Azure Kurumsal iskelesi uygulama örnekleriExamples of implementing Azure enterprise scaffold

Bu makalede bir kuruluş için öneriler nasıl uygulayabilirsiniz örnekler sağlar. bir Azure Kurumsal iskelesi.This article provides examples of how an enterprise can implement the recommendations for an Azure enterprise scaffold. Yaygın senaryolar için en iyi yöntemleri göstermek üzere Contoso adlı kurgusal bir şirkete kullanır.It uses a fictional company named Contoso to illustrate best practices for common scenarios.

Arka planBackground

Contoso müşterileri için tedarik zinciri çözümleri sağlayan dünya çapında bir şirkettir.Contoso is a worldwide company that provides supply chain solutions for customers. Şirket içi bir hizmet modeli paketlenmiş bir Modeli'ne dağıtılan gibi bunlar yazılım kadar her şeyi sağlar.They provide everything from a software as a service model to a packaged model deployed on-premises. Hindistan, Amerika Birleşik Devletleri ve Kanada'da önemli geliştirme merkezleri ile dünya çapındaki yazılım geliştirme.They develop software across the globe with significant development centers in India, the United States, and Canada.

ISV bölümü şirket içinde önemli bir iş ürünlerini yöneten çeşitli bağımsız iş birimleri ayrılmıştır.The ISV portion of the company is divided into several independent business units that manage products in a significant business. Her iş birimi kendi geliştiriciler, ürün yöneticileri ve mimarları sahiptir.Each business unit has its own developers, product managers, and architects.

Kurumsal teknoloji Hizmetleri (ETS) iş birimi merkezi BT yeteneği sağlar ve iş birimleri uygulamalarına ana bilgisayar birden fazla veri merkezi yönetir.The Enterprise Technology Services (ETS) business unit provides centralized IT capability, and manages several data centers where business units host their applications. Veri merkezlerinde yönetme, birlikte ETS kuruluş sağlar ve merkezi işbirliği (örneğin, e-posta ve Web siteleri) ve ağ/telefon hizmetleri yönetir.Along with managing the data centers, the ETS organization provides and manages centralized collaboration (such as email and websites) and network/telephony services. Bunlar ayrıca müşterilere yönelik iş yüklerini operasyon personeliniz sahip olmayan daha küçük iş birimleri yönetin.They also manage customer-facing workloads for smaller business units who don't have operational staff.

Bu makalede aşağıdaki kişilerin kullanılır:The following personas are used in this article:

  • Dave ETS Azure yöneticisidir.Dave is the ETS Azure administrator.
  • Alice, Contoso'nun geliştirme Direktörü tedarik zinciri departmandaki olur.Alice is Contoso's Director of Development in the supply chain business unit.

Bir iş kolu satır uygulama ve müşterilere yönelik uygulama oluşturmak contoso gerekir.Contoso needs to build a line-of-business app and a customer-facing app. Uygulamaları Azure'da çalıştırmak üzere karar vermiştir.It has decided to run the apps on Azure. Dave okur öngörücü abonelik İdaresi makalesini inceleyin ve önerileri uygulamak hazır hale gelir.Dave reads the prescriptive subscription governance article, and is now ready to implement the recommendations.

Senaryo 1: İş kolu satır uygulamaScenario 1: line-of-business application

Contoso kaynak kod yönetimi sistemi (BitBucket) dünya genelindeki geliştiriciler tarafından kullanılacak oluşturuyor.Contoso is building a source code management system (BitBucket) to be used by developers across the world. Uygulamayı barındırmak için altyapı (Iaas) hizmet olarak kullanır ve web sunucuları ve veritabanı sunucusu oluşur.The application uses Infrastructure as a Service (IaaS) for hosting, and consists of web servers and a database server. Geliştiriciler kendi geliştirme ortamlarında sunucularını erişim, ancak azure'daki sunuculara erişmelerine gerek duydukları yok.Developers access servers in their development environments, but they don't need access to the servers in Azure. Contoso ETS takım ve uygulama sahibinin uygulamayı yönetmek izin istiyor.Contoso ETS wants to allow the application owner and team to manage the application. Uygulamayı yalnızca Contoso'nun kurumsal ağ üzerinde çalışırken kullanılabilir.The application is only available while on Contoso's corporate network. Dave, bu uygulama için aboneliği ayarlamanız gerekir.Dave needs to set up the subscription for this application. Abonelik de gelecekte diğer Geliştirici ile ilgili yazılım barındıracak.The subscription will also host other developer-related software in the future.

