Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma zona de destino do Azure é a abordagem padronizada e recomendada para todas as organizações que utilizam o Azure. Ele fornece uma maneira consistente de configurar e gerenciar seu ambiente do Azure em escala. Ele garante a consistência em toda a sua organização alinhando-se aos principais requisitos de segurança, conformidade e eficiência operacional por meio de zonas de destino de plataforma e aplicativo. Eles fornecem uma base bem arquitetada alinhada com os princípios de design centrais em oito áreas de design.
Arquitetura da zona de destino do Azure
Uma arquitetura de zona de destino do Azure é dimensionável e modular para atender a várias necessidades de implantação. A infraestrutura replicável permite que você aplique configurações e controles a cada assinatura de forma consistente. Os módulos facilitam a implantação e a modificação de componentes específicos da arquitetura da zona de destino do Azure à medida que seus requisitos evoluem.
A arquitetura de referência do Azure landing zone (veja a figura 1) representa uma arquitetura alvo sugerida para a sua zona de destino do Azure. Você deve usar essa arquitetura de referência como ponto de partida e adaptar a arquitetura para atender às suas necessidades.
Figura 1: arquitetura de referência da zona de destino do Azure. Baixe um arquivo visio ou arquivo PDF dessa arquitetura.
Áreas de design: A arquitetura de referência ilustra as relações entre suas oito áreas de design. Essas áreas de design são cobrança do Azure e locatário do Microsoft Entra, gerenciamento de identidades e acesso, grupo de gerenciamento e organização de assinatura, topologia de rede e conectividade, segurança, gerenciamento, governança e automação de plataforma e DevOps. Para obter mais informações sobre as áreas de design, consulte As áreas de design do ambiente da zona de destino do Azure.
Organização de recursos: A arquitetura de referência mostra uma hierarquia de grupo de gerenciamento de exemplo. Organiza as assinaturas (caixas amarelas) por grupo de gerenciamento. As assinaturas no grupo de gerenciamento "Plataforma" hospedam serviços compartilhados que compõem a zona de destino da plataforma. As assinaturas no grupo de gerenciamento "Zona de destino" representam as zonas de destino do aplicativo. A arquitetura de referência mostra cinco assinaturas detalhadamente. Você pode ver os recursos em cada assinatura e as políticas aplicadas.
Zona de destino da plataforma versus zonas de destino do aplicativo
Uma zona de destino do Azure consiste em uma zona de destino de plataforma e uma ou mais zonas de destino do aplicativo. Vale a pena explicar com mais detalhes a função de ambos.
Zona de destino da plataforma: Uma zona de destino da plataforma fornece serviços compartilhados (identidade, conectividade, gerenciamento) para aplicativos em zonas de destino do aplicativo. A consolidação destes serviços partilhados melhora frequentemente a eficiência operacional. Uma ou mais equipes centrais gerenciam os serviços na zona de destino da plataforma. Na arquitetura de referência (consulte a figura 1), a "Assinatura de identidade", a "assinatura de gerenciamento" e a "assinatura de conectividade" são componentes da zona de destino da plataforma. A arquitetura de referência ilustra os recursos representativos e as políticas aplicadas às assinaturas que hospedam os serviços compartilhados da zona de destino da plataforma.
Zona de destino do aplicativo: Uma zona de destino do aplicativo contém os recursos para hospedar uma única carga de trabalho/aplicativo. Uma carga de trabalho deve ter uma zona de destino do aplicativo para cada ambiente (desenvolvimento, teste ou produção). Cada zona de destino do aplicativo consiste em uma ou mais assinaturas, conforme necessário para acomodar os limites de escala e de serviço. Você pré-provisiona assinaturas de zona de destino do aplicativo por meio de código, por meio de um processo de venda automática de assinatura, enquanto uma equipe de carga de trabalho é responsável por implantar componentes de carga de trabalho na zona de destino do aplicativo.
As zonas de destino do aplicativo são aninhadas em grupos de gerenciamento apropriados, como Online ou Corp, para herdar as definições das Diretrizes do Azure dos grupos de gerenciamento pai. Essa estrutura garante que as assinaturas de carga de trabalho sejam implantadas de maneira controlada e consistente, ao mesmo tempo em que permite flexibilidade para necessidades individuais de carga de trabalho.
Na arquitetura da zona de destino do Azure (consulte a figura 1), a "assinatura A2 da zona de destino", por exemplo, é uma zona de destino do aplicativo. A arquitetura ilustra políticas e recursos representativos aplicados à "subscrição da zona de aterrissagem A2". A "assinatura P1 da zona de destino" é usada pelas equipes de plataforma para criar e implantar serviços que dão suporte a várias zonas de destino e equipes de aplicativo, como repositórios de imagens de VM e registros de contêiner. Esses serviços não são específicos do aplicativo e a assinatura permanece sujeita a políticas de governança aplicadas no nível da zona de destino do aplicativo.
