मार्गदर्शिका

हाइब्रिड पहचान प्रमाणीकरण जहाँ पासवर्ड हैश ऑन-प्रेम पर रहने चाहिए, फेलओवर के साथ।

→बैकअप के रूप में Pass-through Authentication (PTA) और Password Hash Sync (PHS) सक्षम के साथ Azure AD Connect।

क्यों: PTA स्थानीय AD के विरुद्ध मान्य करके हैश को ऑन-प्रेम पर रखता है। यदि ऑन-प्रेम AD या Connect एजेंट अनुपलब्ध हो तो PHS प्रमाणीकरण फेलओवर प्रदान करता है।

संदर्भ↗

उपयोगकर्ता, स्थान, डिवाइस स्वास्थ्य और जोखिम के आधार पर बारीक एक्सेस कंट्रोल लागू करके Zero Trust लागू करें।

→Microsoft Entra Conditional Access नीतियाँ जो Named Locations, डिवाइस कंप्लायंस (Intune), और साइन-इन जोखिम (Identity Protection) को MFA जैसे अनुदान नियंत्रणों के साथ जोड़ती हैं।

क्यों: Conditional Access Zero Trust के लिए प्रवर्तन इंजन है, जो एक्सेस देने से पहले प्रति अनुरोध कई संकेतों का मूल्यांकन करता है। एक ही नीति विभिन्न शर्तों पर विभिन्न नियंत्रण लागू नहीं कर सकती।

संदर्भ↗

दर्जनों या सैकड़ों सब्सक्रिप्शन में सुसंगत नीतियां (जैसे, टैगिंग, अनुमत क्षेत्र) लागू करें।

→एक प्रबंधन समूह पदानुक्रम जिसमें Azure Policy पहल रूट या पैरेंट प्रबंधन समूह स्तर पर असाइन की गई हैं।

क्यों: प्रबंधन समूह सब्सक्रिप्शन के ऊपर एक शासन (governance) स्कोप प्रदान करते हैं, जिससे नीतियों को इनहेरिट किया जा सकता है। पहल सरलीकृत असाइनमेंट के लिए कई नीतियों को एक साथ बंडल करती हैं।

संदर्भ↗

प्रशासकों को अनुमोदन वर्कफ़्लो और ऑडिटिंग के साथ जस्ट-इन-टाइम (JIT) विशेषाधिकार प्राप्त एक्सेस प्रदान करें।

→Microsoft Entra Privileged Identity Management (PIM) का उपयोग करना ताकि उपयोगकर्ताओं को स्थायी रूप से सक्रिय रहने के बजाय भूमिकाओं के लिए योग्य बनाया जा सके।

क्यों: PIM उपयोगकर्ताओं को एक समय-सीमित अवधि के लिए भूमिकाओं को सक्रिय करने के लिए बाध्य करके कम से कम विशेषाधिकार लागू करता है, जिसमें वैकल्पिक MFA, औचित्य और अनुमोदन शामिल होता है, जिससे एक पूर्ण ऑडिट ट्रेल बनता है।

संदर्भ↗

केंद्रीकृत विश्लेषण और क्वेरी के लिए कई सब्सक्रिप्शन में सभी Azure संसाधनों से लॉग एकत्र करें।

→एक्सेस कंट्रोल के लिए resource-context RBAC के साथ एक सिंगल, केंद्रीकृत Log Analytics वर्कस्पेस।

क्यों: एक केंद्रीकृत वर्कस्पेस क्रॉस-सब्सक्रिप्शन क्वेरी को सक्षम बनाता है, प्रबंधन को सरल बनाता है, और डेटा डुप्लीकेशन से बचाता है। Resource-context RBAC सुनिश्चित करता है कि उपयोगकर्ता केवल उन संसाधनों से लॉग क्वेरी करें जिन्हें वे एक्सेस कर सकते हैं।

Azure संसाधन (जैसे, App Service, Function, VM) को संग्रहीत क्रेडेंशियल के बिना अन्य Azure संसाधनों (Key Vault, SQL, Storage) तक सुरक्षित रूप से एक्सेस करने की आवश्यकता है।

→कंप्यूट संसाधन को एक प्रबंधित पहचान (सिस्टम- या उपयोगकर्ता-असाइन की गई) असाइन करें और उसे लक्ष्य संसाधनों पर RBAC भूमिकाएँ प्रदान करें।

क्यों: प्रबंधित पहचानें क्रेडेंशियल प्रबंधन (रहस्य, प्रमाणपत्र) को समाप्त करती हैं, स्वचालित रूप से टोकन अधिग्रहण और रोटेशन को संभालती हैं। कई संसाधनों में एक पहचान साझा करने के लिए उपयोगकर्ता-असाइन की गई का उपयोग करें।

संदर्भ↗

Azure Policy द्वारा पहचाने गए मौजूदा, गैर-अनुपालक Azure संसाधनों को स्वचालित रूप से ठीक करें।

→"DeployIfNotExists" या "Modify" नीति प्रभाव का उपयोग करें। मौजूदा संसाधनों के लिए, नीति असाइनमेंट के लिए एक सुधार कार्य बनाया जाना चाहिए, जिसके लिए पर्याप्त अनुमतियों के साथ एक प्रबंधित पहचान की आवश्यकता होती है।

