AZURE CHARTS: ПРОЕКТНАЯ ОСНОВА ДЛЯ IAC И DEVOPS!!!

Приветствую вас, мои коллеги, защитники и специалисты в области технологий.

На этой сессии я расскажу вам в режиме реального времени о том, как использовать AZURE CHARTS в качестве основы для проектирования IaC (Infrastructure-As-Code) и автоматизации DevOps.

ВАЖНО ОТМЕТИТЬ:-
После того, как Design Foundation готов, внедрение в IaC (Terraform/Powershell) и выполнение с помощью Azure DevOps Pipeline становится относительно простым.
ЧТО РАССМАТРИВАЕТСЯ:-
Диаграммы Azure.
Категории служб Azure.
Какие службы Azure поддерживают частные ссылки.
Какие службы Azure поддерживают управляемую идентификацию.
Проектирование группы (групп) ресурсов.
Проектирование сетевой структуры.
Ночное небо Azure.
SLA служб Azure.
Резервирование служб Azure.
ДИАГРАММЫ AZURE: –
Ссылка на диаграммы Azure
Первый взгляд на диаграммы Azure: –
КАТЕГОРИИ СЛУЖБ AZURE:-
Когда вы разрабатываете фундамент для облегчения написания IaC и выполнения через Azure DevOps Pipeline, очень важно понимать, какие службы Azure Services относятся к той или иной категории.
Это поможет вам разработать структуру групп ресурсов, расположение групп AAD, модель RBAC и сетевую структуру, которая является нашей основой.
Ссылка на обзор категорий служб Azure в Azure Charts:
Первый взгляд на обзор категорий служб Azure в Azure Charts:-
КАКИЕ СЛУЖБЫ AZURE ПОДДЕРЖИВАЮТ ЧАСТНЫЕ ССЫЛКИ:-
Перейдите к разделу Поддержка частных ссылок, чтобы посмотреть, какие службы Azure поддерживают частные ссылки.
Ниже показано, как это выглядит:-
КАКИЕ СЛУЖБЫ AZURE ПОДДЕРЖИВАЮТ УПРАВЛЯЕМУЮ ИДЕНТИФИКАЦИЮ:-
Перейдите в раздел Managed Identity Support, чтобы посмотреть, какие службы Azure поддерживают Managed Identity.
Ниже показано, как это выглядит:-
ПРОЕКТНАЯ ГРУППА(Ы) РЕСУРСОВ:-
Рассмотрим проект Scenerio, в котором мы должны развернуть следующие службы Azure (используя IaC и Azure DevOps Pipelines):- 1) Azure App Plan, 2) Azure App Services, 3) Virtual Machine, 4) Data Factory, 5) Databricks, 6) Azure SQL, 7) Azure Active Directory B2C, 8) Key Vault, 9) API Management, 10) Service Bus, 11) Application Gateway, 12) Bastion, 13) Azure Storage и 14) Data Lake Store.
Вопросы:
1) Как бы вы спроектировали группу(ы) ресурсов?
Если необходимые службы Azure нужно развернуть в общей подписке, то 1 группа ресурсов, содержащая все службы Azure, имеет смысл, поскольку группа (группы) ресурсов становится логической границей между проектами в одной подписке. Но что происходит, когда каждый проект имеет отдельную подписку. Тогда дизайн группы (групп) ресурсов играет жизненно важную роль для повседневной работы.
2) Зачем нам нужно создавать группы ресурсов?
Это необходимо по следующим причинам:-
– Под-команда(ы) в рамках разработки одного и того же приложения: Различные группы ресурсов с различными службами Azure обеспечивают логические границы между подкомандами.
– Контроль на основе ролей (RBAC): Ключевая функция безопасности, позволяющая определить, какой подкоманде (командам) требуется определенный уровень разрешений на какие группы ресурсов.
