Martin Rylko
  • Služby
  • Blog
  • O mně
  • Kontakt
  • Spolupráce
Martin Rylko

Senior Cloud Architect & DevOps Engineer. Specializace na Microsoft Azure, IaC, Cloud Security a AI.

Navigace

  • Služby
  • Blog
  • O mně
  • Kontakt

Spolupráce

Hledáte zkušeného architekta pro Váš Azure projekt? Ozvěte se.

rylko@cloudmasters.cz

© 2026 Martin Rylko. Všechna práva vyhrazena.

Buduji v cloudu. Nasazuji přes Azure Static Web Apps.

Domů/Blog/Azure Landing Zone v Bicepu: Enterprise nasazení
Všechny článkyRead in English

Azure Landing Zone v Bicepu: Enterprise nasazení

15. 3. 2025 2 min
#Azure#Bicep#Landing Zone#IaC

Když začínáte stavět novou infrastrukturu v cloudu, Landing Zone je naprostý fundament. Určuje hranice sítě, politiky zabezpečení, správu identit i celkovou architekturu předplatných. Překlopení tohoto komplexního návrhu do kódu pomocí Microsoft Bicepu přináší ohromné výhody oproti manuálnímu "vyklikávání" přes Azure Portal.

Tradiční ARM šablony vs. Bicep

Historicky jsme se všichni trápili s obřími, nepřehlednými ARM šablonami ve formátu JSON, kde napsání jednoduchého for-loopy byl úkon na celý den. S Bicepem získáváme neskutečně čistší syntaxi, transparentní závislosti a masivní modularitu.

Zde je jednoduchý příklad, jak elegantně vypadá kód:

param location string = 'westeurope'
param environmentType string = 'prod'
 
// Vytvoření Resource Group
resource vnetRg 'Microsoft.Resources/resourceGroups@2021-04-01' = {
  name: 'rg-network-${environmentType}'
  location: location
}
 
// Virtuální Síť nasazená jako volaný modul
module hubVnet './modules/network.bicep' = {
  name: 'deploy-hub-vnet'
  scope: vnetRg
  params: {
    vnetName: 'vnet-hub-${location}'
    addressPrefix: '10.0.0.0/16'
  }
}

Vidíte jak je to čisté? Oproti JSON definici je toto obrovský posun vpřed. Získali jsme typovou bezpečnost, plnou podporu intellisense ve VS Code a možnost dělit složitý monolitický kód do stovek malých znuvupoužitelných logických celků (např. hub.bicep, spoke.bicep, firewall.bicep, policies.bicep).

Klíčové principy kvalitní implementace

  1. Keep it D.R.Y. (Don't Repeat Yourself). Pokud vidíte, že opisujete stejný kód 3x (třeba pro vytvoření Storage Accountu), vytvořte z něj ihned bicep modul!
  2. Přísná Naming Convention: Dodržujte specifikace Cloud Adoption Frameworku zkratek (např. st pro Storage, vnet pro Virtual Network).
  3. Validace Linterem: Před spuštěním nasazení si vždy nechte Linter zkontrolovat kvalitu vašeho souboru.

Závěr a další kroky

Pokud dnes začínáte s vývojem vaší Azure Landing Zone, snažte se hned od prvního commitu zachovat modularitu vašeho kódu. Nesnažte se vše vyřešit jedním obřím main.bicep souborem. Pro síťovou vrstvu vaší Landing Zone se podívejte na náš podrobný průvodce hub-spoke architekturou.

Obrovským dalším krokem pro správný moderní provoz Enterprise Architektury je napojení těchto šablon přímo do plně automatizovaných CI/CD pipelin např. v Azure DevOps nebo GitHub Actions - což bude hlavní téma na náš nadcházející článek! Zničíte tak takzvaný princip "Works on my machine" a nasadíte skutečný DevOps kulturu. Prozkoumejte naše kompletní Azure Landing Zone konzultační služby.

Tagy:#Azure#Bicep#Landing Zone#IaC
LinkedInX / Twitter

O autorovi

Martin Rylko

Martin Rylko

Senior Cloud Architect & DevOps Engineer

Více než 14 let v IT – od on-premises datacenter a Hyper-V clusteringu po cloudovou infrastrukturu v Microsoft Azure. Specializuji se na Landing Zones, IaC automatizaci, Kubernetes a bezpečnostní compliance.

Email LinkedInCelý profil

Nejcastejsi dotazy

Kolik subskripcí potřebuji minimálně pro Azure Landing Zone?▾
Minimálně dvě -- jednu pro konektivitu (hub síť, firewall, DNS) a jednu pro první workload. Enterprise-scale vzor doporučuje Platform management group s dedikovanými subskripcemi pro Identity, Management a Connectivity, plus Landing Zones management group pro workloadové subskripce. Můžete začít se dvěma a rozšiřovat postupně.
Jaký je rozdíl mezi Bicepem a ARM šablonami pro Landing Zone?▾
Bicep se kompiluje do ARM JSON, ale nabízí výrazně čistší syntaxi -- přibližně o 50-60 % méně řádků kódu pro stejný deployment. Bicep moduly podporují nativní řešení závislostí, typovou kontrolu při psaní kódu a přímou integraci s Azure Resource Managerem bez state souboru. Pro čistě Azure prostředí Bicep eliminuje složitost ARM JSON.
Jak dlouho trvá nasazení Landing Zone v Bicepu?▾
Základní Landing Zone s hub-spoke sítí, governance politikami a identity integrací zabere 2-3 týdny na první nasazení. Díky modulární struktuře Bicepu lze další prostředí (staging, DR) postavit v řádu hodin. Počítejte s dalším 1-2 týdny na integraci CI/CD pipeline a onboarding týmu.
Můžu migrovat existující ARM Template Landing Zone na Bicep?▾
Ano. Příkaz az bicep decompile převede ARM JSON na Bicep, i když bude potřeba následně pročistit reference parametrů a strukturu modulů. Doporučuji fázový přístup: dekompilace, refaktoring do modulů, validace přes what-if deploymenty a poté výměna v pipeline. Na typickou Landing Zone dekompilaci počítejte s 3-5 dny.

Mohlo by vás zajímat

Azure Landing Zone Networking: Hub-Spoke s Firewallem

Hub-spoke topologie pro Azure Landing Zone s Azure Firewall, Private DNS Zones a automatizací VNet peeringu v Bicep modulech.

Číst

Bicep CI/CD: GitHub Actions pipeline pro Azure

Produkční deployment pipeline pro Bicep v GitHub Actions. What-if náhledy, schvalování prostředí, OIDC autentizace a rollback strategie.

Číst

Terraform Azure moduly: Privátní registr a testování

Znovupoužitelné Terraform moduly pro Azure s publikací do privátního registru, automatizované testování Terratest a verzovaná spotřeba modulů v produkci.

Číst