Azure 企业级 Landing Zone 设计：构建合规的云上数据中心

在多云（Multi-Cloud）战略日益普及的今天，很多企业在拥有 AWS 的同时，也将业务扩展到了 Microsoft Azure。虽然云的基本概念相通，但 Azure 的资源组织方式和治理模型与 AWS 有显著差异。

本文将基于 Microsoft Cloud Adoption Framework (CAF)，深入探讨 Azure Enterprise-Scale Landing Zone 的设计架构。

1. 资源组织层级：Azure 的独特之处

与 AWS 扁平的 Account 结构不同，Azure 提供了更丰富的层级管理能力，这对大型企业极其友好。

Tenant (租户): 对应企业的 Azure AD 实例，身份认证的边界。
Management Group (管理组): Azure 治理的核心。可以嵌套（Root -> Prod -> App1），策略（Policy）和权限（RBAC）可以从上级继承。
Subscription (订阅): 计费和配额的单元。相当于 AWS Account。
Resource Group (资源组): 资源的逻辑容器。

最佳实践：构建基于 Management Group 的层级结构，例如：

Contoso Root
- Platform (共享服务)
  - Identity (AD DS, DNS)
  - Management (Log Analytics, Monitor)
  - Connectivity (vWAN, ExpressRoute)
- Landing Zones (业务负载)
  - Online-Corp (生产业务)
  - Sandbox (沙盒)
- Decommissioned (待回收)

Azure AD 是 Azure 的基石。利用 PIM (Privileged Identity Management) 实现 JIT (Just-In-Time) 权限管理。管理员默认没有权限，需要操作时申请，审批通过后赋予 2 小时的高权限，并记录审计日志。

尽量使用内置角色（Owner, Contributor, Reader），并分配给 AD Group 而不是个人。

Azure 推荐使用 Hub-Spoke（轮辐式）网络拓扑。

Hub VNet: 部署在 Platform 订阅中。托管 Azure Firewall、VPN Gateway、ExpressRoute Circuit、Bastion Host。这是流量的出入口。
Spoke VNet: 部署业务应用。通过 VNet Peering 与 Hub 互通。Spoke 之间默认不通，需经过 Hub 防火墙路由。

Azure Virtual WAN (vWAN): 对于全球化企业，vWAN 提供了全托管的 Hub 服务，自动处理跨 Region 的路由和连接，极大简化了网络复杂度。

这是 Azure 最强大的功能之一。通过 Policy，可以强制执行合规性，而不仅仅是事后审计。

将 Policy 分配给 Management Group，所有下属订阅自动继承，确保新创建的业务环境天生合规（Born Secure）。

Azure 提供了 Bicep 作为 ARM Template 的升级版，语法更简洁，对开发者更友好。当然，Terraform 在 Azure 上的支持也已经非常成熟（AzureRM Provider）。

蓝图 (Azure Blueprints): 能够将 Resource Group、ARM 模板、Policy 和 RBAC 打包成一个“套餐”。新业务上线时，直接应用这个蓝图，几分钟内就能生成一个包含网络、安全策略和审计配置的标准化环境。

Azure 的 Landing Zone 设计哲学强调“策略驱动治理”（Policy-Driven Governance）。通过合理规划 Management Group 和 Policy，企业可以在赋予业务团队敏捷性的同时，牢牢把控安全和成本的底线。这是构建大规模云上数据中心的关键。