क्यों: इन प्रभावों वाली नीतियां डिफ़ॉल्ट रूप से केवल नए/अपडेट किए गए संसाधनों पर लागू होती हैं। मौजूदा गैर-अनुपालक संसाधनों को स्कैन और ठीक करने के लिए एक सुधार कार्य की आवश्यकता होती है।

सभी संसाधनों पर आवश्यक टैग लागू करें और पैरेंट संसाधन समूह से स्वचालित रूप से टैग (जैसे, CostCenter) इनहेरिट करें।

→आवश्यक टैग के लिए "Deny" प्रभाव वाली Azure Policy का उपयोग करें और गुम होने पर संसाधन समूह से टैग इनहेरिट करने के लिए "Modify" प्रभाव वाली एक अलग नीति का उपयोग करें।

क्यों: Deny निर्माण के समय अनुपालन लागू करता है। Modify प्रभाव टैग प्रचार को स्वचालित करता है, मैनुअल प्रयास को कम करता है और स्थिरता सुनिश्चित करता है।

लेन-देन को एंड-टू-एंड ट्रेस करने और प्रदर्शन बॉटलनेक की पहचान करने के लिए मल्टी-टियर या माइक्रोसेर्विसेज एप्लिकेशन की निगरानी करें।

→सभी सेवाओं को Application Insights से इंस्ट्रूमेंट करें। निर्भरता को विज़ुअलाइज़ करने के लिए Application Map और एंड-टू-एंड अनुरोध विश्लेषण के लिए वितरित ट्रेसिंग का उपयोग करें।

क्यों: Application Insights मूल APM समाधान है जो लेन-देन का एक एकीकृत दृश्य प्रदान करने के लिए घटकों में टेलीमेट्री को स्वचालित रूप से सहसंबंधित करता है, जिससे विलंबता समस्याओं का पता चलता है।

अनुरोध, अनुमोदन, समय-सीमित एक्सेस और आवधिक समीक्षाओं सहित बाहरी भागीदारों के लिए एक्सेस को नियंत्रित करें।

→Microsoft Entra ID Governance एंटाइटलमेंट प्रबंधन। एक्सेस पैकेज बनाएं जो संसाधनों को बंडल करते हैं, अनुमोदन वर्कफ़्लो को परिभाषित करते हैं, समाप्ति नीतियां निर्धारित करते हैं और एक्सेस समीक्षाओं को शेड्यूल करते हैं।

क्यों: यह बाहरी एक्सेस के लिए एक पूर्ण, स्वचालित जीवनचक्र प्रदान करता है, मैनुअल गेस्ट अकाउंट प्रबंधन की तुलना में प्रशासनिक ओवरहेड और सुरक्षा जोखिम को कम करता है।

एक प्रबंधित सेवा प्रदाता या केंद्रीय IT टीम को कई ग्राहक/विभागीय Azure AD टेनेंट में संसाधनों का प्रबंधन करने की आवश्यकता है।

→Azure Lighthouse। प्रबंधित टेनेंट को विशिष्ट RBAC भूमिकाओं के साथ प्रत्यायोजित एक्सेस प्रदान करने के लिए ग्राहक सब्सक्रिप्शन को ऑनबोर्ड करें।

क्यों: Lighthouse बिना डायरेक्ट्री स्विच किए या गेस्ट अकाउंट प्रबंधित किए क्रॉस-टेनेंट प्रबंधन के लिए एक सिंगल कंट्रोल प्लेन प्रदान करता है, जबकि ग्राहक पूर्ण नियंत्रण और स्वामित्व बनाए रखता है।

VPN के बिना या ऐप को इंटरनेट पर उजागर किए बिना बाहरी उपयोगकर्ताओं के लिए ऑन-प्रिमाइसेस वेब एप्लिकेशन तक सुरक्षित रिमोट एक्सेस प्रदान करें।

→Microsoft Entra Application Proxy।

क्यों: Application Proxy एक हल्के ऑन-प्रिमाइसेस कनेक्टर का उपयोग करता है जो Azure से आउटबाउंड कनेक्शन बनाता है। यह एक रिवर्स प्रॉक्सी के रूप में कार्य करता है, जो एंट्रा आईडी प्री-प्रमाणीकरण और इनबाउंड फ़ायरवॉल नियमों या एप्लिकेशन पर सार्वजनिक IP के बिना सुरक्षित एक्सेस की अनुमति देता है।

एक वैश्विक रूप से वितरित एप्लिकेशन को सब-10ms रीड/राइट लेटेंसी, लचीली स्कीमा और 99.999% उपलब्धता के साथ एक डेटाबेस की आवश्यकता है।

→मल्टी-रीजन राइट्स सक्षम के साथ Azure Cosmos DB। वर्कलोड को समान रूप से वितरित करने के लिए Partition key को चुना जाना चाहिए।

