Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Prima di poter distribuire i carichi di lavoro in Azure, preparare l'ambiente sottostante che li supporta. CAF Ready offre un approccio strutturato che consente di creare un ambiente cloud scalabile, sicuro e regolamentato fin dall'inizio. Questa configurazione di base è nota come zona di destinazione della piattaforma. Una zona di destinazione di Azure è l'implementazione consigliata di una zona di destinazione della piattaforma.
Zona di destinazione della piattaforma
La zona di destinazione della piattaforma funge da backbone dell'ambiente Azure. Stabilisce la governance e i servizi centrali che si applicano all'interno dell'organizzazione. La funzionalità include una gerarchia di gruppi di gestione con l'applicazione dei Criteri di Azure sulle sottoscrizioni. Sono disponibili anche sottoscrizioni dedicate per la connettività, l'identità, la gestione e i servizi condivisi di sicurezza.
A seconda delle dimensioni e della maturità del cloud dell'organizzazione, è possibile scegliere di implementare tutti, alcuni o nessuno di questi servizi centralizzati. Per i team nativi del cloud o più piccoli, un approccio leggero potrebbe essere sufficiente.
Parte della zona di destinazione della piattaforma deve includere la possibilità di ricevere richieste per le zone di destinazione dell'applicazione e distribuire tali richieste ai team del carico di lavoro per l'implementazione.
Zona di destinazione dell'applicazione
Una zona di destinazione dell'applicazione è destinata alle risorse del carico di lavoro. Un carico di lavoro deve avere una zona di destinazione dell'applicazione per ogni ambiente (sviluppo, test o produzione). Ogni zona di destinazione dell'applicazione è costituita da una o più sottoscrizioni per soddisfare i limiti di scalabilità e servizio. Sono annidati in gruppi di gestione appropriati, come "Online" o "Corp", per ereditare le definizioni di Criteri di Azure dai gruppi di gestione padre. Questa struttura garantisce che i carichi di lavoro vengano distribuiti in modo controllato e coerente, consentendo comunque flessibilità per le esigenze dei singoli carichi di lavoro.
Configurazioni applicabili a tutte le sottoscrizioni
Indipendentemente dal fatto che una sottoscrizione appartenga alla piattaforma o a una zona di destinazione dell'applicazione, alcune configurazioni devono essere abilitate universalmente. Queste configurazioni includono: Controllo di accesso di Azure Role-Based, Gestione costi, Network Watcher e Microsoft Defender per il cloud. Questi servizi consentono di mantenere visibilità, sicurezza e controllo operativo nell'intero ambiente di Azure.
Implementazione della landing zone di Azure
Una Azure landing zone è l'implementazione consigliata di una landing zone della piattaforma. L'implementazione si svolge in fasi principali, ognuna con processi e strumenti di supporto:
Configurare l'ambiente
Indipendentemente dal fatto che si inizi a usare (Greenfield) o a modernizzare una configurazione esistente (Brownfield), il primo passaggio consiste nel creare le sottoscrizioni che ospiteranno le risorse. L'implementazione di un nuovo ambiente della zona di destinazione di Azure in base alle procedure consigliate richiede in genere più sottoscrizioni. È possibile creare queste sottoscrizioni manualmente, a livello di codice o usando moduli automatici di distribuzione automatica:
- Creare manualmente sottoscrizioni
- Creare sottoscrizioni in modo programmatico
- Moduli di distribuzione automatica delle sottoscrizioni
2. Distribuire componenti della zona di atterraggio della piattaforma
Accelerare quindi la distribuzione delle risorse della piattaforma in base all'architettura di riferimento della zona di destinazione di Azure. Questi componenti stabiliscono la governance e i servizi condivisi, ad esempio la gerarchia dei gruppi di gestione, l'applicazione dei criteri, la connettività, la sicurezza e il monitoraggio. Le opzioni di distribuzione includono il portale di Azure, Bicep e Terraform:
3. Processo di distribuzione automatica delle sottoscrizioni (facoltativo)
Dopo aver creato la piattaforma, è necessario creare singole zone di destinazione dell'applicazione all'interno del tenant di Azure. Per automatizzare questo processo è consigliabile una soluzione di distribuzione automatica delle sottoscrizioni. Vending consente di distribuire le sottoscrizioni insieme alle risorse principali come la rete. Sono disponibili entrambi i moduli Bicep e Terraform: