是否建议为您组织中的每个应用程序订阅一个?
Is it recommended to have one subscription for every application in your organisation?
对于大型企业,我们设计了一个 Azure 订阅层次结构:
Prod 和 Non-Prod 的订阅,每个都有:
- 每个订阅 1 个 VNET。
- 层级(Web、应用程序、数据库)的资源组 (RG)
- RG 有自己的子网和 NSG。
问题是,有很多应用程序。这意味着,例如,所有生产数据库服务器(用于不同的应用程序)都位于同一 RG 的同一子网中(默认情况下可以相互通信)。
为防止不相关的应用程序通话,建议为每个应用程序创建 1 个订阅。由于拥有 1000 个订阅、VNET 和 IP 范围,这将导致资源的复杂性和重复增加。这是推荐的吗?有更好的方法来管理它吗?
提前致谢!
你应该考虑设计 Azure 脚手架的方式如下:
- 订阅数量应始终是应用程序生命周期中预期的独立解决方案和环境(读作标准开发、测试和生产)数量的函数
- 理想情况下,所有相关数据及其各自的应用程序都应驻留在一个订阅中,因此您应该考虑多个资源组
- 在 VNET 中托管解决方案是通过安全实施设计的一种选择,并且当您最终得到可能导致使用 VPN(S2S 或 P2S)甚至 Azure ExpressRoute 将托管 DC 与 Azure 连接起来的解决方案时总是称赞
- 在您提到超过 1000 个应用程序的情况下,考虑到上述想法,您应该开始合理化您希望如何分配订阅以及相应的资源组。请注意,这里
Azure Management Groups 证明对监督和管理此类复杂解决方案非常有用。
- 为 NSG 和 WAF 构建控制逻辑 ingress/egress 应该强制执行以控制流量和应用程序利用
如果您现在可以改进您的问题(或添加后续问题)并询问具体细节以进入下一阶段,那就太好了。
对于大型企业,我们设计了一个 Azure 订阅层次结构: Prod 和 Non-Prod 的订阅,每个都有: - 每个订阅 1 个 VNET。 - 层级(Web、应用程序、数据库)的资源组 (RG) - RG 有自己的子网和 NSG。
问题是,有很多应用程序。这意味着,例如,所有生产数据库服务器(用于不同的应用程序)都位于同一 RG 的同一子网中(默认情况下可以相互通信)。
为防止不相关的应用程序通话,建议为每个应用程序创建 1 个订阅。由于拥有 1000 个订阅、VNET 和 IP 范围,这将导致资源的复杂性和重复增加。这是推荐的吗?有更好的方法来管理它吗?
提前致谢!
你应该考虑设计 Azure 脚手架的方式如下:
- 订阅数量应始终是应用程序生命周期中预期的独立解决方案和环境(读作标准开发、测试和生产)数量的函数
- 理想情况下,所有相关数据及其各自的应用程序都应驻留在一个订阅中,因此您应该考虑多个资源组
- 在 VNET 中托管解决方案是通过安全实施设计的一种选择,并且当您最终得到可能导致使用 VPN(S2S 或 P2S)甚至 Azure ExpressRoute 将托管 DC 与 Azure 连接起来的解决方案时总是称赞
- 在您提到超过 1000 个应用程序的情况下,考虑到上述想法,您应该开始合理化您希望如何分配订阅以及相应的资源组。请注意,这里
Azure Management Groups证明对监督和管理此类复杂解决方案非常有用。 - 为 NSG 和 WAF 构建控制逻辑 ingress/egress 应该强制执行以控制流量和应用程序利用
如果您现在可以改进您的问题(或添加后续问题)并询问具体细节以进入下一阶段,那就太好了。