क्यों: Cosmos DB टर्नकी मल्टी-रीजन राइट्स के साथ वैश्विक वितरण के लिए विशेष रूप से बनाया गया है, जो गारंटीकृत कम विलंबता और उच्चतम उपलब्धता SLA प्रदान करता है। अन्य डेटाबेस को मैनुअल प्रतिकृति की आवश्यकता होती है और वे राइट विलंबता का मिलान नहीं कर सकते।

उच्च-मात्रा वाले IoT टेलीमेट्री को Cosmos DB में इनजेस्ट करें, जिससे डिवाइस द्वारा कुशल क्वेरी सक्षम हो और पुराने डेटा का स्वचालित संग्रह हो।

→Partition key के रूप में `/deviceId` का उपयोग करें। पुराने दस्तावेज़ों को स्वतः हटाने के लिए कंटेनर पर TTL कॉन्फ़िगर करें। कोल्ड स्टोरेज (जैसे, Blob Storage) में संग्रह के लिए विलोपन से पहले डेटा कैप्चर करने के लिए Change Feed का उपयोग करें।

क्यों: `deviceId` द्वारा पार्टीशनिंग एक सिंगल डिवाइस के लिए डेटा को सह-स्थानित करता है, जिससे क्वेरी कुशल बनती हैं। TTL मुफ्त, स्वचालित विलोपन प्रदान करता है। Change Feed एक प्रतिक्रियाशील संग्रह पाइपलाइन को सक्षम करता है।

अप्रत्याशित, बर्स्टी ट्रैफ़िक और महत्वपूर्ण निष्क्रिय अवधि वाले वर्कलोड के लिए एक लागत प्रभावी Azure SQL DB मूल्य निर्धारण मॉडल का चयन करें।

→Serverless कंप्यूट टियर के साथ vCore-आधारित मॉडल का उपयोग करें।

क्यों: Serverless मांग के आधार पर कंप्यूट को स्वचालित रूप से स्केल करता है और निष्क्रिय अवधि के दौरान स्वतः रुक जाता है, प्रति सेकंड उपयोग किए गए कंप्यूट के लिए ही शुल्क लेता है। यह प्रोविजन किए गए टियर की तुलना में रुक-रुक कर चलने वाले वर्कलोड के लिए कहीं अधिक लागत प्रभावी है।

एक बड़े पैमाने पर डेटा एनालिटिक्स प्लेटफ़ॉर्म के लिए एक स्टोरेज समाधान जिसे एक पदानुक्रमित नेमस्पेस और डायरेक्टरी-स्तर ACLs की आवश्यकता है।

→Azure Data Lake Storage Gen2 (एक अकाउंट जिसमें पदानुक्रमित नेमस्पेस सक्षम है)।

क्यों: ADLS Gen2 बड़े डेटा एनालिटिक्स के लिए अनुकूलित है, जो वस्तु स्टोरेज स्केलेबिलिटी को एक सच्चे पदानुक्रमित फ़ाइल सिस्टम और बारीक सुरक्षा के लिए POSIX-अनुपालक ACLs के साथ जोड़ता है।

टियर की आवश्यकताओं के आधार पर स्टोरेज रिडंडेंसी चुनें: रीड एक्सेस के साथ अधिकतम ड्यूरेबिलिटी, केवल DR, और इन-रीजन डेटासेंटर विफलता सुरक्षा।

→1. अधिकतम ड्यूरेबिलिटी/रीड: RA-GZRS। 2. केवल DR: GRS। 3. इन-रीजन: ZRS।

क्यों: विशिष्ट RPO/RTO और एक्सेस आवश्यकताओं के साथ रिडंडेंसी विकल्प का मिलान करें। RA-GZRS उच्चतम टियर है। GRS केवल फेलओवर के लिए है। ZRS एक क्षेत्र के भीतर डेटासेंटर विफलता से बचाता है।

एक एकीकृत एनालिटिक्स प्लेटफ़ॉर्म का उपयोग करके डेटा वेयरहाउस में बड़े संरचित डेटा और डेटा लेक में अर्ध-संरचित डेटा को क्वेरी करें।

→Azure Synapse Analytics। संरचित डेटा के लिए एक समर्पित SQL पूल और डेटा लेक पर तदर्थ (ad-hoc) क्वेरी के लिए एक सर्वरलेस SQL पूल का उपयोग करें।

क्यों: यह हाइब्रिड दृष्टिकोण प्रदर्शन और लागत दोनों को अनुकूलित करता है। समर्पित पूल प्रबंधित डेटा वेयरहाउस के लिए उच्च प्रदर्शन प्रदान करता है, जबकि सर्वरलेस पूल लेक में कच्चे डेटा तक पे-पर-क्वेरी एक्सेस प्रदान करता है।

सेशन स्टेट और उत्पाद डेटा के लिए एक कैशिंग समाधान जिसे >100 GB मेमोरी और उच्च उपलब्धता की आवश्यकता है।

→Azure Cache for Redis Enterprise या Premium टियर जिसमें क्लस्टरिंग सक्षम हो।

क्यों: Premium/Enterprise टियर में क्लस्टरिंग कैश को कई नोड्स में डेटा को शार्ड करके एक सिंगल नोड की मेमोरी सीमाओं से आगे स्केल करने की अनुमति देता है, जिससे थ्रूपुट भी बेहतर होता है।

