Arhitectura zonei de aterizare la scara intreprinderii Cloud Adoption Framework – Cloud Adoption Framework

• 15.06.2020
• 5 minute de citit

In acest articol

Enterprise-scale este o abordare arhitecturala si o implementare de referinta care permite construirea si operationalizarea eficienta a zonelor de aterizare pe Azure, la scara. Aceasta abordare se aliniaza cu foaia de parcurs Azure si Cadrul de adoptare in cloud pentru Azure.

Prezentare generala a arhitecturii

Arhitectura zonei de aterizare la scara intreprinderii Cloud Adoption Framework reprezinta calea strategica de proiectare si starea tehnica tinta pentru mediul Azure al unei organizatii. Acesta va continua sa evolueze alaturi de platforma Azure si este definit de diferitele decizii de proiectare pe care organizatia dvs. trebuie sa le ia pentru a va identifica calatoria Azure.

Nu toate intreprinderile adopta Azure in acelasi mod, astfel incat arhitectura zonei de aterizare la scara de intreprindere Cloud Adoption Framework variaza intre clienti. Consideratiile tehnice si recomandarile de proiectare din acest ghid pot produce diferite compromisuri in functie de scenariul organizatiei dvs. Se asteapta unele variatii, dar daca urmati recomandarile de baza, arhitectura tinta rezultata va seta organizatia dvs. pe o cale catre o scara durabila.

Zona de aterizare la scara de intreprindere

Zonele de destinatie Azure sunt rezultatul unui mediu Azure multisubscriere care tine cont de scara, securitate, guvernanta, retea si identitate. Zonele de aterizare Azure permit migrarea aplicatiilor si dezvoltarea terenurilor ecologice la scara de intreprindere in Azure. Aceste zone iau in considerare toate resursele platformei necesare pentru a sprijini portofoliul de aplicatii al clientului si nu diferentiaza intre infrastructura ca serviciu sau platforma ca serviciu.

Un exemplu este modul in care utilitatile orasului, cum ar fi apa, gazul si electricitatea, sunt accesibile inainte de construirea de case noi. In acest context, reteaua, gestionarea identitatii si accesului, politicile, gestionarea si monitorizarea sunt servicii de utilitati partajate care trebuie sa fie disponibile pentru a simplifica procesul de migrare a aplicatiei inainte de a incepe.

Figura 1: Proiectarea zonei de aterizare.

Arhitectura la nivel inalt

O arhitectura la scara de intreprindere este definita de un set de consideratii si recomandari de proiectare in opt arii de proiectare critice, cu doua topologii de retea recomandate: o arhitectura la scara de intreprindere bazata pe o topologie de retea Azure Virtual WAN (descrisa in figura 2) sau bazata pe o topologie traditionala a retelei Azure bazata pe arhitectura hub si spita (descrisa in figura 3).

Figura 2: Arhitectura zonei de aterizare la scara intreprinderii Cloud Adoption Framework bazata pe o topologie de retea Azure Virtual WAN. Retineti ca abonamentul de conectivitate utilizeaza un hub WAN virtual.

Figura 3: Arhitectura zonei de aterizare la scara intreprinderii Cloud Adoption Framework bazata pe o topologie traditionala de retea Azure Retineti ca abonamentul de conectivitate utilizeaza o retea VNet pentru hub.

Descarcati fisierele PDF sau Visio care contin diagramele arhitecturii la scara de intreprindere bazate pe topologia retelei Virtual WAN (PDF) sau pe o topologie traditionala de retea Azure bazata pe arhitectura hub si spita (PDF). Un fisier Visio continand atat WAN-ul virtual, cat si diagrama arhitecturii hub si spita poate fi descarcata ca o diagrama Visio (VSDX).

In figurile 2 si 3 exista referinte la zonele de proiectare critice la nivel de intreprindere, care sunt indicate cu literele de la A la I:

Inscrierea Enterprise Agreement (EA) si chiriasii Azure Active Directory. Inscrierea la un acord de intreprindere (EA) reprezinta relatia comerciala dintre Microsoft si modul in care organizatia dvs. foloseste Azure. Acesta ofera baza pentru facturarea tuturor abonamentelor dvs. si afecteaza administrarea proprietatii dvs. digitale. Inscrierea dvs. in EA este gestionata prin portalul Azure EA. O inscriere reprezinta deseori ierarhia unei organizatii, care include departamente, conturi si abonamente. Un chirias Azure AD asigura gestionarea identitatii si a accesului, care este o parte importanta a posturii dvs. de securitate. Un chirias Azure AD se asigura ca utilizatorii autentificati si autorizati au acces doar la resursele pentru care au permisiuni de acces.

