Zonas de aterrissagem do Azure - Considerações de design dos módulos Bicep

  • Artigo

Este artigo discute as considerações de design da solução modularizada Azure Landing Zones (ALZ) - Bicep que você pode usar para implantar e gerenciar os principais recursos da plataforma da arquitetura conceitual da zona de aterrissagem do Azure, conforme detalhado no Cloud Adoption Framework (CAF).

O Bicep é uma linguagem específica do domínio que utiliza sintaxe declarativa para implementar recursos do Azure. Ele tem sintaxe concisa, segurança de tipo confiável e suporte para reutilização de código.

GitHub logo Uma implementação dessa arquitetura está disponível no GitHub: Azure Landing Zones (ALZ) - Bicep Implementation. Você pode usá-lo como ponto de partida e configurá-lo de acordo com suas necessidades.

Nota

Existem implementações para várias tecnologias de implantação, incluindo baseadas em portal, modelos ARM e módulos Terraform. A escolha da tecnologia de implantação não deve influenciar a implantação resultante das zonas de aterrissagem do Azure.

ALZ Acelerador Bíceps

Você pode encontrar orientação passo a passo sobre como implementar, automatizar e manter seu módulo ALZ Bicep com o ALZ Bicep Accelerator.

A estrutura do ALZ Bicep Accelerator foi desenvolvida para fornecer aos usuários finais suporte à integração e implantação do ALZ Bicep usando pipelines de CI/CD completos, suporte para Ações do GitHub e Pipelines de DevOps do Azure, Framework dedicado para permanecer sincronizado com novas versões do ALZ Bicep e modificar ou adicionar módulos personalizados, e fornece orientação de estratégia de ramificação e pipelines de solicitação pull para revestimento e validação de módulos Bicep.

Estruturar

Diagram showing the bicep modules for deploying Azure landing zones.

A arquitetura tira partido da natureza modular do Azure Bicep e é composta por um número de módulos. Cada módulo encapsula um recurso principal da arquitetura conceitual das Zonas de Pouso do Azure. Os módulos podem ser implantados individualmente, mas há dependências a serem observadas.

A arquitetura propõe a inclusão de módulos orquestradores para simplificar a experiência de implantação. Os módulos orchestrator podem ser usados para automatizar a implantação dos módulos e encapsular diferentes topologias de implantação.

Módulos

Um conceito central no Bicep é o uso de módulos. Os módulos permitem organizar implantações em agrupamentos lógicos. Com os módulos, você melhora a legibilidade de seus arquivos Bicep encapsulando detalhes complexos de sua implantação. Você também pode facilmente reutilizar módulos para diferentes implantações.

A capacidade de reutilizar módulos oferece um benefício real ao definir e implantar zonas de pouso. Ele permite ambientes consistentes e repetíveis no código, reduzindo o esforço necessário para implantar em escala.

Camadas e preparo

Além dos módulos, a arquitetura da zona de pouso do Bicep é estruturada usando um conceito de camadas. As camadas são grupos de módulos Bicep que se destinam a ser implantados juntos. Esses grupos formam etapas lógicas da implementação.

Diagram showing the deployment layers.

Um benefício dessa abordagem em camadas é a capacidade de adicionar ao seu ambiente incrementalmente ao longo do tempo. Por exemplo, você pode começar com um pequeno número de camadas. Você pode adicionar as camadas restantes em um estágio subsequente quando estiver pronto.

Descrições dos módulos

Esta seção fornece uma visão geral de alto nível dos módulos principais dessa arquitetura.

Camada Módulo Description Ligações Úteis
Principal Grupos de Gestão Os grupos de gerenciamento são os recursos de nível mais alto em um locatário do Azure. Os grupos de gestão permitem-lhe gerir mais facilmente os seus recursos. Você pode aplicar a política no nível do grupo de gerenciamento e os recursos de nível inferior herdarão essa política. Especificamente, você pode aplicar os seguintes itens no nível do grupo de gerenciamento que serão herdados pelas assinaturas no grupo de gerenciamento:
  • Políticas do Azure
  • Atribuições de função RBAC (Controles de Acesso Baseados em Função) do Azure
  • Controlo de custos

Este módulo implanta a hierarquia do grupo de gerenciamento conforme definido na arquitetura conceitual da zona de aterrissagem do Azure.
Principal Definições de política personalizadas As políticas DeployIfNotExists (DINE) ou Modify ajudam a garantir que as assinaturas e os recursos que compõem as zonas de aterrissagem estejam em conformidade. As políticas também aliviam o fardo da gestão das zonas de desembarque.

Este módulo implanta definições de política personalizadas para grupos de gerenciamento. Nem todos os clientes podem usar as políticas DINE ou Modificar. Se esse for o seu caso, as orientações da CAF sobre políticas personalizadas fornecem orientações.
Principal Definições de função personalizadas O controle de acesso baseado em função (RBAC) simplifica o gerenciamento de direitos de usuário dentro de um sistema. Em vez de gerenciar os direitos dos indivíduos, você determina os direitos necessários para diferentes funções em seu sistema. O RBAC do Azure tem várias funções internas. As definições de função personalizadas permitem que você crie funções personalizadas para seu ambiente.