– Разделение по внешнему виду и ощущениям пользователей приложения: Разработчиков и операционную поддержку будет волновать только видимость и доступ к соответствующим группам ресурсов.
Именно здесь категории служб Azure Services Categories в Azure Charts помогают нам в определении групп ресурсов.
Для целей этого занятия рассмотрим соглашение об именовании групп ресурсов следующим образом: [НАЗВАНИЕ КОМПАНИИ]-[НАЗВАНИЕ ПРОЕКТА]-[НАЗВАНИЕ СРЕДЫ]-[НАЗВАНИЕ КАТЕГОРИИ СЛУЖБ AZURE]-RG
ПРИМЕЧАНИЯ ПО RBAC:-
Область применения RBAC = группа ресурсов.
RBAC Attached to = Azure Active Directory (AAD) Group.
Дизайн группы AAD будет основан на целевой операционной модели (TOM).
НАЗВАНИЕ ГРУППЫ РЕСУРСОВ СЛУЖБЫ AZURE УПРАВЛЕНИЕ ДОСТУПОМ НА ОСНОВЕ РОЛЕЙ ПРИМЕЧАНИЯ (ЕСЛИ ЕСТЬ)
AM-BLOGPOST-TEST-SHARED-RG План службы приложений Azure, хранилище ключей Соавтор, читатель Обратите внимание: (1) Несколько служб приложений Azure могут использовать один и тот же план служб приложений Azure, следовательно, SHARED RESOURCE GROUP. (2) Хранилище ключей (ключи, секреты и сертификаты могут потребляться одной или несколькими службами Azure, следовательно, группа ресурсов SHARED RESOURCE GROUP. (3) План служб Azure App Service Plan не имеет собственного определенного встроенного RBAC. (4) Доступ к хранилищу ключей будет управляться политиками доступа, а не RBAC.
AM-BLOGPOST-TEST-COMPUTE-RG Службы приложений Azure, виртуальные машины вкладчик, читатель, вход администратора виртуальной машины, вкладчик виртуальной машины Обратите внимание: (1) Azure App Services и виртуальные машины относятся к категории Compute в Azure Charts, следовательно, к COMPUTE RESOURCE GROUP. (2) Служба приложений Azure не имеет собственного определенного встроенного RBAC.
AM-BLOGPOST-TEST-ANALYTICS-RG Data Factory, Databricks Контрибьютор, читатель, контрибьютор фабрики данных Обратите внимание: (1) Data Factory и Databricks относятся к категории Analytics в Azure Charts, следовательно, ANALYTICS RESOURCE GROUP. (2) Databricks не имеет собственного определенного встроенного RBAC.
AM-BLOGPOST-TEST-DATABASE-RG Azure SQL SQL Managed Instance Contributor, SQL Server Contributor, SQL Security Manager Обратите внимание: (1) Azure SQL относится к категории баз данных в Azure Charts, следовательно, DATABASE RESOURCE GROUP.
AM-BLOGPOST-TEST-IDENTITY-RG Azure Active Directory B2C (AAD B2C) Автор, Читатель Обратите внимание: (1) Azure AD B2C принадлежит к категории Identity and Security в Azure Charts, следовательно, IDENTITY RESOURCE GROUP. (2) Azure AD B2C – это отдельная служба от Azure AD, которая не имеет своей собственной определенной встроенной RBAC.
AM-BLOGPOST-TEST-INTEGRATION-RG Управление API, сервисная шина Контрибьютор службы управления API, роль оператора службы управления API, роль читателя службы управления API, владелец данных шины служб Azure, получатель данных шины служб Azure, отправитель данных шины служб Azure. Обратите внимание: (1) API Management и Service Bus относятся к категории Integration в Azure Charts, следовательно, к группе INTEGRATION RESOURCE GROUP.
