Развертывание ускорителя целевой зоны Azure

  • 10 мин

Tailwind Traders начнет с развертывания нескольких конкретных параметров конфигурации для удовлетворения своих ограничений. Ниже описаны параметры, которые позволяют смоделировать выбранный процесс Tailwind Traders при развертывании ускорителя целевой зоны Azure.

Необходимые компоненты

Перед развертыванием ускорителя целевой зоны Azure необходимо создать две подписки Azure:

  • Подписка для сетей, в которой будут размещены сетевые ресурсы и подключения
  • Подписка для удостоверений, в которой будут размещены ресурсы управления удостоверениями и доступом

Вы также можете создать подписку для управления, если планируете развертывать конфигурацию управления операциями. Компания Tailwind Traders не будет использовать такую конфигурацию.

В статье "Создание подписки Клиентское соглашение Майкрософт" можно ознакомиться с процессом создания этих подписок.

Развертывание ускорителя целевой зоны Azure

  1. Откройте ускоритель целевой зоны Azure на портале Azure. Интерфейс портала поможет вам выполнить развертывание.

  2. На вкладке "Параметры развертывания":

    1. В каталоге выберите соответствующий клиент Microsoft Entra.

      Если у вас нет необходимых разрешений, под выбранным клиентом появится ошибка.

    2. В разделе Регион выберите регион из раскрывающегося списка.

      Tailwind Traders выбирает регион "Западная центральная часть США ".

  3. На вкладке Базовая настройка Azure выполните следующие действия:

    1. Для префикса ресурса (корневого идентификатора) введите префикс.

      Компания Tailwind Traders выбрала префикс tailwind-.

    2. Для параметров подписки платформы выберите выделенный параметр, чтобы сохранить все ресурсы платформы в выделенной подписке.

      Примечание.

      Выбор выделенных подписок для всех ресурсов платформы позволит централизовать все средства управления средой. По мере добавления ресурсов безопасности, операций и управления компания Tailwind Traders будет использовать структуру выделенной подписки и группы управления, созданную этим параметром. При выборе варианта "Одна подписка" может потребоваться значительная реструктуризация позже во время внедрения.

  4. На вкладке Управление платформой, безопасность и система управления можно задать развертывание рабочей области Log Analytics и включить мониторинг. Выберите Нет.

    Компания Tailwind Traders сделала такой выбор, так как она намерена включить элементы управления, безопасности и системы управления в целевую зону позже.

  5. На вкладке DevOps и автоматизация платформы можно выбрать параметры, которые будут применяться к организации.

    Поскольку Tailwind Traders решила не добавлять возможности Log Analytics, она не сможет использовать возможности DevOps и автоматизации. Таким образом, здесь нет доступных для выбора вариантов.

  6. На вкладке Топология сети и подключение выполните следующие действия:

    1. Выберите параметр Звездообразная топология с Брандмауэром Azure. При этом будет создана выделенная подписка для подключения.

      Tailwind Traders выбирает этот вариант. После развертывания ускорителя решение MPLS компании будет подключаться к экземпляру Azure ExpressRoute, развернутому в этой подписке. Эта настройка позволит целевой зоне любого приложения подключаться через MPLS, передавая трафик через Брандмауэр Azure.

    2. Когда вы выберете звездообразную топологию с Брандмауэром Azure, появятся дополнительные параметры для настройки подписки подключения:

      1. Для подписки на подключение выберите подписку на подключение.

      2. В разделе Диапазон адресов введите диапазон IP-адресов, которые будут использоваться сетевым концентратором.

      3. В разделе Регион для первого сетевого концентратора выберите регион для развертывания.

        Компания Tailwind Traders выбрала центрально-западную часть США, чтобы сетевой концентратор находился в том же регионе, что и другие развертывания.

      4. Для включения защиты сети от атак DDoS нажмите кнопку "Нет".

        Tailwind Traders делает этот выбор, так как он не хочет включить защиту от атак DDoS в настоящее время. Компания отложила решения по вопросам безопасности и пока не готова утвердить стоимость этой службы.

      5. В разделе Создать Частные зоны DNS для служб Azure PaaS выберите Да.

        Компания Tailwind Traders будет развертывать некоторые рабочие нагрузки как службы PaaS, поэтому решила включить эту бесплатную службу.

      6. Для развертывания VPN-шлюз и развертывания шлюза ExpressRoute оставьте значение по умолчанию no.

        Tailwind Traders сделала такой выбор, так как в настоящее время не готова подключить MPLS к Azure ExpressRoute.

      7. В разделе Развернуть Брандмауэр Azure оставьте значение по умолчанию Да, чтобы развернуть Брандмауэр Azure.

      8. В разделе Подсеть для Брандмауэра Azure задайте диапазон подсети для экземпляра Брандмауэра Azure.

      Для параметров, не указанных в предыдущих шагах, оставьте значения по умолчанию.

  7. На вкладке Удостоверение выполните следующие действия:

    1. Для параметра Назначить рекомендуемые политики для управления удостоверениями и контроллерами домена оставьте значение по умолчанию Да (рекомендуется).

      Компания Tailwind Traders не готова применить принцип управления на основе политик. Но она решила включить политики для управления удостоверениями и контроллерами домена. Этот первый шаг по автоматизации системы управления поможет повысить безопасность контроллеров удостоверений в облаке.

    2. Для подписки identity выберите, какая подписка будет размещать ресурсы, связанные с удостоверениями.

    3. Оставьте значение по умолчанию Да (рекомендуется) для всех параметров, связанных с политиками.

    4. В разделе Диапазон адресов виртуальной сети введите диапазон адресов для виртуальной сети, в которой будут размещаться ресурсы, связанные с удостоверениями.

  8. На вкладке конфигурации целевых зон:

    1. В разделе Подключить корпоративные целевые зоны к концентратору подключения выберите Да.

    2. В разделе Подписки корпоративных целевых зон выберите значение из раскрывающегося списка.

      У Tailwind Traders уже есть одна подписка, которая будет применяться в качестве назначения для большинства виртуальных машин и других перемещаемых ресурсов. Компания выбирает эту подписку на текущем этапе.

    3. В разделе Подписки сетевых целевых зон выберите значение из раскрывающегося списка.

      Также компания Tailwind Traders имеет подписку, выделенную для размещения всех общедоступных приложений. Компания выбирает эту подписку на текущем этапе.

    4. Для ряда рекомендуемых политик в группе управления целевой зоной выберите только аудит.

      Tailwind Traders таким образом устанавливает все перечисленные политики, так как она не готова внедрять принцип управления на основе политик.

      Примечание.

      Если бы компания Tailwind Traders придерживалась принципов проектирования с ориентацией на приложение или с демократизацией подписок, в этом раскрывающемся списке были бы выбраны (или добавлены позже) несколько дополнительных подписок.

      Если бы компания Tailwind Traders придерживалась принципа управления на основе политик, она сохранила бы для всех перечисленных политик параметр по умолчанию Да (рекомендуется), чтобы автоматически применять решения по управлению с помощью Политики Azure.

  9. На вкладке Проверка и создание выберите Создать, чтобы развернуть среду.

Вы успешно развернули целевую зону Azure с помощью ускорителя. Если вы следовали вышеописанным инструкциям, это развертывание будет соответствовать всем ограничениям Tailwind Traders.