Развертывание и настройка суверенной целевой зоны

Перед развертыванием и настройкой суверенной целевой зоны (SLZ) необходимо выполнить ряд предварительных действий.

Развертывание SLZ

SLZ обеспечивает развертывание и конфигурирование различных ресурсов Azure в соответствии с целевой зоной корпоративного масштаба согласно рекомендациям Cloud Adoption Framework (CAF), и предоставляет ограничительные механизмы, которые организация может настроить для удовлетворения существующих в ней требований к суверенитету данных. Выберите технологию развертывания для получения дополнительной информации о развертывании.

Бицепс

Перед развертыванием и настройкой Sovereign Landing Zone (SLZ) с помощью Bicep необходимо выполнить ряд предварительных шагов. Подробный обзор SLZ и всех ее возможностей см. в документации Sovereign Landing Zone (Bicep) на GitHub.

Предварительные требования

Для развертывания необходимо выполнить следующие предварительные действия:

• Убедитесь, что в вашей локальной среде установлены следующие (или более новые) версии:

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Убедитесь, что у вас есть доступ к Microsoft Entra идентификатору со следующими разрешениями в Azure:

  • Создание (или использование существующих) подписок
  • Владелец подписок
  • Создание субъектов-служб
  • Создание определений и назначений наборов политик

Порядок развертывания суверенной целевой зоны

1. Ознакомьтесь с местной версией Sovereign Landing Zone.

2. Проверьте, выполнены ли предварительные условия для вашей локальной среды выполнения и разрешений Azure, запустив скрипт Confirm-SovereignLandingZonePrerequisites.ps1.

3. Отредактируйте файл параметров, указав необходимые значения, в вашей локальной копии репозитория SLZ. Создать развертывание SLZ можно со следующими минимальными параметрами:

   • Уникальные и понятные имена для SLZ
   • Расположение и утвержденное расположение для развертывания
   • Платежная информация для вновь созданных или существующих подписок

4. (Необязательно) Добавьте пользовательские определения политик, необходимые для обеспечения соответствия.

5. Запустите все шаги в New-SovereignLandingZone.ps1 скрипте развертывания. Первоначальный процесс развертывания может занять более часа.

6. Проверьте завершение развертывания, проверив ссылку на выходную информацию панели соответствия, отображаемую в конце развертывания.

Настройка инициатив политики для базового плана суверенитета

Для настройки инициатив политики для базового плана суверенитета необходимо использовать следующие параметры конфигурации SLZ:

• parAllowedLocations: используйте этот параметр для настройки политик ограничения местоположения для всех ресурсов, развернутых SLZ за пределами областей конфиденциальной группы управления.

• parAllowedLocationsForConfidentialComputing: используйте этот параметр для настройки политик ограничения местоположения для ресурсов, развернутых в областях конфиденциальной группы управления. Значение этого параметра может совпадать с параметром parAllowedLocations, но может и отличаться, если конфиденциальные вычисления Azure недоступны в предпочтительном регионе.

• parPolicyEffect: этот параметр переключает между базовой линией, имеющей эффект запрета, который рекомендуется для производственных рабочих нагрузок, или эффект аудита.

Использование портфеля политики или политик ALZ

Любая инициатива предварительная версия в рамках портфеля политик должна иметь развернутое определение перед использованием в развертывании SLZ. Подробную информацию о развертывании этих определений см. в статье о портфеле политик . Эти шаги можно использовать для развертывания определений в любой существующей целевой зоне.

Используйте следующие параметры конфигурации для настройки таких инициатив политик:

• parCustomerPolicySets: этот параметр помогает указать список определений наборов политик для назначения в области группы управления верхнего уровня для развертывания SLZ.

• parDeployAlzDefaultPolicies: этот параметр позволяет развертывать политики ALZ в соответствующих областях в рамках развертывания SLZ.

Терраформировать

Перед развертыванием и настройкой суверенной посадочной зоны (SLZ) с помощью Terraform необходимо выполнить ряд предварительных шагов. Подробный обзор SLZ и всех ее возможностей см. в документации Sovereign Landing Zone (Terraform) на GitHub.

Предварительные требования

Для развертывания необходимо выполнить следующие предварительные действия:

• Убедитесь, что в вашей локальной среде установлены следующие (или более новые) версии:

  • Терраформ v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • АЛЗ 4.0.0

• Убедитесь, что у вас есть доступ к Microsoft Entra идентификатору со следующими разрешениями в Azure:

  • Создание (или использование существующих) подписок
  • Владелец подписок
  • Создание субъектов-служб
  • Создание определений и назначений наборов политик

Порядок развертывания суверенной целевой зоны

1. Загрузите копию файла inputs.yaml для настройки развертывания. Создать развертывание SLZ можно со следующими минимальными параметрами:

   • Уникальные и понятные имена для SLZ
   • Расположение и утвержденное расположение для развертывания
   • Платежная информация для вновь созданных или существующих подписок

2. (Необязательно) Добавьте пользовательские определения политик, необходимые для обеспечения соответствия.

3. Запустите команду ускорителя развертывания PowerShell, чтобы извлечь локальную копию Sovereign Landing Zone (Terraform).

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. Выполните команду terraform apply . Первоначальный процесс развертывания может занять более часа.

5. Проверьте, завершено ли развертывание, проверив ссылку на выход панели мониторинга соответствия, отображаемую в конце развертывания.

Настройка инициатив политики для базового плана суверенитета

Для настройки инициатив политики для базового плана суверенитета необходимо использовать следующие параметры конфигурации SLZ:

• allowed_locations: используйте этот параметр для настройки политик ограничения местоположения для всех ресурсов, развернутых SLZ за пределами областей конфиденциальной группы управления.

• allowed_locations_for_confidential_computing: используйте этот параметр для настройки политик ограничения местоположения для ресурсов, развернутых в областях конфиденциальной группы управления. Этот параметр может быть таким же, как параметр allowed_locations , но может потребоваться иное значение, если Azure Confidential Computing недоступен в предпочтительном регионе.

• policy_effect: этот параметр переключает между базовой линией, имеющей эффект запрета, который рекомендуется для производственных рабочих нагрузок, или эффект аудита.

Использование портфеля политики или политик ALZ

Любая инициатива предварительная версия в рамках портфеля политик должна иметь развернутое определение перед использованием в развертывании SLZ. Подробную информацию о развертывании этих определений можно найти в статье о портфеле политики. Эти шаги можно использовать для развертывания определений в любой существующей целевой зоне.

Используйте следующие параметры конфигурации для настройки таких инициатив политик:

• customer_policy_sets: этот параметр помогает указать список определений наборов политик для назначения в области группы управления верхнего уровня для развертывания SLZ.

• apply_alz_archetypes_via_architecture_definition_template: этот параметр позволяет развертывать политики ALZ в соответствующих областях в рамках развертывания SLZ.

Развертывание целевой зоны платформы или приложения

После развертывания SLZ вы можете подготовить целевую зону платформы или приложения, выполнив следующие действия:

1. Извлеките локальную копию ALZ Landing Zone Vending.

2. Обратитесь к существующим журналам развертывания SLZ для получения соответствующих групп управления, местоположений, идентификаторов ресурсов и т. д., необходимых для настройки вендингового модуля.

3. Отредактируйте файл main.bicep, указав соответствующие значения параметров, и запустите скрипт bicep.

См. также

• Обзор зоны высадки суверена
• Концепции суверенной зоны приземления
• Политический портфель