Azure的正确打开方式(上)-小规模Landing Zone
概述
本地上云,将重量的数据中心建设维护工作交给专业的科技公司,以代码的方式在云上实现轻量的云上数据中心,是企业摆脱现状寻求持续发展出路的最佳出路。
01、基础架构的出路
应用原型从发展受限的旧环境搬迁到云后,如何赋予云上环境具备持续治理和管理能力,保障前沿技术的应用没有壁垒,帮助企业云速革新,是我这个正在从传统技术向云技术转型的IT老炮没事就琢磨的事。
在云上,摆脱了地域、资源、关键技术的限制,云服务商提供了丰富的软件级基础架构服务,如计算、网络、存储、数据库、容器群集、AI、IoT、监控、日志、安全等。业务创新的步伐如何与这些不断更新的云上的资源有条不紊的同步起来,需要我们从治理上来发力,持续对齐企业战略目标和规划。
为企业和居民迁移到新市区时所准备的房子、路、水、电、燃气这些生活必须的公共资源,如同我们为应用原型准备的云上基础资源:计算、网络、存储、数据、策略、身份管理等。按规划为应用原型入住所准备的一组云上基础资源,我们称之为Landing Zone。
Landing Zone按规模分为小规模和企业级:
小规模:适用于小规模云采用,云上工作负载较少的小型环境。不支持1:N扩展。
企业级:适用于大规模云采用,云上工作负载较多的大型企业环境。支持1:N扩展。
小规模Landing Zone ? 企业级 Landing Zone
提示:我们将提供一种资源的云上服务,称之为工作负载。如Azure 上提供身份认证的工作负载Azure Active Directory。
02、基础架构即代码,蓝图赋能
不同的云平台提供商,以各自强项提供了不同的解决方案。
微软作为长期致力于企业赋能的科技公司,其Azure云平台在提供各种基础和前沿云技术服务的同时,基于微软云采用框架提供了小规模 Landing Zone 和 企业级 Landing Zone 的最佳实践和一系列规划治理工具来帮助我们对齐应用原型需求。
蓝图(Azure Blueprints)便是Azure一系列治理工具中的主将。他提供了规划/执行一体的云上资源治理功能。帮助我们声明的形式勾勒出云上资源的组织标准,供开发团队快速生成和构建符合组织规定的新环境。
-
不同于ARM模板,蓝图是一组资源组、策略、角色分配和 ARM 模板的集合,支持以版本迭代的方式持续更新(CI/CD)。
最终在一个可审计和跟踪的操作中将每个蓝图分配给订阅。
不同于Azure策略,蓝图是一种容器,用于组合与 Azure 云服务、安全性和设计的实现相关的一组针对目标的标准、模式和要求,这些标准、模式和要求可以重复使用以确保一致性和符合性。
-
Azure 蓝图服务由全球分布的 Azure Cosmos DB 提供支持。
蓝图对象将复制到多个 Azure 区域。
无论 Azure 蓝图将资源部署到哪个区域,此复制提供的对蓝图对象的访问都具有低延迟、高可用性和一致性。
03、扎实迈步,举重从轻
小规模Landing Zone,适合先试点再规模化云采用,正处于试点阶段的企业。当我们选择Small Landing Zone 模型进行基础架构资源治理时,可以通过蓝图快速部署一个基于微软云采用框架(CAF)的迁移Landing Zone,这里包含应用原型迁移到新家需要的必备基础:
公用资源:存储账户、Log Analytics 工作区、密钥保管库
网络资源:虚拟网络、网络安全组
网络监视资源:网络观察程序
迁移资源组:资源组ARM模板
小规模 Landing Zone
Azure 蓝图 + ARM 模版
我们就以CAF迁移Landing Zone的构建为例,共同体会一下 Azure Landing Zone 的正确打开方式:
第一步
登陆Azure 门户,选择创建蓝图【CAF迁移登陆区域】
第二步
指定蓝图名称、选择定义位置,选择【下一页】
第三步
选择【保存草稿】
第四步
在【蓝图定义】中找到刚定义好的蓝图【CAFMigrateLandingZone】,点击名称
第五步
点击【编辑蓝图】,进入编辑界面
第六步
选择【Resource Group for Shared Services】,添加项目类型【策略分配】
第七步
在搜索中输入Key Vault,选择【Key vaults should have purge protection enabled】,点击【添加】
第八步
点击【保存草稿】
第九步
点击【发布蓝图】,设置版本,点击【发布】
第十步
分配蓝图,选择订阅【Migrate】,键入资源前缀【Contoso】,键入用于部署Key Vault的AAD账号【ObjectID】,设置日志分析工作区默认保留天数,设置虚拟网络地址空间前缀【10.200】,点击【分配】一键出发!
第十一步
在分配的蓝图中点击【CAFMigrateLandingZone】,可查看到资源部署状态
第十二步
浏览Migrate订阅中的资源组,可以看到由蓝图CAFMigrateLandingZone 1.0版本分配的4个以Contoso为前缀的【资源组】:
资源视图中查看资源和资源组对应关系如下:
Contoso-SharedSvcs-rg:
密钥保管库(KeyVault):管理由应用和服务使用的密钥和机密
Log Analytics 工作区:Log Analytics 从各种源中收集数据,并使用功能强大的查询语言让你深入了解应用程序和资源的操作
存储账号:提供等必要的日志存储服务
Contoso-Vnet-rg:
网络安全组(NSG):提供网络隔离策略
虚拟网络:提供应用、网络设备(7层负载、4层负载、网关、防火墙)依赖的地址空间和子网;
NetworkWatcher:网络观察程序(NetworkWatcher):用于监视和修复 IaaS产品的网络运行状况,其中包括虚拟机、虚拟网络、应用程序网关、负载均衡器等。
Contoso-Migrate-rg:迁移资源组,用于放置迁移到这个Landing Zone 的应用资源,如Web应用程序,数据库、容器等;
策略 – 复合性 中可以看到前面六-八步配置到蓝图中的策略【Key vaults should have purge protection enabled -Audit】 已生效。
结束语
通过上面示例,我们了解到通过蓝图快速构建基于微软云采用框架(Microsoft Cloud Adoption Framework,简称CAF)Azure Small Landing Zone的方法。日后,可根据业务发展和企业管理需要对该蓝图进行更改、扩展、版本发布、重新分配这些动作,对Azure上的Workload进行快速重构,扩展等动作。