Cloud adoption Framework, landnings zon arkitektur i företags skalaCloud Adoption Framework enterprise-scale landing zone architecture

Företags skala är en arkitektur metod och en referens implementering som möjliggör effektiv konstruktion och driftsättning av landnings zoner i Azure, i stor skala.Enterprise-scale is an architectural approach and a reference implementation that enables effective construction and operationalization of landing zones on Azure, at scale. Den här metoden överensstämmer med Azure-översikten och moln implementerings ramverket för Azure.This approach aligns with the Azure roadmap and the Cloud Adoption Framework for Azure.

Översikt över arkitekturenArchitecture overview

Moln implementerings ramverkets landnings zon arkitektur i företags skala representerar den strategiska design banan och målets tekniska tillstånd för en organisations Azure-miljö.The Cloud Adoption Framework enterprise-scale landing zone architecture represents the strategic design path and target technical state for an organization's Azure environment. Den kommer att fortsätta utvecklas tillsammans med Azure-plattformen och definieras av olika designval som din organisation måste göra för att mappa din Azure-resa.It will continue to evolve alongside the Azure platform and is defined by the various design decisions that your organization must make to map your Azure journey.

Alla företag antar inte Azure på samma sätt, så moln implementerings ramverkets arkitektur för företags skala i företags skalan varierar mellan kunderna.Not all enterprises adopt Azure the same way, so the Cloud Adoption Framework enterprise-scale landing zone architecture varies between customers. De tekniska aspekterna och design rekommendationerna i den här hand boken kan ge olika kompromisser baserat på organisationens scenario.The technical considerations and design recommendations in this guide might yield different trade-offs based on your organization's scenario. En viss variation är väntad, men om du följer de grundläggande rekommendationerna får din organisation en bra grundläggande arkitektur för att uppnå en hållbar skala.Some variation is expected, but if you follow the core recommendations, the resulting target architecture will set your organization on a path to sustainable scale.

Landnings zon i företags skalaLanding zone in enterprise-scale

Azure-landningszoner är resurser i en Azure-miljö med flera prenumerationer som omfattar skalning, säkerhet, styrning, nätverk och identitet.Azure landing zones are the output of a multisubscription Azure environment that accounts for scale, security, governance, networking, and identity. Azure-landnings zoner möjliggör programmigreringar och bygg utveckling i företags skala i Azure.Azure landing zones enable application migrations and greenfield development at enterprise-scale in Azure. Dessa zoner tar hänsyn till alla plattformsresurser som krävs för att stödja kundens programportfölj och gör ingen skillnad mellan IaaS och PaaS.These zones consider all platform resources that are required to support the customer's application portfolio and don't differentiate between infrastructure as a service or platform as a service.

Ett exempel är hur stads verktyg som vatten, gas och elektricitet är tillgängliga innan nya hus skapas.An example is how city utilities such as water, gas, and electricity are accessible before new homes are constructed. I detta sammanhang är nätverks-, identitets-och åtkomst hantering, principer, hantering och övervakning delade verktyg tjänster som måste vara tillgängliga för att förenkla programmigreringen innan den påbörjas.In this context, the network, identity and access management, policies, management, and monitoring are shared utility services that must be readily available to help streamline the application migration process before it begins.

Diagram som visar en landnings zon design.

Bild 1: utformning av landnings zon.Figure 1: Landing zone design.

Övergripande arkitekturHigh-level architecture

En arkitektur för företags skala definieras av en uppsättning design aspekter och rekommendationer över åtta viktiga design områden, med två nätverkstopologier som rekommenderas: en arkitektur i företags skala som baseras på en Azure Virtual WAN-nätverkstopologi (som visas i bild 2) eller baserat på en traditionell Azure-nätverkstopologi som baseras på hubben och eker-arkitekturen (visas i bild 3).An enterprise-scale architecture is defined by a set of design considerations and recommendations across eight critical design areas, with two network topologies recommended: an enterprise-scale architecture based on an Azure Virtual WAN network topology (depicted in figure 2), or based on a traditional Azure network topology based on the hub and spoke architecture (depicted in figure 3).

Diagram som visar moln införande Ramverks zon arkitektur i företags skala, baserat på en Azure Virtual WAN-nätverkstopologi.Diagram that shows Cloud Adoption Framework enterprise-scale landing zone architecture based on an Azure Virtual WAN network topology.

