01 · Landing Zones
正确完成上云的
前 90 天
Azure 登陆区(依据 CAF)或 AWS 多账户组织(依据 AWS Well-Architected):以代码预置身份、网络、策略、日志和安全基线。
我们以精准、安全和成本纪律将企业系统迁移上云。登陆区、Terraform、身份、可观测性以及 FinOps 实践——全部作为单一负责的合作项目交付。
Azure 登陆区(依据 CAF)或 AWS 多账户组织(依据 AWS Well-Architected):以代码预置身份、网络、策略、日志和安全基线。
逐工作负载的迁移计划:重新托管、重新平台化、重构架构或退役。试点、并行运行、切换、退役——每一步都有书面回滚方案。
所有基础设施皆为代码。模块在私有注册表中版本化。漂移检测。GitHub Actions 中的 plan/apply 流水线。引导之后不再在控制台中点击操作。
标签策略、分摊模型、预留容量计划以及每季度的指导评审。云成本随工作负载增长,而非随人员数量。
为期二至四周的评估:工作负载清点、依赖映射、合规范围界定(Protected-B / SOC 2),以及每个工作负载的处置方案(重新托管、重新平台化、重构架构、退役)。产出:书面策略 + 量级估算。
参考架构:登陆区、身份模型、网络拓扑、安全基线、可观测性技术栈、部署流水线以及灾难恢复计划。在任何迁移之前评审并签署。
分波次执行。每个波次:试点、并行运行、切换、退役。从第 1 波次起即具备生产级可观测性。与高管发起人每季度进行指导。
可选但常见:用于云运营的托管服务合同、月度 FinOps 报告、季度架构评审以及年度态势评审。
Microsoft Azure(主力)、AWS、Google Cloud(在有需要时)。
Terraform(主力)、Bicep(仅 Azure 且团队偏好时)、GitHub Actions、Azure DevOps Pipelines、Spacelift / Terraform Cloud。
Microsoft Entra ID(Azure AD)、AWS IAM、KeyVault / Secrets Manager、Azure Policy、AWS SCP、Defender / GuardDuty、Sentinel / Security Hub。
Azure Monitor + Log Analytics、AWS CloudWatch、Grafana + Prometheus、OpenTelemetry、Datadog(当采购方已在使用时)。
交叉引用 — 云合作伙伴简介 · 完整技术清单 · Protected-B 合规态势 · 应用程序底层。
鉴于 Protected-B 交叉链接,公共部门 · GoC 位居榜首。完整的 17 个行业清单见行业概览。