Azure的正確打開方式（下）企業(yè)級(jí)LandingZone,自己制作的鏡像怎么發(fā)布到azure-ESG跨境

Azure的正確打開方式（下）企業(yè)級(jí)LandingZone,自己制作的鏡像怎么發(fā)布到azure

Azure的正確打開方式（下）企業(yè)級(jí)LandingZone

本地上云，將重量的數(shù)據(jù)中心建設(shè)維護(hù)工作交給專業(yè)的科技公司，以代碼的方式在云上實(shí)現(xiàn)輕量的云上數(shù)據(jù)中心，是企業(yè)擺脫現(xiàn)狀尋求持續(xù)發(fā)展出路的最佳出路。

從小規(guī)模到企業(yè)級(jí)

經(jīng)過《Azure的正確打開方式（上）小規(guī)模Landing Zone》文章中的介紹，我們已經(jīng)了解到，Azure Landing Zone是一套為應(yīng)用縮放、安全管理、網(wǎng)絡(luò)訪問和身份標(biāo)識(shí)服務(wù)的基礎(chǔ)架構(gòu)資源，通過Azure Landing Zone，可在 Azure 中實(shí)現(xiàn)企業(yè)級(jí)的應(yīng)用程序遷移、現(xiàn)代化和創(chuàng)新。

小規(guī)模的Landing Zone解決了具有較少工作負(fù)載的小型企業(yè)云環(huán)境，但無法做到大規(guī)模的資源擴(kuò)展。面對(duì)應(yīng)用程序的不斷增長(zhǎng)和如何實(shí)現(xiàn)無感知移動(dòng)的問題，如何為整個(gè)平臺(tái)和所有涵蓋的應(yīng)用提供安全、簡(jiǎn)化且合規(guī)的運(yùn)營(yíng)和管理，本文將介紹一套適用于大規(guī)模云負(fù)載環(huán)境的Landing Zone架構(gòu)—Enterprise Scale Landing Zone（ESLZ，企業(yè)級(jí)Landing Zone）。

企業(yè)級(jí)Landing Zone指導(dǎo)原則

就像圖書館中按照一套特定原則擺放書籍一樣，企業(yè)級(jí)Landing Zone體系架構(gòu)的定義也來源于5個(gè)設(shè)計(jì)原則的指導(dǎo)，每個(gè)原則既相互獨(dú)立，又相輔相成，組合在一起完善了整套企業(yè)級(jí)Landing Zone體系架構(gòu)，下面我們展開來介紹。

民主化的訂閱

作為管理和規(guī)模的基本單位，訂閱應(yīng)該與業(yè)務(wù)需求和優(yōu)先級(jí)對(duì)齊。要避免創(chuàng)建和維護(hù)集中控制模式的訂閱，且允許業(yè)務(wù)側(cè)自己創(chuàng)建訂閱，支持他們進(jìn)行新工作負(fù)載的設(shè)計(jì)、開發(fā)和測(cè)試以及工作負(fù)載的遷移等工作。

策略驅(qū)動(dòng)的治理

Azure Policy在企業(yè)級(jí)Landing Zone中具有重要的作用，它能提供安全防護(hù)并確保平臺(tái)和部署在其上的應(yīng)用程序具有持續(xù)合規(guī)性，同時(shí)還為應(yīng)用程序所有者提供足夠的自由度和安全無阻的上云道路。

單一控制和管理的平臺(tái)

企業(yè)級(jí)架構(gòu)不應(yīng)讓團(tuán)隊(duì)各行其道，例如使用自己開發(fā)門戶或工具，而應(yīng)為 AppOps（應(yīng)用運(yùn)營(yíng)團(tuán)隊(duì)）和 DevOps（開發(fā)運(yùn)營(yíng)團(tuán)隊(duì)）提供一致的體驗(yàn)。Azure基于角色的訪問控制（RBAC）和策略驅(qū)動(dòng)（Azure Policy）提供了所有 Azure 資源和供應(yīng)商渠道具有一致體驗(yàn)的控制平臺(tái)。極大提升了用戶體驗(yàn)，有益于用戶快速上手和使用。

以應(yīng)用為中心和原型中立的目標(biāo)

