Azure的正確打開方式（下）企業級LandingZone,自己制作的鏡像怎么發布到azure

Azure的正確打開方式（下）企業級LandingZone

本地上云，將重量的數據中心建設維護工作交給專業的科技公司，以代碼的方式在云上實現輕量的云上數據中心，是企業擺脫現狀尋求持續發展出路的最佳出路。

從小規模到企業級

經過《Azure的正確打開方式（上）小規模Landing Zone》文章中的介紹，我們已經了解到，Azure Landing Zone是一套為應用縮放、安全管理、網絡訪問和身份標識服務的基礎架構資源，通過Azure Landing Zone，可在 Azure 中實現企業級的應用程序遷移、現代化和創新。

小規模的Landing Zone解決了具有較少工作負載的小型企業云環境，但無法做到大規模的資源擴展。面對應用程序的不斷增長和如何實現無感知移動的問題，如何為整個平臺和所有涵蓋的應用提供安全、簡化且合規的運營和管理，本文將介紹一套適用于大規模云負載環境的Landing Zone架構—Enterprise Scale Landing Zone（ESLZ，企業級Landing Zone）。

企業級Landing Zone指導原則

就像圖書館中按照一套特定原則擺放書籍一樣，企業級Landing Zone體系架構的定義也來源于5個設計原則的指導，每個原則既相互獨立，又相輔相成，組合在一起完善了整套企業級Landing Zone體系架構，下面我們展開來介紹。

民主化的訂閱

作為管理和規模的基本單位，訂閱應該與業務需求和優先級對齊。要避免創建和維護集中控制模式的訂閱，且允許業務側自己創建訂閱，支持他們進行新工作負載的設計、開發和測試以及工作負載的遷移等工作。

策略驅動的治理

Azure Policy在企業級Landing Zone中具有重要的作用，它能提供安全防護并確保平臺和部署在其上的應用程序具有持續合規性，同時還為應用程序所有者提供足夠的自由度和安全無阻的上云道路。

單一控制和管理的平臺

企業級架構不應讓團隊各行其道，例如使用自己開發門戶或工具，而應為 AppOps（應用運營團隊）和 DevOps（開發運營團隊）提供一致的體驗。Azure基于角色的訪問控制（RBAC）和策略驅動（Azure Policy）提供了所有 Azure 資源和供應商渠道具有一致體驗的控制平臺。極大提升了用戶體驗，有益于用戶快速上手和使用。

以應用為中心和原型中立的目標

企業級架構應專注于以應用程序為中心的遷移和開發，而不是單純地將基礎架構進行lift and shift模式遷移上云（比如虛擬機的遷移）。同樣的也不應該區別對待新的或舊的應用程序，或者區分IaaS還是PaaS 應用程序。

對齊Azure的原生設計和路線圖

企業級架構強烈建議盡可能使用原生平臺的服務和功能，以確保能夠為客戶環境快速提供安全可靠的服務和新功能，這與 Azure 平臺路線圖的目標不謀而合。Azure 平臺路線圖致力于為遷移戰略和企業級規模（Enterprise Scale）軌跡提供支持。

企業級Landing Zone體系架構

除了5個基本設計原則，企業級Landing Zone體系架構的構建需要考慮8大關鍵領域的規劃。這8個關鍵設計領域有助于將客戶需求轉化為 Microsoft Azure 架構和功能，并解決本地和云基礎設施之間的不匹配問題。

針對實際環境中網絡網絡拓撲的不同，有兩種網絡部署類型：基于Azure的VWAN網絡拓撲或者基于傳統的中心輻射（HubSpoke）型網絡拓撲。考慮到可擴展性和安全性，微軟強烈建議為平臺資源提供專用訂閱來規劃網絡部署，因此兩種網絡部署模型帶來的兩種體系架構的區別，僅體現在連接訂閱（Connectivity Subscription）版塊中網絡拓撲的不同。

