Azure的正確打開方式（上）-小規(guī)模Landing Zone

概述

本地上云，將重量的數(shù)據(jù)中心建設(shè)維護(hù)工作交給專業(yè)的科技公司，以代碼的方式在云上實(shí)現(xiàn)輕量的云上數(shù)據(jù)中心，是企業(yè)擺脫現(xiàn)狀尋求持續(xù)發(fā)展出路的最佳出路。

01、基礎(chǔ)架構(gòu)的出路

應(yīng)用原型從發(fā)展受限的舊環(huán)境搬遷到云后，如何賦予云上環(huán)境具備持續(xù)治理和管理能力，保障前沿技術(shù)的應(yīng)用沒有壁壘，幫助企業(yè)云速革新，是我這個(gè)正在從傳統(tǒng)技術(shù)向云技術(shù)轉(zhuǎn)型的IT老炮沒事就琢磨的事。

在云上，擺脫了地域、資源、關(guān)鍵技術(shù)的限制，云服務(wù)商提供了豐富的軟件級(jí)基礎(chǔ)架構(gòu)服務(wù)，如計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)、數(shù)據(jù)庫(kù)、容器群集、AI、IoT、監(jiān)控、日志、安全等。業(yè)務(wù)創(chuàng)新的步伐如何與這些不斷更新的云上的資源有條不紊的同步起來(lái)，需要我們從治理上來(lái)發(fā)力，持續(xù)對(duì)齊企業(yè)戰(zhàn)略目標(biāo)和規(guī)劃。

為企業(yè)和居民遷移到新市區(qū)時(shí)所準(zhǔn)備的房子、路、水、電、燃?xì)膺@些生活必須的公共資源，如同我們?yōu)閼?yīng)用原型準(zhǔn)備的云上基礎(chǔ)資源：計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)、數(shù)據(jù)、策略、身份管理等。按規(guī)劃為應(yīng)用原型入住所準(zhǔn)備的一組云上基礎(chǔ)資源，我們稱之為Landing Zone。

Landing Zone按規(guī)模分為小規(guī)模和企業(yè)級(jí)：

• 小規(guī)模：適用于小規(guī)模云采用，云上工作負(fù)載較少的小型環(huán)境。不支持1：N擴(kuò)展。

• 企業(yè)級(jí)：適用于大規(guī)模云采用，云上工作負(fù)載較多的大型企業(yè)環(huán)境。支持1：N擴(kuò)展。

小規(guī)模Landing Zone          ?          企業(yè)級(jí) Landing Zone

提示：我們將提供一種資源的云上服務(wù)，稱之為工作負(fù)載。如Azure 上提供身份認(rèn)證的工作負(fù)載Azure Active Directory。

02、基礎(chǔ)架構(gòu)即代碼，藍(lán)圖賦能

不同的云平臺(tái)提供商，以各自強(qiáng)項(xiàng)提供了不同的解決方案。

微軟作為長(zhǎng)期致力于企業(yè)賦能的科技公司，其Azure云平臺(tái)在提供各種基礎(chǔ)和前沿云技術(shù)服務(wù)的同時(shí)，基于微軟云采用框架提供了小規(guī)模 Landing Zone 和 企業(yè)級(jí) Landing Zone 的最佳實(shí)踐和一系列規(guī)劃治理工具來(lái)幫助我們對(duì)齊應(yīng)用原型需求。

藍(lán)圖（Azure Blueprints）便是Azure一系列治理工具中的主將。他提供了規(guī)劃/執(zhí)行一體的云上資源治理功能。幫助我們聲明的形式勾勒出云上資源的組織標(biāo)準(zhǔn)，供開發(fā)團(tuán)隊(duì)快速生成和構(gòu)建符合組織規(guī)定的新環(huán)境。

• 不同于ARM模板，藍(lán)圖是一組資源組、策略、角色分配和 ARM 模板的集合，支持以版本迭代的方式持續(xù)更新（CI/CD）。

  最終在一個(gè)可審計(jì)和跟蹤的操作中將每個(gè)藍(lán)圖分配給訂閱。

• 不同于Azure策略，藍(lán)圖是一種容器，用于組合與 Azure 云服務(wù)、安全性和設(shè)計(jì)的實(shí)現(xiàn)相關(guān)的一組針對(duì)目標(biāo)的標(biāo)準(zhǔn)、模式和要求，這些標(biāo)準(zhǔn)、模式和要求可以重復(fù)使用以確保一致性和符合性。

• Azure 藍(lán)圖服務(wù)由全球分布的 Azure Cosmos DB 提供支持。

  藍(lán)圖對(duì)象將復(fù)制到多個(gè) Azure 區(qū)域。

  無(wú)論 Azure 藍(lán)圖將資源部署到哪個(gè)區(qū)域，此復(fù)制提供的對(duì)藍(lán)圖對(duì)象的訪問都具有低延遲、高可用性和一致性。

