• Cloud, Guide, Sicurezza, Tecnologia
• 6 Ottobre 2022

Le Azure Landing Zones sono un’insieme di risorse cloud create per favorire la migrazione verso il Cloud nel miglior modo possibile e permettere alle aziende di rispettare i requisiti di sicurezza, gestione, rispetto delle normative a cui sono sottoposte anche on-premises. L’obiettivo è quello di aumentare il livello di agilità e flessibilità richiesti dalla trasformazione digitale, permettendo alle aziende di innovare e utilizzare con efficacia i servizi digitali. La recente pandemia ci ha insegnato che abbiamo bisogno di adeguarci velocemente alle crescenti richieste di business oppure rispondere in maniera agile a situazioni inaspettate.

Quando viene creata una Azure Landing Zone viene di fatto creato un ambiente in Azure pronto per ospitare i nostri workload e creato tramite codice.

Questo ambiente, scalabile e modulare, permette di accontentare le esigenze molteplici che possono avere le diverse aziende. In effetti ci sono aziende che hanno un team IT unico, mentre altre hanno team specifici per applicazioni, workload, networking, telefonia, ecc.

Microsoft ha sviluppato per questo motivo il Cloud Adoption Framework, un framework completo del ciclo di vita dell’adozione del Cloud, che consente agli architetti cloud, ai professionisti IT e ai decision maker aziendali di raggiungere gli obiettivi di adozione del cloud e che fornisce procedure consigliate, documentazione e strumenti che consentono di creare e implementare strategie aziendali e tecnologiche per il cloud.

Figura 1: Cloud Adoption framework lifecycle

Il Cloud Adoption Framework fornisce strumenti, linee guida e narrazioni. Gli strumenti inclusi consentono di definire le strategie in termini di tecnologia, business e persone per ottenere i migliori risultati aziendali possibili tramite il progetto di adozione del cloud. Qui di seguiti trovare le linee guida per ogni metodologia:

• Strategia: definire la giustificazione aziendale e i risultati previsti per l’adozione.
• Pianificazione: allineare i piani di adozione attuabili ai risultati aziendali.
• Preparazione: preparare l’ambiente cloud per le modifiche pianificate.
• Migrazione: eseguire la migrazione dei carichi di lavoro esistenti e modernizzarli.
• Innovazione: sviluppare nuove soluzioni ibride o native del cloud.
• Sicurezza: migliorare la sicurezza nel tempo.
• Gestione: gestire le operazioni per soluzioni cloud e ibride.
• Governance: gestire l’ambiente e i carichi di lavoro.
• Organizzazione: allineare i team e i ruoli a supporto delle attività di adozione del cloud dell’organizzazione.

L’infrastruttura basata sul cloud modifica fondamentalmente il modo in cui l’organizzazione trova, usa e protegge le risorse tecnologiche. Tradizionalmente, le organizzazioni assumevano la proprietà e la responsabilità di tutti gli aspetti della loro tecnologia, dall’infrastruttura al software. Il passaggio al cloud consente invece all’organizzazione di effettuare il provisioning e l’utilizzo delle risorse solo quando necessario. Anche se il cloud offre una straordinaria flessibilità di progettazione, l’azienda necessita di una metodologia collaudata e coerente per l’adozione di tecnologie cloud per garantire il successo. Microsoft Cloud Adoption Framework per Azure soddisfa tale esigenza, aiutando a guidare le decisioni durante il percorso di adozione del cloud.

Architettura concettuale delle Azure Landing Zone

Microsoft ha creato un’architettura concettuale che consente alle aziende di gestire ambienti cloud di successo che potenziano le attività rispettando al tempo stesso le procedure consigliate per la sicurezza e la governance.

Questa architettura concettuale rappresenta le decisioni relative a scalabilità e gestione basate su un’ampia varietà di lezioni apprese e feedback dei clienti che hanno adottato Azure come parte del proprio patrimonio digitale.

Anche se l’implementazione può variare, in seguito a decisioni aziendali specifiche o a investimenti esistenti in strumenti che devono essere mantenuti nell’ambiente cloud, questa architettura concettuale consente di definire una direzione per l’approccio complessivo che l’azienda adotta per la progettazione e l’implementazione di una Azure Landing Zone.

Usate questa architettura come punto di partenza. Scaricate il file Visio e modificatelo in base ai requisiti aziendali e tecnici specifici durante la pianificazione dell’implementazione della zona di destinazione.

