企業越來越多地採用公共雲來實現其敏捷和靈活性。他們利用雲的優勢來創造收入並優化業務的資源使用。 Microsoft Azure提供了眾多服務和功能，企業可以像構建塊一樣組裝這些服務和功能，以滿足各種工作負載和應用程序的需求。

決定使用Microsoft Azure只是實現雲優勢的第一步。第二步是瞭解企業如何有效地使用Azure並確定需要採用的基線功能來解決以下問題：

• “我擔心數據主權;我如何確保我的數據和系統符合我們的監管要求？”
• “我怎麼知道每個資源都支持什麼，所以我可以解釋它並準確地收回它？”
• “我想確保我們在公共雲中部署或執行的所有操作始於安全思維，我該如何幫助實現這一目標？”

沒有護軌的空訂閱前景令人生畏。此空白空間可能會妨礙您遷移到Azure。

本文為技術專業人員提供了一個起點，以滿足治理需求並使其與敏捷性需求保持平衡。它引入了企業支架的概念，該架構可指導組織以安全的方式實施和管理其Azure環境。它提供了開發有效和高效控制的框架。

需要治理

遷移到Azure時，您必須儘早解決治理主題，以確保在企業內成功使用雲。不幸的是，創建綜合治理系統的時間和官僚作風意味著一些業務團隊直接轉向提供商而不涉及企業IT。如果資源未得到妥善管理，這種方法可能會使企業受到損害。公共雲的特徵 - 敏捷性，靈活性和基於消費的定價 - 對於需要快速滿足客戶（內部和外部）需求的業務團隊而言非常重要。但是，企業IT需要

在創建建築物時，腳手架用於創建結構的基礎。腳手架引導大致輪廓併為要安裝的更永久的系統提供錨點。企業架構是相同的：一組靈活的控件和Azure功能，為環境提供結構，以及在公共雲上構建的服務的錨點。它為構建者（IT和業務組）提供了創建和附加新服務的基礎，從而保持了交付速度。

腳手架基於我們從與各種規模的客戶的許多交往中收集的實踐。這些客戶包括從開發雲解決方案的小型組織到大型跨國企業以及正在遷移工作負載和開發雲原生解決方案的獨立軟件供應商。企業架構是“專門構建的”，可以靈活地支持傳統的IT工作負載和敏捷的工作負載;例如，開發人員基於Azure平臺功能創建軟件即服務（SaaS）應用程序。

企業支架旨在成為Azure中每個新訂閱的基礎。它使管理員能夠確保工作負載滿足組織的最低治理要求，而不會阻止業務組和開發人員快速實現自己的目標。我們的經驗表明，這極大地加速了而不是阻礙了公共雲的增長。

注意

Microsoft已發佈一項名為Azure Blueprints的新功能，該功能使您能夠跨訂閱和管理組打包，管理和部署常見映像，模板，策略和腳本。此功能是腳手架作為參考模型的目的與將該模型部署到組織之間的橋樑。

下圖顯示了支架的組件。 該基礎依賴於管理層次結構和訂閱的可靠計劃。 支柱包括資源管理器策略和強大的命名標準。 腳手架的其餘部分是核心Azure功能和功能，可以啟用和連接安全且可管理的環境。

定義層次結構

scaffold的基礎是Azure企業註冊到訂閱和資源組的層次結構和關係。 企業註冊從合同的角度定義了公司內Azure服務的形狀和用途。 在企業協議中，您可以進一步將環境細分為部門，帳戶，最後是訂閱和資源組，以匹配組織的結構。

Azure訂閱是包含所有資源的基本單元。 它還定義了Azure中的若干限制，例如核心數，虛擬網絡和其他資源。 Azure資源組用於進一步優化訂閱模型並實現更自然的資源分組。

每個企業都是不同的，上圖中的層次結構允許在公司內部組織Azure的方式具有很大的靈活性。 建模層次結構以反映公司對計費，資源管理和資源訪問的需求是您在公共雲中啟動時做出的第一個 - 也是最重要的 - 決策。