基于 Azure 虛擬 WAN 網絡拓撲的ESLZ體系架構

基于傳統 HubSpoke網絡拓撲的ESLZ體系架構

8大關鍵領域可以一一對應到企業級Landing Zone體系架構圖中，我們根據圖中大寫字母AI的順序，依次介紹8個關鍵設計領域：

企業注冊和 Azure AD 租客

此層次結構標識組織內的成本中心：

企業注冊表示您的組織與微軟Azure之間如何使用的商業關系，為您的訂閱提供了資源計費基礎；

部門用于將成本進行細分，在部門一級可以設定預算或者配額；

賬戶是Azure企業門戶中的組織單位。它們可用于管理訂閱和訪問報告；

訂閱是Azure企業門戶中最小的單位。它們是Azure服務部署的容器，由服務管理員進行管理。

身份標識和訪問管理

身份和訪問管理 （IAM） 被視為企業組織云的安全邊界，最佳實踐是采用最小權限的方式進行運營和資源訪問。企業級Landing Zone體系架構中將其進行擴展，以便通過Azure 活動目錄 （Azure AD）、Azure 基于角色的訪問控制 （Azure RBAC） 和自定義角色來使用 Azure資源。

此外，企業組織應徹底評估Landing Zone內資源的身份驗證要求，根據角色和安全要求，考慮使用何種認證方式（Azure AD、Azure AD 域服務（Azure AD DS）和本地活動目錄域服務 （AD DS））最為可靠，其中依賴域服務和使用舊協議的應用程序可以使用Azure AD DS服務。

管理組和訂閱

企業級Landing Zone中一個重要的架構形態是使用多級管理組樹狀結構，在一個Azure AD租戶下，按照資源屬性的不同創建樹狀結構的資源組，有助于將組織資源進行歸類，并且有利于Azure Policy的聚合和分配。需要注意的是管理組樹狀結構的深度一般不超過34層，最多不超過6層，否則會帶來管理的復雜度和難度。

訂閱是 Azure 內部管理、計費和規模的一個單位，在此架構中，專用的訂閱都是創建于專門的管理組中，這種分組模式能夠確保具有相同Policy和Azure角色分配的訂閱可以從管理組中繼承，從而避免重復分配。

例如管理組下的管理訂閱用于支持全局管理功能，部署Azure Monitor日志分析工作空間方便獲取報表和告警；使用Azure自動化運行手冊簡化運維管理。身份標識管理組下的身份訂閱可用于部署身份認證相關資源，等等。

訂閱作為Azure Policy和管理的邊界，可以在必要的時候實現策略隔離，從而避免使用過多的管理組隔離。作為工作負載承載的平臺，需要在工作量設計期間考慮訂閱的資源限制，避免使用單個訂閱導致資源超限的問題。

管理和監控

企業級Landing Zone管理和監控主要關注企業如何運營和集中管理其Azure資產。管理和監控建議符合企業級設計原則，并專注于原生的Azure功能。

在平臺層面進行集中管理和監控能夠為組織在大型 Azure 平臺內保持運營的統一可見性。通常使用單個監視器日志工作空間（Azure Monitor Log Analytics Workspace）集中管理平臺，集中式日志記錄有利于運營管理團隊管理服務健康、配置和 IT 操作等報表，從而減少管理開銷。

Azure安全審核日志具有很多的應用場景，可以與本地SIEM系統集成，也可以與SaaS產品集成，同時Azure上也擁有豐富的原生監控產品，如Azure活動日志、Azure AD審計報告、Azure診斷服務、日志和指標、Azure密鑰保管庫審計日志、NSG流量日志、網絡觀察器、Azure安全中心和Azure Sentinel等。

此外還應規劃Azure 數據保留和存檔日期，Azure監視器日志的默認保留期為30天，最長為兩年，如果日志保留要求超過兩年，則需要將日志導出到 Azure 存儲中。

網絡拓撲和鏈接

網絡拓撲是Enterprise Scale架構的一個關鍵要素，因為它定義了應用程序之間如何相互通信。企業級Landing Zone側重兩個核心解決方法：Azure 虛擬 WAN拓撲和傳統HubSpoke拓撲。

Azure虛擬 WAN拓撲用于大規模互連的需求，此拓撲類型是微軟管理的服務，這降低了整體網絡的復雜性，有助于組織實現網絡現代化。如果組織需求滿足以下幾點，則可以考慮使用Azure 虛擬 WAN拓撲：

計劃在多個Azure區域部署資源，并要求這些Azure區域的vNet與多個本地站點之間進行全局連接。

計劃通過部署軟件定義WAN（SDWAN）將大型分支網絡直接集成到 Azure，或者需要 30 個以上分支站點的本地 IPsec。

需要在VPN和快速路由（ExpressRoute）之間進行臨時路由。

傳統HubSpoke拓撲可以在Azure上構建定制化的安全大型網絡，并實現由客戶自主管理的路由和安全性。如果組織需求滿足以下幾點，則可以考慮使用傳統HubSpoke拓撲：