एक SaaS एप्लिकेशन के लिए एक डेटाबेस आर्किटेक्चर जो टेनेंट को अलग करता है जबकि कई छोटे, स्पाइकी वर्कलोड के लिए लागत को अनुकूलित करता है।

→Azure SQL Elastic Pools। संसाधनों को साझा करने के लिए टेनेंट को पूलों में समूहित करें, जिसमें बड़े, "शोरगुल वाले पड़ोसी" टेनेंट के लिए समर्पित डेटाबेस हों।

क्यों: इलास्टिक पूल संसाधन साझाकरण के लागत लाभ प्रदान करते हैं जबकि प्रति-डेटाबेस प्रदर्शन सीमाएं लागू करते हैं, जिससे शोरगुल वाले पड़ोसी की समस्या और प्रति-टेनेंट एक-डेटाबेस की उच्च लागत के बीच संतुलन मिलता है।

एक जटिल ऑन-प्रिमाइसेस SQL Server डेटाबेस को माइग्रेट करें जो SQL Agent, क्रॉस-डेटाबेस क्वेरीज़ और CLR जैसी सुविधाओं का उपयोग PaaS सेवा में करता है।

→Azure SQL Managed Instance।

क्यों: SQL Managed Instance ऑन-प्रिमाइसेस SQL Server इंजन के साथ लगभग 100% संगतता प्रदान करता है, जो इंस्टेंस-स्तर की सुविधाओं का समर्थन करता है जो Azure SQL Database नहीं करता है। यह न्यूनतम कोड परिवर्तनों के साथ लिफ्ट-एंड-शिफ्ट के लिए आदर्श है।

सुनिश्चित करें कि सभी डेटा और ग्राहक-प्रबंधित एन्क्रिप्शन कुंजी एक विशिष्ट भौगोलिक सीमा (जैसे, यूरोपीय संघ) के भीतर रहें।

→सभी संसाधनों को सीमा के भीतर के क्षेत्रों में तैनात करें। इसे लागू करने के लिए "Allowed locations" प्रभाव वाली Azure Policy का उपयोग करें। ग्राहक-प्रबंधित कुंजियाँ (CMK) एक Azure Key Vault में संग्रहीत करें जो भी सीमा के भीतर स्थित है।

क्यों: कठोर डेटा संप्रभुता नियमों को पूरा करने के लिए भौतिक परिनियोजन स्थान, नीति-आधारित प्रवर्तन और कुंजी निवास का संयोजन आवश्यक है।

एक हाइब्रिड डेटा एस्टेट (Azure, ऑन-प्रेम, अन्य क्लाउड) में डेटा के लिए खोज, वर्गीकृत और वंश का पता लगाएं।

→Microsoft Purview।

क्यों: Purview स्वचालित स्कैनिंग, एक व्यावसायिक शब्दावली, वर्गीकरण और डेटा स्रोतों की एक विस्तृत श्रृंखला में वंश ट्रैकिंग के साथ एक एकीकृत डेटा गवर्नेंस समाधान प्रदान करता है।

एक परिभाषित प्रतिधारण अवधि के लिए डेटा (जैसे, वित्तीय रिकॉर्ड) को गैर-मिटाने योग्य, गैर-संशोधन योग्य (WORM) स्थिति में संग्रहीत करें।

→कंटेनर पर समय-आधारित अपरिवर्तनीय नीति के साथ Azure Blob Storage, जिसे तब लॉक किया जाता है।

क्यों: लॉक्ड अपरिवर्तनीय नीतियां किसी भी उपयोगकर्ता, जिसमें प्रशासक भी शामिल हैं, द्वारा ब्लॉब्स के विलोपन या संशोधन को रोकती हैं, जब तक कि प्रतिधारण अवधि समाप्त नहीं हो जाती, कठोर नियामक अनुपालन आवश्यकताओं को पूरा करती हैं।

मिनटों के RPO और एक घंटे से कम के RTO के साथ एक वेब ऐप (App Service + SQL DB) के लिए DR समाधान डिज़ाइन करें।

→Azure SQL Database ऑटो-फेलओवर समूह, एक सेकेंडरी App Service परिनियोजन, और रूटिंग के लिए Azure Front Door या Traffic Manager।

क्यों: यह पैटर्न प्रत्येक टियर के लिए DR को संबोधित करता है। SQL फेलओवर समूह डेटा प्रतिकृति और फेलओवर को संभालता है। प्री-डिप्लॉयड App Service परिनियोजन में देरी से बचाती है। एक ग्लोबल राउटर (Front Door/Traffic Manager) सक्रिय क्षेत्र में ट्रैफ़िक को निर्देशित करता है।

एक सीरियल एप्लिकेशन (A -> B -> C) का समग्र SLA बहुत कम है। आप इसे कैसे सुधारेंगे?

