Я собираюсь настроить новый проект, который будет размещен в Azure (первый раз, когда я его использую). Я буду иметь три типа сред:Лучшая практика настройки окружения (серверов) в Azure?
- Prelive среды (сервер CI, Dev сервера, Systest сервера, тестирование производительности сервера)
- Живая среда (Live сервер)
- Производительность среда (сервер Perforce, сервер TeamCity, сервер Jira)
С уровня сети мне бы хотелось:
сервер Производительность (TeamCity) имеют доступ к Prelive & Текущие серверы (развернуть)
Живые серверы частично доступны для разработчиков (не ПРР, но доступ к HTTP). Я хочу изолировать доступ к управлению жизненной средой (только devops/admin).
Каков наилучший способ достичь этого?
Вариант 1 - Использование разных подписей в Azure? Один для PRELIVE, один для производительности и один для LIVE. Доступны ли серверы для доступа друг к другу? Можно ли получить доверие между различными подписками и Azure AD, чтобы избежать дублирования пользователей?
Вариант 2 - Каждая среда (Dev, Systest, performance, live) в своей собственной подписке?
Вариант 3 - Использование этой же подписки и Role-based Access Control? Есть ли способ изолировать LIVE от Prelive на сетевом уровне?
Вариант 4 - Любой другой вариант?
Ну, я думаю, вы должны работать только с одной подпиской, и да. Управление доступом на основе ролей имеет смысл, также используйте группы ресурсов, чтобы все ресурсы среды были разделены. –
Это вариант 3. Можно ли изолировать разные среды? Правила брандмауэра или Частная сеть? –