Bild 2: Cloud adoption Framework, landnings zon arkitektur i företags skala baserat på en Azure Virtual WAN-nätverkstopologi. Observera att anslutnings prenumerationen använder en virtuell WAN-hubb.Figure 2: Cloud Adoption Framework enterprise-scale landing zone architecture based on an Azure Virtual WAN network topology. Note that the connectivity subscription uses a Virtual WAN hub.

Diagram som visar moln implementerings ramverkets arkitektur för Enterprise-Scale-zon.Diagram that shows Cloud Adoption Framework enterprise-scale landing zone architecture.

Bild 3: Cloud adoption Framework, landnings zon arkitektur i företags skala baserat på en traditionell topologi för Azure-nätverk. Observera att anslutnings prenumerationen använder ett hubb-VNet.Figure 3: Cloud Adoption Framework enterprise-scale landing zone architecture based on a traditional Azure networking topology. Note that the connectivity subscription uses a hub VNet.

Ladda ned PDF-eller Visio-filerna som innehåller arkitektur diagram för företags skala baserat på nätverk sto pol Ogin för virtuella WAN-nätverk (PDF) eller en traditionell Azure-nätverkstopologi som baseras på arkitekturen för hubb och eker (PDF) .Download the PDF or Visio files that contain the enterprise-scale architecture diagrams based on the Virtual WAN (PDF) network topology or a traditional Azure network topology based on the hub and spoke (PDF) architecture. En Visio-fil som innehåller både det virtuella WAN-nätverket och hubb-och eker-diagrammet kan laddas ned som ett Visio-diagram (VSDX).A Visio file containing both the Virtual WAN and the hub and spoke architecture diagram can be downloaded as a Visio diagram (VSDX).

På figurerna 2 och 3 finns det referenser till viktiga design områden i företags skala som anges med bokstäverna A till I:On figures 2 and 3 there are references to the enterprise-scale critical design areas, which are indicated with the letters A to I:

Bokstaven A Enterprise-avtal-registrering (EA) och Azure Active Directory klienter.The letter A Enterprise Agreement (EA) enrollment and Azure Active Directory tenants. En Enterprise-avtalsregistrering (EA) representerar den kommersiella relationen mellan Microsoft och hur organisationen använder Azure.An Enterprise Agreement (EA) enrollment represents the commercial relationship between Microsoft and how your organization uses Azure. Den utgör grunden för fakturering av alla dina prenumerationer och påverkar administrationen av din digitala egendom.It provides the basis for billing across all your subscriptions and affects administration of your digital estate. Din EA-registrering hanteras via Azures EA-Portal.Your EA enrollment is managed via the Azure EA portal. En registrering representerar ofta en organisations hierarki, som innehåller avdelningar, konton och prenumerationer.An enrollment often represents an organization's hierarchy, which includes departments, accounts, and subscriptions. En Azure AD-klientorganisation tillhandahåller identitets- och åtkomsthantering, som är en viktig del av din säkerhetsstatus.An Azure AD tenant provides identity and access management, which is an important part of your security posture. En Azure AD-klientorganisation säkerställer att autentiserade och behöriga användare endast har åtkomst till de resurser som de har behörigheter till.An Azure AD tenant ensures that authenticated and authorized users have access to only the resources for which they have access permissions.

Brev B- identitets-och åtkomst hantering.The letter B Identity and access management. Azure Active Directory utformning och integrering måste skapas för att säkerställa både server-och användarautentisering.Azure Active Directory design and integration must be built to ensure both server and user authentication. Rollbaserad åtkomst kontroll i Azure (Azure RBAC) måste modelleras och distribueras för att upprätthålla separering av uppgifter och de nödvändiga rättigheterna för plattforms drift och hantering.Azure role-based access control (Azure RBAC) must be modeled and deployed to enforce separation of duties and the required entitlements for platform operation and management. Nyckel hantering måste utformas och distribueras för att säkerställa säker åtkomst till resurser och stöd åtgärder, till exempel rotation och återställning.Key management must be designed and deployed to ensure secure access to resources and support operations such as rotation and recovery. Slutligen tilldelas åtkomst roller till program ägare på kontroll-och data planen för att skapa och hantera resurser autonomt.Ultimately, access roles are assigned to application owners at the control and data planes to create and manage resources autonomously.