Há três abordagens principais para gerenciar zonas de destino do aplicativo. Você deve usar uma das seguintes abordagens de gerenciamento, dependendo de suas necessidades:
- Abordagem da equipe central
- Abordagem da equipe de aplicativos
- Abordagem compartilhada da equipe
| Abordagem de gerenciamento de zona de destino do aplicativo | Descrição |
|---|---|
| Gerenciamento de equipe central | Uma equipe de TI central opera totalmente a zona de destino. A equipe aplica controles e ferramentas de plataforma às zonas de destino da plataforma e do aplicativo. |
| Gerenciamento de equipe de aplicativo | Uma equipe de administração de plataforma delega toda a zona de destino do aplicativo a uma equipe de aplicativo. A equipe de aplicativos gerencia e dá suporte ao ambiente. As políticas do grupo de gerenciamento garantem que a equipe da plataforma ainda governe a zona de destino do aplicativo. Você pode adicionar outras políticas no escopo da assinatura e usar ferramentas alternativas para implantar, proteger ou monitorar zonas de destino do aplicativo. |
| Gerenciamento compartilhado | Com plataformas de tecnologia como AKS ou AVS, uma equipe de TI central gerencia o serviço subjacente. As equipes de aplicativos são responsáveis pelos aplicativos em execução nas plataformas de tecnologia. Você precisa usar controles ou permissões de acesso diferentes para este modelo. Esses controles e permissões diferem dos que você usa para gerenciar as zonas de destino do aplicativo centralmente. |
Dica
Você pode ver mais diretrizes sobre diferentes tipos de zonas de destino do aplicativo em Estabelecer linhas comuns de produtos de venda automática de assinatura
Aceleradores da zona de destino do aplicativo
Os aceleradores de zona de destino do aplicativo ajudam você a implantar cargas de trabalho comuns em suas assinaturas de zona de destino do aplicativo. Use a lista de aceleradores de zonas de destino de aplicativos disponíveis no Centro de Arquitetura do Azure e implante o acelerador que corresponde ao seu cenário.
IA em zonas de destino do Azure
Uma pergunta comum é se você precisa de uma zona de destino de IA dedicada ao lado da zona de destino do Azure. A resposta é que você não precisa de uma zona de destino de IA separada. Em vez disso, você usa a arquitetura existente da zona de destino do Azure para implantar cargas de trabalho de IA em zonas de destino do aplicativo. Os princípios e as áreas de design da zona de destino do Azure são suficientes para dar suporte a cargas de trabalho de IA, pois fornecem a base necessária para governança, segurança e gerenciamento para aplicativos e cargas de trabalho que incluem componentes e serviços de IA e não IA.
Você pode integrar os serviços de IA às zonas de destino do aplicativo sem precisar de uma zona de destino de IA separada. A arquitetura da zona de destino do Azure, os princípios de design e as áreas de design, como gerenciamento de identidade e acesso, topologia de rede e conectividade, segurança e governança, já foram projetados para acomodar todas as cargas de trabalho, incluindo aquelas que envolvem IA.
Do ponto de vista das zonas de destino do Azure, a IA é apenas mais uma carga de trabalho ou serviço que pode ser implantado, regido e protegido dentro de uma ou mais assinaturas de zona de destino do aplicativo, assim como qualquer outro aplicativo, carga de trabalho ou serviço, pela equipe de plataforma utilizando a arquitetura, os princípios e as áreas de design da zona de destino existentes do Azure.
Para obter mais informações sobre a adoção de IA no Azure, consulte o cenário de adoção de IA. Para obter um foco específico em cargas de trabalho de IA e zonas de destino, consulte Estabelecer uma base de IA.
Implantando e gerenciando a zona de destino do Azure
Há várias maneiras de implantar e gerenciar sua zona de destino da plataforma, que faz parte da zona de destino do Azure (veja acima), conforme detalhado ainda mais nas opções de implementação da zona de destino. Você pode escolher o método que melhor atende às necessidades e à experiência da sua organização. Há várias opções disponíveis:
-
Acelerador de zona de aterrissagem do Azure IaC (Infraestrutura como Código)(abordagem recomendada)
- Módulos Verificados do Azure (AVM) para ALZ (zona de destino da plataforma) – Terraform(Também pode ser usado fora do acelerador, se desejado)
- Módulos Verificados do Azure (AVM) para ALZ (zona de destino da plataforma) – Bicep(também pode ser usado fora do acelerador, se desejado)
- Acelerador do portal da zona de destino da plataforma do Azure
É altamente recomendável usar opções de IaC (Infraestrutura como Código), como Bicep ou Terraform, por meio do Acelerador de IaC (Infraestrutura como Código) da zona de destino do Azure para implantar e gerenciar zonas de destino do Azure. Essas opções fornecem maior flexibilidade, repetibilidade e escalabilidade em comparação com o acelerador do portal.
No entanto, se sua organização não tiver a experiência necessária em IaC ou preferir uma abordagem mais visual, o acelerador do portal poderá ser uma alternativa adequada. Consulte Usar a infraestrutura como código para atualizar as zonas de destino do Azure para obter mais informações para ajudá-lo a entender por que IaC é a abordagem preferencial.
Próximas etapas
Examine os princípios de design por trás das zonas de destino do Azure para entender como eles orientam um ambiente seguro e escalonável. Se você estiver pronto para implantar, explore as opções de implementação disponíveis para criar e gerenciar zonas de destino. Para obter respostas rápidas para perguntas comuns, como se você precisa de uma zona de destino de IA ou como a escala empresarial é diferente, confira as perguntas frequentes.