企业越来越多地采用公共云来实现其敏捷和灵活性。他们利用云的优势来创造收入并优化业务的资源使用。 Microsoft Azure提供了众多服务和功能,企业可以像构建块一样组装这些服务和功能,以满足各种工作负载和应用程序的需求。
决定使用Microsoft Azure只是实现云优势的第一步。第二步是了解企业如何有效地使用Azure并确定需要采用的基线功能来解决以下问题:
- “我担心数据主权;我如何确保我的数据和系统符合我们的监管要求?”
- “我怎么知道每个资源都支持什么,所以我可以解释它并准确地收回它?”
- “我想确保我们在公共云中部署或执行的所有操作始于安全思维,我该如何帮助实现这一目标?”
没有护轨的空订阅前景令人生畏。此空白空间可能会妨碍您迁移到Azure。
本文为技术专业人员提供了一个起点,以满足治理需求并使其与敏捷性需求保持平衡。它引入了企业支架的概念,该架构可指导组织以安全的方式实施和管理其Azure环境。它提供了开发有效和高效控制的框架。
需要治理
迁移到Azure时,您必须尽早解决治理主题,以确保在企业内成功使用云。不幸的是,创建综合治理系统的时间和官僚作风意味着一些业务团队直接转向提供商而不涉及企业IT。如果资源未得到妥善管理,这种方法可能会使企业受到损害。公共云的特征 - 敏捷性,灵活性和基于消费的定价 - 对于需要快速满足客户(内部和外部)需求的业务团队而言非常重要。但是,企业IT需要确保数据和系统得到有效保护。
在创建建筑物时,脚手架用于创建结构的基础。脚手架引导大致轮廓并为要安装的更永久的系统提供锚点。企业架构是相同的:一组灵活的控件和Azure功能,为环境提供结构,以及在公共云上构建的服务的锚点。它为构建者(IT和业务组)提供了创建和附加新服务的基础,从而保持了交付速度。
脚手架基于我们从与各种规模的客户的许多交往中收集的实践。这些客户包括从开发云解决方案的小型组织到大型跨国企业以及正在迁移工作负载和开发云原生解决方案的独立软件供应商。企业架构是“专门构建的”,可以灵活地支持传统的IT工作负载和敏捷的工作负载;例如,开发人员基于Azure平台功能创建软件即服务(SaaS)应用程序。
企业支架旨在成为Azure中每个新订阅的基础。它使管理员能够确保工作负载满足组织的最低治理要求,而不会阻止业务组和开发人员快速实现自己的目标。我们的经验表明,这极大地加速了而不是阻碍了公共云的增长。
注意
Microsoft已发布一项名为Azure Blueprints的新功能,该功能使您能够跨订阅和管理组打包,管理和部署常见映像,模板,策略和脚本。此功能是脚手架作为参考模型的目的与将该模型部署到组织之间的桥梁。
下图显示了支架的组件。 该基础依赖于管理层次结构和订阅的可靠计划。 支柱包括资源管理器策略和强大的命名标准。 脚手架的其余部分是核心Azure功能和功能,可以启用和连接安全且可管理的环境。
定义层次结构
scaffold的基础是Azure企业注册到订阅和资源组的层次结构和关系。 企业注册从合同的角度定义了公司内Azure服务的形状和用途。 在企业协议中,您可以进一步将环境细分为部门,帐户,最后是订阅和资源组,以匹配组织的结构。
Azure订阅是包含所有资源的基本单元。 它还定义了Azure中的若干限制,例如核心数,虚拟网络和其他资源。 Azure资源组用于进一步优化订阅模型并实现更自然的资源分组。
每个企业都是不同的,上图中的层次结构允许在公司内部组织Azure的方式具有很大的灵活性。 建模层次结构以反映公司对计费,资源管理和资源访问的需求是您在公共云中启动时做出的第一个 - 也是最重要的 - 决策。
部门和账户
Azure注册的三种常见模式是:
功能模式
业务单元模式
地理格局
尽管这些模式中的每一种都有其自身的地位,但由于其在组织成本模型建模方面的灵活性以及反映控制范围,因此越来越多地采用业务单元模式。 Microsoft Core Engineering and Operations小组创建了一个非常有效的业务单元模式子集,以联邦,州和本地为模型。 (有关更多信息,请参阅组织企业中的订阅和资源组。)
管理组
Microsoft最近发布了一种新的层次结构建模方法:Azure管理组。管理组比部门和帐户更灵活,可以嵌套多达六个级别。管理组允许您创建与计费层次结构分离的层次结构,仅用于有效管理资源。管理组可以镜像您的结算层次结构,通常企业也会这样开始。但是,管理组的强大功能在于,当您使用它们为组织建模时,相关订阅 - 无论它们在计费层次结构中的哪个位置 - 都组合在一起,需要分配共同角色以及策略和计划。几个例子:
生产/非生产。一些企业创建管理组以识别其生产和非生产订阅。管理组允许这些客户更轻松地管理角色和策略,例如:非生产订阅可能允许开发人员“贡献者”访问,但在生产中,他们只有“读者”访问权限。
内部服务/外部服务。与生产/非生产非常相似,企业通常对内部服务与外部(面向客户)服务有不同的要求,政策和角色。
经过深思熟虑的管理团队以及Azure策略和计划是Azure有效治理的支柱。
订阅
