azure - 在 Azure 中组织环境(服务器)的最佳实践设置？

Question

我即将设置一个将托管在 Azure 中的新项目(我第一次使用它)。我将拥有三种类型的环境:

• 预上线环境(CI 服务器、开发服务器、系统测试服务器、性能测试服务器)
• 实时环境(实时服务器)
• 生产力环境(Perforce 服务器、TeamCity 服务器、Jira 服务器)

从网络层面我希望:

1. 生产力服务器 (TeamCity) 有权访问 Prelive 和 Live 服务器(用于部署)

2. 开发人员可以部分访问实时服务器(没有 rdp，但可以访问 http)。我想隔离对实时环境管理的访问(仅限 devops/admin)。

实现这一目标的最佳方法是什么？

选项 1 - 在 Azure 中使用不同的订阅？一种用于 PRELIVE，一种用于生产力，一种用于 LIVE。服务器之间可以互相访问吗？是否可以在不同订阅和 Azure AD 之间建立信任以避免用户重复？

选项 2 - 每个环境(开发、系统测试、性能、实时)都有自己的订阅？

选项 3 - 使用相同的订阅和 Role-based Access Control ？有没有办法在网络级别将 LIVE 与 Prelive 隔离？

选项 4 - 还有其他选项吗？

Answer 1

当然，没有什么是通过单个订阅无法完成的，但从组织/计费/管理的角度来看，拥有多个订阅可以提供帮助。

如果您在两个独立的虚拟网络中部署两个虚拟机，则默认情况下它们具有网络分离。然后，您可以创建安全组规则以允许使用标准 TCP/IP 网络限制(子网、端口等)进行访问

如果您将两个虚拟机部署到同一个虚拟网络中，默认情况下它们可以相互开放网络访问，但如果您将它们部署到不同的子网中，则可以配置子网级别安全组来控制访问。

如果您有一个团队负责部署，并且您只希望开发团队访问开发盒，则可以在服务器和资源组上配置 RBAC 以允许这样做。

资源组是逻辑上连接的资源(VM、VNet、Web 应用程序等)的集合 - 尽管上述内容仍然适用。因此，同一资源组中的服务器无法访问网络。

如果这是您第一次使用 Azure，最好的建议是留出几周时间来构建内容，并了解它最适合您的方式以及您的需求。

然后，将其全部拆除并使用您所学到的知识正确构建它。