計劃在一個或多個Azure區域部署資源，但不需要在所有Azure區域部署完整的拓撲網絡。

在每個區域的遠程或分支機構數量較少（往往少于30個IPsec站點到站點的通道）。

對手動配置Azure網絡路由策略需要完全控制和細粒度。

業務持續性和災難恢復

制定業務連續性和災難恢復計劃對組織至關重要，因為它決定了組織在業務意外中斷或發生災難之后恢復正常所需的時間。Azure備份服務（backup service）和 Azure站點恢復（Site Recovery）服務共同構成了Azure中的業務連續性和災難恢復解決方案。

組織數據的備份是恢復數據的必要條件和關鍵，與上圖中企業級Landing Zone架構涉及的產品突出相關的是強制啟用和使用的Azure備份策略（Backup Policy），Azure備份策略需要與組織定義的RTO（恢復時間目標）和RPO（恢復點目標）目標保持一致。

除了使用原生Azure備份功能外，在設計時使用多區域和對等（peering）位置進行快速路由（ExpressRoute）連接，有助于發生區域中斷時確保有不間斷的跨區域連接。

安全、治理和合規

企業級Landing Zone的安全治理和合規從3個方面進行設計，定義加密和密鑰管理、定義治理計劃和定義安全監控和審計策略。

加密是確保數據隱私、合規性和數據不外泄的重要一步，這也是許多企業最關心的安全問題之一。配置適用于Key Vault的訂閱和縮放限制，將密鑰、機密信息和證書的訪問權限收縮到Vault級別，并啟用軟刪除和清除策略，以便對已刪除的對象進行保留保護。啟用Key Vault上的防火墻和虛擬網絡服務端點，以控制對密鑰庫的訪問，使用平臺中央 Azure 監視器日志分析工作空間對密鑰庫中每個實例中的密鑰、證書和秘密使用進行審核。禁止在應用程序之間共享Key Vault實例，以避免跨環境進行密鑰共享

安全治理提供機制和流程，以保持對Azure應用和資源的控制。Azure策略對于確保企業技術產業的安全性和合規性至關重要，它可以在整個 Azure平臺服務中執行重要的安全管理。Azure策略還可以補充Azure基于角色的訪問控制（RBAC），該控制可確定授權用戶可以執行哪些操作。

安全監控和審計記錄是可擴展框架的關鍵組成部分，設計考慮將審計數據和平臺活動日志設置保留日期，使用Azure策略通過VM擴展自動部署軟件配置，并強制執行合規的VM基線配置，并通過Azure監視器日志和Azure安全中心監控基礎操作系統的補丁和安全配置變化情況。

平臺自動化和DevOps

許多傳統的 IT 運營模式與云不兼容，組織必須進行運營和組織轉型，才能實現針對企業遷移目標的目標。DevOps方法可以為應用團隊和開發團隊有效解決這個問題。

通過建立一個跨功能DevOps平臺團隊，以構建、管理和維護您的企業規模架構。該團隊應包括來自您中央IT團隊、安全、合規和業務團隊的成員，以確保組織具有廣泛的代表性。一些推薦的 DevOps 角色可供參考：

平臺操作角色：提供訂閱和授權所需的網絡、身份和訪問管理和策略；平臺管理和監控；成本管理；代碼管理的平臺（管理模板、腳本和其他資產）；負責Azure活動目錄租戶內的整體操作（管理服務委托人、注冊微軟圖形API和定義角色）。

安全操作角色：Azure基于角色的訪問控制（Azure RBAC）；關鍵管理（服務、簡單的郵件傳輸協議和域控制器管理等）；策略管理和執行；安全監控和審計。

網絡運營：網絡操作和網絡管理。

應用開發角色：應用程序遷移或轉換；應用程序管理和監控；應用資源的RBAC，安全監控管理，成本管理和網絡管理。

基于以上的設計原則和關鍵設計領域，方能構建基于微軟云采用框架（Microsoft Cloud Adoption Framework，簡稱CAF）Azure Enterprise Scale Landing Zone（ESLZ）架構，實現企業級的云上環境，實現和業務發展曲線相同的基礎架構支撐，將云上資源治理妥當。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。