Implementación del acelerador de zona de aterrizaje de Azure

  • 10 minutos

Tailwind Traders comenzará implementando algunas opciones de configuración específicas para cumplir sus restricciones. Al implementar el acelerador de zona de aterrizaje de Azure, las opciones siguientes imitarán el proceso que siga Tailwind Traders.

Requisitos previos

Antes de implementar el acelerador de zona de aterrizaje de Azure, deberá crear dos suscripciones de Azure:

  • Una suscripción de red para hospedar recursos de conectividad y redes
  • Una suscripción de identidad para hospedar recursos de administración de identidades y acceso

También puede crear una suscripción de administración, si planea implementar la configuración de administración de operaciones. Tailwind Traders decidió no usar esa opción de configuración.

El artículo Crear una suscripción de Contrato de cliente de Microsoft puede guiarle a través del proceso de creación de estas suscripciones.

Implementación del acelerador de zona de aterrizaje de Azure

  1. Abra el acelerador de zona de aterrizaje de Azure en Azure Portal. Esta experiencia del portal le guiará a lo largo de la implementación.

  2. En la pestaña Configuración de implementación:

    1. En Directorio, elija el inquilino adecuado de Microsoft Entra.

      Si no tiene los permisos adecuados, se mostrará un error debajo de su inquilino.

    2. En Región, seleccione una región de la lista desplegable.

      Tailwind Traders elige la región Centro-oeste de EE. UU.

  3. En la pestaña Azure core setup (Configuración básica de Azure):

    1. En Prefijo de recurso (id. de raíz), escriba un prefijo.

      Tailwind Traders especifica tailwind-.

    2. En Opciones de suscripción de plataforma, elija la opción Dedicada para mantener todos los recursos de la plataforma en una suscripción dedicada.

      Nota:

      La elección de suscripciones dedicadas para todos los recursos de la plataforma centralizará las herramientas necesarias para administrar el entorno. A medida que Tailwind Traders agrega seguridad, operaciones y gobernanza, usará la estructura de grupo de administración y suscripción dedicada que ha creado mediante esta opción de dedicación. Si se elige la opción de suscripción única, puede que sea necesario realizar un procesamiento adicional significativo más adelante, en el proceso de adopción.

  4. En la pestaña Platform management, security, and governance (Administración, seguridad y gobernanza de la plataforma), elija si quiere implementar un área de trabajo de Log Analytics y habilitar la supervisión. así que seleccione No.

    Tailwind Traders elige esta opción porque mejorará su zona de aterrizaje más adelante para abordar las necesidades de seguridad, administración y gobernanza.

  5. En la pestaña Platform DevOps and automation (DevOps y automatización de la plataforma), normalmente seleccionaría las opciones que se aplican a su organización.

    Dado que Tailwind Traders eligió no agregar ninguna de las características de Log Analytics, no puede agregar ninguna de las características de automatización y DevOps. Por lo tanto, no hay ninguna opción que elegir aquí.

  6. En la pestaña Network topology and connectivity (Topología y conectividad de red):

    1. Seleccione la opción Hub and spoke with Azure Firewall (Concentrador y radio con Azure Firewall). Esto creará una suscripción dedicada para la conectividad.

      Tailwind Traders selecciona esta opción. Una vez que se haya implementado el acelerador, la solución MPLS de la empresa se conectará a una instancia de Azure ExpressRoute implementada en esa suscripción. Esta configuración permitirá que cualquier zona de aterrizaje de aplicación se conecte a través de MPLS, pero primero enrutará el tráfico a través de Azure Firewall.

    2. Después de elegir la opción de concentrador y radio con Azure Firewall, aparecen más opciones para configurar la suscripción de conectividad:

      1. En Suscripción de conectividad, elija la suscripción de conectividad.

      2. En Espacio de direcciones, escriba un espacio de direcciones para cualquier dirección IP del centro de redes.

      3. En Region for the first networking hub (Región para el primer centro de redes), elija una región para la implementación.

        Tailwind Traders selecciona Centro-oeste de EE. UU., a fin de garantizar que el centro de redes se encuentre en la misma región que el resto de implementaciones.