AM-BLOGPOST-TEST-NETWORK-RG Шлюз приложений, Бастион Соавтор, читатель Обратите внимание: (1) Application Gateway и Bastion относятся к категории Network в Azure Charts, следовательно, NETWORK RESOURCE GROUP. (2) Шлюз приложений и Bastion не имеют собственного определенного встроенного RBAC.
AM-BLOGPOST-TEST-STORAGE-RG Azure Storage, Data Lake Store Контрибьютор учетной записи хранилища, контрибьютор данных блоба хранилища, читатель данных блоба хранилища Обратите внимание: (1) Azure Storage Account и Data Lake Store принадлежат к категории Storage в Azure Charts, следовательно, STORAGE RESOURCE GROUP.
ПРОЕКТИРОВАНИЕ СЕТЕВОЙ СТРУКТУРЫ:-
Проектирование структуры сети становится очень простым после определения структуры группы ресурсов.
Одна виртуальная сеть с одним или несколькими адресными пространствами.
Одна таблица маршрутизации, прикрепленная ко всем подсетям.
Одна группа сетевой безопасности на подсеть.
Для целей этого занятия рассмотрим соглашение об именовании сетей следующим образом: [НАЗВАНИЕ КОМПАНИИ]-[НАЗВАНИЕ ПРОЕКТА]-[НАЗВАНИЕ СРЕДЫ]-[НАЗВАНИЕ КАТЕГОРИИ СЛУЖБЫ AZURE]-[VNET/ROUTE-TABLE/SUBNET]-[NSG].
Имя виртуальной сети: AM-BLOGPOST-TEST-VNET
Имя таблицы маршрутов: AM-BLOGPOST-TEST-ROUTE-TABLE
ИМЯ ГРУППЫ РЕСУРСОВ ИМЯ ПОДСЕТЕЙ ИМЯ ГРУППЫ СЕТЕВОЙ БЕЗОПАСНОСТИ ПРИМЕЧАНИЯ (ЕСЛИ ЕСТЬ)
AM-BLOGPOST-TEST-SHARED-RG AM-BLOGPOST-TEST-SHARED-SUBNET AM-BLOGPOST-TEST-SHARED-SUBNET-NSG
AM-BLOGPOST-TEST-COMPUTE-RG AM-BLOGPOST-TEST-COMPUTE-SUBNET AM-BLOGPOST-TEST-COMPUTE-SUBNET-NSG
AM-BLOGPOST-TEST-ANALYTICS-RG AM-BLOGPOST-TEST-ANALYTICS-SUBNET AM-BLOGPOST-TEST-ANALYTICS-SUBNET-NSG
AM-BLOGPOST-TEST-DATABASE-RG AM-BLOGPOST-TEST-DATABASE-SUBNET AM-BLOGPOST-TEST-DATABASE-SUBNET-NSG
AM-BLOGPOST-TEST-IDENTITY-RG AM-BLOGPOST-TEST-IDENTITY-SUBNET AM-BLOGPOST-TEST-IDENTITY-SUBNET-NSG
AM-BLOGPOST-TEST-INTEGRATION-RG AM-BLOGPOST-TEST-INTEGRATION-SUBNET AM-BLOGPOST-TEST-INTEGRATION-SUBNET-NSG
AM-BLOGPOST-TEST-NETWORK-RG AM-BLOGPOST-TEST-NETWORK-SYSTEMS-SUBNET AM-BLOGPOST-TEST-NETWORK-SYSTEMS-SUBNET-NSG
AM-BLOGPOST-TEST-STORAGE-RG AM-BLOGPOST-TEST-STORAGE-SUBNET AM-BLOGPOST-TEST-STORAGE-SUBNET-NSG
ЛАЗУРНОЕ НОЧНОЕ НЕБО: –
Ссылка на Azure Night Sky
В режиме реального времени он обучает и предоставляет примеры использования, как вместе изучать службы Azure. Каждый пример использования дополняется учебным маршрутом или решением, подчеркивающим необходимые службы Azure. Примеры приведены ниже: –
Пример использования № 1: Обработка и аналитика геопространственных данных
Тип: Решение
Пример использования #2: Научные данные и машинное обучение с базами данных AZURE
Тип: Решение
Пример использования №3: ВВЕДЕНИЕ в защиту данных в состоянии покоя на AZURE
Тип: Путь обучения
Пример использования №4: Современная архитектура аналитики с Databricks
Тип: Решение
AZURE SERVICES SLA:-
Перейдите к Azure Services SLA, чтобы просмотреть Azure SLA Board.
Ниже показано, как она выглядит:-
РЕЗЕРВИРОВАНИЕ СЛУЖБ AZURE:-
Перейдите в раздел Azure Services Reservations, чтобы просмотреть поддержку резервирования для служб Azure.
Ниже показано, как это выглядит:-

Надеюсь, вам понравилась сессия!!!

Оставайтесь в безопасности | Продолжайте учиться | Распространяйте знания

Оцените статью
Procodings.ru
Добавить комментарий