Azure giriş bölgeleri - Bicep modülleri tasarım konuları
Bu makalede, azure giriş bölgesi kavramsal mimarisinin temel platform özelliklerini dağıtmak ve yönetmek için kullanabileceğiniz modüler Azure Giriş Bölgeleri (ALZ) - Bicep çözümünün tasarım konuları Bulut Benimseme Çerçevesi (CAF) ayrıntılarıyla açıklanmaktadır.
Bicep, Azure kaynaklarını dağıtmak için bildirim temelli söz dizimi kullanan, etki alanına özgü bir dildir (DSL). Kısa söz dizimi, güvenilir tür güvenliği ve kod yeniden kullanımı desteğine sahiptir.
Bu mimarinin bir uygulaması GitHub'da kullanılabilir: Azure Giriş Bölgeleri (ALZ) - Bicep Uygulaması. Başlangıç noktası olarak kullanabilir ve gereksinimlerinize göre yapılandırabilirsiniz.
Not
Portal tabanlı, ARM şablonları ve Terraform modülleri dahil olmak üzere çeşitli dağıtım teknolojileri için uygulamalar vardır. Dağıtım teknolojisi seçimi, sonuçta elde edilen Azure giriş bölgeleri dağıtımını etkilememelidir.
ALZ Bicep Hızlandırıcısı
ALZ Bicep Hızlandırıcısı ile ALZ Bicep modülünüzü uygulama, otomatikleştirme ve bakım konusunda adım adım yönergeler bulabilirsiniz.
ALZ Bicep Hızlandırıcısı çerçevesi, son kullanıcılara tam teşekküllü CI/CD işlem hatlarını kullanarak ALZ Bicep'i ekleme ve dağıtma desteği, GitHub Actions ve Azure DevOps İşlem Hatları desteği, yeni ALZ Bicep sürümleriyle eşit durumda kalmak, özel modülleri değiştirmek veya eklemek için ayrılmış Çerçeve sağlamak için geliştirilmiştir ve Bicep modüllerini lint etmek ve doğrulamak için dallanma stratejisi kılavuzu ve çekme isteği işlem hatları sağlar.
Tasarlama
Mimari, Azure Bicep'in modüler doğasından yararlanır ve modül sayısından oluşur. Her modül, Azure Giriş Bölgeleri kavramsal mimarisinin temel bir özelliğini kapsüller. Modüller tek tek dağıtılabilir, ancak dikkat edilmesi gereken bağımlılıklar vardır.
Mimari, dağıtım deneyimini basitleştirmek için orchestrator modüllerinin eklenmesini önerir. Düzenleyici modülleri, modüllerin dağıtımını otomatikleştirmek ve farklı dağıtım topolojilerini kapsüllemek için kullanılabilir.
Modül
Bicep'teki temel kavramlardan biri modüllerin kullanımıdır. Modüller, dağıtımları mantıksal gruplandırmalar halinde düzenlemenizi sağlar. Modüllerle, dağıtımınızın karmaşık ayrıntılarını kapsülleyerek Bicep dosyalarınızın okunabilirliğini geliştirirsiniz. Ayrıca farklı dağıtımlar için modülleri kolayca yeniden kullanabilirsiniz.
Modülleri yeniden kullanabilme özelliği, giriş bölgelerini tanımlarken ve dağıtırken gerçek bir avantaj sunar. Kodda yinelenebilir ve tutarlı ortamlar sağlarken, büyük ölçekte dağıtım için gereken çabayı azaltır.
Katmanlar ve hazırlama
Modüllere ek olarak, Bicep giriş bölgesi mimarisi katman kavramı kullanılarak yapılandırılmıştır. Katmanlar, birlikte dağıtılması amaçlanan Bicep modüllerinin gruplarıdır. Bu gruplar uygulamanın mantıksal aşamalarını oluşturur.
Bu katmanlı yaklaşımın avantajlarından biri, ortamınıza zaman içinde artımlı olarak ekleme olanağıdır. Örneğin, az sayıda katmanla başlayabilirsiniz. Hazır olduğunuzda kalan katmanları sonraki bir aşamada ekleyebilirsiniz.
Modül açıklamaları
Bu bölümde, bu mimarideki temel modüllere üst düzey bir genel bakış sağlanmaktadır.