      4. Para Habilitar Protección de red contra DDoS, seleccione No.

        Tailwind Traders elige esta opción porque no quiere habilitar la protección contra DDoS en este momento. La empresa aplaza las decisiones de seguridad y aún no está lista para aprobar el coste de ese servicio.

      5. En Create Private DNS Zones for Azure PaaS services (Crear zonas DNS privadas para servicios PaaS de Azure), seleccione .

        Tailwind Traders implementará algunas cargas de trabajo como servicios PaaS, por lo que opta por habilitar este servicio gratuito.

      6. En Deploy VPN Gateway y Deploy VPN Gateway (Implementar puerta de enlace de ExpressRoute), deje la selección predeterminada establecida en No.

        Tailwind Traders elige esta opción porque la empresa no está lista para conectar su MPLS a Azure ExpressRoute en este momento.

      7. En Deploy Azure Firewall (Implementar Azure Firewall), deje la selección predeterminada establecida en para implementar Azure Firewall.

      8. En Subnet for Azure Firewall (Subred para Azure Firewall), establezca el intervalo de subredes para su instancia de Azure Firewall.

      En las opciones que no se incluyen en los pasos anteriores, deje los valores predeterminados.

  7. En la pestaña Identidad:

    1. En Assign recommended policies to govern identity and domain controllers (Asignar directivas recomendadas para gobernar los controladores de identidades y dominio), deje la selección predeterminada establecida en Sí (recomendado).

      Tailwind Traders no está listo para cumplir el principio de gobernanza basada en directivas. Aun así, decide habilitar directivas que gobiernan sus controladores de identidades y dominio. Este primer paso hacia la automatización de la gobernanza les ayudará a mantener los controladores de identidades de la empresa más seguros en la nube.

    2. En Suscripción de identidad, elija la suscripción que hospedará los recursos relacionados con la identidad.

    3. Deje todas las opciones relacionadas con la directiva en el valor predeterminado establecido en Sí (recomendado).

    4. En Espacio de direcciones de red virtual, escriba el espacio de direcciones de la red virtual que hospedará los recursos relacionados con la identidad.

  8. En la pestaña Configuración de zonas de aterrizaje:

    1. En Connect corp landing zones to the connectivity hub (Conectar las zonas de aterrizaje corporativas al centro de conectividad), seleccione .

    2. En Corp landing zone subscriptions (Suscripciones de la zona de aterrizaje corporativa), seleccione una opción de la lista desplegable.

      Tailwind Traders tiene una suscripción que se usará como destino de la mayoría de las máquinas virtuales y de otros recursos que se van a migrar. La empresa elige esa suscripción aquí.

    3. En Online landing zone subscriptions (Suscripciones de la zona de aterrizaje en línea), seleccione una opción de la lista desplegable.

      Tailwind Traders también tiene una suscripción que se asignó para hospedar cualquiera de sus aplicaciones de acceso público. La empresa elige esa suscripción aquí.

    4. Para la serie de directivas recomendadas en Grupo de administración de zona de aterrizaje, seleccione Auditar solo.

      Tailwind Traders establece todas las directivas enumeradas de esta manera porque la empresa no está lista para adoptar la gobernanza controlada por directivas.

      Nota:

      Si Tailwind Traders quisiera adherirse a los principios de diseño para el diseño centrado en aplicaciones o la democratización de las suscripciones, habría varias suscripciones adicionales seleccionadas en la lista desplegable (o se agregarían más adelante).

      Si Tailwind Traders quisiera adherirse al principio de diseño de gobernanza basada en directivas, dejaría todas las directivas enumeradas con la opción aconsejada de Sí (recomendado) para aplicar automáticamente las decisiones de gobernanza mediante Azure Policy.

  9. En la pestaña Revisar y crear, seleccione Crear para implementar el entorno.

Ha implementado correctamente una zona de aterrizaje de Azure mediante el acelerador. Si ha seguido el proceso anterior, la implementación debería estar alineada con las restricciones de Tailwind Traders.