→सबसे कम व्यक्तिगत SLA (सबसे "कमज़ोर कड़ी") वाले घटक की पहचान करें और समानांतर इंस्टेंस (जैसे, लोड बैलेंसर के साथ क्षेत्रों या ज़ोन में) तैनात करके उसे रिडंडेंट बनाएं।

क्यों: एक सीरियल श्रृंखला के लिए समग्र SLA की गणना SLAs (SLA_A * SLA_B * SLA_C) को गुणा करके की जाती है। एक घटक में समानांतर इंस्टेंस जोड़ने से उसकी प्रभावी SLA में सुधार होता है, जिसका समग्र पर सबसे बड़ा सकारात्मक प्रभाव पड़ता है।

एकल Azure क्षेत्र के भीतर VMs के लिए उच्चतम संभव उपलब्धता प्राप्त करें।

→क्षेत्र में सभी उपलब्ध Availability Zones में कई VMs तैनात करें।

क्यों: Availability Zones स्वतंत्र बिजली, कूलिंग और नेटवर्किंग वाले भौतिक रूप से अलग डेटासेंटर हैं। यह डेटासेंटर-स्तर की विफलताओं से बचाता है और 99.99% का उच्चतम इन-रीजन SLA प्रदान करता है।

ऑन-प्रिमाइसेस VMware या Hyper-V वर्चुअल मशीनों के लिए Azure पर एक आपदा रिकवरी समाधान प्रदान करें।

→Azure Site Recovery (ASR)। Azure पर प्रतिकृति कॉन्फ़िगर करें, ऑर्केस्ट्रेटेड फेलओवर के लिए रिकवरी प्लान बनाएं, और गैर-विघटनकारी DR अभ्यासों के लिए टेस्ट फेलओवर का उपयोग करें।

क्यों: ASR ऑन-प्रेम (और Azure) VMs की DR प्रतिकृति के लिए विशेष रूप से निर्मित Azure सेवा है, जो निरंतर प्रतिकृति, ऑर्केस्ट्रेटेड रिकवरी और पृथक परीक्षण क्षमताएं प्रदान करती है।

शून्य डेटा हानि (RPO=0) और रीड-स्केलिंग क्षमता के साथ Azure SQL Database के लिए उच्चतम इन-रीजन उपलब्धता प्राप्त करें।

→ज़ोन रिडंडेंसी सक्षम के साथ Business Critical सेवा टियर का उपयोग करें।

क्यों: Business Critical टियर कई प्रतिकृतियों में सिंक्रोनस प्रतिकृति के साथ एक Always On Availability Group का उपयोग करता है, जो 0 का RPO प्रदान करता है। ज़ोन रिडंडेंसी 99.995% SLA के लिए विभिन्न AZs में प्रतिकृतियों को रखती है। इसमें एक पठनीय सेकेंडरी प्रतिकृति शामिल है।

एक ग्लोबल एप्लिकेशन को उपयोगकर्ताओं को निकटतम क्षेत्र से सेवा देनी चाहिए और स्वचालित रूप से और तुरंत फेलओवर करना चाहिए।

→लेटेंसी-आधारित रूटिंग और हेल्थ प्रोब-आधारित फेलओवर के लिए Azure Front Door के साथ कई क्षेत्रों में सक्रिय-सक्रिय परिनियोजन पैटर्न का उपयोग करें।

क्यों: Azure Front Door सबसे कम-विलंबता वाले बैकएंड को वैश्विक anycast रूटिंग प्रदान करता है। इसके हेल्थ प्रोब क्षेत्रीय विफलताओं का पता लगाते हैं और सक्रिय-सक्रिय आर्किटेक्चर को सक्षम करते हुए सेकंडों के भीतर ट्रैफ़िक को स्वस्थ क्षेत्रों में स्वचालित रूप से रूट करते हैं।

AKS पर स्टेटफुल एप्लिकेशन का बैकअप लें, जिसमें Kubernetes ऑब्जेक्ट परिभाषाएं और स्थायी वॉल्यूम डेटा दोनों शामिल हैं।

→AKS के लिए Azure Backup का उपयोग करें।

क्यों: AKS के लिए Azure Backup मूल समाधान है जो क्लस्टर स्थिति (etcd) और स्थायी वॉल्यूम डेटा (CSI स्नैपशॉट के माध्यम से) दोनों के लिए एक सुरक्षित, केंद्रीकृत Backup Vault में एकीकृत, नीति-आधारित बैकअप प्रदान करता है।

प्रशासकों सहित आकस्मिक या दुर्भावनापूर्ण विलोपन से बैकअप की सुरक्षा करें, नियामक अनुपालन के लिए।

→Azure Backup या Recovery Services vault पर अपरिवर्तनीय वॉल्ट सक्षम करें।

क्यों: अपरिवर्तनीयता एक वॉल्ट-स्तर की सेटिंग है जो सुनिश्चित करती है कि बैकअप रिकवरी पॉइंट, एक बार बनने के बाद, अपनी समाप्ति तिथि से पहले किसी के द्वारा भी हटाए नहीं जा सकते, जिससे बैकअप सुरक्षा का उच्चतम स्तर मिलता है।

एक App Service Environment v3 (ASEv3) एक क्षेत्र में एक महत्वपूर्ण एप्लिकेशन को होस्ट करता है और दूसरे क्षेत्र में एक DR समाधान की आवश्यकता है।

