适用于现有 Azure 基础设施的 Azure 登陆区

Question

我们拥有适用于应用程序的现有 Azure 订阅和资源组。我正在研究云采用框架，并发现 Landing Zone 使用自动化(基础设施即代码)设置“企业”最佳实践。

我的问题是，我们如何使用“登陆区”来改造现有的 Azure 基础设施？

Answer 1

您可以遵循大约两种方法

• 在 AAD 租户资源层次结构的单独部分(即单独的管理组)中设置登陆区域，然后将现有工作负载移入其中
• 围绕您已部署的基础设施逐步构建着陆区功能

当您在构建由着陆区实现的关键云治理功能(例如资源策略、标记策略、审核日志记录)方面缺乏经验时，第一种方法更有吸引力。这里的风险在于，将现有工作负载转移到新管理组之下可能会破坏工作负载和部署。您可以使用例如terraform-azurerm-caf-enterprise-scale对于这种方法。

第二种方法将允许您围绕现有基础架构以更小的步骤进行迭代，并设计最适合工作负载的着陆区。您可以使用 terraform、ARM 或您的团队熟悉的任何 IaC 工具，推出自己的 IaC 自动化，围绕现有基础设施构建管理组层次结构、配置策略等。还有类似 Landing Zone Construction Kit 的框架如果您喜欢更结构化的方法而不是从头开始组装工具。

我在许多团队中的经验是，端到端着陆区示例(例如 Azure 的企业级示例)是探索着陆区可以做什么并学习如何构建这些功能的一个很好的起点，但在实践中，您必须自定义无论如何，您的特定工作负载和应用程序团队需要的着陆区。