Managementul identitatii si accesului. Proiectarea si integrarea Azure Active Directory trebuie sa fie construite pentru a asigura autentificarea atat a serverului, cat si a utilizatorului. Controlul accesului bazat pe roluri Azure (Azure RBAC) trebuie sa fie modelat si implementat pentru a impune separarea sarcinilor si drepturile necesare pentru operarea si gestionarea platformei. Managementul cheie trebuie sa fie proiectat si implementat pentru a asigura accesul sigur la resurse si operatiuni de sprijin, cum ar fi rotatia si recuperarea. In cele din urma, rolurile de acces sunt atribuite proprietarilor de aplicatii la planurile de control si date pentru a crea si gestiona resursele in mod autonom.

Grupul de management si organizatia abonamentului. Structurile grupului de gestionare din cadrul unui chirias Azure Active Directory (Azure AD) accepta maparea organizationala si trebuie sa fie luate in considerare cu atentie atunci cand o organizatie planifica adoptarea Azure la scara. Abonamentele sunt o unitate de gestionare, facturare si scara din Azure. Acestea joaca un rol critic atunci cand proiectati pentru adoptarea Azure pe scara larga. Aceasta zona de proiectare critica va ajuta sa captati cerintele de abonament si sa proiectati abonamente tinta pe baza factorilor critici. Acesti factori sunt tipul de mediu, modelul de proprietate si guvernare, structura organizationala si portofoliile de aplicatii.

Management si monitorizare. Monitorizarea si alertarea holistica (orizontala) a resurselor la nivel de platforma trebuie sa fie proiectata, implementata si integrata. Sarcinile operationale, cum ar fi corectia si backupul, trebuie, de asemenea, definite si simplificate. Operatiunile de securitate, monitorizarea si inregistrarea in jurnal trebuie sa fie proiectate si integrate atat cu resurse pe Azure, cat si cu sistemele locale existente. Toate jurnalele de activitate ale abonamentelor care capteaza operatiunile planului de control intre resurse ar trebui transmise in Log Analytics pentru a le face disponibile pentru interogare si analiza, sub rezerva permisiunilor Azure RBAC.

Topologie de retea si conectivitate. Topologia retelei end-to-end trebuie sa fie construita si implementata in regiunile Azure si in mediile locale pentru a asigura conectivitatea nord-sud si est-vest intre implementarile platformei. Serviciile si resursele necesare, cum ar fi firewall-urile si dispozitivele virtuale de retea, trebuie identificate, implementate si configurate de-a lungul proiectarii securitatii retelei pentru a se asigura ca cerintele de securitate sunt indeplinite pe deplin.

,, Continuitatea activitatii si recuperarea in caz de dezastru si Guvernanta si conformitatea securitatii. Politicile holistice si specifice zonei de aterizare trebuie sa fie identificate, descrise, construite si implementate pe platforma Azure tinta pentru a se asigura ca exista controale corporative, de reglementare si de linie de afaceri. In cele din urma, politicile ar trebui utilizate pentru a garanta conformitatea aplicatiilor si a resurselor subiacente, fara nici o capacitate de administrare sau de furnizare a abstractizarii.

Automatizarea platformei si DevOps. O experienta DevOps de la capat la capat cu practici solide in ciclul de viata al dezvoltarii software-ului trebuie proiectata, construita si implementata pentru a asigura o livrare sigura, repetabila si consecventa a artefactelor ca infrastructura. Astfel de artefacte urmeaza sa fie dezvoltate, testate si implementate utilizand conducte dedicate de integrare, lansare si implementare cu un control puternic al sursei si trasabilitate.

Pasii urmatori

Personalizati implementarea acestei arhitecturi utilizand liniile directoare de proiectare la nivel de intreprindere Cloud Adoption Framework.