Azure 体系结构最佳实践：部署 Azure Landing Zones

2024-04-08 08:00:00 · 飞浪 · ·霍格特

了解如何部署 Azure Landing Zones 是创建 Azure 最佳实践架构的关键。我们将介绍部署它们的原因、时间和方式。

关于 Azure 培训和认证考试，我经常感到困惑的一件事是，考试中很少提及云采用框架和Azure 登陆区，尽管它们是该框架“就绪”阶段的关键组成部分。

作为 Azure 解决方案架构师，您有责任将业务需求映射到 Azure 解决方案。但远不止于此。您还应确保您的解决方案映射到云采用框架和Well Architected Framework。解决方案由一个或多个工作负载组成。您可以将工作负载视为一组提供业务功能的组件。

在部署生产工作负载之前，作为准备工作的一部分，您需要为组织做好变更准备，并做好 Azure 环境的准备。这两者往往被忽视，而事后纠正过程可能会花费大量金钱、耗费大量时间且造成混乱。您可以通过确定运营模式来为组织做好准备。运营模式定义了您的团队如何协调和协作，简而言之，就是企业如何运营云工作负载。

您可以通过部署 Azure Landing Zones 来部署 Azure 环境。让我们深入了解这意味着什么以及为什么它如此重要。

什么是 Azure 登陆区？

Azure Landing Zones 是一种参考体系结构，您可以实施它来确保您能够治理、保护、监视、管理并最终部署您的工作负载。Azure Landing Zones 是成功采用 Azure 的基础。

请注意，这是着陆区，而不是单个“区域”。着陆区有两种主要类型：

平台登陆区为所有工作负载提供集中的基础服务，包括监控、身份和网络等。
应用程序着陆区是工作负载的位置。您可以将应用程序着陆区视为受管控的订阅。您通常会部署一个或多个此类订阅，并且可能会随时间推移添加和删除它们。

使用 Azure Landing Zones 的五种方法可以帮助你

Azure Landing Zones 让您能够轻松地弄清楚应如何构建 Azure 管理层次结构、应部署哪些基础级资源以及如何配置这些资源。

1. 治理

Azure Landing Zones 提供的治理可随着 Azure 环境的增长和变化而扩展。治理是贵公司为帮助贵公司履行义务而实施的政策、程序和指导方针。ALZ 参考体系结构中的治理是使用 Azure Policy 和管理组的强大组合提供的。

2.可扩展性

Azure Landing Zones 可确保你可以轻松扩展甚至缩小 Azure 占用空间，从而提供可扩展性。你可以在部署新工作负载时向应用程序 Landing Zones 添加订阅，也可以在需要时将这些工作负载作为整个订阅停用。添加和删除订阅时，所谓的“销售”策略会自动从层次结构中较高的管理组中应用。

3. 身份

Azure Landing Zones 通过提供可选的、更安全的平台登陆区订阅来保护你的身份，你可以在需要时使用该订阅来托管用于混合身份的 Active Directory 域服务 (AD DS)。

Azure Landing Zones 还可帮助确保您可以将应用程序登陆区订阅的所有权委托给具有推荐的自定义 Azure 角色的团队，甚至分散对访问工作负载订阅的身份的授权的持续管理。

4. 监控

Azure Landing Zones 还提供了一个中央 Log Analytics 工作区来存储所有监视和日志记录数据。使用 Azure 策略可以自动大规模配置监视数据收集，并且借助资源上下文权限，您的工作负载团队可以访问所需的监视数据，而不会互相干扰。

5. 网络

Azure Landing Zones 通过网络平台 Landing Zone 提供可选的云和混合网络。您可以使用传统的 Hub and Spoke 拓扑或通过 Azure 虚拟 WAN 实现基础网络。

如果不使用着陆区会发生什么？

如果您不部署 Azure Landing Zones，您可能会在处理工作负载的持续管理、治理和安全方面遇到问题。这些可以看作是“成长的烦恼”。您可能会遇到的一些问题是订阅限制或管理权限的管理开销增加。

如果您正在阅读本文并想，哦不，我真的应该部署 Azure Landing Zones。不要害怕！虽然预先部署参考体系结构更容易，但您可以在部署工作负载后转向推荐的体系结构。正如 Azure Landing Zones 团队所说，您可以将 Azure Landing Zones 视为您的指路明灯，并努力实现最佳实践体系结构。

您可以从评估（例如Azure Landing Zone Review）开始，并获得有关如何迈向推荐架构的个性化指导。