Implantar o acelerador de zona de aterrissagem do Azure

Concluído

Com base na narrativa do cliente, a Tailwind Traders começará implantando algumas opções de configuração específicas para atender às suas restrições. Quando você estiver implantando o acelerador de zona de pouso do Azure, as opções a seguir imitarão o processo que o Tailwind Traders segue.

Pré-requisitos

Antes de implantar o acelerador de zona de aterrissagem do Azure, você precisa criar duas assinaturas do Azure:

• Uma assinatura de rede para hospedar ativos de rede e conectividade
• Uma assinatura de identidade para hospedar ativos de gerenciamento de identidade e acesso

Você também pode querer criar uma assinatura de gerenciamento, se planeja implantar a configuração de gerenciamento de operações. A Tailwind Traders optou por não usar essa opção de configuração.

O artigo Criar uma assinatura do Contrato de Cliente Microsoft pode guiá-lo pelo processo de criação dessas assinaturas.

Implantar o acelerador de zona de aterrissagem do Azure

1. Abra o acelerador de zona de aterrissagem do Azure no portal do Azure. Esta experiência de portal irá guiá-lo através da implantação.

2. Na guia Configurações de implantação :

   1. Em Directory, escolha o locatário apropriado do Microsoft Entra.

      Se você não tiver as permissões adequadas, um erro aparecerá abaixo do seu locatário.

   2. Em Região, selecione uma região na lista suspensa.

      A Tailwind Traders escolhe a região Centro-Oeste dos EUA .

3. Na guia Configuração principal do Azure:

   1. Para Prefixo do recurso (ID raiz), insira um prefixo.

      Tailwind Traders entra tailwind -.

   2. Para Opções de assinatura da plataforma, escolha a opção Dedicado para manter todos os recursos da plataforma em uma assinatura dedicada.

      Nota

      A escolha de assinaturas dedicadas para todos os recursos da plataforma centralizará todas as ferramentas necessárias para gerenciar o ambiente. À medida que a Tailwind Traders adiciona segurança, operações e governança, ela usará a estrutura dedicada de assinatura e grupo de gerenciamento que essa opção de dedicação criou. Escolher a opção para uma única assinatura pode exigir um retrabalho significativo mais tarde no processo de adoção.

4. Na guia Gerenciamento, segurança e governança da plataforma, você escolhe se deseja implantar um espaço de trabalho do Log Analytics e habilitar o monitoramento. Selecione Não.

   A Tailwind Traders faz essa escolha porque melhorará sua zona de pouso mais tarde para atender às necessidades de segurança, gerenciamento e governança.

5. Na guia DevOps e automação da plataforma, você normalmente selecionaria as opções que se aplicam à sua organização.

   Como o Tailwind Traders optou por não adicionar nenhum dos recursos do Log Analytics, ele não pode adicionar nenhum dos recursos de DevOps e automação. Como tal, não há nada para escolher aqui.

6. Na guia Topologia de rede e conectividade :

   1. Selecione a opção Hub e falou com o Firewall do Azure. Isso criará uma assinatura dedicada para conectividade.

      Tailwind Traders seleciona esta opção. Depois que o acelerador for implantado, a solução MPLS da empresa se conectará a uma instância do Azure ExpressRoute implantada nessa assinatura. Essa configuração permitirá que qualquer zona de aterrissagem de aplicativo se conecte por MPLS, mas roteie o tráfego por meio do Firewall do Azure primeiro.

   2. Depois de escolher a opção para hub e spoke com o Firewall do Azure, mais opções aparecem para que você possa configurar a assinatura de conectividade:

      1. Para Assinatura de conectividade, escolha sua assinatura de conectividade.

      2. Em Espaço de endereço, insira um espaço de endereço para todos os IPs em seu hub de rede.

      3. Em Região para o primeiro hub de rede, escolha uma região para sua implantação.

         A Tailwind Traders seleciona o Centro-Oeste dos EUA para garantir que o hub de rede esteja na mesma região que as outras implantações.

      4. Para Ativar Proteção de Rede DDoS, selecione Não.

         A Tailwind Traders faz essa escolha porque não quer ativar a proteção contra DDoS no momento. A empresa está adiando decisões de segurança e ainda não está pronta para aprovar o custo desse serviço.

      5. Para Criar zonas DNS privadas para serviços PaaS do Azure, selecione Sim.

         A Tailwind Traders implantará algumas cargas de trabalho como serviços PaaS, por isso opta por habilitar esse serviço gratuito.

      6. Para Implantar Gateway VPN e Implantar Gateway de Rota Expressa, deixe a seleção padrão de Não.

         A Tailwind Traders faz essa escolha porque não está pronta para conectar sua MPLS ao Azure ExpressRoute no momento.

      7. Para Implantar o Firewall do Azure, deixe a seleção padrão de Sim para implantar o Firewall do Azure.

      8. Para Sub-rede para Firewall do Azure, defina o intervalo de sub-redes para sua instância do Firewall do Azure.

      Para quaisquer opções não incluídas nas etapas anteriores, deixe os valores padrão.

7. Na guia Identidade:

   1. Para Atribuir políticas recomendadas para governar controladores de identidade e domínio, deixe a seleção padrão de Sim (recomendado).

      A Tailwind Traders não está pronta para aderir ao princípio da governança orientada por políticas. No entanto, ele opta por habilitar políticas que regem sua identidade e controladores de domínio. Este primeiro passo para a automação da governança ajudará a manter os controladores de identidade da empresa mais seguros na nuvem.

   2. Para Assinatura de identidade, escolha qual assinatura hospedará ativos relacionados à identidade.

   3. Deixe todas as opções relacionadas à política definidas como padrão Sim (recomendado).

   4. Em Espaço de endereço de rede virtual, insira o espaço de endereço para a rede virtual que hospedará ativos relacionados à identidade.

8. Na guia Configuração de zonas de pouso:

   1. Em Conectar zonas de aterrissagem do corp ao hub de conectividade, selecione Sim.

   2. Para subscrições da zona de aterragem Corp, faça uma seleção a partir da lista pendente.

      O Tailwind Traders tem uma assinatura existente que será usada como destino para a maioria das máquinas virtuais e outros ativos que estão sendo migrados. A empresa escolhe essa assinatura aqui.

   3. Para assinaturas da zona de destino online, faça uma seleção na lista suspensa.

      A Tailwind Traders também tem uma assinatura que foi alocada para hospedar qualquer um de seus aplicativos voltados para o público. A empresa escolhe essa assinatura aqui.

   4. Para a série de políticas recomendadas no Grupo de Gerenciamento da Zona de Desembarque, selecione Somente auditoria.

      A Tailwind Traders define todas as políticas listadas dessa maneira porque não está pronta para adotar governança orientada por políticas.

      Nota

      Se a Tailwind Traders quisesse aderir aos princípios de design centrado em aplicativos ou democratização de assinaturas, haveria várias assinaturas adicionais selecionadas na lista suspensa (ou adicionadas posteriormente).

      Se a Tailwind Traders quisesse aderir ao princípio de design da governança orientada por políticas, deixaria todas as políticas listadas com a opção recomendada de Sim (recomendado) para aplicar automaticamente as decisões de governança por meio da Política do Azure.

9. Na guia Revisar + criar, selecione Criar para implantar seu ambiente.

Você implantou com êxito uma zona de aterrissagem do Azure usando o acelerador. Se você seguiu o processo anterior, essa implantação deve ser alinhada às restrições do Tailwind Traders.