Adlandırma standartlarına ve kaynak gruplarıNaming standards and resource groups

Dave tüm Departmanlar arasında ortak olan geliştirici araçlarını desteklemek için bir abonelik oluşturur.Dave creates a subscription to support developer tools that are common across all the business units. Dave anlamlı adlar için abonelik ve kaynak grupları (uygulama ve ağlar) oluşturmanız gerekir.Dave needs to create meaningful names for the subscription and resource groups (for the application and the networks). Aşağıdaki abonelik ve kaynak gruplarını oluşturur:He creates the following subscription and resource groups:

ÖğeItem AdName AçıklamaDescription
AbonelikSubscription Contoso ETS DeveloperTools üretimContoso ETS DeveloperTools Production Yaygın Geliştirici Araçları'nı desteklerSupports common developer tools
Kaynak GrubuResource Group bitbucket-prod-rgbitbucket-prod-rg Uygulama web sunucusu ve veritabanı sunucusunu içerirContains the application web server and database server
Kaynak GrubuResource Group corenetworks-prod-rgcorenetworks-prod-rg Sanal ağ ve siteden siteye ağ geçidi bağlantısı içerir.Contains the virtual networks and site-to-site gateway connection

Rol tabanlı erişim denetimiRole-based access control

Kendi abonelik oluşturduktan sonra uygulama sahipleri ve uygun takımlar kaynaklarına erişebildiğinden emin olmak Dave istiyor.After creating his subscription, Dave wants to ensure that the appropriate teams and application owners can access their resources. Dave, her takım farklı gereksinimlere sahip olduğunu algılar.Dave recognizes that each team has different requirements. Kendisi, Contoso'nun şirket içi Active Directory (AD) Azure Active Directory ile eşitlenmiş grupları kullanır ve doğru ekibi için erişim düzeyini sağlar.He uses the groups that have been synched from Contoso's on-premises Active Directory (AD) to Azure Active Directory, and provides the right level of access to the teams.

Dave, abonelik için aşağıdaki rollerin atar:Dave assigns the following roles for the subscription:

RolRole Atanan:Assigned to AçıklamaDescription
SahipOwner Contoso'nun kimliği yönetilen ADManaged ID from Contoso's AD Bu kimliği ile tam zamanında (JIT) erişim Contoso'nun kimlik yönetimi aracı üzerinden denetlenir ve abonelik sahibi erişimi tamamen denetlenmiş sağlarThis ID is controlled with Just in Time (JIT) access through Contoso's Identity Management tool and ensures that subscription owner access is fully audited
Güvenlik okuyucusuSecurity Reader Güvenlik ve risk yönetimi bölümüSecurity and risk management department Bu rolü, kullanıcıların Azure Güvenlik Merkezi ve kaynakların durumunu bakın sağlar.This role allows users to look at the Azure Security Center and the status of the resources
Ağ KatılımcısıNetwork Contributor Ağ ekibiNetwork team Bu rolü, Contoso'nun ağ takım siteden siteye VPN ve sanal ağları yönetmenizi sağlar.This role allows Contoso's network team to manage the Site to Site VPN and the Virtual Networks
Özel rolCustom role Uygulama sahibiApplication owner Dave kaynakları kaynak grubu içinde değiştirme olanağı veren bir rolü oluşturur.Dave creates a role that grants the ability to modify resources within the resource group. Daha fazla bilgi için Azure rbac'de özel rollerFor more information, see Custom Roles in Azure RBAC

İlkelerPolicies

Dave abonelik kaynaklarını yönetmek için aşağıdaki gereksinimlere sahiptir:Dave has the following requirements for managing resources in the subscription:

  • Geliştirme araçları, geliştiricilerin dünya genelindeki desteklediğinden, kendisinin kullanıcıların herhangi bir bölgede kaynakları oluşturmasını engellemek istememektedir.Because the development tools support developers across the world, he doesn't want to block users from creating resources in any region. Ancak, kendisinin kaynakların oluşturulabileceği bilmesi gerekir.However, he needs to know where resources are created.
  • Hüseyin, maliyetleri endişelenmiştir.He is concerned with costs. Bu nedenle, uygulama sahipleri, kullanıcının gereksiz derece pahalı sanal makineleri oluşturmasını önlemek istediği.Therefore, he wants to prevent application owners from creating unnecessarily expensive virtual machines.
  • Bu uygulama, birçok iş birimleri, geliştiricilerin proxy'sisi işlevi görmesi nedeniyle, iş birimi ve uygulama sahibi her kaynak etiketi istediği.Because this application serves developers in many business units, he wants to tag each resource with the business unit and application owner. Bu etiketleri kullanarak ETS uygun takımların faturalandırılırsınız.By using these tags, ETS can bill the appropriate teams.

Aşağıdaki oluşturur Azure ilkeleri:He creates the following Azure policies:

AlanField EtkiEffect AçıklamaDescription
locationlocation Denetimaudit Tüm bölgelerdeki kaynakları oluşturmayı denetlemeAudit the creation of the resources in any region
typetype reddetdeny G serisi sanal makinelerin oluşturulmasını ReddetDeny creation of G-Series virtual machines
etiketlertags reddetdeny Uygulama sahibi etiketi gerektirirRequire application owner tag
etiketlertags reddetdeny Maliyet merkezi etiketi gerektirirRequire cost center tag
etiketlertags Eklemeappend Etiket adı ekleme departmanı ve etiket değeri ETS tüm kaynaklaraAppend tag name BusinessUnit and tag value ETS to all resources

Kaynak etiketleriResource tags

Dave BitBucket uygulaması için maliyet merkezi tanımlamak için fatura belirli bilgileri olması gerektiğini farkındadır.Dave understands that he needs to have specific information on the bill to identify the cost center for the BitBucket implementation. Ayrıca, Dave ETS sahip tüm kaynakları bilmek ister.Additionally, Dave wants to know all the resources that ETS owns.

He aşağıdaki ekler etiketleri kaynak grupları ve kaynaklar.He adds the following tags to the resource groups and resources.

Etiket adıTag name Etiket değeriTag value
ApplicationOwnerApplicationOwner Bu uygulamayı yöneten kişiyle adıThe name of the person who manages this application
Maliyet merkeziCostCenter Azure tüketimi için ödeme grubunun maliyet merkeziThe cost center of the group that is paying for the Azure consumption
DepartmanıBusinessUnit ETS (abonelikle ilişkili iş birimi)ETS (the business unit associated with the subscription)

Çekirdek AğCore network

Contoso ETS bilgi güvenliği ve risk yönetim ekibi, uygulamayı azure'a taşımak için önerilen plan Dave'nın inceler.The Contoso ETS information security and risk management team reviews Dave's proposed plan to move the application to Azure. Uygulama internet'e açık olmadığından emin olmak isterler.They want to ensure that the application isn't exposed to the internet. Dave, gelecekte Azure'a taşınacak Geliştirici uygulamaları da vardır.Dave also has developer apps that in the future will be moved to Azure. Bu uygulamalar, ortak arabirimler gerektirir.These apps require public interfaces. Bu gereksinimleri karşılamak için yaptığı iç ve dış sanal ağlar ve erişimi kısıtlamak için ağ güvenlik grubu sağlar.To meet these requirements, he provides both internal and external virtual networks, and a network security group to restrict access.