企業(yè)級(jí)架構(gòu)應(yīng)專注于以應(yīng)用程序?yàn)橹行牡倪w移和開發(fā)，而不是單純地將基礎(chǔ)架構(gòu)進(jìn)行l(wèi)ift and shift模式遷移上云（比如虛擬機(jī)的遷移）。同樣的也不應(yīng)該區(qū)別對(duì)待新的或舊的應(yīng)用程序，或者區(qū)分IaaS還是PaaS 應(yīng)用程序。

對(duì)齊Azure的原生設(shè)計(jì)和路線圖

企業(yè)級(jí)架構(gòu)強(qiáng)烈建議盡可能使用原生平臺(tái)的服務(wù)和功能，以確保能夠?yàn)榭蛻舡h(huán)境快速提供安全可靠的服務(wù)和新功能，這與 Azure 平臺(tái)路線圖的目標(biāo)不謀而合。Azure 平臺(tái)路線圖致力于為遷移戰(zhàn)略和企業(yè)級(jí)規(guī)模（Enterprise Scale）軌跡提供支持。

企業(yè)級(jí)Landing Zone體系架構(gòu)

除了5個(gè)基本設(shè)計(jì)原則，企業(yè)級(jí)Landing Zone體系架構(gòu)的構(gòu)建需要考慮8大關(guān)鍵領(lǐng)域的規(guī)劃。這8個(gè)關(guān)鍵設(shè)計(jì)領(lǐng)域有助于將客戶需求轉(zhuǎn)化為 Microsoft Azure 架構(gòu)和功能，并解決本地和云基礎(chǔ)設(shè)施之間的不匹配問題。

針對(duì)實(shí)際環(huán)境中網(wǎng)絡(luò)網(wǎng)絡(luò)拓?fù)涞牟煌?，有兩種網(wǎng)絡(luò)部署類型：基于Azure的VWAN網(wǎng)絡(luò)拓?fù)浠蛘呋趥鹘y(tǒng)的中心輻射（HubSpoke）型網(wǎng)絡(luò)拓?fù)洹？紤]到可擴(kuò)展性和安全性，微軟強(qiáng)烈建議為平臺(tái)資源提供專用訂閱來規(guī)劃網(wǎng)絡(luò)部署，因此兩種網(wǎng)絡(luò)部署模型帶來的兩種體系架構(gòu)的區(qū)別，僅體現(xiàn)在連接訂閱（Connectivity Subscription）版塊中網(wǎng)絡(luò)拓?fù)涞牟煌?/p>

基于 Azure 虛擬 WAN 網(wǎng)絡(luò)拓?fù)涞腅SLZ體系架構(gòu)

基于傳統(tǒng) HubSpoke網(wǎng)絡(luò)拓?fù)涞腅SLZ體系架構(gòu)

8大關(guān)鍵領(lǐng)域可以一一對(duì)應(yīng)到企業(yè)級(jí)Landing Zone體系架構(gòu)圖中，我們根據(jù)圖中大寫字母AI的順序，依次介紹8個(gè)關(guān)鍵設(shè)計(jì)領(lǐng)域：

企業(yè)注冊(cè)和 Azure AD 租客

此層次結(jié)構(gòu)標(biāo)識(shí)組織內(nèi)的成本中心：

企業(yè)注冊(cè)表示您的組織與微軟Azure之間如何使用的商業(yè)關(guān)系，為您的訂閱提供了資源計(jì)費(fèi)基礎(chǔ)；

部門用于將成本進(jìn)行細(xì)分，在部門一級(jí)可以設(shè)定預(yù)算或者配額；

賬戶是Azure企業(yè)門戶中的組織單位。它們可用于管理訂閱和訪問報(bào)告；

訂閱是Azure企業(yè)門戶中最小的單位。它們是Azure服務(wù)部署的容器，由服務(wù)管理員進(jìn)行管理。

身份標(biāo)識(shí)和訪問管理

身份和訪問管理 （IAM） 被視為企業(yè)組織云的安全邊界，最佳實(shí)踐是采用最小權(quán)限的方式進(jìn)行運(yùn)營(yíng)和資源訪問。企業(yè)級(jí)Landing Zone體系架構(gòu)中將其進(jìn)行擴(kuò)展，以便通過Azure 活動(dòng)目錄 （Azure AD）、Azure 基于角色的訪問控制 （Azure RBAC） 和自定義角色來使用 Azure資源。

