Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Prima di poter distribuire i carichi di lavoro in Azure, è importante preparare l'ambiente sottostante che li supporta. Questa configurazione di base è nota come zona di destinazione di Azure è il punto di partenza consigliato per compilare l'ambiente Azure. Una zona di destinazione di Azure è un approccio strutturato che consente di creare un ambiente cloud scalabile, sicuro e governato fin dall'inizio.
Una zona di destinazione di Azure consente di gestire considerazioni chiave, ad esempio la gestione delle identità e degli accessi, i contratti dei clienti e la configurazione dei servizi principali della piattaforma. Fornisce un framework coerente per organizzare sia l'infrastruttura condivisa che le risorse specifiche dell'applicazione. Al centro di questo modello sono due tipi di zone di destinazione:
Zona di destinazione della piattaforma
La zona di destinazione della piattaforma funge da backbone dell'ambiente Azure. Stabilisce la governance e i servizi centrali che si applicano all'interno dell'organizzazione. La funzionalità include una gerarchia di gruppi di gestione con l'applicazione dei Criteri di Azure sulle sottoscrizioni. Sono disponibili anche sottoscrizioni dedicate per la connettività, l'identità, la gestione e i servizi condivisi di sicurezza.
A seconda delle dimensioni e della maturità del cloud dell'organizzazione, è possibile scegliere di implementare tutti, alcuni o nessuno di questi servizi centralizzati. Per i team nativi del cloud o più piccoli, un approccio leggero potrebbe essere sufficiente.
Zona di destinazione dell'applicazione
Una zona di destinazione dell'applicazione è destinata alle risorse del carico di lavoro. Un carico di lavoro deve avere una zona di destinazione dell'applicazione per ogni ambiente (sviluppo, test o produzione). Ogni zona di destinazione dell'applicazione è costituita da una o più sottoscrizioni per soddisfare i limiti di scalabilità e servizio. Sono annidati in gruppi di gestione appropriati, come "Online" o "Corp", per ereditare le definizioni di Azure Policy dai gruppi di gestione padre. Questa struttura garantisce che i carichi di lavoro vengano distribuiti in modo controllato e coerente, consentendo comunque flessibilità per le esigenze dei singoli carichi di lavoro.
Configurazioni applicabili a tutte le sottoscrizioni
Indipendentemente dal fatto che una sottoscrizione appartenga alla piattaforma o a una zona di destinazione dell'applicazione, alcune configurazioni devono essere abilitate universalmente. Queste configurazioni includono: Controllo di accesso di Azure Role-Based, Gestione costi, Network Watcher e Microsoft Defender for Cloud. Questi servizi consentono di mantenere visibilità, sicurezza e controllo operativo nell'intero ambiente di Azure.
Percorso della zona di atterraggio di Azure
Mentre segui la guida Ready, considera l'avanzamento come un percorso verso la creazione di una landing zone di Azure completamente operativa. Questo percorso si svolge in quattro fasi principali, ognuna con processi e strumenti di supporto:
Configurare l'ambiente
Indipendentemente dal fatto che si inizi a usare (Greenfield) o a modernizzare una configurazione esistente (Brownfield), il primo passaggio consiste nel creare le sottoscrizioni che ospiteranno le risorse. L'implementazione di un nuovo ambiente della zona di destinazione di Azure in base alle procedure consigliate richiede in genere più sottoscrizioni. È possibile creare queste sottoscrizioni manualmente, a livello di codice o usando moduli automatici di distribuzione automatica:
- Creare manualmente sottoscrizioni
- Creare sottoscrizioni in modo programmatico
- Moduli di distribuzione automatica delle sottoscrizioni
2. Distribuire componenti della zona di atterraggio della piattaforma
Accelerare quindi la distribuzione delle risorse della piattaforma in base all'architettura concettuale della zona di destinazione di Azure. Questi componenti stabiliscono la governance e i servizi condivisi, ad esempio la gerarchia dei gruppi di gestione, l'applicazione dei criteri, la connettività, la sicurezza e il monitoraggio. Le opzioni di distribuzione includono il portale di Azure, Bicep e Terraform:
3. Processo di distribuzione automatica delle sottoscrizioni
Dopo aver creato la piattaforma, è necessario creare singole zone di destinazione dell'applicazione all'interno del tenant di Azure. Per automatizzare questo processo è consigliabile una soluzione di distribuzione automatica delle sottoscrizioni. Vending consente di distribuire le sottoscrizioni insieme alle risorse principali come la rete. Sono disponibili entrambi i moduli Bicep e Terraform:
4. Distribuire i componenti della zona di atterraggio dell'applicazione
Infine, distribuisci i componenti che supportano i carichi di lavoro. Sono disponibili più acceleratori di zona di destinazione dell'applicazione per fornire architetture di riferimento e linee guida sull'implementazione per scenari come Desktop virtuale Azure, SAP e Azure Kubernetes. Questi acceleratori consentono di preparare le zone di destinazione dell'applicazione in una destinazione di Azure. Vedere gli scenari di adozione del cloud CAF.