Figura 2: Azure landing zone conceptual architecture

Per le aziende in cui questa architettura concettuale si adatta al modello operativo e alla struttura delle risorse che prevede di usare, è disponibile un’esperienza di distribuzione pronta all’uso denominata Azure landing zone accelerator

Prima però di procedere alla creazione di una Azure Landing Zone è necessario modificare alcuni permessi necessari per il deployment.

Per prima cosa utilizzate il portale di Azure per elevare l’accesso per un utente che ha i diritti di Global Administrator e poi fate logoff e logon. Selezionate la vostra Azure Active Directory e nelle Proprietà mettete a YES la voce  Access management for Azure resources.

Figura 3: Modifica dei permessi per poter consentire l’accesso a tutte le sottoscrizioni e ai management group associati al tenant di Azure AD

La verifica dei permessi può essere fatta semplicemente selezionando la Sottoscrizione e dal nodo Access Control (IAM) verificando che l’utente abbia il ruolo di User Access Administrator.

Figura 4: Verifica dei permessi per poter consentire l’accesso a tutte le sottoscrizioni e ai management group associati al tenant di Azure AD

Successivamente dovrete assegnare allo stesso utente che si occuperà del deployment il ruolo di Owner a livello di Root. Per poterlo fare è necessario utilizzare il comando PowerShell

Dal portale di Azure potrete poi verificare che il ruolo sia stato assegnato correttamente, come mostrato nella figura sotto:

Figura 5: Verifica dell’assegnazione del ruolo di Owner

Come già scritto prima, l’Azure Landing Zone Accelerator è una distribuzione basata sul portale di Azure che fornisce un’implementazione completa dell’architettura concettuale, insieme a configurazioni per i componenti chiave, ad esempio i Resource Group e le Azure Policy. Esistono diverse Opzioni di implementazione della Azure Landing Zone, ma il modo più rapido per ottenere un ambiente con scalabilità orizzontale e maturo è utilizzare l’acceleratore disponibile al link https://aka.ms/caf/ready/accelerator

Cliccando su link si aprirà il portale di Azure e potrete utilizzare l’Azure Landing Zone accelerator. Nelle figure sotto ci sono tutti i passaggi necessari alla creazione delle risorse

Figura 6: Deployment Settings dell’Azure Landing Zone accelerator

Figura 7: Azure Core Setup dell’Azure Landing Zone accelerator

Figura 8: Platform Management e Governance dell’Azure Landing Zone accelerator

Figura 9: Network Topology dell’Azure Landing Zone accelerator

Figura 10: Configurazione dell’Identity management dell’Azure Landing Zone accelerator

Figura 11: Gestione delle Azure Policy dell’Azure Landing Zone accelerator

Figura 12: Schermata di riepilogo della creazione dell’Azure Landing Zone accelerator

Nel giro di circa 20 minuti il deployment sarà completato.

Figura 13: Deployment dell’Azure Landing Zone accelerato completato

Qui di seguito ci sono le risorse create dall’Azure Landing Zone accelerator. Sono stati creati nuovi Management Groups, risorse per il logging delle operazioni e per il monitoraggio, risorse per la rete e la protezione della stessa, policy per il controllo della governance e così via.

Figura 14: Management Group creati dall’Azure Landing Zone accelerator

Figura 15: Resource Group creati dall’Azure Landing Zone accelerator

Figura 16: Resource Group con le risorse per la gestione e per il monitoraggio

Figura 17: Resource group con le risorse per il networking e per la protezione delle connessioni

Figura 18: Resource Group con le zone private DNS

Figura 19: Resource Group per la protezione dagli attacchi DDOS

Figura 20: Azure Policy create e relativa associazione alle diverse sottoscrizioni

Conclusioni

Questa guida non è certamente esaustiva delle potenzialità della Azure Landing Zone, ma è certamente uno stimolo per poter approfondire questa interessantissima soluzione di avvicinamento ad Azure offerta da Microsoft, che tenta di coinvolgere tutte le parti interessate nella progettazione del passaggio al cloud. Questo permette di affrontare in maniera agile i problemi quotidiani da risolvere, gli obiettivi di sviluppo dell’azienda nel breve e nel lungo periodo, le policy da seguire e i principi normativi da rispettare. Le basi poste poi dagli accelerator possono essere consolidate nel corso del tempo e nei diversi progetti che vengono implementati man mano che se ne ha necessità o si prende confidenza con le nuove tecnologie e potenzialità offerte da Azure.