此外，企業(yè)組織應(yīng)徹底評(píng)估Landing Zone內(nèi)資源的身份驗(yàn)證要求，根據(jù)角色和安全要求，考慮使用何種認(rèn)證方式（Azure AD、Azure AD 域服務(wù)（Azure AD DS）和本地活動(dòng)目錄域服務(wù) （AD DS））最為可靠，其中依賴域服務(wù)和使用舊協(xié)議的應(yīng)用程序可以使用Azure AD DS服務(wù)。

管理組和訂閱

企業(yè)級(jí)Landing Zone中一個(gè)重要的架構(gòu)形態(tài)是使用多級(jí)管理組樹狀結(jié)構(gòu)，在一個(gè)Azure AD租戶下，按照資源屬性的不同創(chuàng)建樹狀結(jié)構(gòu)的資源組，有助于將組織資源進(jìn)行歸類，并且有利于Azure Policy的聚合和分配。需要注意的是管理組樹狀結(jié)構(gòu)的深度一般不超過34層，最多不超過6層，否則會(huì)帶來管理的復(fù)雜度和難度。

訂閱是 Azure 內(nèi)部管理、計(jì)費(fèi)和規(guī)模的一個(gè)單位，在此架構(gòu)中，專用的訂閱都是創(chuàng)建于專門的管理組中，這種分組模式能夠確保具有相同Policy和Azure角色分配的訂閱可以從管理組中繼承，從而避免重復(fù)分配。

例如管理組下的管理訂閱用于支持全局管理功能，部署Azure Monitor日志分析工作空間方便獲取報(bào)表和告警；使用Azure自動(dòng)化運(yùn)行手冊(cè)簡(jiǎn)化運(yùn)維管理。身份標(biāo)識(shí)管理組下的身份訂閱可用于部署身份認(rèn)證相關(guān)資源，等等。

訂閱作為Azure Policy和管理的邊界，可以在必要的時(shí)候?qū)崿F(xiàn)策略隔離，從而避免使用過多的管理組隔離。作為工作負(fù)載承載的平臺(tái)，需要在工作量設(shè)計(jì)期間考慮訂閱的資源限制，避免使用單個(gè)訂閱導(dǎo)致資源超限的問題。

管理和監(jiān)控

企業(yè)級(jí)Landing Zone管理和監(jiān)控主要關(guān)注企業(yè)如何運(yùn)營(yíng)和集中管理其Azure資產(chǎn)。管理和監(jiān)控建議符合企業(yè)級(jí)設(shè)計(jì)原則，并專注于原生的Azure功能。

在平臺(tái)層面進(jìn)行集中管理和監(jiān)控能夠?yàn)榻M織在大型 Azure 平臺(tái)內(nèi)保持運(yùn)營(yíng)的統(tǒng)一可見性。通常使用單個(gè)監(jiān)視器日志工作空間（Azure Monitor Log Analytics Workspace）集中管理平臺(tái)，集中式日志記錄有利于運(yùn)營(yíng)管理團(tuán)隊(duì)管理服務(wù)健康、配置和 IT 操作等報(bào)表，從而減少管理開銷。

Azure安全審核日志具有很多的應(yīng)用場(chǎng)景，可以與本地SIEM系統(tǒng)集成，也可以與SaaS產(chǎn)品集成，同時(shí)Azure上也擁有豐富的原生監(jiān)控產(chǎn)品，如Azure活動(dòng)日志、Azure AD審計(jì)報(bào)告、Azure診斷服務(wù)、日志和指標(biāo)、Azure密鑰保管庫(kù)審計(jì)日志、NSG流量日志、網(wǎng)絡(luò)觀察器、Azure安全中心和Azure Sentinel等。

此外還應(yīng)規(guī)劃Azure 數(shù)據(jù)保留和存檔日期，Azure監(jiān)視器日志的默認(rèn)保留期為30天，最長(zhǎng)為兩年，如果日志保留要求超過兩年，則需要將日志導(dǎo)出到 Azure 存儲(chǔ)中。

網(wǎng)絡(luò)拓?fù)浜玩溄?/p>

網(wǎng)絡(luò)拓?fù)涫荅nterprise Scale架構(gòu)的一個(gè)關(guān)鍵要素，因?yàn)樗x了應(yīng)用程序之間如何相互通信。企業(yè)級(jí)Landing Zone側(cè)重兩個(gè)核心解決方法：Azure 虛擬 WAN拓?fù)浜蛡鹘y(tǒng)HubSpoke拓?fù)洹?/p>