Aşağıdaki kaynakları oluşturur:He creates the following resources:

Kaynak türüResource type AdName AçıklamaDescription
Sanal AğVirtual Network İç sanal ağinternal-vnet BitBucket uygulama ile kullanılan ve ExpressRoute aracılığıyla Contoso'nun şirket ağına bağlı.Used with the BitBucket application and is connected via ExpressRoute to Contoso's corporate network. Bir alt ağ (bitbucket) uygulama belirli bir IP adres alanı ile sağlarA subnet (bitbucket) provides the application with a specific IP address space
Sanal AğVirtual Network Dış sanal ağexternal-vnet Genel kullanıma yönelik uç noktalar gerektiren gelecekteki uygulamalar için kullanılabilirAvailable for future applications that require public-facing endpoints
Ağ Güvenliği GrubuNetwork Security Group bitbucket nsgbitbucket-nsg Uygulamayı nerede yaşıyor yalnızca bağlantı noktası 443 üzerinden alt ağ için bağlantılara izin vererek bu iş yükü saldırı yüzeyini küçültüldüğünde sağlar (bitbucket)Ensures that the attack surface of this workload is minimized by allowing connections only on port 443 for the subnet where the application lives (bitbucket)

Kaynak kilitleriResource locks

Dave, Contoso'nun Kurumsal ağdan bağlantı iç sanal ağa herhangi bir wayward betik veya yanlışlıkla silinmesi olarak korunması gereken tanır.Dave recognizes that the connectivity from Contoso's corporate network to the internal virtual network must be protected from any wayward script or accidental deletion.

Aşağıdaki oluşturur kaynak kilidi:He creates the following resource lock:

Kilit türüLock type KaynakResource AçıklamaDescription
CanNotDeleteCanNotDelete İç sanal ağinternal-vnet Kullanıcıların sanal ağ veya alt ağları silmesini engeller, ancak yeni alt eklenmesi engellemezPrevents users from deleting the virtual network or subnets, but does not prevent the addition of new subnets

Azure OtomasyonuAzure Automation

Dave bu uygulama için otomatik hale getirmek için hiçbir şey vardır.Dave has nothing to automate for this application. He bir Azure Otomasyonu hesabı oluşturuldu ancak kendisine başlangıçta kullanmaz.Although he created an Azure Automation account, he won't initially use it.

Azure Güvenlik MerkeziAzure Security Center

Contoso BT Hizmet Yönetimi hızla belirlemek ve tehditleri işlemek gerekir.Contoso IT service management needs to quickly identify and handle threats. Ayrıca hangi sorunları bulunabilecek öğrenmek isterler.They also want to understand what problems may exist.

Bu gereksinimleri karşılamak üzere Dave sağlayan Azure Güvenlik Merkezive güvenlik okuyucu rolüne erişim sağlar.To fulfill these requirements, Dave enables the Azure Security Center, and provides access to the Security Reader role.

Senaryo 2: müşterilere yönelik uygulamaScenario 2: customer-facing app

Tedarik zinciri departmandaki iş liderlik bir bağlılık kart kullanarak Contoso'nun müşterilerle katılımı artırmak için çeşitli fırsatlar belirlemiştir.The business leadership in the supply chain business unit has identified various opportunities to increase engagement with Contoso's customers by using a loyalty card. Alice takım, bu uygulama oluşturmanız gerekir ve Azure iş gereksinimlerini karşılamak için yeteneklerini artıran karar verir.Alice's team must create this application and decides that Azure increases their ability to meet the business need. Alice, geliştirme ve bu uygulamayı çalıştırmanın iki aboneliklerini yapılandırma ETS gelen Dave ile birlikte çalışır.Alice works with Dave from ETS to configure two subscriptions for developing and operating this application.

Azure abonelikleriAzure subscriptions

Dave, Azure Enterprise Portal'da oturum açması ve tedarik zinciri departmanı zaten görür.Dave logs in to the Azure Enterprise Portal and sees that the supply chain department already exists. Ancak, bu projeyi ilk geliştirme projenizi Azure tedarik zinciri ekibinden sorumlu olduğu gibi yeni bir hesap Alice'in geliştirme ekibi için gerekli Dave tanır.However, as this project is the first development project for the supply chain team in Azure, Dave recognizes the need for a new account for Alice’s development team. Kendisi takımının "Ar -ge" hesabı oluşturur ve Alice için erişim atar.He creates the "R&D" account for her team and assigns access to Alice. Alice Azure portalı üzerinden bağlanır ve iki abonelik oluşturur: bir geliştirme sunucuları ve bir üretim sunucularına tutmak için tutmak için.Alice logs in via the Azure portal and creates two subscriptions: one to hold the development servers and one to hold the production servers. Filiz aşağıdaki abonelikleri oluştururken, daha önce kurulan adlandırma standartlarına aşağıdaki gibidir:She follows the previously established naming standards when creating the following subscriptions:

