Arquitetura de zona de desembarque em escala de adoção em nuvemCloud Adoption Framework enterprise-scale landing zone architecture

A escala empresarial é uma abordagem arquitetónica e uma implementação de referência que permite a construção e operacionalização eficazes de zonas de desembarque em Azure, em escala.Enterprise-scale is an architectural approach and a reference implementation that enables effective construction and operationalization of landing zones on Azure, at scale. Esta abordagem alinha-se com o roteiro de Azure e o Quadro de Adoção em Nuvem para O Azure.This approach aligns with the Azure roadmap and the Cloud Adoption Framework for Azure.

Descrição geral da arquiteturaArchitecture overview

A arquitetura da zona de aterragem em escala de adoção em nuvem representa o caminho estratégico de design e o estado técnico alvo para o ambiente Azure de uma organização.The Cloud Adoption Framework enterprise-scale landing zone architecture represents the strategic design path and target technical state for an organization's Azure environment. Continuará a evoluir juntamente com a plataforma do Azure e é definida pelas várias decisões de design que a sua organização tem de tomar para mapear o seu percurso no Azure.It will continue to evolve alongside the Azure platform and is defined by the various design decisions that your organization must make to map your Azure journey.

Nem todas as empresas adotam o Azure da mesma forma, pelo que a arquitetura da zona de aterragem à escala de adoção em nuvem varia entre os clientes.Not all enterprises adopt Azure the same way, so the Cloud Adoption Framework enterprise-scale landing zone architecture varies between customers. As considerações técnicas e as recomendações de design neste guia podem gerar diferentes trade-offs com base no cenário da sua organização.The technical considerations and design recommendations in this guide might yield different trade-offs based on your organization's scenario. Espera-se que haja algum nível de variação, mas se seguir as recomendações principais, a arquitetura de destino resultante colocará a sua organização num caminho rumo a uma escala sustentável.Some variation is expected, but if you follow the core recommendations, the resulting target architecture will set your organization on a path to sustainable scale.

Zona de desembarque em escala de empresaLanding zone in enterprise-scale

As zonas de destino do Azure são a saída de um ambiente do Azure multissubscrições responsáveis por escala, segurança, governação, rede e identidade.Azure landing zones are the output of a multisubscription Azure environment that accounts for scale, security, governance, networking, and identity. As zonas de desembarque do Azure permitem migrações de aplicações e desenvolvimento de campos verdes à escala empresarial em Azure.Azure landing zones enable application migrations and greenfield development at enterprise scale in Azure. Estas zonas têm em conta todos os recursos da plataforma necessários para suportar o portefólio de aplicações do cliente e não diferenciam entre infraestrutura como um serviço ou plataforma como serviço.These zones consider all platform resources that are required to support the customer's application portfolio and don't differentiate between infrastructure as a service or platform as a service.

Um exemplo é como os serviços públicos da cidade, como a água, o gás e a eletricidade são acessíveis antes de novas casas serem construídas.An example is how city utilities such as water, gas, and electricity are accessible before new homes are constructed. Neste contexto, a gestão da rede, identidade e acesso, políticas, gestão e monitorização são serviços de utilidade partilhada que devem estar prontamente disponíveis para ajudar a agilizar o processo de migração de aplicações antes de começar.In this context, the network, identity and access management, policies, management, and monitoring are shared utility services that must be readily available to help streamline the application migration process before it begins.

Diagrama que mostra um design de zona de aterragem.

Figura 1: Design da zona de aterragem.Figure 1: Landing zone design.

Arquitetura geralHigh-level architecture

Uma arquitetura em escala empresarial é definida por um conjunto de considerações e recomendações de design em oito áreas críticasde design, com duas topologias de rede recomendadas: uma arquitetura à escala empresarial baseada numa topologia da rede Azure Virtual WAN (retratada na figura 2), ou baseada numa topologia tradicional da rede Azure baseada no centro e na arquitetura falada (retratada na figura 3).An enterprise-scale architecture is defined by a set of design considerations and recommendations across eight critical design areas, with two network topologies recommended: an enterprise-scale architecture based on an Azure Virtual WAN network topology (depictured on figure 2), or based on a traditional Azure network topology based on the hub and spoke architecture (depicted on figure 3).

Diagrama que mostra a arquitetura da zona de aterragem em escala de adoção em nuvem baseada numa topologia de rede Azure Virtual WAN.Diagram that shows Cloud Adoption Framework enterprise-scale landing zone architecture based on an Azure Virtual WAN network topology.

