部署 Azure 登陸區域
本文討論可用來部署平臺和應用程式登陸區域的選項。 平臺登陸區域提供工作負載所使用的集中式服務。 應用程式登陸區域是針對工作負載本身所部署的環境。
重要
如需平臺與應用程式登陸區域定義的詳細資訊,請參閱 Azure 檔案 雲端採用架構 中的什麼是 Azure 登陸區域?
本文涵蓋不同雲端作業模型的常見角色和責任。 它也會列出平臺和應用程式登陸區域的部署選項。
雲端作業模型角色和責任
雲端採用架構 描述四種常見的雲端作業模型。 登陸區域的 Azure 身分識別和存取建議五個角色定義(角色),以考慮貴組織的雲端作業模型是否需要自定義的角色型訪問控制。 如果您的組織有更分散的作業,Azure 內建角色 可能就已足夠。
下表概述每個雲端作業模型的主要角色。
| 角色 | 非集中式作業 | 集中式作業 | 企業作業 | 分散式作業 |
|---|---|---|---|---|
| Azure 平台擁有者(例如內建擁有者角色) | 工作負載小組 | 中央雲端策略 | 雲端卓越中心的企業架構師(CCoE) | 根據公事包分析。 請參閱 商務一致性 和 商務承諾。 |
| 網路管理 (NetOps) | 工作負載小組 | 中央IT | CCoE 中的中央網路功能 | 每個分散式小組 + 的中央網路功能 CCoE。 |
| 安全性作業 (SecOps) | 工作負載小組 | 安全性作業中心 (SOC) | CCoE + SOC | 混合。 請參閱 定義安全性策略。 |
| 訂用帳戶擁有者 | 工作負載小組 | 中央IT | 中央 IT + 應用程式擁有者 | CCoE + 應用程式擁有者。 |
| 應用程式擁有者(DevOps、AppOps) | 工作負載小組 | 工作負載小組 | 中央 IT + 應用程式擁有者 | CCoE + 應用程式擁有者。 |
平台
下列選項提供部署及操作 Azure 登陸區域概念架構的有意見方法,如 雲端採用架構 中所述。 視自定義專案而定,此處所列的所有選項,產生的架構可能不相同。 選項之間的差異在於您部署架構的方式。 他們使用不同的技術、採用不同的方法,並以不同的方式自定義。
| 部署選項 | 描述 |
|---|---|
| Azure 登陸區域入口網站加速器 | 以 Azure 入口網站 為基礎的部署提供概念架構的完整實作,以及管理群組和原則等重要元件的有意見設定。 |
| Azure 登陸區域 Terraform 加速器 | 此加速器提供協調器模組,也可讓您個別或部分地部署每個功能。 |
| Azure 登陸區域 Bicep 加速器 | 模組化加速器,其中每個模組都會封裝 Azure 登陸區域概念架構的核心功能。 雖然模組可以個別部署,但設計建議使用協調器模組來封裝使用模組部署不同拓撲的複雜性。 |
變體
| 部署選項 | 描述 |
|---|---|
| 主權登陸區域 | 主權登陸區域 (SLZ) 是企業規模的 Azure 登陸區域變體,適用於需要進階主權控制的組織。 |
操作 Azure 登陸區域
部署登陸區域之後,您必須操作和維護它。 如需詳細資訊,請參閱如何 讓您的 Azure 登陸區域保持最新狀態的指引。
Azure 治理可視化檢視 旨在透過連接點並提供複雜的報告,協助您取得技術 Azure 治理實作的整體概觀。
使用企業原則即程式代碼的原則替代平臺部署 (EPAC)
企業原則即程序代碼 (EPAC) 是在您的環境中部署、管理及操作 Azure 原則的替代方法。 您可以使用 EPAC,而不是上述 平台選項 來管理 Azure 登陸區域環境中的原則。 如需整合方法的詳細資訊,請參閱 整合 EPAC 與 Azure 登陸區域。
EPAC 最適合更進階且成熟的 DevOps 和基礎結構即程式代碼客戶。 不過,任何大小的客戶都可以在評估 EPAC 之後使用 EPAC。 若要確定您已對齊,請參閱 神秘 應該先使用EPAC?
