Wdrażanie akceleratora strefy docelowej platformy Azure

Ukończone

Firma Tailwind Traders rozpocznie się od wdrożenia kilku określonych opcji konfiguracji, aby spełnić swoje ograniczenia. Podczas wdrażania akceleratora strefy docelowej platformy Azure następujące opcje naśladują proces, który następuje przez firmę Tailwind Traders.

Wymagania wstępne

Przed wdrożeniem akceleratora strefy docelowej platformy Azure należy utworzyć dwie subskrypcje platformy Azure:

• Subskrypcja sieci do hostowania zasobów sieciowych i łączności
• Subskrypcja tożsamości do hostowania zasobów zarządzania tożsamościami i dostępem

Możesz również utworzyć subskrypcję zarządzania, jeśli planujesz wdrożyć konfigurację zarządzania operacjami. Firma Tailwind Traders nie zdecydowała się używać tej opcji konfiguracji.

W artykule Tworzenie subskrypcji Umowa z Klientem Microsoft można zapoznać się z procesem tworzenia tych subskrypcji.

Wdrażanie akceleratora strefy docelowej platformy Azure

1. Otwórz akcelerator strefy docelowej platformy Azure w witrynie Azure Portal. To środowisko portalu przeprowadzi Cię przez wdrożenie.

2. Na karcie Ustawienia wdrożenia:

   1. W polu Katalog wybierz odpowiednią dzierżawę firmy Microsoft Entra.

      Jeśli nie masz odpowiednich uprawnień, poniżej dzierżawy pojawi się błąd.

   2. W obszarze Region wybierz region z listy rozwijanej.

      Firma Tailwind Traders wybiera region Zachodnio-środkowe stany USA .

3. Na karcie Konfiguracja podstawowa platformy Azure:

   1. W polu Prefiks zasobu (identyfikator główny) wprowadź prefiks.

      Firma Tailwind Traders wchodzi w tailwind-.

   2. W obszarze Opcje subskrypcji platformy wybierz opcję Dedykowana , aby zachować wszystkie zasoby platformy w dedykowanej subskrypcji.

      Uwaga

      Wybór dedykowanych subskrypcji dla wszystkich zasobów platformy scentralizuje wszystkie narzędzia potrzebne do zarządzania środowiskiem. Ponieważ firma Tailwind Traders dodaje zabezpieczenia, operacje i ład, będzie używać dedykowanej struktury subskrypcji i grupy zarządzania utworzonej przez tę opcję poświęcenia. Wybranie opcji pojedynczej subskrypcji może wymagać znacznej ponownej pracy w dalszej części procesu wdrażania.

4. Na karcie Zarządzanie platformami, zabezpieczenia i ład należy wybrać, czy wdrożyć obszar roboczy usługi Log Analytics i włączyć monitorowanie. Wybierz opcję Nie.

   Firma Tailwind Traders wybiera tę opcję, ponieważ później zwiększy swoją strefę docelową, aby zaspokoić potrzeby związane z zabezpieczeniami, zarządzaniem i ładem.

5. Na karcie Metodyka DevOps i automatyzacja platformy zwykle wybiera się opcje, które mają zastosowanie do organizacji.

   Ponieważ firma Tailwind Traders nie zdecydowała się dodać żadnych funkcji usługi Log Analytics, nie może dodać żadnych funkcji devOps i automatyzacji. W związku z tym nie ma nic do wyboru tutaj.

6. Na karcie Topologia sieci i łączność:

   1. Wybierz opcję Centrum i szprycha z usługą Azure Firewall. Spowoduje to utworzenie dedykowanej subskrypcji na potrzeby łączności.

      Firma Tailwind Traders wybiera tę opcję. Po wdrożeniu akceleratora rozwiązanie MPLS firmy połączy się z wystąpieniem usługi Azure ExpressRoute wdrożonym w tej subskrypcji. Ta konfiguracja umożliwi wszystkim strefom docelowym aplikacji łączenie się za pośrednictwem usługi MPLS, ale najpierw kieruje ruch przez usługę Azure Firewall.

   2. Po wybraniu opcji piasty i szprychy z usługą Azure Firewall zostanie wyświetlonych więcej opcji, aby można było skonfigurować subskrypcję łączności:

      1. W obszarze Subskrypcja łączności wybierz subskrypcję łączności.

      2. W polu Przestrzeń adresowa wprowadź przestrzeń adresową dla wszystkich adresów IP w centrum sieci.

      3. W obszarze Region dla pierwszego centrum sieciowego wybierz region wdrożenia.

         Firma Tailwind Traders wybiera zachodnio-środkowe stany USA , aby upewnić się, że centrum sieci znajduje się w tym samym regionie co inne wdrożenia.

