Azure的正确打开方式（下）企业级LandingZone,自己制作的镜像怎么发布到azure-ESG跨境

Azure的正确打开方式（下）企业级LandingZone,自己制作的镜像怎么发布到azure

Azure的正确打开方式（下）企业级LandingZone

本地上云，将重量的数据中心建设维护工作交给专业的科技公司，以代码的方式在云上实现轻量的云上数据中心，是企业摆脱现状寻求持续发展出路的最佳出路。

从小规模到企业级

经过《Azure的正确打开方式（上）小规模Landing Zone》文章中的介绍，我们已经了解到，Azure Landing Zone是一套为应用缩放、安全管理、网络访问和身份标识服务的基础架构资源，通过Azure Landing Zone，可在 Azure 中实现企业级的应用程序迁移、现代化和创新。

小规模的Landing Zone解决了具有较少工作负载的小型企业云环境，但无法做到大规模的资源扩展。面对应用程序的不断增长和如何实现无感知移动的问题，如何为整个平台和所有涵盖的应用提供安全、简化且合规的运营和管理，本文将介绍一套适用于大规模云负载环境的Landing Zone架构—Enterprise Scale Landing Zone（ESLZ，企业级Landing Zone）。

企业级Landing Zone指导原则

就像图书馆中按照一套特定原则摆放书籍一样，企业级Landing Zone体系架构的定义也来源于5个设计原则的指导，每个原则既相互独立，又相辅相成，组合在一起完善了整套企业级Landing Zone体系架构，下面我们展开来介绍。

民主化的订阅

作为管理和规模的基本单位，订阅应该与业务需求和优先级对齐。要避免创建和维护集中控制模式的订阅，且允许业务侧自己创建订阅，支持他们进行新工作负载的设计、开发和测试以及工作负载的迁移等工作。

策略驱动的治理

Azure Policy在企业级Landing Zone中具有重要的作用，它能提供安全防护并确保平台和部署在其上的应用程序具有持续合规性，同时还为应用程序所有者提供足够的自由度和安全无阻的上云道路。

单一控制和管理的平台

企业级架构不应让团队各行其道，例如使用自己开发门户或工具，而应为 AppOps（应用运营团队）和 DevOps（开发运营团队）提供一致的体验。Azure基于角色的访问控制（RBAC）和策略驱动（Azure Policy）提供了所有 Azure 资源和供应商渠道具有一致体验的控制平台。极大提升了用户体验，有益于用户快速上手和使用。

以应用为中心和原型中立的目标

企业级架构应专注于以应用程序为中心的迁移和开发，而不是单纯地将基础架构进行lift and shift模式迁移上云（比如虚拟机的迁移）。同样的也不应该区别对待新的或旧的应用程序，或者区分IaaS还是PaaS 应用程序。

对齐Azure的原生设计和路线图

企业级架构强烈建议尽可能使用原生平台的服务和功能，以确保能够为客户环境快速提供安全可靠的服务和新功能，这与 Azure 平台路线图的目标不谋而合。Azure 平台路线图致力于为迁移战略和企业级规模（Enterprise Scale）轨迹提供支持。

企业级Landing Zone体系架构

除了5个基本设计原则，企业级Landing Zone体系架构的构建需要考虑8大关键领域的规划。这8个关键设计领域有助于将客户需求转化为 Microsoft Azure 架构和功能，并解决本地和云基础设施之间的不匹配问题。

针对实际环境中网络网络拓扑的不同，有两种网络部署类型：基于Azure的VWAN网络拓扑或者基于传统的中心辐射（HubSpoke）型网络拓扑。考虑到可扩展性和安全性，微软强烈建议为平台资源提供专用订阅来规划网络部署，因此两种网络部署模型带来的两种体系架构的区别，仅体现在连接订阅（Connectivity Subscription）版块中网络拓扑的不同。

