你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
登陆区域沙盒环境
沙盒是一个隔离的环境,你可以在其中测试和试验,而不会影响其他环境,例如生产、开发或用户验收测试 (UAT) 环境。 (POC) 受控环境中的 Azure 资源进行概念证明。 每个沙盒都有自己的 Azure 订阅,Azure 策略控制订阅。 策略在沙盒管理组级别应用,管理组从其上方的层次结构继承策略。 根据用途,个人或团队可以使用沙盒。
提示
有关默认 Azure 登陆区域策略分配的信息,请参阅 Azure 登陆区域参考实现中包含的策略。
沙盒环境是进行 Azure 实践学习的最佳位置。 一些常见用例包括:
- 开发人员需要一个受控的 Azure 环境来快速测试应用程序设计模式。
- 云架构师需要沙盒环境来评估 Azure 资源,或者为 Azure 服务或资源执行 POC,然后才能正式批准其组织。
- 云工程师需要沙盒环境,以便更好地了解更改 Azure 资源上的设置时会发生什么情况。
- 平台工程师希望根据 Canary 指南生成和测试新的 Azure 策略,并了解其行为方式。
- 开发人员希望在生成应用程序时试用 Azure 服务或资源。
沙盒体系结构
下图显示了管理组和订阅布局。
将沙盒订阅置于沙盒管理组中。 有关管理组和订阅组织的详细信息,请参阅 登陆区域设计领域和概念体系结构。 为沙盒创建的 Azure 策略放置在沙盒的管理组级别。 然后,沙盒环境从高于它们的管理组层次结构继承 Azure 策略。
沙盒订阅有助于管理每个计划或项目的成本。 当预算减少或沙盒过期时,可以轻松跟踪成本并取消沙盒。
网络
创建符合需求的沙盒订阅网络。 若要使沙盒保持隔离,请确保在沙盒订阅中创建的网络未与沙盒外部的其他网络对等互连。 可以使用 拒绝虚拟网络跨订阅对等互连 策略来确保每个沙盒都是其自己的独立环境。
使用拒绝 ExpressRoute/VPN/虚拟 WAN创建策略可拒绝创建 ExpressRoute 网关、VPN 网关和虚拟 WAN中心。 拒绝这些资源时,可确保沙盒订阅网络保持隔离。
审核日志
出于安全考虑,请务必为沙盒环境启用审核日志记录。 为所有沙盒订阅启用至少包含管理和安全日志类别 (审核) 的诊断设置。 将审核日志存储在中心目标(例如 Azure 登陆区域默认 Log Analytics 工作区)中,以便可以轻松查看它们。 或者,可以将它们与安全信息和事件管理 (SIEM) 平台(如 Microsoft Sentinel)集成。 有关详细信息,请参阅 清单和可见性建议。
企业级登陆区域参考实现中包含的 Azure 策略具有 Azure 策略定义, (“配置 Azure 活动日志以流式传输到指定的 Log Analytics 工作区”) 为所有订阅启用审核日志记录。 沙盒管理组应继承此策略以启用沙盒订阅诊断日志记录。
沙盒访问
沙盒用户对沙盒订阅具有所有者访问权限。 取消沙盒后,删除所有沙盒用户的所有者基于角色的访问控制 (RBAC) 。
其他注意事项
若要确保可靠且高效的沙盒环境性能,请考虑以下因素。
沙盒过期
可以在必要时取消或删除沙盒。 规划删除沙盒的策略,以节省成本并确保安全性保持可靠。 请考虑成本和沙盒到期日期,以确定何时删除沙盒。 沙盒过期后,将其移动到 已停用 的管理组。
成本
基于云的沙盒环境的一个关键问题是成本跟踪。 若要简化跟踪,可以在 Microsoft 成本管理中创建预算。 当实际支出或预测支出超过配置的阈值时, 预算功能 会向你发送警报。
部署沙盒时,可以创建 Microsoft 成本管理预算并将其分配给订阅。 当支出阈值超过指定的百分比时,预算功能会向沙盒用户发出警报。 例如,可以针对预算超过 100% 支出阈值时设置警报。 在这种情况下,可能需要 取消 或删除订阅。 警报本身只是一种警告机制。
您可以为所有沙盒分配预算。 在沙盒管理组级别使用 Deploy-Budget Azure 策略应用默认预算。 将默认预算设置为组织批准用于沙盒的最大成本。 默认预算会针对未分配更具体预算的任何沙盒发送成本警报。
到期日期
大多数组织希望在一段时间后过期并删除沙盒。 使沙盒过期以提供成本控制和安全优势。 沙盒环境是为测试和学习目的而创建的。 在沙盒用户执行其测试或获得预期知识后,你可以使沙盒过期,因为它不再需要。 为每个沙盒提供到期日期。 到达该日期后, 取消 或删除沙盒订阅。
创建沙盒时,可以在订阅上放置具有到期日期的 Azure 标记 。 使用自动化在订阅达到到期日期时取消或删除订阅。
限制 Azure 资源
若要为沙盒用户提供最可靠的学习环境,请在沙盒环境中提供所有 Azure 服务。 不受限制的沙盒是理想的选择,但某些组织需要限制将哪些 Azure 服务部署到沙盒。 通过Azure Policy控制这些限制。 使用 Azure 服务阻止列表 策略拒绝部署特定 Azure 服务。
信息保护
大多数组织都认为,将敏感数据排除在沙盒环境中非常重要。 信息保护的第一道防线是用户教育。 在将用户分配到沙盒之前,请向他们提供免责声明和信息,明确指出不要将敏感数据添加到沙盒。
使用 Microsoft Purview 为沙盒环境提供信息保护。 如果用户添加组织标记为对沙盒环境敏感的数据,Purview 可以发送警报。