→DR क्षेत्र में एक दूसरा ASEv3 तैनात करें। वैश्विक लोड बैलेंसिंग और फेलओवर के लिए Azure Front Door का उपयोग करें। उपयुक्त तकनीक (जैसे, SQL ऑटो-फेलओवर समूह) का उपयोग करके डेटा को रेप्लिकेट करें।

क्यों: ASEv3s क्षेत्रीय परिनियोजन हैं। DR के लिए, आपको एक दूसरा ASE तैनात करना होगा और ट्रैफ़िक का प्रबंधन करने के लिए Front Door जैसे ग्लोबल राउटर का उपयोग करना होगा। ASR का उपयोग App Service DR के लिए नहीं किया जाता है।

केंद्रीकृत कनेक्टिविटी (ExpressRoute/VPN), साझा सेवाओं और वर्कलोड अलगाव के साथ एक एंटरप्राइज़ के लिए एक स्केलेबल नेटवर्क डिज़ाइन करें।

→एक हब-एंड-स्पोक टोपोलॉजी। हब VNet में गेटवे, Azure Firewall और अन्य साझा सेवाएँ होती हैं। स्पोक VNets में एप्लिकेशन वर्कलोड होते हैं और वे हब से पियर किए जाते हैं।

क्यों: यह मानक, अनुशंसित एंटरप्राइज़ पैटर्न है। यह सुरक्षा और कनेक्टिविटी को केंद्रीकृत करता है, लागत और जटिलता को कम करता है, जबकि स्पोक मजबूत वर्कलोड अलगाव प्रदान करते हैं।

एक ग्लोबल वेब एप्लिकेशन को Layer 7 लोड बैलेंसिंग, एक Web Application Firewall (WAF), SSL ऑफलोडिंग और URL-आधारित रूटिंग की आवश्यकता है।

→Azure Front Door (Standard या Premium)।

क्यों: Front Door एक आधुनिक क्लाउड CDN और ग्लोबल लोड बैलेंसर है जो इन क्षमताओं को एक ही सेवा में एकीकृत करता है, Traffic Manager को क्षेत्रीय Application Gateways के साथ संयोजित करने की तुलना में बेहतर प्रदर्शन और सरल प्रबंधन प्रदान करता है।

विभिन्न वर्कलोड प्रकारों (CPU, GPU, मेमोरी-इंटेंसिव) वाली कई टीमों के लिए एक उत्पादन-ग्रेड AKS क्लस्टर डिज़ाइन करें।

→एक समर्पित सिस्टम नोड पूल और विभिन्न VM SKU (जैसे, CPU के लिए F-सीरीज़, मेमोरी के लिए E-सीरीज़, GPU के लिए N-सीरीज़) के साथ कई उपयोगकर्ता नोड पूल का उपयोग करें। क्लस्टर ऑटोस्केलर का उपयोग करें और अपटाइम SLA के लिए Standard/Premium टियर सक्षम करें।

क्यों: कई नोड पूल प्रदर्शन और लागत-दक्षता के लिए सही हार्डवेयर को सही वर्कलोड से मेल खाने की अनुमति देते हैं। सिस्टम पॉड्स को अलग करने से स्थिरता में सुधार होता है। वित्तीय रूप से समर्थित SLA के लिए Standard/Premium टियर आवश्यक है।

एक इवेंट-ड्रिवन सर्वरलेस वर्कफ़्लो को Functions Consumption plan की 10 मिनट की सीमा से अधिक निष्पादन समय की आवश्यकता है।

→Premium plan या App Service plan पर Azure Functions का उपयोग करें, या ऑर्केस्ट्रेशन के लिए Azure Durable Functions का उपयोग करें।

क्यों: Premium plan 60 मिनट तक के निष्पादन का समर्थन करता है (डिफ़ॉल्ट 30) और कोल्ड स्टार्ट से बचाता है। Durable Functions लंबे समय तक चलने वाले, स्टेटफुल वर्कफ़्लो को ऑर्केस्ट्रेट करने के लिए आदर्श हैं जिसमें मानव इंटरैक्शन या लंबी प्रतीक्षा शामिल हो सकती है।

एक फैन-आउट इवेंट नोटिफिकेशन सिस्टम बनाम एक विश्वसनीय, आदेशित कमांड प्रोसेसिंग सिस्टम के लिए एक मैसेजिंग सेवा चुनें।

→फैन-आउट, रिएक्टिव इवेंटिंग के लिए Azure Event Grid का उपयोग करें। विश्वसनीय, लेन-देन संबंधी कमांड प्रोसेसिंग के लिए Azure Service Bus Queues (ऑर्डरिंग के लिए सेशन के साथ) का उपयोग करें।

क्यों: Event Grid एक हल्का, पुश-आधारित इवेंट रूटिंग सेवा है जिसे रिएक्टिव प्रोग्रामिंग के लिए अनुकूलित किया गया है। Service Bus FIFO (सेशन), डेड-लेटरिंग और एंटरप्राइज़ मैसेजिंग के लिए लेन-देन जैसी सुविधाओं के साथ एक मजबूत मैसेज ब्रोकर है।

एक निजी VNet पर चल रहे API को बाहरी भागीदारों के लिए सुरक्षित रूप से उजागर करें, जिसमें दर सीमित करने और प्रमाणीकरण के लिए नीतियां हों।