部門和賬戶

Azure註冊的三種常見模式是：

功能模式

業務單元模式

地理格局

儘管這些模式中的每一種都有其自身的地位，但由於其在組織成本模型建模方面的靈活性以及反映控制範圍，因此越來越多地採用業務單元模式。 Microsoft Core Engineering and Operations小組創建了一個非常有效的業務單元模式子集，以聯邦，州和本地為模型。 （有關更多信息，請參閱組織企業中的訂閱和資源組。）

管理組

Microsoft最近發佈了一種新的層次結構建模方法：Azure管理組。管理組比部門和帳戶更靈活，可以嵌套多達六個級別。管理組允許您創建與計費層次結構分離的層次結構，僅用於有效管理資源。管理組可以鏡像您的結算層次結構，通常企業也會這樣開始。但是，管理組的強大功能在於，當您使用它們為組織建模時，相關訂閱 - 無論它們在計費層次結構中的哪個位置 - 都組合在一起，需要分配共同角色以及策略和計劃。幾個例子：

生產/非生產。一些企業創建管理組以識別其生產和非生產訂閱。管理組允許這些客戶更輕鬆地管理角色和策略，例如：非生產訂閱可能允許開發人員“貢獻者”訪問，但在生產中，他們只有“讀者”訪問權限。

內部服務/外部服務。與生產/非生產非常相似，企業通常對內部服務與外部（面向客戶）服務有不同的要求，政策和角色。

經過深思熟慮的管理團隊以及Azure策略和計劃是Azure有效治理的支柱。

訂閱

在決定部門和帳戶（或管理組）時，您主要關注的是如何劃分Azure環境以匹配您的組織。但是，訂閱是實際工作發生的地方，您的決策會影響安全性，可擴展性和計費。許多組織將以下模式視為指南：

申請/服務：訂閱代表應用程序或服務（應用程序組合）

生命週期：訂閱代表服務的生命週期，例如生產或開發。

部門：訂閱代表組織中的部門。

前兩種模式是最常用的模式，強烈建議使用這兩種模式。生命週期方法適用於大多數組織。在這種情況下，一般建議是使用兩個基本訂閱。 “生產”和“非生產”，然後使用資源組進一步打破環境。

資源組

Azure Resource Manager使您可以將資源放入有意義的組中，以實現管理，計費或自然關聯。資源組是具有共同生命週期或共享諸如“所有SQL服務器”或“應用程序A”之類的屬性的資源的容器。

資源組不能嵌套，資源只能屬於一個資源組。某些操作可以對資源組中的所有資源執行操作。例如，刪除資源組會刪除資源組中的所有資源。與訂閱一樣，創建資源組時也存在常見模式，從“傳統IT”工作負載到“敏捷IT”工作負載會有所不同：

“傳統IT”工作負載通常按同一生命週期內的項目（例如應用程序）進行分組。按應用程序分組允許單獨的應用程序管理。

“敏捷IT”工作負載傾向於關注面向外部客戶的雲應用程序。資源組通常反映部署層（例如Web Tier，App Tier）和管理層。

注意

瞭解您的工作負載可幫助您制定資源組策略。這些模式可以混合和匹配。例如，與“Agile”資源組在同一訂閱中的共享服務資源組。

命名標準

支架的第一個支柱是一致的命名標準。精心設計的命名標準使您能夠識別門戶，賬單和腳本中的資源。您可能已經擁有本地基礎結構的現有命名標準。將Azure添加到您的環境時，您應該將這些命名標準擴​​展到Azure資源。

技巧

對於命名約定：

在可能的情況下審查並採用模式和實踐指南。本指南可幫助您確定有意義的命名標準並提供大量示例。

使用資源管理器策略來幫助實施命名標準

請記住，以後更改名稱很困難，所以現在幾分鐘就可以為您節省麻煩。

將您的命名標準集中在那些更常用和搜索的資源上。例如，為清晰起見，所有資源組都應遵循強有力的標準。

資源標籤

資源標籤與命名標準緊密結合。隨著資源被添加到訂閱中，對它們進行邏輯分類以用於計費，管理和操作目的變得越來越重要。有關更多信息，請參閱使用標記來組織Azure資源。

