Souveräne Landezone bereitstellen und konfigurieren

Sie müssen die verschiedenen erforderlichen Schritte abschließen, bevor Sie die Sovereign Landing Zone (SLZ) bereitstellen und konfigurieren.

SLZ bereitstellen

Das SLZ stellt verschiedene Azure-Ressourcen in einer Weise bereit und konfiguriert sie so, dass sie mit der Zielzone auf Unternehmensebene im Rahmen der Best Practices des Cloud Adoption Framework (CAF) übereinstimmen und entsprechende Leitplanken bieteen, damit eine Organisation Konfigurationen vornehmen kann, um ihre Anforderungen an die Datensouveränität zu erfüllen. Auswählen die Bereitstellungstechnologie für weitere Bereitstellungsinformationen.

Bizeps

Sie müssen verschiedene vorbereitende Schritte ausführen, bevor Sie die Sovereign Landing Zone (SLZ) mit Bicep bereitstellen und konfigurieren. Eine ausführliche Übersicht über eine SLZ und alle ihre Funktionen finden Sie in der Sovereign Landing Zone (Bicep) Dokumentation auf GitHub.

Anforderungen

Sie müssen die Bereitstellung abschließen, um den Bereitstellungsschritt auszuführen.

• Stellen Sie sicher, dass in Ihrer lokalen Umgebung die folgenden Versionen installiert sind (oder neuer):

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Stellen Sie sicher, dass Sie in Azure Zugriff auf eine Microsoft Entra ID-Identität mit den folgenden Berechtigungen haben:

  • Erstellen Sie Abonnements (oder nutzen Sie bestehende)
  • Inhaber der Abonnements
  • Dienstprinzipale erstellen
  • Erstellen Sie Richtliniensatzdefinitionen und -zuweisungen.

Schritte zum Einsatz der souveränen Zielzone

1. Schauen Sie sich eine lokale Kopie der Sovereign Landing Zone an.

2. Überprüfen Sie, ob die Voraussetzungen für Ihre lokalen Laufzeitberechtigungen Umgebung und Azure erfüllt sind, indem Sie das Skript Confirm-SovereignLandingZonePrerequisites.ps1 ausführen.

3. Aktualisieren Sie die Parameterdatei mit den erforderlichen Parametern in Ihrer lokalen Kopie des SLZ-Repositorys. Sie können eine SLZ-Bereitstellung mit den folgenden Mindestparametern erstellen:

   • Eindeutige und für Menschen lesbare Namen für die SLZ
   • Standort und genehmigter Standort für den Einsatz
   • Rechnungsinformationen für die neu erstellten oder bestehenden Abonnements

4. (Optional) Fügen Sie nach Bedarf benutzerdefinierte Richtliniendefinitionen hinzu, um die Compliance zu gewährleisten.

5. Führen Sie alle Schritte innerhalb des New-SovereignLandingZone.ps1 Bereitstellungsskripts aus. Der erste Bereitstellungsprozess kann über eine Stunde dauern.

6. Überprüfen Sie, ob die Bereitstellung mit Girokonto abgeschlossen wurde. Sehen Sie sich dazu die Compliance-Dashboard-Ausgabe verknüpfen an, die am Ende der Bereitstellung angezeigt wird.

Sovereignty Baseline-Richtlinieninitiativen konfigurieren

Sie müssen die folgenden SLZ-Konfigurationsparameter zum Konfigurieren der Sovereignty Baseline-Richtlinieninitiativen verwenden:

• parAllowedLocations: Verwenden Sie diesen Parameter, um die Richtlinien zur Standortbeschränkung für alle von der SLZ außerhalb der vertraulichen Verwaltungsgruppenbereiche bereitgestellten Ressourcen zu konfigurieren.

• parAllowedLocationsForConfidentialComputing: Verwenden Sie diesen Parameter, um die Standortbeschränkungsrichtlinien für Ressourcen zu konfigurieren, die innerhalb der vertraulichen Verwaltungsgruppenbereiche bereitgestellt werden. Dieser Parameter kann mit dem Parameter parAllowedLocations identisch sein, muss jedoch möglicherweise anders sein, wenn Azure Confidential Computing in der bevorzugten Region nicht verfügbar ist.

• parPolicyEffect: Dieser Parameter schaltet zwischen der Baseline mit einem Verweigerungseffekt, der für Produktionsarbeitslasten empfohlen wird, und einem Prüfeffekt um.

Nutzen Sie das Policenportfolio oder die ALZ-Policen

Bei jeder Vorschauversion-Initiative innerhalb des Richtlinienportfolios muss die Definition bereitgestellt werden, bevor sie in einer SLZ-Bereitstellung verwendet werden kann. Weitere Einzelheiten zur Bereitstellung dieser Definitionen finden Sie im Artikel Richtlinienportfolio . Mit diesen Schritten können Sie die Definitionen in jeder vorhandenen Zielzone bereitstellen.

Sie müssen die folgenden SLZ-Konfigurationsparameter zum Konfigurieren dieser Richtlinienbasislinie verwenden:

• parCustomerPolicySets: Mit diesem Parameter können Sie eine Liste von Richtliniensatzdefinitionen angeben, die im Verwaltungsgruppenbereich der obersten Ebene für eine SLZ-Bereitstellung zugewiesen werden sollen.