Azure虛擬 WAN拓?fù)溆糜诖笠?guī)?；ミB的需求，此拓?fù)漕愋褪俏④浌芾淼姆?wù)，這降低了整體網(wǎng)絡(luò)的復(fù)雜性，有助于組織實(shí)現(xiàn)網(wǎng)絡(luò)現(xiàn)代化。如果組織需求滿足以下幾點(diǎn)，則可以考慮使用Azure 虛擬 WAN拓?fù)洌?/p>

計(jì)劃在多個(gè)Azure區(qū)域部署資源，并要求這些Azure區(qū)域的vNet與多個(gè)本地站點(diǎn)之間進(jìn)行全局連接。

計(jì)劃通過部署軟件定義WAN（SDWAN）將大型分支網(wǎng)絡(luò)直接集成到 Azure，或者需要 30 個(gè)以上分支站點(diǎn)的本地 IPsec。

需要在VPN和快速路由（ExpressRoute）之間進(jìn)行臨時(shí)路由。

傳統(tǒng)HubSpoke拓?fù)淇梢栽贏zure上構(gòu)建定制化的安全大型網(wǎng)絡(luò)，并實(shí)現(xiàn)由客戶自主管理的路由和安全性。如果組織需求滿足以下幾點(diǎn)，則可以考慮使用傳統(tǒng)HubSpoke拓?fù)洌?/p>

計(jì)劃在一個(gè)或多個(gè)Azure區(qū)域部署資源，但不需要在所有Azure區(qū)域部署完整的拓?fù)渚W(wǎng)絡(luò)。

在每個(gè)區(qū)域的遠(yuǎn)程或分支機(jī)構(gòu)數(shù)量較少（往往少于30個(gè)IPsec站點(diǎn)到站點(diǎn)的通道）。

對(duì)手動(dòng)配置Azure網(wǎng)絡(luò)路由策略需要完全控制和細(xì)粒度。

業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)

制定業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃對(duì)組織至關(guān)重要，因?yàn)樗鼪Q定了組織在業(yè)務(wù)意外中斷或發(fā)生災(zāi)難之后恢復(fù)正常所需的時(shí)間。Azure備份服務(wù)（backup service）和 Azure站點(diǎn)恢復(fù)（Site Recovery）服務(wù)共同構(gòu)成了Azure中的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)解決方案。

組織數(shù)據(jù)的備份是恢復(fù)數(shù)據(jù)的必要條件和關(guān)鍵，與上圖中企業(yè)級(jí)Landing Zone架構(gòu)涉及的產(chǎn)品突出相關(guān)的是強(qiáng)制啟用和使用的Azure備份策略（Backup Policy），Azure備份策略需要與組織定義的RTO（恢復(fù)時(shí)間目標(biāo)）和RPO（恢復(fù)點(diǎn)目標(biāo)）目標(biāo)保持一致。

除了使用原生Azure備份功能外，在設(shè)計(jì)時(shí)使用多區(qū)域和對(duì)等（peering）位置進(jìn)行快速路由（ExpressRoute）連接，有助于發(fā)生區(qū)域中斷時(shí)確保有不間斷的跨區(qū)域連接。

安全、治理和合規(guī)

企業(yè)級(jí)Landing Zone的安全治理和合規(guī)從3個(gè)方面進(jìn)行設(shè)計(jì)，定義加密和密鑰管理、定義治理計(jì)劃和定義安全監(jiān)控和審計(jì)策略。

加密是確保數(shù)據(jù)隱私、合規(guī)性和數(shù)據(jù)不外泄的重要一步，這也是許多企業(yè)最關(guān)心的安全問題之一。配置適用于Key Vault的訂閱和縮放限制，將密鑰、機(jī)密信息和證書的訪問權(quán)限收縮到Vault級(jí)別，并啟用軟刪除和清除策略，以便對(duì)已刪除的對(duì)象進(jìn)行保留保護(hù)。啟用Key Vault上的防火墻和虛擬網(wǎng)絡(luò)服務(wù)端點(diǎn)，以控制對(duì)密鑰庫(kù)的訪問，使用平臺(tái)中央 Azure 監(jiān)視器日志分析工作空間對(duì)密鑰庫(kù)中每個(gè)實(shí)例中的密鑰、證書和秘密使用進(jìn)行審核。禁止在應(yīng)用程序之間共享Key Vault實(shí)例，以避免跨環(huán)境進(jìn)行密鑰共享