重要

標籤可能包含個人信息，可能屬於GDPR的規定。計劃仔細管理您的標籤。如果您正在尋找有關GDPR的一般信息，請參閱服務信任門戶的GDPR部分。

除了計費和管理之外，標籤還以多種方式使用。它們通常用作自動化的一部分（參見後面的部分）。如果不事先考慮，這可能會導致衝突。建議的做法是識別企業級別的所有常用標記（例如ApplicationOwner，CostCenter），並在使用自動化部署資源時一致地應用它們。

Azure政策和倡議

腳手架的第二個支柱涉及使用Azure策略和計劃通過對訂閱中的資源和服務實施規則（帶效果）來管理風險。 Azure Initiatives是旨在實現單一目標的策略集合。然後，將Azure策略和計劃分配到資源範圍，以開始實施特定策略。

與前面提到的管理組一起使用時，Azure策略和計劃更加強大。管理組可以將計劃或策略分配給整個訂閱集。

資源管理器策略的常見用法

Azure策略和計劃是Azure工具包中的強大工具。策略允許公司為“傳統IT”工作負載提供控制，以實現LOB應用程序所需的穩定性，同時還允許“敏捷”工作負載;例如，開發客戶應用程序而不會使企業面臨額外風險。我們在政策中看到的最常見模式是：

• 地理合規/數據主權。 Azure在全球範圍內的地區名單越來越多。企業通常需要確保特定範圍內的資源保留在地理區域以滿足法規要求。
• 避免公開暴露服務器。 Azure策略可以禁止部署某些資源類型。常見的用途是創建一個策略來拒絕在特定範圍內創建公共IP，從而避免服務器無意中暴露於互聯網。
• 成本管理和元數據。資源標記通常用於將重要的計費數據添加到資源和資源組，例如CostCenter，所有者等。這些標籤對於準確計費和管理資源非常有用。策略可以強制將資源標記應用於所有已部署的資源，從而使其更易於管理。

倡議的共同用途

引入計劃為企業提供了一種將邏輯策略組合在一起並整體跟蹤的方法。倡議進一步支持企業滿足“敏捷”和“傳統”工作負載的需求。我們已經看到了非常有創意的舉措用途，但我們通常會看到：

在Azure安全中心中啟用監視。這是Azure策略中的默認計劃，也是計劃的一個很好的示例。它支持識別未加密的SQL數據庫，VM漏洞和更常見的安全相關需求的策略。

監管具體舉措。企業通常將監管要求共同的政策（例如HIPAA）分組，以便有效地跟蹤對這些控制的控制和合規性。

資源類型和SKU。創建限制可以部署的資源類型以及可以部署的SKU的計劃可以幫助控制成本並確保您的組織僅部署您的團隊擁有支持的技能組和過程的資源。

技巧

我們建議您始終使用主動定義而不是策略定義。將主動權分配給範圍（例如訂閱或管理組）後，您可以輕鬆地向主動添加另一個策略，而無需更改任何分配。這使得理解應用的內容和跟蹤合規性變得更加容易。

政策和倡議任務

創建策略並將其分組為邏輯計劃後，必須將策略分配給作用域，無論是管理組，訂閱還是資源組。通過分配，您還可以從策略分配中排除子範圍。例如，如果您拒絕在訂閱中創建公共IP，則可以為連接到受保護DMZ的資源組創建一個排除項。

您將找到幾個策略示例，說明如何在此GitHub存儲庫中將策略和計劃應用於Azure中的各種資源。

身份和訪問管理

在開始使用公共雲時，您首先要問自己的第一個也是最關鍵的問題之一是“誰應該有權訪問資源？” 和“我該如何控制這種訪問？” 允許或禁止訪問Azure門戶以及控制對門戶中資源的訪問權限對於資產在雲中的長期成功和安全至關重要。

要完成保護資源訪問的任務，首先要配置身份提供程序，然後配置角色和訪問權限。 Azure Active Directory（Azure AD）連接到本地Active Directory，是Azure Identity的基礎。 也就是說，Azure AD不是Active Directory，瞭解Azure AD租戶是什麼以及它與Azure註冊的關係非常重要。 查看可用信息以獲得Azure AD和AD的堅實基礎。 若要將Active Directory連接並同步到Azure AD，請在本地安裝和配置AD Connect工具。