• parDeployAlzDefaultPolicies: Dieser Parameter ermöglicht die Bereitstellung der ALZ-Richtlinien in relevanten Bereichen innerhalb einer SLZ-Bereitstellung.

Terraform

Sie müssen verschiedene vorbereitende Schritte ausführen, bevor Sie die Sovereign Landing Zone (SLZ) mit Terraform bereitstellen und konfigurieren. Eine ausführliche Übersicht über eine SLZ und alle ihre Funktionen finden Sie in der Sovereign Landing Zone (Terraform) Dokumentation auf GitHub.

Anforderungen

Sie müssen die Bereitstellung abschließen, um den Bereitstellungsschritt auszuführen.

• Stellen Sie sicher, dass in Ihrer lokalen Umgebung die folgenden Versionen installiert sind (oder neuer):

  • Terraform v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• Stellen Sie sicher, dass Sie in Azure Zugriff auf eine Microsoft Entra ID-Identität mit den folgenden Berechtigungen haben:

  • Erstellen Sie Abonnements (oder nutzen Sie bestehende)
  • Inhaber der Abonnements
  • Dienstprinzipale erstellen
  • Erstellen Sie Richtliniensatzdefinitionen und -zuweisungen.

Schritte zum Einsatz der souveränen Zielzone

1. Laden Sie eine Kopie von Inputs.yaml herunter, um Ihre Bereitstellung zu konfigurieren. Sie können eine SLZ-Bereitstellung mit den folgenden Mindestparametern erstellen:

   • Eindeutige und für Menschen lesbare Namen für die SLZ
   • Standort und genehmigter Standort für den Einsatz
   • Rechnungsinformationen für die neu erstellten oder bestehenden Abonnements

2. (Optional) Fügen Sie nach Bedarf benutzerdefinierte Richtliniendefinitionen hinzu, um die Compliance zu gewährleisten.

3. Führen Sie den Befehl „Deploy Accelerator PowerShell“ aus, um eine lokale Kopie der Sovereign Landing Zone (Terraform) auszuchecken.

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. Führen Sie den terraform apply Befehl aus. Der erste Bereitstellungsprozess kann über eine Stunde dauern.

5. Überprüfen Sie, ob die Bereitstellung abgeschlossen ist, indem Sie Girokonto die Compliance-Dashboard-Ausgabe verknüpfen anzeigen, die am Ende der Bereitstellung angezeigt wird.

Sovereignty Baseline-Richtlinieninitiativen konfigurieren

Sie müssen die folgenden SLZ-Konfigurationsparameter zum Konfigurieren der Sovereignty Baseline-Richtlinieninitiativen verwenden:

• allowed_locations: Verwenden Sie diesen Parameter, um die Richtlinien zur Standortbeschränkung für alle von der SLZ außerhalb der vertraulichen Verwaltungsgruppenbereiche bereitgestellten Ressourcen zu konfigurieren.

• allowed_locations_for_confidential_Computing: Verwenden Sie diesen Parameter, um die Richtlinien zur Standortbeschränkung für Ressourcen zu konfigurieren, die innerhalb der vertraulichen Verwaltungsgruppenbereiche bereitgestellt werden. Dieser Parameter kann derselbe sein wie der Parameter allowed_locations , muss aber möglicherweise anders sein, wenn Azure Confidential Computing in der bevorzugten Region nicht verfügbar ist.

• policy_effect: Dieser Parameter schaltet zwischen der Baseline mit einem Verweigerungseffekt, der für Produktionsarbeitslasten empfohlen wird, und einem Prüfeffekt um.

Nutzen Sie das Policenportfolio oder die ALZ-Policen

Bei jeder Vorschauversion-Initiative innerhalb des Richtlinienportfolios muss die Definition bereitgestellt werden, bevor sie in einer SLZ-Bereitstellung verwendet werden kann. Einzelheiten zur Bereitstellung dieser Definitionen finden Sie im Artikel zum Richtlinienportfolio. Mit diesen Schritten können Sie die Definitionen in jeder vorhandenen Zielzone bereitstellen.

Sie müssen die folgenden SLZ-Konfigurationsparameter zum Konfigurieren dieser Richtlinienbasislinie verwenden:

• customer_policy_sets: Mit diesem Parameter können Sie eine Liste mit Richtliniensatzdefinitionen angeben, die im Verwaltungsgruppenbereich der obersten Ebene für eine SLZ-Bereitstellung zugewiesen werden sollen.

• apply_alz_archetypes_via_architecture_definition_template: Dieser Parameter ermöglicht die Bereitstellung der ALZ-Richtlinien in relevanten Bereichen innerhalb einer SLZ-Bereitstellung.

Stellen Sie eine Plattform oder Anwendungszielzone bereit

Nachdem eine SLZ bereitgestellt wurde, können Sie die Plattform oder Anwendungszielzone mithilfe der folgenden Schritte bereitstellen:

1. Schauen Sie sich eine lokale Kopie der Zielzone Verkauf an.

2. Verweisen Sie auf die vorhandenen SLZ-Bereitstellungsprotokolle für relevante Verwaltungsgruppen, Standorte, Ressourcen-IDs usw., die zum Konfigurieren des Verkaufsmoduls erforderlich sind.

3. Aktualisieren Sie die Datei main.bicep mit den entsprechenden Parametern und führen Sie das Bicep-Skript aus.

Siehe auch

• Überblick über die Sovereign Landing Zone
• Konzepte der Sovereign Landing Zone
• Politikportfolio