Figura 2: Arquitetura da zona de aterragem em escala de adoção em nuvem com base numa topologia da rede Azure Virtual WAN. Note que a subscrição de conectividade utiliza um hub VIRTUAL WAN.Figure 2: Cloud Adoption Framework enterprise-scale landing zone architecture based on an Azure Virtual WAN network topology. Note that the connectivity subscription uses a Virtual WAN hub.

Diagrama que mostra arquitetura da zona de aterragem em escala de adoção em nuvem.Diagram that shows Cloud Adoption Framework enterprise-scale landing zone architecture.

Figura 3: Arquitetura da zona de aterragem em escala de adoção em nuvem baseada numa topologia tradicional de networking Azure. Note que a subscrição de conectividade utiliza um hub VNet.Figure 3: Cloud Adoption Framework enterprise-scale landing zone architecture based on a traditional Azure networking topology. Note that the connectivity subscription uses a hub VNet.

Descarregue os ficheiros PDF ou Visio que contêm os diagramas de arquitetura em escala empresarial baseados na topologia da rede Virtual WAN (PDF) ou numa topologia tradicional da rede Azure baseada no centro e na arquitetura falada (PDF).Download the PDF or Visio files that contain the enterprise-scale architecture diagrams based on the Virtual WAN (PDF) network topology or a traditional Azure network topology based on the hub and spoke (PDF) architecture. Um ficheiro Visio que contenha tanto o WAN Virtual como o centro e o diagrama de arquitetura falada podem ser descarregados como um diagrama visio (VSDX).A Visio file containing both the Virtual WAN and the hub and spoke architecture diagram can be downloaded as a Visio diagram (VSDX).

Nas figuras 2 e 3 existem referências às áreas críticas de conceção em escala empresarial, indicadas com as letras a i:On figures 2 and 3 there are references to the enterprise-scale critical design areas, which are indicated with the letters a to I:

A inscrição na letra A Enterprise Agreement (EA) e os inquilinos do Azure Ative Directory.The letter A Enterprise Agreement (EA) enrollment and Azure Active Directory tenants. Uma inscrição do Contrato Enterprise (EA) representa a relação comercial entre a Microsoft e como a sua organização utiliza o Azure.An Enterprise Agreement (EA) enrollment represents the commercial relationship between Microsoft and how your organization uses Azure. Fornece a base da faturação em todas as suas subscrições e afeta a administração da sua propriedade digital.It provides the basis for billing across all your subscriptions and affects administration of your digital estate. A sua inscrição na EA é gerida através do portal Azure EA.Your EA enrollment is managed via the Azure EA portal. Geralmente, uma inscrição representa a hierarquia de uma organização, que inclui departamentos, contas e subscrições.An enrollment often represents an organization's hierarchy, which includes departments, accounts, and subscriptions. Um inquilino do Azure AD fornece gestão de identidades e acessos, que é uma parte importante da sua postura de segurança.An Azure AD tenant provides identity and access management, which is an important part of your security posture. Um inquilino do Azure AD garante que os utilizadores autorizados e autenticados têm acesso apenas aos recursos para os quais têm permissões de acesso.An Azure AD tenant ensures that authenticated and authorized users have access to only the resources for which they have access permissions.

A letra B Identidade e gestão de acessos.The letter B Identity and access management. O design e integração do Azure Ative Directory devem ser construídos para garantir a autenticação do servidor e do utilizador.Azure Active Directory design and integration must be built to ensure both server and user authentication. O controlo de acesso baseado em recursos (RBAC) deve ser modelado e implantado para impor a separação dos direitos e os direitos exigidos para o funcionamento e gestão da plataforma.Resource-based access control (RBAC) must be modeled and deployed to enforce separation of duties and the required entitlements for platform operation and management. A gestão das chaves deve ser concebida e implantada para garantir um acesso seguro aos recursos e operações de apoio, tais como rotação e recuperação.Key management must be designed and deployed to ensure secure access to resources and support operations such as rotation and recovery. Em última análise, as funções de acesso são atribuídas aos proprietários de aplicações nos planos de controlo e dados para criar e gerir recursos de forma autónoma.Ultimately, access roles are assigned to application owners at the control and data planes to create and manage resources autonomously.

