Nasazení a konfigurace suverénní cílové zóny
Před nasazením a konfigurací suverénních cílových zón (SLZ) musíte provést různé nezbytné kroky.
Nasazení SLZ
SLZ nasazuje a konfiguruje různé prostředky Azure způsobem, který je v souladu s cílovou zónou podnikové úrovně jako součást osvědčených postupů Cloud Adoption Framework (CAF) a poskytuje vhodné ochranné mantinely, které organizace může nakonfigurovat tak, aby splnila své požadavky na suverenitu dat. Vyberte technologii nasazení pro další informace o nasazení.
Před nasazením a konfigurací Sovereign Landing Zone (SLZ) pomocí Bicepu musíte dokončit různé nezbytné kroky. Podrobný přehled SLZ a všech jeho schopností najdete v dokumentaci Sovereign Landing Zone (Bicep) na GitHubu.
Předpoklady
K nasazení musíte provést nezbytné kroky:
Ujistěte se, že vaše místní prostředí má nainstalované následující verze (nebo novější):
- PowerShell 7.0
- Azure RM 2.51.0
- Azure PowerShell 10.0.0
- Azure Bicep 0.20.0
Ujistěte se, že máte přístup k identitě Microsoft Entra ID s následujícími oprávněními v Azure:
- Vytvářet (nebo používat existující) předplatná
- Vlastník předplatných
- Vytváření instančních objektů
- Vytváření definic a přiřazení sady zásad.
Kroky k nasazení suverénní cílové zóny
Podívejte se na místní kopii Suverénní přistávací zóny.
Ověřte, zda jsou splněny předpoklady pro vaše místní běhové prostředí a Azure oprávnění spuštěním skriptu Confirm-SovereignLandingZonePrequires.ps1.
Aktualizujte soubor parametrů o požadované parametry ve vaší lokální kopii úložiště SLZ. Můžete vytvořit nasazení SLZ s následujícími minimálními parametry:
- Jedinečné a člověkem čitelné názvy pro SLZ
- Umístění a schválené umístění pro nasazení
- Fakturační údaje pro nově vytvořená nebo stávající předplatná
(Volitelné) Přidejte definice vlastních zásad podle potřeby pro zajištění souladu.
Spusťte všechny kroky v rámci skriptu nasazení
New-SovereignLandingZone.ps1. Počáteční proces nasazení může trvat přes hodinu.Ověřte, že nasazení bylo dokončeno, prohlédněte si výstupní odkaz řídicího panelu shody zobrazený na konci nasazení.
Konfigurace iniciativ základu zásad suverenity
Pro konfiguraci iniciativ základní linie zásad musíte použít následující konfigurační parametry SLZ:
parAllowedLocations: Tento parametr použijte ke konfiguraci zásad omezení umístění pro všechny zdroje nasazené SLZ mimo rozsahy důvěrné skupiny pro správu.
parAllowedLocationsForConfidentialComputing: Pomocí tohoto parametru můžete nakonfigurovat zásady omezení umístění pro prostředky nasazené v rámci důvěrných oblastí správy. Tento parametr může být stejný jako parametr parAllowedLocations, ale možná se bude muset lišit, pokud Důvěrné zpracování Azure není v preferované oblasti k dispozici.
parPolicyEffect: Tento parametr přepíná mezi základní linií s efektem odmítnutí, který se doporučuje pro produkční úlohy, nebo efektem auditu.
Použití portfolia zásad nebo zásada ALZ
Každá Preview iniciativa v rámci portfolia zásad musí mít před použitím v nasazení SLZ nasazenou svou definici. Podrobnosti o nasazení těchto definic naleznete v článku o portfoliu zásad . Tyto kroky můžete použít k nasazení definic do jakékoli existující cílové zóny.
Pro konfiguraci těchto iniciativ zásad použijte následující konfigurační parametry SLZ:
parCustomerPolicySets: Tento parametr vám pomáhá určit seznam definic sady zásad, které se mají přiřadit v rozsahu skupiny pro správu nejvyšší úrovně pro nasazení SLZ.
parDeployAlzDefaultPolicies: Tento parametr umožňuje nasazení zásad ALZ v příslušných rozsazích v rámci nasazení SLZ.
Nasazení cílové zóny platformy nebo aplikace
Po nasazení SLZ můžete zřídit cílovou zónu platformy nebo aplikace pomocí následujících kroků:
Podívejte se na místní kopii Prodeje cílové zóny ALZ.
Prohlédněte si existující protokoly nasazení SLZ pro příslušné skupiny správy, umístění, ID prostředků atd. potřebné ke konfiguraci prodejního modulu.
Aktualizujte soubor main.bicep o příslušné parametry a spusťte skript bicep.