Distribuera och konfigurera en Sovereign landningszon

Du måste slutföra de olika förutsättningsstegen innan du distribuerar och konfigurerar Sovereign landningszon (SLZ).

Distribuera SLZ

SLZ distribuerar och konfigurerar olika Azure-resurser på ett sätt som ligger i linje med landningszonen i företagsskala som en del av bästa praxis för Cloud Adoption Framework (CAF) och tillhandahåller lämpliga skydd som en organisation kan konfigurera för att uppnå sina krav på datasuveränitet. Välj distributionstekniken för ytterligare distributionsinformation.

Bicep

Du måste utföra olika nödvändiga steg innan du distribuerar och konfigurerar den suveräna landningszonen (SLZ) med hjälp av Bicep. En detaljerad översikt över en SLZ och alla dess funktioner finns i Bicep-dokumentationen (Sovereign Landing Zone) på GitHub.

Förutsättningar

För att slutföra distributionen måste du utföra de nödvändiga stegen:

• Se till att din lokala miljö har följande versioner installerade (eller nyare):

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Se till att du har åtkomst till en Microsoft Entra ID-identitet med följande behörigheter i Azure:

  • Skapa (eller använd befintliga) prenumerationer
  • Ägare till prenumerationerna
  • Skapa tjänsthuvudkonton
  • Skapa policyuppsättningsdefinitioner och -tilldelningar.

Steg för att distribuera Sovereign landningszon

1. Kolla in en lokal kopia av Sovereign Landing Zone.

2. Kontrollera om kraven är uppfyllda för din lokala körningsmiljö och Azure behörigheter genom att köra skriptet Confirm-SovereignLandingZonePrerequisites.ps1.

3. Uppdatera parameterfilen med de nödvändiga parametrarna i din lokala kopia av SLZ-lagringsplatsen. Du kan skapa en SLZ-distribution med följande minimala parametrar:

   • Unika och mänskligt läsbara namn för SLZ
   • Plats och godkänd plats för distributionen
   • Faktureringsinformation för de nyskapade eller befintliga prenumerationerna

4. (Valfritt) Lägg till anpassade policydefinitioner efter behov för efterlevnad.

5. Kör alla steg i distributionsskriptet. New-SovereignLandingZone.ps1 Den första distributionsprocessen kan ta upp till en timme.

6. Kontrollera att distributionen är klar genom att kolla in utdatalänken för instrumentpanelen för efterlevnad som visas i slutet av distributionen.

Konfigurera suveränitetspolicyinitiativ på grundnivå

Du måste använda följande SLZ-konfigurationsparametrar för att konfigurera suveränitetspolicyinitiativ på grundnivå:

• parAllowedLocations: Använd den här parametern för att konfigurera platsbegränsningsprinciper för alla resurser som distribueras av SLZ utanför omfången för den konfidentiella hanteringsgruppen.

• parAllowedLocationsForConfidentialComputing: Använd den här parametern för att konfigurera platsbegränsningsprinciper för resurser som distribueras inom omfången för den konfidentiella hanteringsgruppen. Den här parametern kan vara densamma som parametern parAllowedLocations, men kan komma att behöva vara annorlunda om Azure Confidential Computing inte är tillgängligt i den föredragna regionen.

• parPolicyEffect: Den här parametern växlar mellan baslinjen som har en neka-effekt, vilket rekommenderas för produktionsarbetsbelastningar, eller en granskningseffekt.

Använd policyportföljen eller ALZ-policyer

Alla förhandsversioner av initiativ i principportföljen måste ha sin definition distribuerad innan de används i en SLZ-distribution. Mer information om hur du distribuerar dessa definitioner finns i artikeln om principportföljen . Du kan använda dessa steg för att distribuera definitionerna till vilken befintlig landningszon som helst.

Använd följande konfigurationsparametrar för att konfigurera dessa policyinitiativ:

• parCustomerPolicySets: Den här parametern hjälper dig att ange en lista över principuppsättningsdefinitioner som ska tilldelas i hanteringsgruppsomfånget på den översta nivån för en SLZ-distribution.