O grupo de gestão da letra C e a organização de subscrição.The letter C Management group and subscription organization. As estruturas dos grupos de gestão num inquilino do Azure Active Directory (Azure AD) suportam o mapeamento organizacional e têm de ser consideradas minuciosamente quando uma organização planeia a adoção do Azure em escala.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and must be considered thoroughly when an organization plans Azure adoption at scale. As subscrições são uma unidade de gestão, faturação e dimensionamento no Azure.Subscriptions are a unit of management, billing, and scale within Azure. Desempenham um papel crítico quando se pretende a adoção em grande escala do Azure.They play a critical role when you're designing for large-scale Azure adoption. Esta área de design crítico ajuda-o a capturar os requisitos de subscrição e a desenhar subscrições-alvo com base em fatores críticos.This critical design area helps you capture subscription requirements and design target subscriptions based on critical factors. Estes fatores são o tipo de ambiente, modelo de propriedade e governação, estrutura organizacional e portefólios de aplicações.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

A letra D Gestão e monitorização.The letter D Management and monitoring. Os alertas e a monitorização de recursos holísticos ao nível da plataforma (horizontais) têm de ser concebidos, implementados e integrados.Platform-level holistic (horizontal) resource monitoring and alerting must be designed, deployed, and integrated. As tarefas operacionais, tais como remendos e backups, também devem ser definidas e simplificadas.Operational tasks such as patching and backup must also be defined and streamlined. As operações de segurança, o controlo e a exploração madeireira devem ser concebidos e integrados com os recursos do Azure e dos sistemas existentes no local.Security operations, monitoring, and logging must be designed and integrated with both resources on Azure and existing on-premises systems. Todos os registos de atividade de subscrição que capturam operações de controlo de aviões através de recursos devem ser transmitidos para o Log Analytics para os disponibilizar para consulta e análise, sujeitos a permissões de RBAC.All subscription activity logs that capture control plane operations across resources should be streamed into Log Analytics to make them available for query and analysis, subject to RBAC permissions.

A topologia e conectividade da redeE.The letter E Network topology and connectivity. A topologia da rede de ponta a ponta deve ser construída e implantada em regiões de Azure e ambientes no local, a fim de assegurar a conectividade norte-sul e este-oeste entre as implantações das plataformas.The end-to-end network topology must be built and deployed across Azure regions and on-premises environments to ensure north-south and east-west connectivity between platform deployments. Os serviços e recursos necessários, tais como firewalls e aparelhos virtuais de rede, devem ser identificados, implantados e configurados em todo o desenho de segurança da rede, a fim de garantir que os requisitos de segurança sejam plenamente cumpridos.Required services and resources such as firewalls and network virtual appliances must be identified, deployed, and configured throughout network security design to ensure that security requirements are fully met.

A letra F , A letra G , A letra H Continuidade do Negócio e   recuperação de desastres e Segurança, governação e conformidade.The letter F, The letter G, The letter H Business continuity and disaster recovery and Security, governance, and compliance. As políticas holísticas e específicas da zona de desembarque devem ser identificadas, descritas, construídas e implantadas na plataforma-alvo Azure, a fim de assegurar a utilização de controlos corporativos, regulamentares e de linha de negócios.Holistic and landing-zone-specific policies must be identified, described, built, and deployed onto the target Azure platform to ensure corporate, regulatory, and line-of-business controls are in place. Em última análise, as políticas devem ser utilizadas para garantir o cumprimento das aplicações e dos recursos subjacentes sem qualquer fornecimento de abstração ou capacidade administrativa.Ultimately, policies should be used to guarantee the compliance of applications and underlying resources without any abstraction provisioning or administration capability.

A letra I Platform Automation and DevOps.The letter I Platform automation and DevOps. Uma experiência de devOps de ponta a ponta com práticas robustas de ciclo de vida de desenvolvimento de software deve ser projetada, construída e implementada para garantir uma entrega segura, repetível e consistente de artefactos de infraestrutura como código.An end-to-end DevOps experience with robust software development lifecycle practices must be designed, built, and deployed to ensure a safe, repeatable, and consistent delivery of infrastructure-as-code artifacts. Estes artefactos devem ser desenvolvidos, testados e implantados utilizando gasodutos dedicados de integração, libertação e implantação com forte controlo de fonte e rastreabilidade.Such artifacts are to be developed, tested, and deployed by using dedicated integration, release, and deployment pipelines with strong source control and traceability.

Passos seguintesNext steps

Personalize a implementação desta arquitetura utilizando as diretrizes de design à escala de empresas cloud adopt framework.Customize implementation of this architecture by using the Cloud Adoption Framework enterprise-scale design guidelines.