基于 Azure 虚拟 WAN 网络拓扑的ESLZ体系架构

基于传统 HubSpoke网络拓扑的ESLZ体系架构

8大关键领域可以一一对应到企业级Landing Zone体系架构图中，我们根据图中大写字母AI的顺序，依次介绍8个关键设计领域：

企业注册和 Azure AD 租客

此层次结构标识组织内的成本中心：

企业注册表示您的组织与微软Azure之间如何使用的商业关系，为您的订阅提供了资源计费基础；

部门用于将成本进行细分，在部门一级可以设定预算或者配额；

账户是Azure企业门户中的组织单位。它们可用于管理订阅和访问报告；

订阅是Azure企业门户中最小的单位。它们是Azure服务部署的容器，由服务管理员进行管理。

身份标识和访问管理

身份和访问管理 （IAM） 被视为企业组织云的安全边界，最佳实践是采用最小权限的方式进行运营和资源访问。企业级Landing Zone体系架构中将其进行扩展，以便通过Azure 活动目录 （Azure AD）、Azure 基于角色的访问控制 （Azure RBAC） 和自定义角色来使用 Azure资源。

此外，企业组织应彻底评估Landing Zone内资源的身份验证要求，根据角色和安全要求，考虑使用何种认证方式（Azure AD、Azure AD 域服务（Azure AD DS）和本地活动目录域服务 （AD DS））最为可靠，其中依赖域服务和使用旧协议的应用程序可以使用Azure AD DS服务。

管理组和订阅

企业级Landing Zone中一个重要的架构形态是使用多级管理组树状结构，在一个Azure AD租户下，按照资源属性的不同创建树状结构的资源组，有助于将组织资源进行归类，并且有利于Azure Policy的聚合和分配。需要注意的是管理组树状结构的深度一般不超过34层，最多不超过6层，否则会带来管理的复杂度和难度。

订阅是 Azure 内部管理、计费和规模的一个单位，在此架构中，专用的订阅都是创建于专门的管理组中，这种分组模式能够确保具有相同Policy和Azure角色分配的订阅可以从管理组中继承，从而避免重复分配。

例如管理组下的管理订阅用于支持全局管理功能，部署Azure Monitor日志分析工作空间方便获取报表和告警；使用Azure自动化运行手册简化运维管理。身份标识管理组下的身份订阅可用于部署身份认证相关资源，等等。

订阅作为Azure Policy和管理的边界，可以在必要的时候实现策略隔离，从而避免使用过多的管理组隔离。作为工作负载承载的平台，需要在工作量设计期间考虑订阅的资源限制，避免使用单个订阅导致资源超限的问题。

管理和监控

企业级Landing Zone管理和监控主要关注企业如何运营和集中管理其Azure资产。管理和监控建议符合企业级设计原则，并专注于原生的Azure功能。

在平台层面进行集中管理和监控能够为组织在大型 Azure 平台内保持运营的统一可见性。通常使用单个监视器日志工作空间（Azure Monitor Log Analytics Workspace）集中管理平台，集中式日志记录有利于运营管理团队管理服务健康、配置和 IT 操作等报表，从而减少管理开销。

Azure安全审核日志具有很多的应用场景，可以与本地SIEM系统集成，也可以与SaaS产品集成，同时Azure上也拥有丰富的原生监控产品，如Azure活动日志、Azure AD审计报告、Azure诊断服务、日志和指标、Azure密钥保管库审计日志、NSG流量日志、网络观察器、Azure安全中心和Azure Sentinel等。

此外还应规划Azure 数据保留和存档日期，Azure监视器日志的默认保留期为30天，最长为两年，如果日志保留要求超过两年，则需要将日志导出到 Azure 存储中。

网络拓扑和链接

网络拓扑是Enterprise Scale架构的一个关键要素，因为它定义了应用程序之间如何相互通信。企业级Landing Zone侧重两个核心解决方法：Azure 虚拟 WAN拓扑和传统HubSpoke拓扑。

Azure虚拟 WAN拓扑用于大规模互连的需求，此拓扑类型是微软管理的服务，这降低了整体网络的复杂性，有助于组织实现网络现代化。如果组织需求满足以下几点，则可以考虑使用Azure 虚拟 WAN拓扑：

计划在多个Azure区域部署资源，并要求这些Azure区域的vNet与多个本地站点之间进行全局连接。

计划通过部署软件定义WAN（SDWAN）将大型分支网络直接集成到 Azure，或者需要 30 个以上分支站点的本地 IPsec。

需要在VPN和快速路由（ExpressRoute）之间进行临时路由。

传统HubSpoke拓扑可以在Azure上构建定制化的安全大型网络，并实现由客户自主管理的路由和安全性。如果组织需求满足以下几点，则可以考虑使用传统HubSpoke拓扑：