| Katman | Modül | Açıklama | Faydalı Bağlantılar |
|---|---|---|---|
| Temel | Yönetim Grupları | Yönetim grupları, Bir Azure kiracısının en üst düzey kaynaklarıdır. Yönetim grupları, kaynaklarınızı daha kolay yönetmenize olanak sağlar. İlkeyi yönetim grubu düzeyinde uygulayabilirsiniz ve alt düzey kaynaklar bu ilkeyi devralır. Özellikle, yönetim grubu altındaki abonelikler tarafından devralınacak yönetim grubu düzeyinde aşağıdaki öğeleri uygulayabilirsiniz:
Bu modül, Azure giriş bölgesi kavramsal mimarisinde tanımlandığı gibi yönetim grubu hiyerarşisini dağıtır. |
|
| Temel | Özel İlke Tanımları | DeployIfNotExists (DINE) veya Değiştirme ilkeleri, giriş bölgelerini oluşturan aboneliklerin ve kaynakların uyumlu olmasını sağlamaya yardımcı olur. İlkeler, giriş bölgelerinin yönetiminin yükünü de kolaylaştırır. Bu modül, özel ilke tanımlarını yönetim gruplarına dağıtır. Tüm müşteriler DINE veya Değiştirme ilkelerini kullanamaz. Sizin için böyle bir durum söz konusuysa, özel ilkelerle ilgili CAF kılavuzu rehberlik sağlar. |
|
| Temel | Özel Rol Tanımları | Rol tabanlı erişim denetimi (RBAC), sistem içindeki kullanıcı haklarının yönetimini basitleştirir. Kişilerin haklarını yönetmek yerine sisteminizdeki farklı roller için gereken hakları belirlersiniz. Azure RBAC'nin birkaç yerleşik rolü vardır. Özel rol tanımları, ortamınız için özel roller oluşturmanıza olanak tanır. Bu modülde özel rol tanımları dağıtılır. Modül, Azure rol tabanlı erişim denetimiyle ilgili CAF yönergelerini izlemelidir. |
|
| Yönetim | Günlüğe Kaydetme, Otomasyon ve Sentinel | Azure İzleyici, Azure Otomasyonu ve Microsoft Sentinel, altyapınızı ve iş yüklerinizi izlemenize ve yönetmenize olanak sağlar. Azure İzleyici, ortamınızdan telemetri toplamanızı, analiz etmenizi ve üzerinde işlem yapmanızı sağlayan bir çözümdür. Microsoft Sentinel, buluta özel güvenlik bilgileri ve olay yönetimi (SIEM) hizmetidir. Şunları yapmanızı sağlar:
Azure Otomasyonu bulut tabanlı bir otomasyon sistemidir. İçerik:
Bu modül ortamınıza yönelik tehditleri izlemek, yönetmek ve değerlendirmek için gereken araçları dağıtır. Bu araçlar Azure İzleyici, Azure Otomasyonu ve Microsoft Sentinel'i içermelidir. |
|
| Bağlantı | Ağ | Ağ topolojisi, Azure giriş bölgesi dağıtımlarında dikkat edilmesi gereken önemli noktalardan biridir. CAF, 2 çekirdek ağ yaklaşımına odaklanır:
Bu modüller seçtiğiniz ağ topolojisini dağıtır. |
|
| Kimlik | Rol Atamaları | Kimlik ve erişim yönetimi (IAM), bulut bilişimdeki temel güvenlik sınırıdır. Azure RBAC, yerleşik rollerin veya özel rol tanımlarının rol atamalarını güvenlik sorumlularına gerçekleştirmenizi sağlar. Bu modül yönetim grupları ve abonelikler arasında Hizmet Sorumlularına, Yönetilen Kimliklere veya güvenlik gruplarına rol atamaları dağıtır. Modül, Azure kimlik ve erişim yönetimiyle ilgili CAF yönergelerini izlemelidir. |
|
| Temel | Abonelik Yerleşimi | Bir yönetim grubuna atanan abonelikler devralır:
Bu modül, abonelikleri uygun yönetim grubu altına taşır. |
|
| Temel | Yerleşik ve Özel İlke Atamaları | Bu modül, yönetim gruplarına varsayılan Azure giriş bölgesi Azure İlkesi atamalarını dağıtır. Ayrıca, ilkeler tarafından oluşturulan sistem tarafından atanan Yönetilen Kimlikler için rol atamaları da oluşturur. | |
| Yönetim | Orchestrator Modülleri | Orchestrator modülleri dağıtım deneyimini büyük ölçüde geliştirebilir. Bu modüller tek bir modülde birden çok modülün dağıtımını kapsüller. Bu, karmaşıklığı son kullanıcıdan gizler. |
Bicep uygulamasını özelleştirme
Bulut Benimseme Çerçevesi parçası olarak sağlanan Azure giriş bölgesi uygulamaları çok çeşitli gereksinimlere ve kullanım örneklerine uygundur. Ancak, genellikle belirli iş gereksinimlerini karşılamak için özelleştirmenin gerekli olduğu senaryolar vardır.
İpucu
Daha fazla bilgi için bkz . Azure giriş bölgesi mimarisini gereksinimleri karşılayacak şekilde uyarlama.
Platform giriş bölgesi uygulandıktan sonra bir sonraki adım, Yönetim grubu altındaki landing zones uygulama ekiplerinin Merkezi BT veya PlatformOps yöneticilerinin gerektirdiği korumalar ile olanak tanıyan Uygulama giriş bölgelerini dağıtmaktır. Yönetim corp grubu şirkete bağlı uygulamalara yönelikken online , yönetim grubu öncelikli olarak genel kullanıma yönelik olan ancak bazı senaryolarda merkez ağları aracılığıyla şirket uygulamalarına bağlanmaya devam eden uygulamalara yöneliktir.
Bicep Azure giriş bölgesi uygulaması, özelleştirilmiş dağıtımınızın temeli olarak kullanılabilir. Hazır bir seçeneği yöneten belirli bir gerekli değişiklik nedeniyle sıfırdan başlama gereksinimini ortadan kaldırarak uygulamanızı hızlandırmanız için bir yol sağlar.
Modülleri özelleştirme hakkında bilgi GitHub deposu wiki GitHub: Azure Giriş Bölgeleri (ALZ) Bicep - Wiki- Tüketici Kılavuzu'nda bulunabilir. Başlangıç noktası olarak kullanabilir ve gereksinimlerinize göre yapılandırabilirsiniz.