Wdrażanie i konfigurowanie suwerennej strefy docelowej

Przed wdrożeniem i skonfigurowaniem suwerennej strefy docelowej (SLZ) należy wykonać różne wymagane kroki wstępne.

Wdrażanie SLZ

SLZ wdraża i konfiguruje różne zasoby platformy Azure w sposób zgodny ze strefą docelową przedsiębiorstwa w ramach najlepszych rozwiązań Cloud Adoption Framework (CAF) i zapewnia odpowiednie zabezpieczenia, które organizacja może skonfigurować tak, aby spełnić wymagania dotyczące suwerenności danych. Wybierz technologię wdrażania, aby uzyskać dalsze informacje o wdrożeniu.

Biceps

Przed wdrożeniem i skonfigurowaniem suwerennej strefy lądowania (SLZ) przy użyciu Bicep należy wykonać różne kroki wstępne. Aby uzyskać szczegółowe omówienie SLZ i wszystkich jego możliwości, zobacz dokumentację Sovereign Landing Zone (Bicep) w usłudze GitHub.

Wymagania wstępne

Aby ukończyć wdrożenie, należy wykonać wymagane kroki:

• Upewnij się, że w środowisku lokalnym zainstalowano następujące wersje (lub nowsze):

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Upewnij się, że masz dostęp do tożsamości identyfikatora Microsoft Entra z następującymi uprawnieniami w Azure:

  • Tworzenie (lub korzystanie z istniejących) subskrypcji
  • Właściciel subskrypcji
  • Tworzenie nazw głównej usługi
  • Tworzenie definicji i przypisania zestawów zasad.

Etapy wdrażania suwerennej strefy docelowej

1. Zapoznaj się z lokalną kopią Strefy Suwerennego Lądowania.

2. Sprawdź, czy są spełnione wymagania wstępne dla lokalnego środowiska uruchomieniowego i uprawnień Azure, uruchamiając skrypt Confirm-SovereignLandingZonePrerequisites.ps1.

3. Aktualizacja pliku parametrów wymaganymi parametrami w lokalnej kopii repozytorium SLZ. Można utworzyć wdrożenie SLZ z następującymi minimalnymi parametrami:

   • Unikatowe i czytelne dla człowieka nazwy SLZ
   • Lokalizacja i zatwierdzona lokalizacja wdrożenia
   • Informacje billingowe dotyczące nowo utworzonych lub istniejących subskrypcji

4. (Opcjonalnie) Dodanie niestandardowych definicji zasad zgodnie z potrzebami.

5. Uruchom wszystkie kroki w skrypcie New-SovereignLandingZone.ps1 wdrażania. Proces pierwszego wdrożenia może zająć godzinę.

6. Sprawdź, czy wdrożenie zostało zakończone, sprawdzając połączenie wyjściowe pulpitu nawigacyjnego zgodności wyświetlane na końcu wdrożenia.

Skonfiguruj inicjatywy podstawy zasad suwerenności

Aby skonfigurować podstawę tych zasad, należy użyć następujących parametrów konfiguracyjnych inicjatyw zasad podstawy suwerenności:

• parAllowedLocations: Ten parametr służy do konfigurowania zasad ograniczeń lokalizacji dla wszystkich zasobów wdrożonych przez SLZ poza zakresami poufnych grup zarządzania.

• parAllowedLocationsForConfidentialComputing: Użyj tego parametru, aby skonfigurować zasady ograniczeń lokalizacji dla zasobów wdrożonych w zakresach poufnych grup zarządzania. Ten parametr może być taki sam jak parametr parAllowedLocations, ale może być inny, jeśli usługa Azure Confidential Computing nie jest dostępna w preferowanym regionie.

• parPolicyEffect: ten parametr przełącza się między punktem odniesienia z efektem odmowy, który jest zalecany w przypadku obciążeń produkcyjnych, lub efektem inspekcji.

Skorzystaj z portfela zasad lub zasad ALZ

Każda inicjatywa w wersji zapoznawcza w ramach portfela zasad musi mieć wdrożoną definicję przed użyciem we wdrożeniu SLZ. Zapoznaj się z artykułem na temat portfela zasad, aby uzyskać szczegółowe informacje na temat wdrażania tych definicji. Możesz wykonać te kroki, aby wdrożyć te definicje w dowolnej istniejącej strefie docelowej.

Aby skonfigurować inicjatywy tych zasad, należy użyć następujących parametrów konfiguracyjnych SLZ:

• parCustomerPolicySets: Ten parametr pomaga określić listę definicji zestawów zasad do przypisania w zakresie grupy zarządzania najwyższego poziomu dla wdrożenia SLZ.

• parDeployAlzDefaultPolicies: Ten parametr umożliwia wdrażanie polityk ALZ w odpowiednich zakresach w ramach wdrożenia SLZ.

