0

Я собираюсь настроить новый проект, который будет размещен в Azure (первый раз, когда я его использую). Я буду иметь три типа сред:Лучшая практика настройки окружения (серверов) в Azure?

  • Prelive среды (сервер CI, Dev сервера, Systest сервера, тестирование производительности сервера)
  • Живая среда (Live сервер)
  • Производительность среда (сервер Perforce, сервер TeamCity, сервер Jira)

С уровня сети мне бы хотелось:

  1. сервер Производительность (TeamCity) имеют доступ к Prelive & Текущие серверы (развернуть)

  2. Живые серверы частично доступны для разработчиков (не ПРР, но доступ к HTTP). Я хочу изолировать доступ к управлению жизненной средой (только devops/admin).

Каков наилучший способ достичь этого?

Вариант 1 - Использование разных подписей в Azure? Один для PRELIVE, один для производительности и один для LIVE. Доступны ли серверы для доступа друг к другу? Можно ли получить доверие между различными подписками и Azure AD, чтобы избежать дублирования пользователей?

Вариант 2 - Каждая среда (Dev, Systest, performance, live) в своей собственной подписке?

Вариант 3 - Использование этой же подписки и Role-based Access Control? Есть ли способ изолировать LIVE от Prelive на сетевом уровне?

Вариант 4 - Любой другой вариант?

+1

Ну, я думаю, вы должны работать только с одной подпиской, и да. Управление доступом на основе ролей имеет смысл, также используйте группы ресурсов, чтобы все ресурсы среды были разделены. –

+0

Это вариант 3. Можно ли изолировать разные среды? Правила брандмауэра или Частная сеть? –

ответ

1

Существует, конечно, ничего, что не все может быть сделано из одной подписки, но с несколькими подписками может помочь с точки зрения организации/биллинга/администрирования.

Если вы развертываете две виртуальные машины в двух отдельных виртуальных сетях, то по умолчанию они разделяют сеть. Затем вы можете создавать правила безопасности, чтобы разрешить доступ с использованием стандартных сетевых ограничений TCP/IP (подсети, порты и т. Д.)

Если вы развертываете две виртуальные машины в одну и ту же виртуальную сеть по умолчанию, они имеют открытый сетевой доступ друг к другу, но если вы развертываете их в отдельные подсети, вы можете настроить группы безопасности уровня подсети для контроля доступа.

Если у вас есть команда, работающая с вашими развертываниями, и вы хотите, чтобы команда разработчиков Dev имела доступ к блокам Dev, вы можете настроить RBAC на своих серверах и группах ресурсов, чтобы это разрешить.

Группа ресурсов представляет собой набор ресурсов (виртуальных машин, виртуальных сетей, веб-приложений и т. Д.), Которые логически связаны, хотя приведенное выше все еще применяется.Из-за этого серверы в той же группе ресурсов не имеют доступа к сети.

Если вы впервые используете Azure, лучший совет - выделить пару недель для создания материала и узнать, как он может работать для вас и того, что вам нужно.

В этот момент оторвите все это и правильно постройте, используя то, что вы узнали.

+0

Спасибо. Это путь, за которым я следую ... –

 Смежные вопросы

  • Нет связанных вопросов^_^