→Azure Application Gateway के साथ WAF for public ingress के साथ आंतरिक VNet मोड में Azure API Management (APIM) को तैनात करें।

क्यों: यह पैटर्न गहन सुरक्षा प्रदान करता है। VNet में APIM निजी बैकएंड तक पहुंच सकता है। App Gateway SSL को समाप्त करता है, WAF के साथ ट्रैफ़िक का निरीक्षण करता है, और इसे निजी APIM इंस्टेंस पर अग्रेषित करता है। APIM नीतियां auth, दर सीमाएं आदि को संभालती हैं।

सैकड़ों शाखा कार्यालयों और VNets को स्वचालित, किसी-से-किसी भी कनेक्टिविटी के साथ विश्व स्तर पर कनेक्ट करें।

→Azure Virtual WAN।

क्यों: Virtual WAN बड़े पैमाने पर, वैश्विक पारगमन नेटवर्किंग के लिए प्रबंधित Microsoft समाधान है। यह जटिल रूटिंग को स्वचालित करता है और VPN, ExpressRoute और VNet स्पोक्स को जोड़ने के लिए एक एकीकृत हब प्रदान करता है।

एक बड़े पैमाने पर, समानांतर बैच कार्य (जैसे, CFD सिमुलेशन) चलाएं जिसके लिए हजारों कोर और कम-विलंबता MPI संचार की आवश्यकता होती है।

→कम-प्राथमिकता (Spot) मूल्य निर्धारण का उपयोग करके InfiniBand-सक्षम VMs (जैसे, HB-सीरीज़) के पूल के साथ Azure Batch।

क्यों: Azure Batch HPC के लिए डिज़ाइन किया गया एक कार्य शेड्यूलर है। InfiniBand-सक्षम VMs MPI के लिए आवश्यक उच्च-थ्रूपुट, कम-विलंबता RDMA नेटवर्किंग प्रदान करते हैं। कम-प्राथमिकता वाले VMs दोष-सहिष्णु वर्कलोड के लिए लागत को नाटकीय रूप से कम करते हैं।

एक VNet में एक एप्लिकेशन को सार्वजनिक इंटरनेट से ट्रैफ़िक गुजरे बिना PaaS सेवाओं (SQL, Storage) तक पहुंचने की आवश्यकता है।

→PaaS सेवाओं के लिए निजी एंडपॉइंट बनाएं। यह सेवा को आपके VNet के भीतर एक निजी IP पता देता है।

क्यों: निजी एंडपॉइंट निजी PaaS कनेक्टिविटी के लिए सबसे सुरक्षित तरीका है। वे सुनिश्चित करते हैं कि ट्रैफ़िक Microsoft बैकबोन पर रहता है और आपको PaaS सेवा के सार्वजनिक एंडपॉइंट को पूरी तरह से अक्षम करने की अनुमति देता है।

एक सर्वरलेस API बैकएंड, CI/CD एकीकरण और एक कस्टम डोमेन के साथ एक आधुनिक सिंगल-पेज एप्लिकेशन (SPA) को होस्ट करें।

→Azure Static Web Apps।

क्यों: यह इस सटीक पैटर्न के लिए एक विशेष रूप से निर्मित, सुव्यवस्थित सेवा है। यह स्थिर सामग्री होस्टिंग, API के लिए एकीकृत Azure Functions, GitHub/Azure DevOps एकीकरण, और मुफ्त SSL प्रमाणपत्रों के साथ प्रबंधित कस्टम डोमेन को जोड़ती है।

ऑन-प्रिमाइसेस और अन्य क्लाउड (जैसे, AWS) में चल रहे सर्वर का Azure से प्रबंधन और शासन (Azure Policy) लागू करें।

→गैर-Azure सर्वर पर Azure Arc एजेंट स्थापित करें ताकि उन्हें Azure Arc-सक्षम सर्वर के रूप में प्रोजेक्ट किया जा सके।

क्यों: Azure Arc Azure कंट्रोल प्लेन को किसी भी इन्फ्रास्ट्रक्चर तक बढ़ाता है। एक बार जब एक सर्वर Arc-सक्षम हो जाता है, तो उसे Azure Policy, Monitor, Defender for Cloud आदि के साथ प्रबंधित किया जा सकता है, ठीक एक मूल Azure VM की तरह।

एक "बिग बैंग" कटओवर के बिना एक विरासत मोनोलिथिक एप्लिकेशन से नई माइक्रोसेर्विसेज में कार्यक्षमता को धीरे-धीरे माइग्रेट करें।

→Azure API Management या Application Gateway जैसे रिवर्स प्रॉक्सी का उपयोग करके Strangler Fig पैटर्न लागू करें।

क्यों: रिवर्स प्रॉक्सी मोनोलिथ के लिए कॉल को रोकता है और विशिष्ट सुविधाओं के लिए ट्रैफ़िक को नई माइक्रोसेर्विसेज पर चुनिंदा रूप से रूट करता है। समय के साथ, प्रॉक्सी अधिक से अधिक ट्रैफ़िक को रीडायरेक्ट करके मोनोलिथ को "गला घोंटता" है जब तक कि पुरानी प्रणाली को सेवानिवृत्त नहीं किया जा सकता।