Narzędzie Terraform

Przed wdrożeniem i skonfigurowaniem suwerennej strefy lądowania (SLZ) przy użyciu narzędzia Terraform należy wykonać różne kroki wstępne. Aby uzyskać szczegółowe omówienie SLZ i wszystkich jego możliwości, zobacz dokumentację suwerennej strefy lądowania (Terraform) w witrynie GitHub.

Wymagania wstępne

Aby ukończyć wdrożenie, należy wykonać wymagane kroki:

• Upewnij się, że w środowisku lokalnym zainstalowano następujące wersje (lub nowsze):

  • Narzędzie Terraform w wersji 1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• Upewnij się, że masz dostęp do tożsamości identyfikatora Microsoft Entra z następującymi uprawnieniami w Azure:

  • Tworzenie (lub korzystanie z istniejących) subskrypcji
  • Właściciel subskrypcji
  • Tworzenie nazw głównej usługi
  • Tworzenie definicji i przypisania zestawów zasad.

Etapy wdrażania suwerennej strefy docelowej

1. Pobierz kopię pliku inputs.yaml , aby skonfigurować wdrożenie. Można utworzyć wdrożenie SLZ z następującymi minimalnymi parametrami:

   • Unikatowe i czytelne dla człowieka nazwy SLZ
   • Lokalizacja i zatwierdzona lokalizacja wdrożenia
   • Informacje billingowe dotyczące nowo utworzonych lub istniejących subskrypcji

2. (Opcjonalnie) Dodanie niestandardowych definicji zasad zgodnie z potrzebami.

3. Uruchom polecenie deploy accelerator PowerShell, aby wyewidencjonować lokalną kopię strefy lądowania suwerennego (Terraform).

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. Uruchom polecenie terraform apply . Proces pierwszego wdrożenia może zająć godzinę.

5. Sprawdź, czy wdrożenie zostało ukończone, sprawdzając połączenie wyjściowe pulpitu nawigacyjnego zgodności wyświetlane na końcu wdrożenia.

Skonfiguruj inicjatywy podstawy zasad suwerenności

Aby skonfigurować podstawę tych zasad, należy użyć następujących parametrów konfiguracyjnych inicjatyw zasad podstawy suwerenności:

• allowed_locations: Ten parametr służy do konfigurowania zasad ograniczeń lokalizacji dla wszystkich zasobów wdrożonych przez SLZ poza zakresami poufnych grup zarządzania.

• allowed_locations_for_confidential_computing: Użyj tego parametru, aby skonfigurować zasady ograniczeń lokalizacji dla zasobów wdrożonych w zakresach poufnych grup zarządzania. Ten parametr może być taki sam jak parametr allowed_locations , ale może być inny, jeśli Azure Poufne przetwarzanie nie jest dostępne w preferowanym regionie.

• policy_effect: Ten parametr przełącza się między punktem odniesienia z efektem odmowy, który jest zalecany w przypadku obciążeń produkcyjnych, a efektem inspekcji.

Skorzystaj z portfela zasad lub zasad ALZ

Każda inicjatywa w wersji zapoznawcza w ramach portfela zasad musi mieć wdrożoną definicję przed użyciem we wdrożeniu SLZ. Przejrzyj artykuł na temat portfolio zasad, aby uzyskać szczegółowe informacje na temat wdrażania tych definicji. Możesz wykonać te kroki, aby wdrożyć te definicje w dowolnej istniejącej strefie docelowej.

Aby skonfigurować inicjatywy tych zasad, należy użyć następujących parametrów konfiguracyjnych SLZ:

• customer_policy_sets: Ten parametr pomaga określić listę definicji zestawów zasad do przypisania w zakresie grupy zarządzania najwyższego poziomu dla wdrożenia SLZ.

• apply_alz_archetypes_via_architecture_definition_template: Ten parametr umożliwia wdrażanie polityk ALZ w odpowiednich zakresach w ramach wdrożenia SLZ.

Wdróż strefy docelowej platformy lub aplikacji

Po wdrożeniu SLZ można zainicjować obsługę strefy docelowej platformy lub aplikacji, wykonując następujące kroki:

1. Sprawdzenie lokalnej kopii automatyzacji strefy docelowej ALZ.

2. Odwołaj się do istniejących dzienników wdrażania SLZ w celu znalezienia odpowiednich grup zarządzania, lokalizacji, identyfikatorów zasobów itp. potrzebnych do skonfigurowania modułu automatyzującego.

3. Zaktualizuj plik main.bicep z odpowiednimi parametrami i uruchom skrypt bicep.

Zobacz też

• Przegląd suwerennej strefy lądowania
• Koncepcje suwerennej strefy lądowania
• Portfel polityk