计划在一个或多个Azure区域部署资源，但不需要在所有Azure区域部署完整的拓扑网络。

在每个区域的远程或分支机构数量较少（往往少于30个IPsec站点到站点的通道）。

对手动配置Azure网络路由策略需要完全控制和细粒度。

业务持续性和灾难恢复

制定业务连续性和灾难恢复计划对组织至关重要，因为它决定了组织在业务意外中断或发生灾难之后恢复正常所需的时间。Azure备份服务（backup service）和 Azure站点恢复（Site Recovery）服务共同构成了Azure中的业务连续性和灾难恢复解决方案。

组织数据的备份是恢复数据的必要条件和关键，与上图中企业级Landing Zone架构涉及的产品突出相关的是强制启用和使用的Azure备份策略（Backup Policy），Azure备份策略需要与组织定义的RTO（恢复时间目标）和RPO（恢复点目标）目标保持一致。

除了使用原生Azure备份功能外，在设计时使用多区域和对等（peering）位置进行快速路由（ExpressRoute）连接，有助于发生区域中断时确保有不间断的跨区域连接。

安全、治理和合规

企业级Landing Zone的安全治理和合规从3个方面进行设计，定义加密和密钥管理、定义治理计划和定义安全监控和审计策略。

加密是确保数据隐私、合规性和数据不外泄的重要一步，这也是许多企业最关心的安全问题之一。配置适用于Key Vault的订阅和缩放限制，将密钥、机密信息和证书的访问权限收缩到Vault级别，并启用软删除和清除策略，以便对已删除的对象进行保留保护。启用Key Vault上的防火墙和虚拟网络服务端点，以控制对密钥库的访问，使用平台中央 Azure 监视器日志分析工作空间对密钥库中每个实例中的密钥、证书和秘密使用进行审核。禁止在应用程序之间共享Key Vault实例，以避免跨环境进行密钥共享

安全治理提供机制和流程，以保持对Azure应用和资源的控制。Azure策略对于确保企业技术产业的安全性和合规性至关重要，它可以在整个 Azure平台服务中执行重要的安全管理。Azure策略还可以补充Azure基于角色的访问控制（RBAC），该控制可确定授权用户可以执行哪些操作。

安全监控和审计记录是可扩展框架的关键组成部分，设计考虑将审计数据和平台活动日志设置保留日期，使用Azure策略通过VM扩展自动部署软件配置，并强制执行合规的VM基线配置，并通过Azure监视器日志和Azure安全中心监控基础操作系统的补丁和安全配置变化情况。

平台自动化和DevOps

许多传统的 IT 运营模式与云不兼容，组织必须进行运营和组织转型，才能实现针对企业迁移目标的目标。DevOps方法可以为应用团队和开发团队有效解决这个问题。

通过建立一个跨功能DevOps平台团队，以构建、管理和维护您的企业规模架构。该团队应包括来自您中央IT团队、安全、合规和业务团队的成员，以确保组织具有广泛的代表性。一些推荐的 DevOps 角色可供参考：

平台操作角色：提供订阅和授权所需的网络、身份和访问管理和策略；平台管理和监控；成本管理；代码管理的平台（管理模板、脚本和其他资产）；负责Azure活动目录租户内的整体操作（管理服务委托人、注册微软图形API和定义角色）。

安全操作角色：Azure基于角色的访问控制（Azure RBAC）；关键管理（服务、简单的邮件传输协议和域控制器管理等）；策略管理和执行；安全监控和审计。

网络运营：网络操作和网络管理。

应用开发角色：应用程序迁移或转换；应用程序管理和监控；应用资源的RBAC，安全监控管理，成本管理和网络管理。

基于以上的设计原则和关键设计领域，方能构建基于微软云采用框架（Microsoft Cloud Adoption Framework，简称CAF）Azure Enterprise Scale Landing Zone（ESLZ）架构，实现企业级的云上环境，实现和业务发展曲线相同的基础架构支撑，将云上资源治理妥当。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。