安全治理提供機(jī)制和流程，以保持對(duì)Azure應(yīng)用和資源的控制。Azure策略對(duì)于確保企業(yè)技術(shù)產(chǎn)業(yè)的安全性和合規(guī)性至關(guān)重要，它可以在整個(gè) Azure平臺(tái)服務(wù)中執(zhí)行重要的安全管理。Azure策略還可以補(bǔ)充Azure基于角色的訪問控制（RBAC），該控制可確定授權(quán)用戶可以執(zhí)行哪些操作。

安全監(jiān)控和審計(jì)記錄是可擴(kuò)展框架的關(guān)鍵組成部分，設(shè)計(jì)考慮將審計(jì)數(shù)據(jù)和平臺(tái)活動(dòng)日志設(shè)置保留日期，使用Azure策略通過VM擴(kuò)展自動(dòng)部署軟件配置，并強(qiáng)制執(zhí)行合規(guī)的VM基線配置，并通過Azure監(jiān)視器日志和Azure安全中心監(jiān)控基礎(chǔ)操作系統(tǒng)的補(bǔ)丁和安全配置變化情況。

平臺(tái)自動(dòng)化和DevOps

許多傳統(tǒng)的 IT 運(yùn)營(yíng)模式與云不兼容，組織必須進(jìn)行運(yùn)營(yíng)和組織轉(zhuǎn)型，才能實(shí)現(xiàn)針對(duì)企業(yè)遷移目標(biāo)的目標(biāo)。DevOps方法可以為應(yīng)用團(tuán)隊(duì)和開發(fā)團(tuán)隊(duì)有效解決這個(gè)問題。

通過建立一個(gè)跨功能DevOps平臺(tái)團(tuán)隊(duì)，以構(gòu)建、管理和維護(hù)您的企業(yè)規(guī)模架構(gòu)。該團(tuán)隊(duì)?wèi)?yīng)包括來自您中央IT團(tuán)隊(duì)、安全、合規(guī)和業(yè)務(wù)團(tuán)隊(duì)的成員，以確保組織具有廣泛的代表性。一些推薦的 DevOps 角色可供參考：

平臺(tái)操作角色：提供訂閱和授權(quán)所需的網(wǎng)絡(luò)、身份和訪問管理和策略；平臺(tái)管理和監(jiān)控；成本管理；代碼管理的平臺(tái)（管理模板、腳本和其他資產(chǎn)）；負(fù)責(zé)Azure活動(dòng)目錄租戶內(nèi)的整體操作（管理服務(wù)委托人、注冊(cè)微軟圖形API和定義角色）。

安全操作角色：Azure基于角色的訪問控制（Azure RBAC）；關(guān)鍵管理（服務(wù)、簡(jiǎn)單的郵件傳輸協(xié)議和域控制器管理等）；策略管理和執(zhí)行；安全監(jiān)控和審計(jì)。

網(wǎng)絡(luò)運(yùn)營(yíng)：網(wǎng)絡(luò)操作和網(wǎng)絡(luò)管理。

應(yīng)用開發(fā)角色：應(yīng)用程序遷移或轉(zhuǎn)換；應(yīng)用程序管理和監(jiān)控；應(yīng)用資源的RBAC，安全監(jiān)控管理，成本管理和網(wǎng)絡(luò)管理。

基于以上的設(shè)計(jì)原則和關(guān)鍵設(shè)計(jì)領(lǐng)域，方能構(gòu)建基于微軟云采用框架（Microsoft Cloud Adoption Framework，簡(jiǎn)稱CAF）Azure Enterprise Scale Landing Zone（ESLZ）架構(gòu)，實(shí)現(xiàn)企業(yè)級(jí)的云上環(huán)境，實(shí)現(xiàn)和業(yè)務(wù)發(fā)展曲線相同的基礎(chǔ)架構(gòu)支撐，將云上資源治理妥當(dāng)。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。