Este módulo implanta definições de função personalizadas. O módulo deve seguir as orientações do CAF sobre o controle de acesso baseado em função do Azure.
Gestão Registo, Automação e Sentinela O Azure Monitor, a Automação do Azure e o Microsoft Sentinel permitem-lhe monitorizar e gerir a sua infraestrutura e cargas de trabalho. O Azure Monitor é uma solução que permite coletar, analisar e agir na telemetria do seu ambiente.

O Microsoft Sentinel é um SIEM (gerenciamento de eventos e informações de segurança) nativo da nuvem. Permite-lhe:
  • Coletar - Coletar dados em toda a sua infraestrutura
  • Detetar - Detetar ameaças que não foram detetadas anteriormente
  • Responder - Responda a ameaças legítimas com orquestração integrada
  • Investigar - Investigar ameaças com inteligência artificial

A Automação do Azure é um sistema de automação baseado em nuvem. Inclui:
  • Gerenciamento de configuração - Inventarie e controle alterações para máquinas virtuais Linux e Windows e gerencie a configuração de estado desejado
  • Gerenciamento de atualizações - Avalie a conformidade dos sistemas Windows e Linux e crie implantações agendadas para atender à conformidade
  • Automação de processos - Automatize tarefas de gerenciamento

Este módulo implanta as ferramentas necessárias para monitorar, gerenciar e acessar ameaças ao seu ambiente. Essas ferramentas devem incluir o Azure Monitor, a Automação do Azure e o Microsoft Sentinel.
Conectividade Rede A topologia de rede é uma consideração fundamental nas implantações da zona de aterrissagem do Azure. O CAF concentra-se em 2 abordagens principais de rede:
  • Topologias baseadas na WAN Virtual do Azure
  • Topologias tradicionais

Esses módulos implantam a topologia de rede escolhida.
Identidade Atribuições de Funções O gerenciamento de identidade e acesso (IAM) é o principal limite de segurança na computação em nuvem. O RBAC do Azure permite que você execute atribuições de função de funções internas ou definições de função personalizadas para entidades de segurança.

Este módulo implanta atribuições de função para Entidades de Serviço, Identidades Gerenciadas ou grupos de segurança em grupos de gerenciamento e assinaturas. O módulo deve seguir as orientações da CAF sobre o gerenciamento de identidade e acesso do Azure.
Principal Posicionamento da Subscrição As subscrições atribuídas a um grupo de gestão herdam:
  • Políticas do Azure
  • Atribuições de função RBAC (Controles de Acesso Baseados em Função) do Azure
  • Controlo de custos

Este módulo move assinaturas sob o grupo de gerenciamento apropriado.
Principal Atribuições de políticas internas e personalizadas Este módulo implanta as atribuições padrão da zona de aterrissagem do Azure Policy para grupos de gerenciamento. Ele também cria atribuições de função para Identidades Gerenciadas atribuídas pelo sistema criadas por políticas.
Gestão Módulos Orchestrator Os módulos do Orchestrator podem melhorar muito a experiência de implantação. Esses módulos encapsulam a implantação de vários módulos em um único módulo. Isso oculta a complexidade do usuário final.

Personalizando a implementação do Bicep

As implementações da zona de aterrissagem do Azure fornecidas como parte da Estrutura de Adoção de Nuvem atendem a uma ampla variedade de requisitos e casos de uso. No entanto, muitas vezes há cenários em que a personalização é necessária para atender a necessidades comerciais específicas.

Gorjeta

Consulte Personalizar a arquitetura da zona de aterrissagem do Azure para atender aos requisitos para obter mais informações.

Depois que a zona de aterrissagem da plataforma for implementada, a próxima etapa é implantar zonas de aterrissagem de aplicativos, que habilitam as equipes de aplicativos sob o landing zones grupo de gerenciamento com os guardrails exigidos pelos administradores de TI Central ou PlatformOps. O corp grupo de gerenciamento é para aplicativos corporativos conectados, enquanto o grupo de gerenciamento é para aplicativos que são principalmente voltados para o online público, mas ainda podem se conectar a aplicativos corporativos por meio de redes de hub em alguns cenários.

A implementação da zona de aterrissagem do Bicep Azure pode ser usada como base de sua implantação personalizada. Ele fornece uma maneira de acelerar sua implementação, removendo a necessidade de começar do zero por causa de uma alteração específica necessária que rege uma opção pronta.

GitHub logo Informações sobre como personalizar os módulos estão disponíveis no wiki de repositório do GitHub GitHub: Azure Landing Zones (ALZ) Bicep - Wiki- Guia do Consumidor. Você pode usá-lo como ponto de partida e configurá-lo de acordo com suas necessidades.