在决定部门和帐户(或管理组)时,您主要关注的是如何划分Azure环境以匹配您的组织。但是,订阅是实际工作发生的地方,您的决策会影响安全性,可扩展性和计费。许多组织将以下模式视为指南:
申请/服务:订阅代表应用程序或服务(应用程序组合)
生命周期:订阅代表服务的生命周期,例如生产或开发。
部门:订阅代表组织中的部门。
前两种模式是最常用的模式,强烈建议使用这两种模式。生命周期方法适用于大多数组织。在这种情况下,一般建议是使用两个基本订阅。 “生产”和“非生产”,然后使用资源组进一步打破环境。
资源组
Azure Resource Manager使您可以将资源放入有意义的组中,以实现管理,计费或自然关联。资源组是具有共同生命周期或共享诸如“所有SQL服务器”或“应用程序A”之类的属性的资源的容器。
资源组不能嵌套,资源只能属于一个资源组。某些操作可以对资源组中的所有资源执行操作。例如,删除资源组会删除资源组中的所有资源。与订阅一样,创建资源组时也存在常见模式,从“传统IT”工作负载到“敏捷IT”工作负载会有所不同:
“传统IT”工作负载通常按同一生命周期内的项目(例如应用程序)进行分组。按应用程序分组允许单独的应用程序管理。
“敏捷IT”工作负载倾向于关注面向外部客户的云应用程序。资源组通常反映部署层(例如Web Tier,App Tier)和管理层。
注意
了解您的工作负载可帮助您制定资源组策略。这些模式可以混合和匹配。例如,与“Agile”资源组在同一订阅中的共享服务资源组。
命名标准
支架的第一个支柱是一致的命名标准。精心设计的命名标准使您能够识别门户,账单和脚本中的资源。您可能已经拥有本地基础结构的现有命名标准。将Azure添加到您的环境时,您应该将这些命名标准扩展到Azure资源。
技巧
对于命名约定:
在可能的情况下审查并采用模式和实践指南。本指南可帮助您确定有意义的命名标准并提供大量示例。
使用资源管理器策略来帮助实施命名标准
请记住,以后更改名称很困难,所以现在几分钟就可以为您节省麻烦。
将您的命名标准集中在那些更常用和搜索的资源上。例如,为清晰起见,所有资源组都应遵循强有力的标准。
资源标签
资源标签与命名标准紧密结合。随着资源被添加到订阅中,对它们进行逻辑分类以用于计费,管理和操作目的变得越来越重要。有关更多信息,请参阅使用标记来组织Azure资源。
重要
标签可能包含个人信息,可能属于GDPR的规定。计划仔细管理您的标签。如果您正在寻找有关GDPR的一般信息,请参阅服务信任门户的GDPR部分。
除了计费和管理之外,标签还以多种方式使用。它们通常用作自动化的一部分(参见后面的部分)。如果不事先考虑,这可能会导致冲突。建议的做法是识别企业级别的所有常用标记(例如ApplicationOwner,CostCenter),并在使用自动化部署资源时一致地应用它们。
Azure政策和倡议
脚手架的第二个支柱涉及使用Azure策略和计划通过对订阅中的资源和服务实施规则(带效果)来管理风险。 Azure Initiatives是旨在实现单一目标的策略集合。然后,将Azure策略和计划分配到资源范围,以开始实施特定策略。
与前面提到的管理组一起使用时,Azure策略和计划更加强大。管理组可以将计划或策略分配给整个订阅集。
资源管理器策略的常见用法
Azure策略和计划是Azure工具包中的强大工具。策略允许公司为“传统IT”工作负载提供控制,以实现LOB应用程序所需的稳定性,同时还允许“敏捷”工作负载;例如,开发客户应用程序而不会使企业面临额外风险。我们在政策中看到的最常见模式是:
- 地理合规/数据主权。 Azure在全球范围内的地区名单越来越多。企业通常需要确保特定范围内的资源保留在地理区域以满足法规要求。
- 避免公开暴露服务器。 Azure策略可以禁止部署某些资源类型。常见的用途是创建一个策略来拒绝在特定范围内创建公共IP,从而避免服务器无意中暴露于互联网。
- 成本管理和元数据。资源标记通常用于将重要的计费数据添加到资源和资源组,例如CostCenter,所有者等。这些标签对于准确计费和管理资源非常有用。策略可以强制将资源标记应用于所有已部署的资源,从而使其更易于管理。
倡议的共同用途
引入计划为企业提供了一种将逻辑策略组合在一起并整体跟踪的方法。倡议进一步支持企业满足“敏捷”和“传统”工作负载的需求。我们已经看到了非常有创意的举措用途,但我们通常会看到:
在Azure安全中心中启用监视。这是Azure策略中的默认计划,也是计划的一个很好的示例。它支持识别未加密的SQL数据库,VM漏洞和更常见的安全相关需求的策略。
监管具体举措。企业通常将监管要求共同的政策(例如HIPAA)分组,以便有效地跟踪对这些控制的控制和合规性。
资源类型和SKU。创建限制可以部署的资源类型以及可以部署的SKU的计划可以帮助控制成本并确保您的组织仅部署您的团队拥有支持的技能组和过程的资源。
技巧
我们建议您始终使用主动定义而不是策略定义。将主动权分配给范围(例如订阅或管理组)后,您可以轻松地向主动添加另一个策略,而无需更改任何分配。这使得理解应用的内容和跟踪合规性变得更加容易。