Abonelik kullanımıSubscription use AdName
GeliştirmeDevelopment Contoso SupplyChain ResearchDevelopment LoyaltyCard geliştirmeContoso SupplyChain ResearchDevelopment LoyaltyCard Development
ÜretimProduction Contoso SupplyChain Operations LoyaltyCard üretimContoso SupplyChain Operations LoyaltyCard Production

İlkelerPolicies

Dave ve Alice uygulama tartışın ve bu uygulama yalnızca Kuzey Amerika bölgesi müşterilere hizmet belirleyin.Dave and Alice discuss the application and identify that this application only serves customers in the North American region. Alice ve ekibinin uygulama oluşturmak için Azure uygulama hizmeti ortamı ve Azure SQL kullanmayı planlayın.Alice and her team plan to use Azure's Application Service Environment and Azure SQL to create the application. Geliştirme sırasında sanal makineler oluşturmak gerekebilir.They may need to create virtual machines during development. Alice, kendi geliştiriciler keşfedin ve içinde ETS çekme olmadan sorunları incelemek için ihtiyaç duyduğu kaynakları sağlamak istiyor.Alice wants to ensure that her developers have the resources they need to explore and examine problems without pulling in ETS.

İçin geliştirme abonelik, şu ilkeyi oluştururlar:For the development subscription, they create the following policy:

AlanField EtkiEffect AçıklamaDescription
locationlocation Denetimaudit Tüm bölgelerdeki kaynakları oluşturmayı denetlemeAudit the creation of the resources in any region

Kullanıcı geliştirme oluşturabilir sku türü sınırlama getirmeyiz ve tüm kaynak grupları ve kaynakları için etiketler gerekmez.They don't limit the type of sku a user can create in development, and they don't require tags for any resource groups or resources.

İçin üretim abonelik, bunlar aşağıdaki ilkeleri oluşturur:For the production subscription, they create the following policies:

AlanField EtkiEffect AçıklamaDescription
locationlocation reddetdeny ABD veri merkezleri dışında tüm kaynaklarının oluşturulmasını ReddetDeny the creation of any resources outside of the US data centers
etiketlertags reddetdeny Uygulama sahibi etiketi gerektirirRequire application owner tag
etiketlertags reddetdeny Department etiketi gerektirirRequire department tag
etiketlertags Eklemeappend Üretim ortamı gösteren her kaynak grubuna etiket eklemeAppend tag to each resource group that indicates production environment

Bunlar, üretim ortamında bir kullanıcı oluşturabilirsiniz sku türü sınırlamayın.They don't limit the type of sku a user can create in production.

Kaynak etiketleriResource tags

Dave, faturalandırma ve sahipliği için doğru iş gruplarını tanımlamak için belirli bilgilere sahip gerektiğini farkındadır.Dave understands that he needs to have specific information to identify the correct business groups for billing and ownership. Hüseyin, kaynak grupları ve kaynaklar için kaynak etiketleri tanımlar.He defines resource tags for resource groups and resources.

Etiket adıTag name Etiket değeriTag value
ApplicationOwnerApplicationOwner Bu uygulamayı yöneten kişiyle adıThe name of the person who manages this application
BölümDepartment Azure tüketimi için ödeme grubunun maliyet merkeziThe cost center of the group that is paying for the Azure consumption
EnvironmentTypeEnvironmentType Üretim (içeren aboneliği olsa bile üretim adı, bu etiket dahil olmak üzere kolay bir şekilde tanımlanması kaynakları portal ya da fatura ararken sağlar)Production (Even though the subscription includes Production in the name, including this tag enables easy identification when looking at resources in the portal or on the bill)

Çekirdek AğCore networks

Contoso ETS bilgi güvenliği ve risk yönetim ekibi, uygulamayı azure'a taşımak için önerilen plan Dave'nın inceler.The Contoso ETS information security and risk management team reviews Dave's proposed plan to move the application to Azure. Bağlılık kart uygulama düzgün bir şekilde yalıtılmış ve bir DMZ ağına korumalı emin olmak isterler.They want to ensure that the Loyalty Card application is properly isolated and protected in a DMZ network. Bu gereksinimi karşılamak için Dave ve Alice bir dış sanal ağ ve Contoso şirket ağı bağlılık kart uygulamadan yalıtmak için bir ağ güvenlik grubu oluşturun.To fulfill this requirement, Dave and Alice create an external virtual network and a network security group to isolate the Loyalty Card application from the Contoso corporate network.

