology and connectivity. De end-to-end-netwerk topologie moet worden gebouwd en geïmplementeerd in azure-regio's en on-premises omgevingen om te zorgen voor een Noord-Zuid en Oost-West-verbinding tussen platform implementaties.The end-to-end network topology must be built and deployed across Azure regions and on-premises environments to ensure north-south and east-west connectivity between platform deployments. Vereiste services en resources, zoals firewalls en virtuele netwerk apparaten, moeten worden geïdentificeerd, geïmplementeerd en geconfigureerd in het ontwerp van de netwerk beveiliging om ervoor te zorgen dat de beveiligings vereisten volledig worden voldaan.Required services and resources such as firewalls and network virtual appliances must be identified, deployed, and configured throughout network security design to ensure that security requirements are fully met.

De letter F ,  de letter G ,  de letter H bedrijfs continuïteit en herstel na nood gevallen , beveiliging, governance en naleving.The letter F, The letter G, The letter H Business continuity and disaster recovery and Security, governance, and compliance. Holistische en aanvoer zones-specifiek beleid moeten worden geïdentificeerd, beschreven, gebouwd en geïmplementeerd op het doel-Azure-platform om ervoor te zorgen dat bedrijfs-, regelgevings-en line-of-Business-besturings elementen aanwezig zijn.Holistic and landing-zone-specific policies must be identified, described, built, and deployed onto the target Azure platform to ensure corporate, regulatory, and line-of-business controls are in place. Uiteindelijk moet beleid worden gebruikt om de naleving van toepassingen en onderliggende resources te garanderen zonder enige abstractie inrichting of beheer mogelijkheid.Ultimately, policies should be used to guarantee the compliance of applications and underlying resources without any abstraction provisioning or administration capability.

De letter I platform automatisering en DevOps.The letter I Platform automation and DevOps. Een end-to-end DevOps-ervaring met robuuste levenscyclus procedures voor software ontwikkeling moet zijn ontworpen, gebouwd en geïmplementeerd om een veilige, herhaal bare en consistente levering te bieden van infrastructuur code artefacten.An end-to-end DevOps experience with robust software development lifecycle practices must be designed, built, and deployed to ensure a safe, repeatable, and consistent delivery of infrastructure-as-code artifacts. Dergelijke artefacten moeten worden ontwikkeld, getest en geïmplementeerd met behulp van gespecialiseerde integratie-, release-en implementatie pijplijnen met sterke bron beheer en traceer baarheid.Such artifacts are to be developed, tested, and deployed by using dedicated integration, release, and deployment pipelines with strong source control and traceability.

Volgende stappenNext steps

Pas de implementatie van deze architectuur aan met behulp van de richt lijnen voor het ontwerpen van Cloud acceptatie Framework op ondernemings niveau.Customize implementation of this architecture by using the Cloud Adoption Framework enterprise-scale design guidelines.