最初發布Azure時，對訂閱的訪問控制是基本的：管理員或共同管理員。訪問Classic模型中的訂閱意味著可以訪問門戶中的所有資源。缺乏細粒度控制導致訂閱數量激增，為Azure註冊提供了一定程度的合理訪問控制。不再需要這種訂閱的激增。使用基於角色的訪問控制（RBAC），您可以將用戶分配給提供公共訪問的標準角色，例如“所有者”，“貢獻者”或“讀者”，甚至可以創建自己的角色

在實施基於角色的訪問時，強烈建議以下內容：

• 控制訂閱的管理員/共同管理員，因為這些角色具有廣泛的權限。如果需要管理Azure Classic部署，則只需將訂閱所有者添加為共同管理員。
• 使用管理組為多個訂閱分配角色，並減少在訂閱級別管理角色的負擔。
• 將Azure用戶添加到Active Directory中的組（例如，Application X Owners）。使用同步組為組成員提供管理包含應用程序的資源組的適當權限。
• 遵循授予執行預期工作所需的最小權限的原則。

重要

考慮使用Azure AD特權身份管理，Azure多重身份驗證和條件訪問功能，以便為Azure訂閱中的管理操作提供更好的安全性和更高的可見性。這些功能來自有效的Azure AD Premium許可證（取決於功能），以進一步保護和管理您的身份。 Azure AD PIM通過批准工作流實現“即時”管理訪問，並對管理員激活和活動進行全面審核。 Azure MFA是另一項關鍵功能，可以通過兩步驗證登錄Azure門戶。與條件訪問控制相結合，您可以有效地管理您的妥協風險。

規劃和準備您的身份和訪問控制以及遵循Azure身份管理最佳實踐（鏈接）是您可以採用的最佳風險緩解策略之一，並且應該被視為每個部署的強制策略。

安全

雲計算採用的最大阻礙之一傳統上一直是對安全性的擔憂。 IT風險經理和安全部門需要確保默認情況下Azure中的資源受到保護和安全。 Azure提供了許多功能，您可以利用這些功能來保護資源並檢測/防止針對這些資源的威脅。

Azure安全中心

除了高級威脅防護之外，Azure安全中心還提供整個環境中資源安全狀態的統一視圖。 Azure安全中心是一個開放式平臺，使Microsoft合作伙伴能夠創建插入並增強其功能的軟件。 Azure安全中心（免費套餐）的基準功能提供評估和建議，可以增強您的安全狀況。其付費層可實現額外且有價值的功能，例如Just In Time管理員訪問和自適應應用程序控制（白名單）。

技巧

Azure安全中心是一個非常強大的工具，不斷得到增強，並集成了可用於檢測威脅和保護企業的新功能。強烈建議始終啟用ASC。

Azure資源鎖定

隨著您的組織向訂閱添加核心服務，避免業務中斷變得越來越重要。我們經常看到的一種類型的中斷是針對Azure訂閱的腳本和工具的意外後果，錯誤地刪除了資源。資源鎖使您可以限制對高價值資源的操作，而修改或刪除它們會產生重大影響。鎖定應用於訂閱，資源組甚至單個資源。常見用例是將鎖應用於基礎資源，例如虛擬網絡，網關，網絡安全組和密鑰存儲帳戶。

安全的DevOps工具包

“Azure的安全DevOps工具包”（AzSK）是最初由Microsoft自己的IT團隊創建並通過Github（鏈接）在OpenSource中發佈的腳本，工具，擴展，自動化等的集合。 AzSK迎合了結束Azure訂閱和資源安全需求的團隊使用廣泛的自動化並將安全性平穩地集成到本地開發工作流程中，幫助實現這6個重點領域的安全開發：