İçin geliştirme abonelik, oluştururlar:For the development subscription, they create:

Kaynak türüResource type AdName AçıklamaDescription
Sanal AğVirtual Network İç sanal ağinternal-vnet Contoso bağlılık kart geliştirme ortamı sunar ve ExpressRoute aracılığıyla Contoso'nun şirket ağına bağlıServes the Contoso Loyalty Card development environment and is connected via ExpressRoute to Contoso's corporate network

İçin üretim abonelik, oluştururlar:For the production subscription, they create:

Kaynak türüResource type AdName AçıklamaDescription
Sanal AğVirtual Network Dış sanal ağexternal-vnet Bağlılık kart uygulamasını barındıran ve doğrudan Contoso'nun Expressroute'a bağlı değil.Hosts the Loyalty Card application and is not connected directly to Contoso's ExpressRoute. PaaS hizmetlerine doğrudan kod bunların kaynak kodunu sistem gönderildiCode is pushed via their Source Code system directly to the PaaS services
Ağ Güvenliği GrubuNetwork Security Group loyaltycard nsgloyaltycard-nsg Bu iş yükü saldırı yüzeyini gelen iletişimi yalnızca TCP 443 numaralı vererek küçültüldüğünde sağlar.Ensures that the attack surface of this workload is minimized by only allowing in-bound communication on TCP 443. Contoso Web uygulaması güvenlik duvarı için ek koruma kullanarak da araştırmaContoso is also investigating using a Web Application Firewall for additional protection

Kaynak kilitleriResource locks

Dave Alice confer ve bazı önemli bir yalıtılarak kod gönderimi sırasında yanlışlıkla silinmesini önlemek için ortamınızda kaynakların kaynak kilitleri eklemeye karar.Dave and Alice confer and decide to add resource locks on some of the key resources in the environment to prevent accidental deletion during an errant code push.

Aşağıdaki kilit oluştururlar:They create the following lock:

Kilit türüLock type KaynakResource AçıklamaDescription
CanNotDeleteCanNotDelete Dış sanal ağexternal-vnet Sanal ağ veya alt ağlara silmesini kişiler önlemek için.To prevent people from deleting the virtual network or subnets. Yeni alt eklenmesini kilit engellemezThe lock does not prevent the addition of new subnets

Azure OtomasyonuAzure Automation

Alice ve geliştirme ekibinin bu uygulama için ortamı yönetmek için kapsamlı runbook'ları vardır.Alice and her development team have extensive runbooks to manage the environment for this application. Runbook'ları, uygulama ve diğer DevOps görevlerini gerçekleştirmek için eklendiği/silindiği için izin verin.The runbooks allow for the addition/deletion of nodes for the application and other DevOps tasks.

Bu runbook'ları kullanmak için bunlar etkinleştirin Otomasyon.To use these runbooks, they enable Automation.

Azure Güvenlik MerkeziAzure Security Center

Contoso BT Hizmet Yönetimi hızla belirlemek ve tehditleri işlemek gerekir.Contoso IT service management needs to quickly identify and handle threats. Ayrıca hangi sorunları bulunabilecek öğrenmek isterler.They also want to understand what problems may exist.

Bu gereksinimleri karşılamak için Azure Güvenlik Merkezi Dave sağlar.To fulfill these requirements, Dave enables Azure Security Center. He sağlar, Azure Güvenlik Merkezi kaynakları izleme ve DevOps ve güvenlik ekibi için erişim sağlar.He ensures that the Azure Security Center is monitoring the resources, and provides access to the DevOps and security teams.

Sonraki adımlarNext steps