Delen via

Een soevereine landingszone implementeren en configureren

  • Artikel

U moet de verschillende vereiste stappen voltooien voordat u de Soevereine landingszone (SLZ) implementeert en configureert.

De SLZ implementeren

De SLZ implementeert en configureert verschillende Azure-resources op een manier die aansluit bij de landingszone op ondernemingsschaal als onderdeel van de best practices van het Cloud Adoption Framework (CAF) en biedt passende vangrails die een organisatie kan configureren om aan de vereisten voor gegevenssoevereiniteit te voldoen. Selecteer de implementatietechnologie voor meer informatie over de implementatie.

U moet verschillende vereiste stappen voltooien voordat u de Sovereign Landing Zone (SLZ) kunt implementeren en configureren met Bicep. Voor een gedetailleerd overzicht van een SLZ en alle mogelijkheden ervan, zie de Sovereign Landing Zone (Bicep) documentatie op GitHub.

Vereisten

Om de implementatie te voltooien, moet u de vereiste stappen uitvoeren:

  • Zorg ervoor dat de volgende versies in uw lokale omgeving zijn geïnstalleerd (of nieuwer):

    • PowerShell 7.0
    • Azure RM 2.51.0
    • Azure PowerShell 10.0.0
    • Azure Bicep 0.20.0

  • Zorg ervoor dat u toegang hebt tot een Microsoft Entra ID-identiteit met de volgende machtigingen in Azure:

    • Abonnementen maken (of bestaande gebruiken)
    • Eigenaar van de abonnementen
    • Service-principals maken
    • Maak definities en toewijzingen voor beleidsreeksen.

Stappen om de Soevereine landingszone te implementeren

  1. Bekijk een lokale kopie van de Sovereign Landing Zone.

  2. Controleer of aan de vereisten voor uw lokale runtime omgeving en Azure-machtigingen is voldaan door het script Confirm-SovereignLandingZonePrerequisites.ps1 uit te voeren.

  3. Update het parameterbestand met de vereiste parameters in uw lokale kopie van de SLZ-opslagplaats. U kunt een SLZ-implementatie maken met de volgende minimale parameters:

    • Unieke en voor mensen leesbare namen voor de SLZ
    • Locatie en goedgekeurde locatie voor de implementatie
    • Factureringsgegevens voor de nieuwe of bestaande abonnementen

  4. (Optioneel) Voeg indien nodig aangepaste beleidsdefinities toe voor compliance.

  5. Voer alle stappen in het implementatiescript uit. New-SovereignLandingZone.ps1 Het eerste implementatieproces kan meer dan een uur duren.

  6. Controleer of de implementatie is voltooid door betaalrekening en bekijk de nalevingsdashboarduitvoer koppelen die aan het einde van de implementatie wordt weergegeven.

De basislijninitiatieven op het gebied van soevereiniteitsbeleid configureren

U moet de volgende SLZ-configuratieparameters gebruiken voor het configureren van de basislijninitiatieven op het gebied van soevereiniteitsbeleid:

  • parAllowedLocations: Gebruik deze parameter om het locatiebeperkingsbeleid te configureren voor alle resources die door de SLZ buiten de vertrouwelijke beheergroepbereiken worden geïmplementeerd.

  • parAllowedLocationsForConfidentialComputing: Gebruik deze parameter om het locatiebeperkingsbeleid te configureren voor resources die zijn geïmplementeerd binnen de vertrouwelijke beheergroepbereiken. Deze parameter kan hetzelfde zijn als de parameter parAllowedLocations, maar moet mogelijk anders zijn als Confidential Computing in Azure niet beschikbaar is in de voorkeursregio.

  • parPolicyEffect: Met deze parameter kunt u schakelen tussen de basislijn met een weigeringseffect, wat wordt aanbevolen voor productiewerklasten, of een auditeffect.

De beleidsportfolio of ALZ-beleid gebruiken

Voor elk preview-initiatief binnen de beleidsportfolio moet de definitie worden geïmplementeerd voordat het kan worden gebruikt in een SLZ-implementatie. Bekijk het artikel over beleidsportfolio voor meer informatie over het implementeren van deze definities. U kunt deze stappen gebruiken om de definities in elke bestaande landingszone te implementeren.

Gebruik de volgende configuratieparameters om deze beleidsinitiatieven te configureren:

  • parCustomerPolicySets: Met deze parameter kunt u een lijst met beleidssetdefinities opgeven die u wilt toewijzen aan het hoogste beheergroepbereik voor een SLZ-implementatie.

  • parDeployAlzDefaultPolicies: Met deze parameter kunnen de ALZ-beleidsregels worden geïmplementeerd in relevante scopes binnen een SLZ-implementatie.

Een platform- of toepassingslandingszone implementeren

Nadat een SLZ is geïmplementeerd, kunt u met de volgende stappen een platform- of toepassingslandingszone inrichten:

  1. Bekijk een lokale kopie van de ALZ-landingszoneapparaat.

  2. Raadpleeg de bestaande logboeken voor SLZ-implementaties voor relevante beheergroepen, locaties, resource-ID's, enz. die nodig zijn om de verkoopmodule te configureren.

  3. Werk het bestand main.bicep bij met de juiste parameters en voer het bicep-script uit.

Zie ook