• 保護訂閱
• 實現安全開發
• 將安全性集成到CICD中
• 持續保證
• 警報和監控
• 雲風險治理

AzSK是一套豐富的工具，腳本和信息，是完整Azure治理計劃的重要組成部分，並將其整合到您的支架中對於支持您的組織風險管理目標至關重要

Azure更新管理

您可以採取的保護環境安全的關鍵任務之一是確保使用最新更新修補服務器。雖然有許多工具可以實現這一目標，但Azure提供了Azure更新管理解決方案，以解決關鍵操作系統補丁的識別和部署問題。它使用Azure自動化（本指南後面的“自動化”部分對此進行了介紹。

監控和警報

收集和分析遙測，提供您在所有Azure訂閱中使用的服務的活動，性能指標，運行狀況和可用性的視線，對於主動管理您的應用程序和基礎架構至關重要，並且是每個Azure訂閱的基本需求。每個Azure服務都以活動日誌，度量標準和診斷日誌的形式發出遙測。

• 活動日誌描述對訂閱中的資源執行的所有操作
• 度量標準是從資源中發出的描述資源性能和運行狀況的數字信息
• 診斷日誌由Azure服務發出，並提供有關該服務操作的豐富，頻繁的數據。

可以在多個級別查看和處理此信息，並不斷改進。 Azure通過下圖中列出的服務提供Azure資源的共享，核心和深層監視功能。

共享功能

• 警報：您可以從Azure資源收集每個日誌，事件和指標，但無法獲得關鍵條件和行為的通知，此數據僅對歷史目的和取證有用。 Azure警報會主動通知您在所有應用程序和基礎架構中定義的條件。您可以在使用操作組通知收件人集的日誌，事件和指標之間創建警報規則。操作組還提供使用外部操作（如webhooks）自動執行修復以運行Azure自動化Runbook和Azure功能的功能。
• 儀表板：儀表板使您可以聚合監視視圖並跨資源和訂閱組合數據，從而為您提供企業範圍內的Azure資源遙測視圖。您可以創建和配置自己的視圖並與他人共享。例如，您可以創建一個由DBA的各種磁貼組成的儀表板，以提供跨所有Azure數據庫服務的信息，包括Azure SQL DB，用於PostgreSQL的Azure DB和用於MySQL的Azure DB。
• 度量資源管理器：度量標準是由Azure資源生成的數值（例如％CPU，磁盤I / O，可提供對資源的操作和性能的深入瞭解。通過使用Metrics Explorer，您可以定義併發送您感興趣的度量標準。 Log Analytics用於聚合和分析。

核心監測

• Azure監視器：Azure監視器是核心平臺服務，它提供用於監視Azure資源的單一源。 Azure Monitor的Azure門戶界面為Azure中的所有監控功能提供了集中的跳轉點，包括Application Insights，Log Analytics，網絡監控，管理解決方案和服務映射的深層監控功能。使用Azure Monitor，您可以對整個雲環境中來自Azure資源的指標和日誌進行可視化，查詢，路由，歸檔和操作。除門戶外，您還可以通過Monitor PowerShell Cmdlet，跨平臺CLI或Azure Monitor REST API檢索數據。
• Azure Advisor：Azure Advisor持續監控您的訂閱和環境中的遙測，並提供有關如何優化Azure資源的最佳實踐建議，以節省資金並提高構成應用程序的資源的性能，安全性和可用性。
• 服務運行狀況：Azure服務運行狀況可識別可能影響應用程序的Azure服務的任何問題，並幫助您規劃計劃的維護時段。
• 活動日誌：活動日誌描述訂閱中資源的所有操作。它提供了一個審計跟蹤，以確定對資源的任何創建，更新，刪除操作的“什麼”，“誰”和“何時”。活動日誌事件存儲在平臺中，可供查詢90天。您可以將活動日誌提取到Log Analytics中，以實現更長的保留期，並跨多個資源進行更深入的查詢和分析。

深度應用監控

• 應用程序洞察：Application Insights使您能夠收集特定於應用程序的遙測並監視雲或內部部署中應用程序的性能，可用性和使用情況。通過使用支持的SDK為多種語言設置應用程序，包括.NET，JavaScript，JAVA，Node.js，Ruby和Python。 Application Insights事件被提取到支持基礎架構和安全監視的同一Log Analytics數據存儲中，使您能夠通過豐富的查詢語言隨時間關聯和聚合事件。

