소버린 랜딩 존 배포 및 구성
SLZ(소버린 랜딩 존)를 배포하고 구성하기 전에 다양한 필수 단계를 완료해야 합니다.
SLZ 배포하기
SLZ는 CAF(클라우드 채택 프레임워크) 모범 사례의 일부로 엔터프라이즈급 랜딩 존과 일치하는 방식으로 다양한 Azure 리소스를 배포 및 구성하고 조직이 데이터 주권 요구 사항을 달성하기 위해 구성할 수 있는 적절한 가드레일을 제공합니다. 자세한 배포 정보를 보려면 배포 기술을 선택하세요.
Bicep을 사용하여 SLZ(Sovereign Landing Zone)를 배포하고 구성하기 전에 다양한 전제 조건 단계를 완료해야 합니다. SLZ와 그 기능에 대한 자세한 개요는 GitHub의 Sovereign Landing Zone (Bicep) 문서를 참조하세요.
사전 요구 사항
배포를 완료하려면 필수 단계를 수행해야 합니다.
로컬 환경에 다음 버전(또는 그 이상)이 설치되어 있는지 확인합니다.
- PowerShell 7.0
- Azure RM 2.51.0
- Azure PowerShell 10.0.0
- Azure Bicep 0.20.0
Azure에서 다음 권한이 있는 Microsoft Entra ID ID에 액세스할 수 있는지 확인하세요.
- 구독 생성(또는 기존 구독 사용)
- 구독 소유자
- 서비스 주체 생성
- 정책 집합 정의 및 할당 생성.
소버린 랜딩 존을 배포하는 단계
Confirm-SovereignLandingZonePrerequisites.ps1 스크립트를 실행하여 로컬 런타임 환경 및 Azure 권한에 대한 필수 구성 요소가 충족되는지 확인합니다.
SLZ 리포지토리의 로컬 복사본에서 필요한 매개변수로 매개 변수 파일을 업데이트합니다. 다음과 같은 최소 매개 변수를 사용하여 SLZ 배포를 만들 수 있습니다.
- SLZ의 고유하고 사람이 읽을 수 있는 이름
- 배포 위치 및 승인된 위치
- 새로 만들거나 기존 구독에 대한 청구 정보
(선택 사항) 규정 준수를 위해 필요에 따라 사용자 지정 정책 정의를 추가합니다.
배포 스크립트 내의 모든 단계를 실행합니다.
New-SovereignLandingZone.ps1
최초 배포 프로세스는 1시간 이상 걸릴 수 있습니다.배포가 완료되었는지 확인하려면 배포가 끝나면 규정 준수 대시보드 출력 연결를 확인하세요.
소버린 기준 정책 이니셔티브 구성
소버린 기준 정책 이니셔티브를 구성하려면 다음 SLZ 구성 매개 변수를 사용해야 합니다.
parAllowedLocations: 이 매개변수를 사용하여 기밀 관리 그룹 범위 외부에서 SLZ가 배포한 모든 리소스에 대한 위치 제한 정책을 구성합니다.
parAllowedLocationsForConfidentialComputing: 이 매개변수를 사용하여 기밀 관리 그룹 범위 내에 배포된 리소스에 대한 위치 제한 정책을 구성합니다. 이 매개 변수는 parAllowedLocations 매개 변수와 동일할 수 있지만, 선호하는 지역에서 Azure 기밀 컴퓨팅을 사용할 수 없는 경우 다르게 설정해야 할 수 있습니다.
parPolicyEffect: 이 매개변수는 프로덕션 워크로드에 권장되는 거부 효과와 감사 효과를 갖는 기준선 사이를 전환합니다.
정책 포트폴리오 또는 ALZ 정책 사용하기
정책 포트폴리오 내의 모든 프리뷰 이니셔티브는 SLZ 배포에 사용되기 전에 먼저 정의가 배포되어야 합니다. 이러한 정의를 배포하는 데 대한 자세한 내용은 정책 포트폴리오 에 대한 문서를 검토하세요. 이러한 단계를 사용하여 기존 랜딩 존에 정의를 배포할 수 있습니다.
이러한 정책 이니셔티브를 구성하려면 다음 구성 매개 변수를 사용합니다.
parCustomerPolicySets: 이 매개변수는 SLZ 배포에 대한 최상위 관리 그룹 범위에서 할당할 정책 세트 정의 목록을 지정하는 데 도움이 됩니다.
parDeployAlzDefaultPolicies: 이 매개변수를 사용하면 SLZ 배포 내의 관련 범위에 ALZ 정책 을 배포할 수 있습니다.
플랫폼 또는 애플리케이션 랜딩 존 배포하기
SLZ를 배포한 후에는 다음 단계를 통해 플랫폼 또는 애플리케이션 랜딩 존을 프로비저닝할 수 있습니다.
ALZ 랜딩 존 자판기의 로컬 사본을 확인하세요.
자판기 모듈을 구성하는 데 필요한 관련 관리 그룹, 위치, 리소스 ID 등은 기존 SLZ 배포 로그를 참조하세요.
적절한 매개 변수를 사용하여 main.bicep 파일을 업데이트하고 Bicep 스크립트를 실행합니다.