• parDeployAlzDefaultPolicies: Den här parametern gör det möjligt att distribuera ALZ-policyerna i relevanta omfång inom en SLZ-distribution.

Terraform

Du måste utföra olika nödvändiga steg innan du distribuerar och konfigurerar den suveräna landningszonen (SLZ) med hjälp av Terraform. En detaljerad översikt över en SLZ och alla dess funktioner finns i dokumentationen om suverän landningszon (Terraform) på GitHub.

Förutsättningar

För att slutföra distributionen måste du utföra de nödvändiga stegen:

• Se till att din lokala miljö har följande versioner installerade (eller nyare):

  • Terraform v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• Se till att du har åtkomst till en Microsoft Entra ID-identitet med följande behörigheter i Azure:

  • Skapa (eller använd befintliga) prenumerationer
  • Ägare till prenumerationerna
  • Skapa tjänsthuvudkonton
  • Skapa policyuppsättningsdefinitioner och -tilldelningar.

Steg för att distribuera Sovereign landningszon

1. Ladda ned en kopia av inputs.yaml för att konfigurera distributionen. Du kan skapa en SLZ-distribution med följande minimala parametrar:

   • Unika och mänskligt läsbara namn för SLZ
   • Plats och godkänd plats för distributionen
   • Faktureringsinformation för de nyskapade eller befintliga prenumerationerna

2. (Valfritt) Lägg till anpassade policydefinitioner efter behov för efterlevnad.

3. Kör kommandot deploy accelerator PowerShell för att kolla in en lokal kopia av den suveräna landningszonen (Terraform).

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. Kör kommandot terraform apply . Den första distributionsprocessen kan ta upp till en timme.

5. Kontrollera om distributionen är klar genom att kolla in utdatalänken för instrumentpanelen för efterlevnad som visas i slutet av distributionen.

Konfigurera suveränitetspolicyinitiativ på grundnivå

Du måste använda följande SLZ-konfigurationsparametrar för att konfigurera suveränitetspolicyinitiativ på grundnivå:

• allowed_locations: Använd den här parametern för att konfigurera platsbegränsningsprinciper för alla resurser som distribueras av SLZ utanför omfången för den konfidentiella hanteringsgruppen.

• allowed_locations_for_confidential_computing: Använd den här parametern för att konfigurera platsbegränsningsprinciper för resurser som distribueras inom omfången för konfidentiella hanteringsgrupper. Den här parametern kan vara samma som allowed_locations parametern , men kan behöva vara en annan om Azure Confidential Computing inte är tillgängligt i den önskade regionen.

• policy_effect: Den här parametern växlar mellan att baslinjen har en neka-effekt, vilket rekommenderas för produktionsarbetsbelastningar, eller en granskningseffekt.

Använd policyportföljen eller ALZ-policyer

Alla förhandsversioner av initiativ i principportföljen måste ha sin definition distribuerad innan de används i en SLZ-distribution. Läs artikeln om policyportfölj för detaljer om hur dessa definitioner implementeras. Du kan använda dessa steg för att distribuera definitionerna till vilken befintlig landningszon som helst.

Använd följande konfigurationsparametrar för att konfigurera dessa policyinitiativ:

• customer_policy_sets: Den här parametern hjälper dig att ange en lista över principuppsättningsdefinitioner som ska tilldelas i hanteringsgruppsomfånget på den översta nivån för en SLZ-distribution.

• apply_alz_archetypes_via_architecture_definition_template: Den här parametern gör att ALZ-policyerna kan distribueras i relevanta omfång inom en SLZ-distribution.

Distribuera en plattform eller programlandningszon

Efter att en SLZ har distribuerats kan du tillhandahålla plattform eller programlandningszon genom följande steg:

1. Visa en lokal kopia av Försäljning av ALZ landningszon.

2. Referera till befintliga SLZ-distributionsloggar för relevanta hanteringsgrupper, platser, resurs-ID:n osv. som behövs för att konfigurera försäljningsmodulen.

3. Uppdatera main.bicep-filen med lämpliga parametrar och kör bicep-skriptet.

Se även

• Översikt över den suveräna landningszonen
• Begrepp för suveräna landningszoner
• Politikområden