注意
仔細評估並考慮這兩個選項。 在您決定要在長期使用什麼之前,先執行 MVP 或概念證明。
訂閱自動售貨
平臺登陸區域就緒之後,下一個步驟是建立和運作工作負載擁有者的應用程式登陸區域。 訂用帳戶民主化是 Azure 登陸區域的設計原則 ,其使用訂用帳戶作為管理和規模單位。 此方法可加速應用程式移轉和新的應用程式開發。
訂閱自動售貨 會將您用來要求、部署及控管訂用帳戶的程序標準化。 它可讓應用程式小組更快速地部署其工作負載。 若要開始使用,請參閱 訂用帳戶自動售貨實作指引。 然後檢閱下列基礎結構即程式代碼模組。 它們提供彈性以符合您的實作需求。
| 部署選項 | 描述 |
|---|---|
| Bicep 訂閱自動販賣 | 訂閱自動販賣 Bicep 模組旨在加速在 Enterprise 合約 (EA)、Microsoft 客戶合約 (MCA) 和 Microsoft 合作夥伴合約 (MPA) 計費帳戶上部署 Microsoft Entra 租使用者內的個別登陸區域(也稱為訂用帳戶)。 |
| Terraform 訂閱自動販賣 | 訂閱自動販賣 Terraform 模組旨在加速在 EA、MCA 和 MPA 計費帳戶上的 Microsoft Entra 租使用者內部署個別登陸區域(也稱為訂用帳戶) |
申請
應用程式登陸區域是部署為工作負載或應用程式環境的一或多個訂用帳戶。 這些工作負載可以利用部署在平臺登陸區域中的服務。 應用程式登陸區域可以是集中管理的應用程式、分散式工作負載,或裝載應用程式的 Azure Kubernetes Service (AKS) 等技術平臺。
您可以使用下列選項,在應用程式登陸區域中部署和管理應用程式或工作負載。
| 申請 | 描述 |
|---|---|
| AKS 登陸區域加速器 | Azure Resource Manager(ARM)、Bicep 和 Terraform 範本的開放原始碼集合,代表 AKS 部署的戰略設計路徑和目標技術狀態。 |
| Azure App 服務 登陸區域加速器 | 多租使用者和 App Service 環境使用案例中經過證實的建議和考慮,以及 ASEv3 型部署的參考實作。 |
| Azure API 管理 登陸區域加速器 | 使用參考實作來部署APIM管理的已證實建議和考慮,以內部APIM實例支援的 Azure Functions 作為後端來展示 Azure 應用程式閘道。 |
| SAP on Azure 登陸區域加速器 | 使用 Azure 登陸區域最佳做法加速 SAP 工作負載部署的 Terraform 和 Ansible 範本,包括建立基礎結構元件,例如計算、網路、記憶體、監視和建置 SAP 系統。 |
| HPC 登陸區域加速器 | Azure 中的端對端 HPC 叢集解決方案,其使用 Terraform、Ansible 和 Packer 之類的工具。 其可解決 Azure 登陸區域最佳做法,包括實作身分識別、Jumpbox 存取和自動調整。 |
| Azure VMware 解決方案 登陸區域加速器 | 可加速 VMware 部署的 ARM、Bicep 和 Terraform 範本,包括 Azure VMware 解決方案 私人雲端、jumpbox、網路、監視和附加元件。 |
| Azure 虛擬桌面登陸區域加速器 | 可加速 Azure 虛擬桌面部署的 ARM、Bicep 和 Terraform 範本,包括建立主機集區、網路、記憶體、監視和附加元件。 |
| Azure Red Hat OpenShift 登陸區域加速器 | Terraform 範本的開放原始碼集合,代表包含 Azure 和 Red Hat 資源的最佳 Azure Red Hat OpenShift 部署。 |
| 混合式和多重雲端的 Azure Arc 登陸區域加速器 | 已啟用 Azure Arc 的伺服器、Kubernetes 和已啟用 Azure Arc 的伺服器 SQL 受管理執行個體。 請參閱 Jumpstart ArcBox 概觀。 |
| Azure Spring Apps 登陸區域加速器 | Azure Spring Apps 登陸區域加速器適用於一般登陸企業區域設計中建置和部署 Spring Boot 應用程式的應用程式小組。 身為工作負載擁有者,請使用此加速器中提供的架構指引,自信地達成您的目標技術狀態。 |
| Azure 上 Citrix 的企業級登陸區域 | Azure 企業級登陸區域中 Citrix Cloud 雲端採用架構 的設計指導方針涵蓋許多設計區域。 |
| Azure Container Apps 登陸區域加速器 | 此 Azure Container Apps 登陸區域加速器概述策略設計路徑,並定義部署 Azure Container Apps 的目標技術狀態。 它是由專用工作負載小組所擁有和操作。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應