Implantar o acelerador de zona de destino do Azure

  • 10 minutos

Com base na narrativa do cliente, a Tailwind Traders começará implantando algumas opções de configuração específicas para atender às restrições. Quando você está implantando o acelerador de zona de destino do Azure, as opções a seguir imitarão o processo que a Tailwind Traders segue.

Pré-requisitos

Para implantar o acelerador de zona de destino do Azure, você precisa criar duas assinaturas do Azure:

  • Uma assinatura de rede para hospedar ativos de rede e conectividade
  • Uma assinatura de identidade para hospedar ativos de gerenciamento de identidade e acesso

Também pode ser interessante criar uma assinatura de gerenciamento, caso você queira implantar a configuração de gerenciamento de operações. A Tailwind Traders decidiu não usar essa opção de configuração.

O artigo Como criar uma assinatura do Contrato de Cliente da Microsoft pode orientar você durante o processo de criação dessas assinaturas.

Implantar o acelerador de zona de destino do Azure

  1. Abra o acelerador de zona de destino do Azure no portal do Azure. Essa experiência do portal orientará você durante a implantação.

  2. Na guia Configurações de implantação:

    1. Em Diretório, escolha o locatário apropriado do Microsoft Entra.

      Se você não tiver as permissões adequadas, um erro será exibido abaixo do locatário.

    2. Em Região, selecione uma região na lista suspensa.

      A Tailwind Traders escolhe a região Centro-Oeste dos EUA.

  3. Na guia Configuração principal do Azure:

    1. Em Prefixo de recurso (ID raiz), insira um prefixo.

      A Tailwind Traders usa tailwind-.

    2. Em Recursos da plataforma: escolha a opção Dedicada para manter todos os recursos da plataforma em uma assinatura dedicada.

      Observação

      A escolha de assinaturas dedicadas para todos os recursos da plataforma centralizará todas as ferramentas necessárias para gerenciar o ambiente. Como a Tailwind Traders adiciona segurança, operações e governança, ela usará a estrutura de grupo de gerenciamento e a assinatura dedicada que essa opção de dedicação criou. A escolha da opção de assinatura única pode poderá exigir um retrabalho significativo mais adiante no processo de adoção.

  4. Na guia Gerenciamento, segurança e governança da plataforma, você escolhe se deseja implantar um workspace do Log Analytics e habilitar o monitoramento. Selecione Não.

    A Tailwind Traders adotou essa opção porque aprimorará sua zona de destino mais tarde para atender às necessidades de segurança, gerenciamento e governança.

  5. Na guia DevOps e automação da plataforma, você normalmente selecionaria opções que se aplicam à sua organização.

    Como a Tailwind Traders optou por não adicionar nenhum dos recursos do Log Analytics, não é possível adicionar nenhum dos recursos de DevOps e automação. Assim, não há nenhuma opção para selecionar aqui.

  6. Na guia Topologia de rede e conectividade:

    1. Selecione a opção Hub e spoke com Firewall do Azure. Isso criará uma assinatura dedicada para conectividade.

      A Tailwind Traders seleciona essa opção. Depois que o acelerador for implantado, a solução MPLS da empresa se conectará a uma instância do Azure ExpressRoute implantada nessa assinatura. Essa configuração permitirá que qualquer zona de destino do aplicativo se conecte pelo MPLS, mas roteie o tráfego primeiro pelo Firewall do Azure.

    2. Depois de escolher a opção de hub e spoke com Firewall do Azure, mais opções serão exibidas para que você possa configurar a assinatura de conectividade:

      1. Em Assinatura, escolha sua assinatura de conectividade.

      2. Em Espaço de endereço, insira um espaço de endereço para todos os IPs no seu hub de rede.

      3. Em Região para o primeiro hub de rede, escolha uma região para sua implantação.

        A Tailwind Traders seleciona o Centro-Oeste dos EUA para garantir que o hub de rede esteja na mesma região que as outras implantações.

      4. Em Habilitar a Proteção de Rede DDoS, selecione Não.

        A Tailwind Traders faz essa escolha porque não deseja habilitar o DDoS nesse momento. A empresa está adiando decisões de segurança e ainda não está pronta para aprovar o custo desse serviço.

      5. Em Criar zonas DNS privado para serviços de PaaS do Azure, selecione Sim.

        A Tailwind Traders implantará algumas cargas de trabalho como serviços de PaaS, portanto, optou por habilitar esse serviço gratuito.

      6. Em Implantar Gateway de VPN e Implantar Gateway do ExpressRoute, deixe a seleção padrão Não.

        A Tailwind Traders faz essa escolha porque não está pronta para conectar seu MPLS ao Azure ExpressRoute nesse momento.

      7. Em Implantar Firewall do Azure, deixe a seleção padrão de Sim para implantar o Firewall do Azure.

      8. Em Sub-rede para o Firewall do Azure, defina o intervalo de sub-rede da sua instância do Firewall do Azure.

      Para as opções não incluídas nas etapas anteriores, deixe os valores padrão.

  7. Na guia Identidade:

    1. Em Atribuir políticas recomendadas para reger controladores de domínio e identidade, deixe a seleção padrão Sim (recomendado).

      A Tailwind Traders não está preparada para aderir ao princípio da governança controlada por políticas. No entanto, ela optou por habilitar políticas que regem os controladores de domínio e identidade. Essa primeira etapa da automação de governança ajudará a manter os controladores de identidade da empresa mais seguros na nuvem.

    2. Em Assinatura, escolha qual assinatura hospedará ativos relacionados à identidade.

    3. Deixe todas as opções relacionadas à política definidas como o padrão Sim (recomendado).

    4. Em Espaço de endereço da rede virtual, insira o espaço de endereço da rede virtual que hospedará ativos relacionados à identidade.

  8. Na guia Configuração das zonas de destino:

    1. Em Conectar zonas de destino corporativas ao hub de conectividade, selecione Sim.

    2. Em Assinaturas da zona de destino corporativa, faça uma seleção na lista suspensa.

      A Tailwind Traders tem uma assinatura existente que deverá ser usada como destino para a maioria das máquinas virtuais e outros ativos que estão sendo migrados. A empresa escolhe essa assinatura aqui.

    3. Em Assinaturas da zona de destino online, faça uma seleção na lista suspensa.

      A Tailwind Traders também tem uma assinatura que foi alocada para hospedar qualquer um de seus aplicativos voltados para o público. A empresa escolhe essa assinatura aqui.

    4. Para a série de políticas recomendadas no Grupo de Gerenciamento de Zonas de Destino, selecione Somente Auditoria.

      A Tailwind Traders define todas as políticas listadas dessa forma porque não está preparada para adotar a governança controlada por políticas.

      Observação

      Se a Tailwind Traders quisesse aderir aos princípios de design centrado em aplicativos ou democratização de assinatura, haveria várias assinaturas adicionais selecionadas na lista suspensa (ou adicionadas posteriormente).

      Se a Tailwind Traders quisesse aderir ao princípio de design de governança controlada por políticas, ela deixaria todas as políticas listadas com a opção recomendada de Sim (recomendado) para impor automaticamente decisões de governança por meio do Azure Policy.

  9. Na guia Revisar + criar, selecione Criar para implantar seu ambiente.

Você implantou com êxito uma zona de destino do Azure usando o acelerador. Se você seguiu o processo acima, essa implantação deverá estar alinhada às restrições da Tailwind Traders.