Designprinzipien verstehen

Verwenden Sie die Designprinzipien für Sicherheit, Modularität und Deployment, die hier beschrieben werden, um eine optimale Enterprise Baseline Landing Zone-Implementierung zu gewährleisten.

Sicherheit priorisieren

Sicherheit zuerst, immer! Landing Zones unterliegen den Oracle Cloud-Sicherheitsrichtlinien, d.h. Sicherheit hat bei jedem produzierten Design eine höchste Priorität. Oracle wird bei der Sicherheit keine Kompromisse eingehen, da sie der wichtigste und wichtigste Aspekt bei der Entwicklung einer skalierbaren und wiederholbaren Architektur in einer Landing Zone ist. So wird die Sicherheit in jeder Landing Zone durch den Einsatz von OCI-Cloud-nativen Lösungen in der gesamten Architektur auf so viele Arten wie möglich durchgesetzt.

Landing Zone-Module

Die Baseline-Landing-Zone für Unternehmen besteht aus mehreren Terraform-Modulen. Jedes Modul wird für die Zusammenarbeit in einem Stack geschrieben.

Modul	Beschreibung
Compartments	Enthält Submodule zum Erstellen der Compartment-Struktur für die Baseline-Landing-Zone für Unternehmen. Diese Compartments umfassen das übergeordnete Compartment und die Compartments für Sicherheit, Networking und Workloads.
Budget	Erstellt einen Budgetalarm auf Compartment-Ebene basierend auf einem von Ihnen definierten Schwellenwert. Das Budget ist für alle Elemente gültig, die sich im übergeordneten Compartment befinden. Dieses Modul ist optional.
Virtuelles Cloud-Netzwerk (VCN)	Erstellt und konfiguriert alle netzwerkbezogenen Ressourcen, darunter ein VCN, Subnetze, Gateways, Sicherheitslisten und Routingregeln. In diesem Modul werden außerdem optionale dynamische Routinggateways (DRGs) mit Site-to-Site-VPN oder FastConnect konfiguriert.
Identity and Access Management (IAM)	Erstellt fast alle erforderlichen Policys und Gruppen. Ein Submodul erstellt Konten für Notfallzugriff, die so genannte Break-Glass users.In. Wenn Berechtigungen auf ein bestimmtes Feature bezogen sind, kann eine IAM-Policy in einem anderen Modul erstellt werden. Beispiel: Wenn Cloud Guard verwendet wird, werden die zugehörigen IAM-Policys im Submodul Cloud Guard erstellt.
Sicherheit	Implementiert VCN-Flowlogs, Cloud Guard-, Auditlogs und den Bastion-Service.

Nicht unterbrechungsfreie Änderungen verwenden

Die Landing Zone der Unternehmensskala bietet im Laufe der Zeit Updates im Zusammenhang mit Bugfixes und Featurereleases, um sicherzustellen, dass Kunden-Deployments kontinuierlich einen Mehrwert bieten. Um sicherzustellen, dass diese Updates unterbrechungsfrei sind, ist der Releaseprozess Landing Zones agil, sodass sie bei Veröffentlichung von Updates keine neuen oder vorhandenen Deployments stören.

Workload-Erweiterung verwenden

Die Workload-Erweiterung ist ein zusätzlicher Stack, der alle zur Vorbereitung der Landing Zone für ein Workload-Deployment erforderlichen Konfigurationen enthält. Das bedeutet, dass Sie diese Erweiterung nach dem Deployment des Enterprise Baseline Landing Zone-Stacks auf Basis der Baseline bereitstellen können, damit Sie Ihre Workload dann migrieren können, wenn Sie bereit sind.

Der Erweiterungsstack ist stackbar. Dies bedeutet, dass der Stack nach dem Deployment der ersten Workload neu ausgeführt werden kann, damit Sie zusätzliche Workloads in der Landing Zone bereitstellen können.

Sie können auch direkt zum GitHub-Repository gehen und auf den Code für die Baseline-Landing Zone der Unternehmensklasse zugreifen (siehe Artikel "Bereitstellen", an anderer Stelle in diesem Playbook).

Compartments für die Workload-Erweiterungsarchitektur

Die Workload-Erweiterung erstellt jedes Mal, wenn Sie den Stack ausführen, separate Workload-Compartments. So können Sie Ihre Workloads basierend auf Abteilung, Team usw. segmentieren. Jedes Compartment wird im Anwendungs-Compartment erstellt, das bereits von der Baseline bereitgestellt wurde.

Beschreibung der Abbildung elz-we-compartment.png

elz-we-compartment-oracle.zip

Networking

Die Workload-Erweiterung stellt außerdem zusätzliche private Subnetze bereit, damit Sie Ihre Workloads sicher voneinander isolieren können.

Beschreibung der Abbildung elz-we-vcn.png

elz-we-vcn-oracle.zip

Identity

Die Workload-Erweiterung stellt sowohl eine Workload-Admin mit Berechtigungen zur Verwaltung der Ressourcen im Compartment als auch einen Workload-Storage-User zur Verwendung von Instanzen bereit, die im Compartment erstellt wurden.

Beschreibung der Abbildung elz-we-iam.png

elz-we-iam-oracle.zip

Workloads migrieren (Anruf zu Aktion)

Nachdem Sie die Deployment-Schritte ausgeführt haben, können Sie jetzt die Migration von Workloads in Ihre Landing Zone planen. Sie haben sicher, dass Sie eine solide, sichere Grundlage für den Beginn Ihrer OCI-Reise erstellt haben.