Примеры Azure Lighthouse
В приведенной ниже таблице представлены ссылки на шаблоны Azure Resource Manager для Azure Lighthouse. Эти файлы и многое другое также можно найти в репозитории примеров для Azure Lighthouse.
Подключение клиентов
Мы предоставляем различные шаблоны для конкретных сценариев адаптации. Обязательно измените файл параметров, чтобы отразить среду. Дополнительные сведения о том, как использовать эти файлы в развертывании, см. в статье Подключение клиента к Azure Lighthouse.
| Шаблон | Description |
|---|---|
| subscription | Подключение подписки клиента к Azure Lighthouse. Для каждой подписки необходимо выполнить отдельное развертывание. |
| rg и multi-rg | Подключение одной или нескольких групп ресурсов клиента к Azure Lighthouse. Используйте rg.json для подключения одной группы ресурсов или multi-rg.json для подключения нескольких групп ресурсов в пределах подписки. |
| marketplace-delegated-resource-management | Если вы опубликовали предложение управляемых служб в Azure Marketplace, этот шаблон можно использовать для подключения ресурсов для клиентов, которые приняли предложение. Значения marketplace в файле параметров должны совпадать со значениями, которые использовались при публикации предложения. |
Чтобы включить допустимые авторизации, выберите соответствующий шаблон из раздела делегированного управления ресурсами и авторизации, соответствующего требованиям, в репозитории примеров .
Как правило, для каждой подписки требуется отдельное развертывание. Но можно развернуть шаблоны и для нескольких подписок.
| Шаблон | Description |
|---|---|
| cross-subscription-deployment | Развертывание шаблонов Azure Resource Manager в нескольких подписках. |
Совет
Подключить всю группу управления в одном развертывании нельзя, но вы можете подключить каждую подписку к группе управления.
Политика Azure
В этих примерах показано, как использовать Политика Azure с подписками, подключенными к Azure Lighthouse.
| Шаблон | Description |
|---|---|
| policy-add-or-replace-tag | Назначение политики, которая отвечает за добавление или удаление тега (с помощью действия изменения) в делегированной подписке. Дополнительные сведения см. в статье о развертывании политики, которую можно исправить в рамках делегированной подписки. |
| policy-allow-certain-managing-tenants | Назначение политики, разрешающей делегирование Azure Lighthouse только для определенных управляющих клиентов. |
| policy-audit-delegation | Назначает политику, которая выполняет аудит назначений делегирования. |
| policy-delegate-management-groups | Назначает политику, чтобы убедиться, что подписки в группе управления делегированы для управляющего клиента и, если нет, создает назначение. |
| policy-enforce-keyvault-monitoring | Назначает политику, которая включает диагностика в ресурсах Azure Key Vault в делегированной подписке (с помощью эффекта deployIfNotExists). Дополнительные сведения см. в статье о развертывании политики, которую можно исправить в рамках делегированной подписки. |
| policy-enforce-sub-monitoring | Назначение нескольких политик для диагностики делегированной подписки, а также подключение всех виртуальных машин Windows и Linux к рабочей области Log Analytics, созданной с помощью политики. Дополнительные сведения см. в статье о развертывании политики, которую можно исправить в рамках делегированной подписки. |
| policy-initiative | Применяет инициативу политики (несколько связанных определений политик) к делегированной подписке. |
Azure Monitor
В этих примерах показано, как использовать Azure Monitor для создания оповещений для подписок, подключенных к Azure Lighthouse.
| Шаблон | Description |
|---|---|
| monitor-delegation-changes | Запрашивает прошлый день действия в управлении клиентом и отчетами о любых добавленных или удаленных делегированиях (или попытках, которые не были успешными). |
| alert-using-actiongroup | Создает оповещение Azure и подключается к существующей группе действий. |
| multiple-loganalytics-alerts | Создает несколько оповещений журнала на основе запросов Kusto. |
| delegation-alert-for-customer | Развертывание оповещения в клиенте при делегировании пользователем подписки на управляющий клиент. |
| workbook-activitylogs-by-domain | Отображение журналов действий Azure в подписках с возможностью фильтрации по доменному имени. |
Дополнительные межклиентские сценарии
Эти примеры иллюстрируют различные задачи, которые можно выполнять в межклиентских сценариях управления.
| Шаблон | Description |
|---|---|
create-keyvault-secret |
Создает хранилище ключей в арендаторе клиента и политики доступа. |
cross-rg-deployment |
Развертывание учетных записей хранения в двух разных группах ресурсов. |
deploy-azure-mgmt-services |
Создает службы управления Azure, связывает их вместе и развертывает решения. Шаблон rgWithAzureMgmt.json поможет выполнить комплексное развертывание. |
deploy-azure-security-center |
Включает и настраивает Microsoft Defender для облака в рамках целевой подписки Azure. |
deploy-azure-sentinel |
Развертывает и включает Microsoft Sentinel в существующей рабочей области Log Analytics в делегированной подписке. |
deploy-log-analytics-vm-extensions |
Позволяет развертывать расширения виртуальных машин Log Analytics на виртуальных машинах Windows и Linux, подключая их к указанной рабочей области Log Analytics. |
Следующие шаги
- Изучите сведения об архитектуре и технических понятиях Azure Lighthouse.
- Изучите примеры в этом репозитории Azure Lighthouse.