深基礎設施監控

• 日誌分析：日誌分析通過從各種來源收集遙測數據和其他數據，並提供查詢語言和分析引擎，讓您深入瞭解應用程序和資源的運行情況，從而在Azure監控中發揮核心作用。您可以通過高性能的日誌搜索和視圖直接與Log Analytics數據進行交互，也可以在其他Azure服務中使用分析工具將其數據存儲在Log Analytics中，例如Application Insights或Azure安全中心。
• 網絡監控：Azure的網絡監控服務使您能夠深入瞭解網絡流量，性能，安全性，連接性和瓶頸。精心規劃的網絡設計應包括配置Azure網絡監控服務，如Network Watcher和ExpressRoute Monitor。
• 管理解決方案：管理解決方案是針對應用程序或服務的打包邏輯，見解和預定義Log Analytics查詢集。他們依靠Log Analytics作為存儲和分析事件數據的基礎。樣本管理解決方案包括監視容器和Azure SQL數據庫分析。
• 服務地圖：服務地圖提供了基礎架構組件，其流程以及其他計算機和外部流程之間相互依賴關係的圖形視圖。它在Log Analytics中集成了事件，性能數據和管理解決方案。

技巧

在創建單個警報之前，請創建並維護一組可在Azure警報中使用的共享操作組。這將使您能夠集中維護收件人列表的生命週期，通知傳遞方法（電子郵件，SMS電話號碼）和Webhook到外部操作（Azure自動化Runbook，Azure功能/邏輯應用程序，ITSM）。

成本管理

當您從本地雲遷移到公共雲時，您將面臨的主要變化之一是從資本支出（購買硬件）轉換為運營支出（在使用時支付服務費用）。從CAPEX到OPEX的這種轉換也需要更仔細地管理您的成本。雲的好處在於，只需在不需要時將其關閉（或調整大小），就可以從根本上積極地影響您使用的服務的成本。故意在雲中管理您的成本是一種推薦的做法，也是成熟客戶每天所做的一種做法。

Microsoft提供了多種工具，使您能夠可視化，跟蹤和管理成本。我們還提供了一整套API，使您能夠自定義成本並將成本管理集成到您自己的工具和儀表板中。這些工具大致分為：Azure門戶功能和外部功能

Azure門戶功能

這些工具可為您提供有關成本的即時信息以及採取措施的能力

• 訂閱資源成本：Azure成本分析視圖位於門戶中，可快速查看有關資源或資源組每日支出的成本和信息。
• Azure成本管理：此產品是Microsoft購買Cloudyn的結果，它允許您管理和分析Azure支出以及您在其他公共雲提供商上的支出。有免費和付費層，具有豐富的功能，如概述中所示。
• Azure預算和行動小組直到最近才知道某些事情的成本並採取了一些措施更多的是手動練習。隨著Azure預算及其API的引入，現在可以在成本達到閾值時創建操作（如本例所示）。例如，在達到預算的100％時關閉“測試”資源組，或者[另一個例子]。
• Azure顧問知道什麼是成本只是成功的一半;另一半是知道如何處理這些信息。 Azure Advisor為您提供有關為節省資金，提高可靠性甚至提高安全性而採取的措施的建議。

外部成本管理工具

• PowerBI Azure消費洞察。您想為您的組織創建自己的可視化嗎？如果是這樣，那麼PowerBI的Azure Consumer Insights內容包是您的首選工具。使用此內容包和PowerBI，您可以創建自定義可視化來代表您的組織，對成本進行更深入的分析，並添加其他數據源以進一步豐富。
• 消費API。除了有關預算，預留實例和市場費用的信息之外，使用API​​還可以以編程方式訪問成本和使用數據。這些API僅適用於Enterprise Enrollments和一些Web Direct訂閱，但是它們使您能夠將成本數據集成到您自己的工具和數據倉庫中。您還可以使用Azure CLI訪問這些API，如此處所示。

