57 lines
4.1 KiB
Markdown
57 lines
4.1 KiB
Markdown
---
|
||
title: "CTP Topic 34 Azure Landing Zone Architecture Overview"
|
||
type: source
|
||
tags:
|
||
- Azure
|
||
- Landing-Zone
|
||
- Cloud-Transformation
|
||
- CTP
|
||
date: 2026-04-14
|
||
---
|
||
|
||
## Source File
|
||
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-34-azure-landing-zone-architecture-overview]]
|
||
|
||
## Summary(用中文描述)
|
||
- 核心主题:Azure Landing Zone 在 Micro Focus 内部的实施架构概述
|
||
- 问题域:企业级多云治理(Azure 部分)——如何通过 Landing Zone 简化 Azure 接入、减少跨团队依赖、实现自动化部署
|
||
- 方法/机制:Azure Enterprise Enrollment → 管理组(Management Groups)分层 → 独立订阅隔离目的 → Terraform Cloud IaC 自动化
|
||
- 结论/价值:四个管理组区域(Platform / Landing Zones / Decommission / Sandbox)实现资源隔离与职责分离;Terraform Cloud 管理跨订阅依赖;PIM/PAG 实现精细化访问控制
|
||
|
||
## Key Claims(用中文描述)
|
||
- Azure Landing Zone 通过管理组(Management Groups)将组织实体分为 Platform、Landing Zones、Decommission、Sandbox 四个层级,实现分层治理
|
||
- Platform 层包含 Identity 和 Connectivity 两个独立订阅,各自承担特定安全职责,避免职责混淆
|
||
- Connectivity 订阅作为中心枢纽,汇聚所有入站和出站 Azure 流量,集成 DDoS 防护和 Checkpoint 防火墙
|
||
- Landing Zones 设计为可扩展、模块化、全自动化,提供基于模板的方案供新项目使用
|
||
- 独立订阅的核心原因是按特定目的隔离,每个订阅服务单一用途
|
||
- Privileged Identity Management (PIM) 和 Privileged Access Groups 管理用户访问,确保角色和策略的正确执行
|
||
- Terraform Cloud 利用 Terraform State 管理跨订阅依赖,支持分层架构
|
||
|
||
## Key Quotes
|
||
> "The primary goal is to minimize cross-team dependencies through automation, granting teams greater independence in deploying innovative solutions within the Azure environment." — Kishore Garlopati,演讲核心目标
|
||
|
||
> "The core reason of these individual or isolated subscriptions is you are basically containing a subscription for a specific purpose." — 独立订阅的核心设计原则
|
||
|
||
> "This sandbox is an interesting one because these landings on subscriptions allows your workloads." — Sandbox 环境允许团队在隔离环境中实验工作负载
|
||
|
||
## Key Concepts
|
||
- [[Azure Landing Zone]]:Azure 云环境的托管基础框架,通过管理组和订阅分层实现安全、合规和可管理性,为工作负载提供标准化入口。与 [[AWS Landing Zone]] 同属多云 Landing Zone 架构的两种实现
|
||
- [[Management Groups]]:Azure 管理组,类似于 Windows 父目录结构,用于组织和治理 Azure 租户内的实体,可分层级继承策略和访问控制
|
||
- [[Terraform Cloud]]:HashiCorp 的 Terraform 云平台,提供 IaC 状态管理、工作流自动化和团队协作能力,用于管理跨订阅的基础设施依赖
|
||
- [[Privileged Identity Management (PIM)]]:Azure AD 的特权身份管理服务,实现实时细粒度访问控制,确保用户仅在需要时获得特权
|
||
- [[Privileged Access Groups]]:PIM 的组成部分,通过访问组管理用户权限,支持基于角色的策略执行
|
||
|
||
## Key Entities
|
||
- [[Kishore Garlopati]]:演讲者,Azure Landing Zone 架构overview主讲人
|
||
- [[Micro Focus]]:使用 Azure Landing Zone 进行云转型的企业组织,参考 [[AWS Landing Zone]] 在 Micro Focus 的实践经验
|
||
|
||
## Connections
|
||
- [[AWS Landing Zone]] ← related_to ← [[Azure Landing Zone]](同属 Landing Zone 架构,AWS 与 Azure 的不同实现)
|
||
- [[ctp-topic-1-gruntwork-landing-zone-architecture]] ← related_to ← [[AWS Landing Zone]](AWS Landing Zone 基础入门)
|
||
- [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]] ← related_to ← [[AWS Landing Zone]](AWS Landing Zone 设计复习)
|
||
- [[ctp-topic-47-enterprise-architecture-cloud-standards]] ← extends ← [[AWS Landing Zone]](企业架构云标准扩展)
|
||
- [[Terraform]] ← implements ← [[Terraform Cloud]](Terraform Cloud 是 Terraform 的云端编排平台)
|
||
|
||
## Contradictions
|
||
- 无已知冲突内容
|