VMs एक VNet में मजबूर टनलिंग (सभी इंटरनेट ट्रैफ़िक ऑन-प्रेम पर रूट किया गया) के साथ हैं, लेकिन वे Azure PaaS सेवाओं तक नहीं पहुंच सकते।

→मजबूर टनलिंग Azure सार्वजनिक एंडपॉइंट तक सीधी पहुंच को तोड़ता है। PaaS एक्सेस के लिए सेवा एंडपॉइंट या निजी एंडपॉइंट का उपयोग करें। वैकल्पिक रूप से, टनल को बायपास करने के लिए "Internet" के अगले हॉप के साथ विशिष्ट Azure सेवा टैग के लिए UDRs जोड़ें।

क्यों: PaaS सेवाओं में सार्वजनिक एंडपॉइंट होते हैं। मजबूर टनलिंग उस ट्रैफ़िक को ऑन-प्रेम पर भेजता है। आपको एक अपवाद पथ बनाना होगा, या तो PaaS सेवा को निजी बनाकर (एंडपॉइंट) या विशिष्ट मार्ग अपवाद (सेवा टैग के साथ UDRs) बनाकर।

एक हब-स्पोक नेटवर्क को Azure से ऑन-प्रिमाइसेस DNS नामों को हल करने और ऑन-प्रिमाइसेस से Azure निजी DNS ज़ोन को हल करने की आवश्यकता है।

→हब VNet में Azure DNS Private Resolver तैनात करें। ऑन-प्रेम के लिए Azure DNS को हल करने के लिए एक इनबाउंड एंडपॉइंट कॉन्फ़िगर करें, और Azure से ऑन-प्रेम DNS को हल करने के लिए फ़ॉरवर्डिंग नियमसेट के साथ एक आउटबाउंड एंडपॉइंट कॉन्फ़िगर करें।

क्यों: यह हाइब्रिड DNS रिज़ॉल्यूशन के लिए आधुनिक, PaaS समाधान है, जो कस्टम DNS सर्वर VMs को प्रबंधित करने की आवश्यकता को प्रतिस्थापित करता है। यह निजी DNS ज़ोन और ऑन-प्रिमाइसेस DNS फॉरवर्डर के साथ मूल रूप से एकीकृत होता है।

बाहरी सेवाओं द्वारा श्वेतसूचीकरण के लिए कई VNets को सभी आउटबाउंड ट्रैफ़िक के लिए एक अनुमानित, स्थिर सार्वजनिक IP की आवश्यकता है।

→एक हब-स्पोक टोपोलॉजी में, स्पोक्स से सभी आउटबाउंड ट्रैफ़िक (0.0.0.0/0) को हब VNet में Azure Firewall या NAT Gateway के माध्यम से रूट करें।

क्यों: हब में निकास को केंद्रीकृत करने से यह सुनिश्चित होता है कि सभी आउटबाउंड ट्रैफ़िक हब फ़ायरवॉल/NAT Gateway के सार्वजनिक IPs का उपयोग करता है, जिससे प्रबंधन और बाहरी श्वेतसूचीकरण सरल हो जाता है। NAT Gateway शुद्ध SNAT के लिए सरल है, जबकि फ़ायरवॉल सुरक्षा निरीक्षण जोड़ता है।

अत्यधिक संवेदनशील डेटा को इस तरह से संसाधित करें कि यह मेमोरी में उपयोग में होने पर भी एन्क्रिप्टेड हो, इसे क्लाउड ऑपरेटर से बचाता है।

→Intel SGX या AMD SEV-SNP के साथ Azure Confidential Computing VMs (DCsv3/ECsv3-सीरीज़) का उपयोग करें ताकि हार्डवेयर-आधारित Trusted Execution Environment (TEE) या एन्क्रिप्टेड मेमोरी में कोड चलाया जा सके।

क्यों: Confidential Computing सुरक्षा के "डेटा-इन-यूज़" स्तंभ को संबोधित करता है, जिसे पारंपरिक एन्क्रिप्शन-एट-रेस्ट और इन-ट्रांजिट नहीं करते हैं। यह सत्यापन योग्य, हार्डवेयर-स्तर अलगाव प्रदान करता है।

एक SaaS प्रदाता को अपनी सेवा को, जो उनके VNet में चल रही है, ग्राहक के VNet में ग्राहक के लिए, पूरी तरह से Azure निजी नेटवर्क पर उजागर करने की आवश्यकता है।

→प्रदाता अपने Standard Load Balancer पर एक Azure Private Link Service बनाता है। ग्राहक अपने VNet में एक Private Endpoint बनाता है जो सेवा से जुड़ता है।

क्यों: Private Link सुरक्षित, निजी, क्रॉस-टेनेंट सेवा एक्सपोजर के लिए निश्चित पैटर्न है। यह सार्वजनिक इंटरनेट एक्सपोजर, IP ओवरलैप मुद्दों और जटिल VNet पीयरिंग कॉन्फ़िगरेशन से बचाता है।