當我們查看長期使用雲並且在使用中“成熟”的客戶時，我們會看到一些強烈推薦的做法

• 積極監控成本。成熟Azure組織的組織會不斷監控成本並在需要時採取措施。有些組織甚至致力於人們進行分析並建議改變使用情況，而這些人在第一次找到一個已經運行了數月的未使用的HDInsight集群時，不僅僅為自己買單。
• 使用預留實例。管理雲中成本的另一個關鍵租戶是使用正確的工具來完成工作。如果您的IaaS虛擬機必須全天候運行，那麼使用預留實例將為您節省大量資金。在自動關閉VM和使用RI之間找到適當的平衡需要經驗和分析。
• 有效地使用自動化：許多工作負載不需要每天運行。即使每天關閉VM 4小時也可以節省15％的成本。自動化將很快收回成本。
• 使用資源標記進行可見性：如本文檔中其他地方所述，使用資源標記可以更好地分析成本。

成本管理是一個有效和高效運行公共雲的核心學科。取得成功的企業將能夠控制成本並將其與實際需求相匹配，而不是過度購買和希望需求。

自動化

使用雲提供商區分組織成熟度的眾多功能之一是它們所包含的自動化水平。自動化是一個永無止境的過程，隨著您的組織遷移到雲，您需要投入資源和時間進行構建。自動化有許多用途，包括一致地推出資源（它直接與另一個核心腳手架概念，模板和DevOps相關聯）以解決問題。自動化是Azure腳手架的“結締組織”，將每個區域連接在一起。

在構建此功能時，可以使用許多工具，從第一方工具（如Azure自動化，EventGrid和AzureCLI）到大量第三方工具（如Terraform，Jenkins，Chef和Puppet）（以此命名少數）。您的運營團隊自動化能力的核心是Azure自動化，事件網格和Azure雲Shell：

• Azure自動化：是一種基於雲的功能，允許您創建Runbook（在PowerShell或Python中），並允許您自動化流程，配置資源，甚至應用補丁。 Azure自動化擁有廣泛的跨平臺功能，這些功能對於您的部署而言是不可或缺的，但這些功能過於廣泛，無法在此深入介紹。
• 事件網格：此服務是一個完全管理的事件路由系統，可讓您對Azure環境中的事件做出反應。就像自動化是成熟雲組織的結合組織一樣，Event Grid是良好自動化的結合組織。使用Event Grid，您可以創建一個簡單的無服務器操作，以便在創建新資源時向管理員發送電子郵件並將該資源記錄在數據庫中。相同的事件網格可以在刪除資源時通知，並從數據庫中刪除該項。
• Azure Cloud Shell：是一個基於瀏覽器的交互式shell，用於管理Azure中的資源。它為PowerShell或Bash提供了一個完整的環境，可以根據需要啟動（併為您維護），以便您擁有一致的環境來運行腳本。 Azure Cloud Shell提供對已安裝的其他關鍵工具的訪問，以自動化您的環境，包括Azure CLI，Terraform以及用於管理容器，數據庫（sqlcmd）等的其他工具列表。

自動化是一項全職工作，它將迅速成為雲團隊中最重要的操作任務之一。採用“自動化第一”方法的組織在使用Azure方面取得了更大的成功：

• 管理成本：積極尋找機會並創建自動化以重新調整資源大小，擴大/縮小和關閉未使用的資源。
• 操作靈活性：通過使用自動化（以及模板和DevOps），您可以獲得一定程度的可重複性，從而提高可用性，增強安全性並使您的團隊能夠專注於解決業務問題。

模板和DevOps

如“自動化”部分所述，您作為組織的目標應該是通過源控制的模板和腳本配置資源，並最大限度地減少環境的交互配置。這種“基礎架構作為代碼”的方法以及用於持續部署的嚴格的DevOps流程可以確保一致性並減少整個環境的漂移。幾乎所有Azure資源都可以通過Azure資源管理器（ARM）JSON模板與PowerShell或Azure跨平臺CLI和工具（如Hashicorp的Terraform（具有一流支持並集成到Azure Cloud Shell））進行部署。