      4. W obszarze Włącz ochronę sieci DDoS wybierz pozycję Nie.

         Firma Tailwind Traders dokonuje tego wyboru, ponieważ nie chce obecnie włączyć ochrony przed atakami DDoS. Firma odrocza decyzje dotyczące zabezpieczeń i nie jest jeszcze gotowa do zatwierdzenia kosztów tej usługi.

      5. W obszarze Tworzenie stref Prywatna strefa DNS dla usług PaaS platformy Azure wybierz pozycję Tak.

         Firma Tailwind Traders wdroży niektóre obciążenia jako usługi PaaS, dlatego zdecyduje się włączyć tę bezpłatną usługę.

      6. W obszarze Wdrażanie bramy sieci VPN i Wdróż bramę usługi ExpressRoute pozostaw domyślny wybór opcji Nie.

         Firma Tailwind Traders dokonuje tego wyboru, ponieważ nie jest w tej chwili gotowa do połączenia z usługą Azure ExpressRoute.

      7. W obszarze Deploy Azure Firewall (Wdrażanie usługi Azure Firewall) pozostaw domyślną opcję Tak, aby wdrożyć usługę Azure Firewall.

      8. W polu Podsieć dla usługi Azure Firewall ustaw zakres podsieci dla wystąpienia usługi Azure Firewall.

      W przypadku wszystkich opcji, które nie zostały uwzględnione w poprzednich krokach, pozostaw wartości domyślne.

7. Na karcie Tożsamość:

   1. W obszarze Przypisz zalecane zasady do zarządzania tożsamościami i kontrolerami domeny pozostaw domyślny wybór opcji Tak (zalecane)..

      Firma Tailwind Traders nie jest gotowa przestrzegać zasady ładu opartego na zasadach. Jednak decyduje się na włączenie zasad, które zarządzają tożsamością i kontrolerami domeny. Ten pierwszy krok w zakresie automatyzacji ładu pomoże zapewnić bezpieczeństwo kontrolerów tożsamości firmy w chmurze.

   2. W obszarze Subskrypcja tożsamości wybierz subskrypcję, która będzie hostować zasoby związane z tożsamościami.

   3. Pozostaw wszystkie opcje związane z zasadami ustawione na wartość domyślną Tak (zalecane)..

   4. W polu Przestrzeń adresowa sieci wirtualnej wprowadź przestrzeń adresową dla sieci wirtualnej, która będzie hostować zasoby związane z tożsamościami.

8. Na karcie Konfiguracja stref docelowych:

   1. W obszarze Połącz strefy docelowe corp z centrum łączności wybierz pozycję Tak.

   2. W przypadku subskrypcji strefy docelowej Corp wybierz z listy rozwijanej.

      Firma Tailwind Traders ma jedną istniejącą subskrypcję, która będzie używana jako miejsce docelowe dla większości migrowanych maszyn wirtualnych i innych zasobów. Firma wybiera w tym miejscu subskrypcję.

   3. W przypadku subskrypcji strefy docelowej online wybierz pozycję z listy rozwijanej.

      Firma Tailwind Traders ma również subskrypcję, która została przydzielona do hostowania dowolnych aplikacji publicznych. Firma wybiera w tym miejscu subskrypcję.

   4. W przypadku serii zalecanych zasad w grupie zarządzania strefami docelowymi wybierz pozycję Tylko inspekcja.

      Firma Tailwind Traders ustawia wszystkie wymienione zasady w ten sposób, ponieważ nie jest gotowa do wdrożenia ładu opartego na zasadach.

      Uwaga

      Jeśli firma Tailwind Traders chciała przestrzegać zasad projektowania skoncentrowanych na aplikacjach lub demokratyzacji subskrypcji, na liście rozwijanej (lub później) wybrano kilka dodatkowych subskrypcji.

      Jeśli firma Tailwind Traders chce stosować się do zasady projektowania ładu opartego na zasadach, pozostawi wszystkie wymienione zasady z zalecaną opcją Tak (zalecane), aby automatycznie wymuszać decyzje dotyczące ładu za pośrednictwem usługi Azure Policy.

9. Na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz, aby wdrożyć środowisko.

Pomyślnie wdrożono strefę docelową platformy Azure przy użyciu akceleratora. Jeśli wykonano poprzedni proces, wdrożenie powinno być dostosowane do ograniczeń firmy Tailwind Traders.