03、扎實(shí)邁步，舉重從輕

小規(guī)模Landing Zone，適合先試點(diǎn)再規(guī)?；撇捎茫幱谠圏c(diǎn)階段的企業(yè)。當(dāng)我們選擇Small Landing Zone 模型進(jìn)行基礎(chǔ)架構(gòu)資源治理時(shí)，可以通過(guò)藍(lán)圖快速部署一個(gè)基于微軟云采用框架（CAF）的遷移Landing Zone，這里包含應(yīng)用原型遷移到新家需要的必備基礎(chǔ)：

• 公用資源：存儲(chǔ)賬戶、Log Analytics 工作區(qū)、密鑰保管庫(kù)

• 網(wǎng)絡(luò)資源：虛擬網(wǎng)絡(luò)、網(wǎng)絡(luò)安全組

• 網(wǎng)絡(luò)監(jiān)視資源：網(wǎng)絡(luò)觀察程序

• 遷移資源組：資源組ARM模板

小規(guī)模 Landing Zone

Azure 藍(lán)圖 + ARM 模版

我們就以CAF遷移Landing Zone的構(gòu)建為例，共同體會(huì)一下 Azure Landing Zone 的正確打開方式：

第一步

登陸Azure 門戶，選擇創(chuàng)建藍(lán)圖【CAF遷移登陸區(qū)域】

第二步

指定藍(lán)圖名稱、選擇定義位置，選擇【下一頁(yè)】

第三步

選擇【保存草稿】

第四步

在【藍(lán)圖定義】中找到剛定義好的藍(lán)圖【CAFMigrateLandingZone】，點(diǎn)擊名稱

第五步

點(diǎn)擊【編輯藍(lán)圖】，進(jìn)入編輯界面

第六步

選擇【Resource Group for Shared Services】，添加項(xiàng)目類型【策略分配】

第七步

在搜索中輸入Key Vault，選擇【Key vaults should have purge protection enabled】，點(diǎn)擊【添加】

第八步

點(diǎn)擊【保存草稿】

第九步

點(diǎn)擊【發(fā)布藍(lán)圖】，設(shè)置版本，點(diǎn)擊【發(fā)布】

第十步

分配藍(lán)圖，選擇訂閱【Migrate】，鍵入資源前綴【Contoso】，鍵入用于部署Key Vault的AAD賬號(hào)【ObjectID】，設(shè)置日志分析工作區(qū)默認(rèn)保留天數(shù)，設(shè)置虛擬網(wǎng)絡(luò)地址空間前綴【10.200】，點(diǎn)擊【分配】一鍵出發(fā)！

第十一步

在分配的藍(lán)圖中點(diǎn)擊【CAFMigrateLandingZone】,可查看到資源部署狀態(tài)

第十二步

瀏覽Migrate訂閱中的資源組，可以看到由藍(lán)圖CAFMigrateLandingZone 1.0版本分配的4個(gè)以Contoso為前綴的【資源組】：

資源視圖中查看資源和資源組對(duì)應(yīng)關(guān)系如下：

Contoso-SharedSvcs-rg:

• 密鑰保管庫(kù)（KeyVault）：管理由應(yīng)用和服務(wù)使用的密鑰和機(jī)密

• Log Analytics 工作區(qū)：Log Analytics 從各種源中收集數(shù)據(jù)，并使用功能強(qiáng)大的查詢語(yǔ)言讓你深入了解應(yīng)用程序和資源的操作

• 存儲(chǔ)賬號(hào)：提供等必要的日志存儲(chǔ)服務(wù)

Contoso-Vnet-rg:

• 網(wǎng)絡(luò)安全組(NSG)：提供網(wǎng)絡(luò)隔離策略

• 虛擬網(wǎng)絡(luò)：提供應(yīng)用、網(wǎng)絡(luò)設(shè)備（7層負(fù)載、4層負(fù)載、網(wǎng)關(guān)、防火墻）依賴的地址空間和子網(wǎng)；

• NetworkWatcher：網(wǎng)絡(luò)觀察程序（NetworkWatcher）：用于監(jiān)視和修復(fù) IaaS產(chǎn)品的網(wǎng)絡(luò)運(yùn)行狀況，其中包括虛擬機(jī)、虛擬網(wǎng)絡(luò)、應(yīng)用程序網(wǎng)關(guān)、負(fù)載均衡器等。

• Contoso-Migrate-rg：遷移資源組，用于放置遷移到這個(gè)Landing Zone 的應(yīng)用資源，如Web應(yīng)用程序，數(shù)據(jù)庫(kù)、容器等；

策略 – 復(fù)合性 中可以看到前面六-八步配置到藍(lán)圖中的策略【Key vaults should have purge protection enabled -Audit】 已生效。

結(jié)束語(yǔ)

通過(guò)上面示例，我們了解到通過(guò)藍(lán)圖快速構(gòu)建基于微軟云采用框架（Microsoft Cloud Adoption Framework，簡(jiǎn)稱CAF）Azure Small Landing Zone的方法。日后，可根據(jù)業(yè)務(wù)發(fā)展和企業(yè)管理需要對(duì)該藍(lán)圖進(jìn)行更改、擴(kuò)展、版本發(fā)布、重新分配這些動(dòng)作，對(duì)Azure上的Workload進(jìn)行快速重構(gòu)，擴(kuò)展等動(dòng)作。