這篇文章對使用Azure DevOps工具鏈將DevOps方法應用於ARM模板的最佳實踐和經驗教訓進行了很好的討論。花費時間和精力開發特定於組織要求的核心模板集，並使用DevOps工具鏈（Azure DevOps，Jenkins，Bamboo，Teamcity，Concourse）開發持續交付管道，尤其適用於您的生產和QA環境。 GitHub上有一個大型的Azure Quick Start模板庫，您可以將其用作模板的起點，並且可以使用Azure DevOps快速創建基於雲的交付管道。

作為生產訂閱或資源組的最佳實踐，您的目標應該是利用RBAC安全性默認禁止交互式用戶，並利用基於服務主體的自動連續交付管道來配置所有資源並提供所有應用程序代碼。任何管理員或開發人員都不應觸摸Azure門戶以交互式配置資源。這一級別的DevOps需要齊心協力，並利用Azure腳手架的所有概念，並提供一致且更安全的環境，以滿足您的組織規模擴大。

技巧

在設計和開發複雜的ARM模板時，使用鏈接的模板從單個JSON文件組織和重構複雜的資源關係。這將使您能夠單獨管理資源，使您的模板更具可讀性，可測試性和可重用性。

Azure是一個超大規模的雲提供商，當您將組織從本地服務器的世界遷移到雲時，利用雲提供商和SaaS應用程序使用的相同概念將使您的組織能夠大大地響應業務需求更有效的方式。

核心網絡

Azure scaffold參考模型的最後一個組件是您的組織以安全的方式訪問Azure的核心。對資源的訪問可以是內部的（在公司的網絡內），也可以是外部的（通過互聯網）。組織中的用戶很容易無意中將資源放在錯誤的位置，並可能將其打開以進行惡意訪問。與內部部署設備一樣，企業必須添加適當的控制措施，以確保Azure用戶做出正確的決策。對於訂閱治理，我們確定了提供訪問基本控制的核心資源。核心資源包括：

• 虛擬網絡是子網的容器對象。雖然不是絕對必要，但它通常在將應用程序連接到內部公司資源時使用。
• 用戶定義的路由允許您操作子網內的路由表，使您能夠通過網絡虛擬設備或對等虛擬網絡上的遠程網關發送流量。
• 通過虛擬網絡對等，您可以無縫連接兩個或多個Azure虛擬網絡，從而創建更復雜的中心輻射設計或共享服務網絡。
• 服務端點。過去，PaaS服務依靠不同的方法來保護從虛擬網絡訪問這些資源。服務端點允許您從僅連接的端點安全訪問已啟用的PaaS服務，從而提高整體安全性。
• 安全組是一組廣泛的規則，使您能夠允許或拒絕進出Azure資源的入站和出站流量。安全組由安全規則組成，可以使用服務標籤（定義常見的Azure服務，如AzureKeyVault，Sql等）和應用程序組（定義和應用程序結構，如WebServers，AppServer等）進行擴充。

技巧

在網絡安全組中使用服務標籤和應用程序組不僅可以增強規則的可讀性 - 這對於理解影響至關重要 - 而且還可以在更大的子網內實現有效的微分段，從而減少擴展並提高靈活性。

虛擬數據中心

Azure通過我們廣泛的合作伙伴網絡為您提供內部功能和第三方功能，使您能夠擁有有效的安全立場。更重要的是，Microsoft以Azure虛擬數據中心的形式提供了最佳實踐和指導。當您從單個工作負載轉移到利用混合功能的多個工作負載時，VDC指南將為您提供“配方”，以實現隨著Azure中的工作負載增長而增長的靈活網絡。

下一步

治理對Azure的成功至關重要。本文針對企業架構的技術實現，但僅涉及組件之間更廣泛的流程和關係。政策治理從上到下流動，取決於企業想要實現的目標。當然，Azure的治理模型的創建包括來自IT的代表，但更重要的是，它應該具有來自業務組領導者以及安全和風險管理的強有力代表。最後，企業支架旨在降低業務風險，以促進組織的使命和目標

現在您已經瞭解了訂閱治理，現在是時候在實踐中看到這些建議了。請參閱實施Azure訂閱治理的示例。

閱讀更多 智能時刻 的文章

關鍵字: 軟件 雲計算 治理