Enhet C- hanterings grupp och prenumerations organisation.The letter C Management group and subscription organization. Strukturer för hanteringsgrupper i en Azure Active Directory-klientorganisation (Azure AD) stöder organisationsmappning och måste övervägas noggrant när en organisation planerar Azure-införande i stor skala.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and must be considered thoroughly when an organization plans Azure adoption at scale. Prenumerationer är en hanterings-, fakturerings- och skalenhet i Azure.Subscriptions are a unit of management, billing, and scale within Azure. De spelar en viktig roll när du utformar för storskaligt Azure-införande.They play a critical role when you're designing for large-scale Azure adoption. Detta kritiska design områden hjälper dig att avbilda prenumerations krav och utforma mål prenumerationer baserat på kritiska faktorer.This critical design area helps you capture subscription requirements and design target subscriptions based on critical factors. Dessa faktorer är miljötyp, äganderätts- och styrningsmodell, organisationsstruktur och programportföljer.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

Hantering och övervakningav bokstaven i D.The letter D Management and monitoring. Holistisk (horisontell) resursövervakning och aviseringar på plattformsnivå måste utformas, distribueras och integreras.Platform-level holistic (horizontal) resource monitoring and alerting must be designed, deployed, and integrated. Drift uppgifter som uppdatering och säkerhets kopiering måste också definieras och effektiviseras.Operational tasks such as patching and backup must also be defined and streamlined. Säkerhets åtgärder, övervakning och loggning måste utformas och integreras med både resurser i Azure och befintliga lokala system.Security operations, monitoring, and logging must be designed and integrated with both resources on Azure and existing on-premises systems. Alla prenumerations aktivitets loggar som fångar kontroll Plans åtgärder över resurser ska strömmas i Log Analytics för att göra dem tillgängliga för fråga och analys, beroende på Azure RBAC-behörigheter.All subscription activity logs that capture control plane operations across resources should be streamed into Log Analytics to make them available for query and analysis, subject to Azure RBAC permissions.

Bokstaven E-nätverkstopologi och anslutning.The letter E Network topology and connectivity. Nätverk sto pol Ogin från slut punkt till slut punkt måste byggas och distribueras i Azure-regioner och i lokala miljöer för att säkerställa anslutning mellan plattformar och sydöstra anslutningar mellan plattforms distributioner.The end-to-end network topology must be built and deployed across Azure regions and on-premises environments to ensure north-south and east-west connectivity between platform deployments. Nödvändiga tjänster och resurser, till exempel brand väggar och virtuella nätverks installationer, måste identifieras, distribueras och konfigureras i nätverks säkerhets design för att säkerställa att säkerhets kraven är fullständigt uppfyllda.Required services and resources such as firewalls and network virtual appliances must be identified, deployed, and configured throughout network security design to ensure that security requirements are fully met.

Bokstaven F ,  bokstaven G ,  bokstaven H affärs kontinuitet och haveri beredskap och säkerhet, styrning och efterlevnad.The letter F, The letter G, The letter H Business continuity and disaster recovery and Security, governance, and compliance. Holistiska och landnings zoner-specifika principer måste identifieras, beskrivas, beskrivas, beskrivas, skapas och distribueras till Azure-plattformen för att säkerställa att företags-, reglerings-och branschspecifika kontroller är på plats.Holistic and landing-zone-specific policies must be identified, described, built, and deployed onto the target Azure platform to ensure corporate, regulatory, and line-of-business controls are in place. Slutligen bör principer användas för att garantera kompatibiliteten för program och underliggande resurser utan någon etablerings-eller administrations funktion.Ultimately, policies should be used to guarantee the compliance of applications and underlying resources without any abstraction provisioning or administration capability.

Bokstav I plattforms automatisering och DevOps.The letter I Platform automation and DevOps. En komplett DevOps-upplevelse med robusta livs cykel metoder för program utveckling måste utformas, byggas och distribueras för att säkerställa en säker, upprepnings bar och konsekvent leverans av infrastruktur-som-kodade artefakter.An end-to-end DevOps experience with robust software development lifecycle practices must be designed, built, and deployed to ensure a safe, repeatable, and consistent delivery of infrastructure-as-code artifacts. Sådana artefakter ska utvecklas, testas och distribueras med hjälp av särskilda integrerings-, lanserings-och distributions pipeliner med stark käll kontroll och spårbarhet.Such artifacts are to be developed, tested, and deployed by using dedicated integration, release, and deployment pipelines with strong source control and traceability.

Nästa stegNext steps

Anpassa implementeringen av den här arkitekturen genom att använda design rikt linjerna för företags skala i företags skala i molnet.Customize implementation of this architecture by using the Cloud Adoption Framework enterprise-scale design guidelines.