你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 登陆区域常见问题解答(常见问题解答)
本文解答了有关 Azure 登陆区域体系结构的常见问题。
有关实现 Azure 登陆区域体系结构的常见问题解答,请参阅企业规模实现常见问题解答。
什么是 Azure 登陆区域加速器?
Azure 登陆区域加速器是一种基于 Azure 门户的部署体验。 它基于 Azure 登陆区域概念体系结构部署了一个固定的实现。
Azure 登陆区域的推荐加速器和实现有哪些?
Microsoft积极开发和维护平台和应用程序加速器和实现,以符合 Azure 登陆区域 设计原则 和 设计区域 指南。
查看“部署 Azure 登陆区域”指南,详细了解推荐的平台和应用程序登陆区域。
若要了解如何根据需求定制 Azure 登陆区域部署,请参阅 定制 Azure 登陆区域体系结构以满足需求
提示
若要请求添加加速器和实现列表,请在 ALZ 存储库上提出 GitHub 问题。
什么是 Azure 登陆区域概念体系结构?
Azure 登陆区域概念体系结构代表规模和成熟度决策。 它基于在数字资产中采用 Azure 的客户学到的教训和反馈。 这种概念体系结构有助于组织为设计和实现登陆区域设定方向。
登陆区域在 Azure 登陆区域体系结构的上下文中映射到什么?
从 Azure 登陆区域的角度来看,登陆区域是单个 Azure 订阅。
策略驱动的治理是什么意思,它的工作原理是什么?
策略驱动的治理是企业规模体系结构的关键设计原则之一。
策略驱动的治理意味着使用 Azure Policy 来减少跨 Azure 租户执行常见和重复操作任务所需的时间。 使用许多 Azure Policy 效果(如 Append
、Deny
、DeployIfNotExists
和 Modify
)来防止不合规的情况,方法是:限制不合规资源(由策略定义)的创建或更新,或者通过部署资源或修改资源的创建或更新请求设置以使其合规。 某些效果(如 Audit
、Disabled
和 AuditIfNotExists
)不会阻止或执行操作;它们只会审核和报告不合规情况。
策略驱动治理的一些示例包括:
Deny
效果:防止将子网创建或更新为没有与之关联的网络安全组。DeployIfNotExists
效果:在 Azure 登陆区域部署中创建并放入管理组的新订阅(登陆区域)。 Azure Policy 可确保在订阅上启用 Microsoft Defender for Cloud(以前称为 Azure 安全中心)。 它还可配置活动日志的诊断设置,以将日志发送到管理订阅中的 Log Analytics 工作区。在创建新订阅时无需重复输入代码或手动操作,
DeployIfNotExists
策略定义会自动部署和配置它们。
如果我们无法或尚未准备好使用 DeployIfNotExists (DINE) 策略,该怎么办?
我们有一个专用页面,指导你执行各种阶段和选项,你必须“禁用”DINE 策略,或使用我们的三个阶段方法在环境中随时间推移采用它们。
请参阅采用策略驱动的防护措施指南
是否应使用 Azure Policy 来部署工作负载?
简单地说,不应该。 请使用 Azure Policy 来控制、管理和保持工作负载和登陆区域的合规性。 它不用于部署整个工作负载和其他工具。 请使用 Azure 门户或基础结构即代码产品/服务(ARM 模板、Bicep、Terraform)来部署和管理工作负载并获取所需的自主权。
Terraform (aztfmod)云采用框架登陆区域是什么?
云采用框架登陆区域开放源代码项目(也称为 aztfmod)是 Azure 登陆区域核心团队和 Azure GitHub 组织之外拥有和维护的社区驱动项目。 如果你的组织选择使用此 OSS 项目,则应考虑可用的支持,因为这是由社区努力通过 GitHub 推动的。
如果登陆区域中已有资源,然后又分配了一个在其范围中包含这些资源的 Azure Policy 定义,会发生什么?
请查看以下文档部分:
如何在 Azure 登陆区域体系结构中处理“开发/测试/生产”工作负荷登陆区域?
有关详细信息,请参阅管理 Azure 登陆区域中的应用程序开发环境。
为什么在 Azure 登陆区域加速器部署期间要求我们指定 Azure 区域,以及它们的用途是什么?
使用基于 Azure 登陆区域加速器门户的体验部署 Azure 登陆区域体系结构时,选择要部署到的 Azure 区域。 第一个选项卡(“部署位置”选项卡)可确定部署数据的存储位置。 有关详细信息,请参阅使用 ARM 模板部署租户。 登陆区域的某些部分全局部署,但其部署元数据在区域元数据存储中跟踪。 有关其部署的元数据存储在“部署位置”选项卡上选择的区域中。
部署位置选项卡上的区域选择器还用于根据需要选择要存储任何特定于区域的资源的 Azure 区域,例如 Log Analytics 工作区和自动化帐户。
如果在“网络拓扑和连接”选项卡上部署网络拓扑,则需要选择要将网络资源部署到的 Azure 区域。 此区域可以不同于在 “部署位置 ”选项卡上选择的区域。
有关登陆区域资源使用的区域的详细信息,请参阅 登陆区域区域。
使用 Azure 登陆区域体系结构时,如何启用更多 Azure 区域?
若要了解如何将新区域添加到登陆区域,或如何将登陆区域资源移到其他区域,请参阅 登陆区域区域。
我们应该每次创建新的 Azure 订阅,还是应该重复使用 Azure 订阅?
什么是订阅重用?
订阅重用是向新所有者重新颁发现有订阅的过程。 应该有一个过程将订阅重置为已知的干净状态,然后重新分配给新所有者。
为何应考虑重用订阅?
一般情况下,我们建议客户采用 订阅民主化设计原则。 但是,在某些情况下,无法或建议重复使用订阅。
提示
在此处观看关于订阅民主化设计原则的 YouTube 视频: Azure 登陆区域 - 应在 Azure 中使用多少个订阅?
如果满足以下情况之一,应考虑重复使用订阅:
- 你有一个企业协议(EA),并计划在单个 EA 帐户所有者帐户(计费帐户)上创建 5,000 多个订阅,包括已删除的订阅。
- 你有Microsoft 客户协议(MCA)或Microsoft 合作伙伴协议 MPA,并计划拥有 5,000 多个活动订阅。 若要了解有关订阅限制的详细信息,请参阅Azure 门户中的计费帐户和范围。
- 你是即用即付客户。
- 使用 azure 赞助Microsoft。
- 通常创建:
- 临时实验室或沙盒环境
- 用于概念证明(POC)或最低可行产品(MVP)的演示环境,包括用于客户演示/试用访问的独立软件供应商(ISV)
- 培训环境,例如 MSP/培训师的学习者环境
如何实现重复使用订阅?
如果符合上述方案或注意事项之一,则可能需要考虑重用现有已解除授权或未使用的订阅,并将其重新分配给新的所有者和用途。
清理旧订阅
首先需要清理旧订阅以供重复使用。 在订阅准备好重复使用之前,需要对订阅执行以下操作:
- 删除资源组和包含的资源。
- 在订阅范围内删除角色分配,包括 Privileged Identity Management (PIM) 角色分配。
- 在订阅范围内删除基于角色的自定义访问控制(RBAC)定义。
- 删除订阅范围内的策略定义、计划、分配和豁免。
- 删除订阅范围内的部署。
- 删除订阅范围内的标记。
- 删除订阅范围中的任何资源锁。
- 删除订阅范围内的任何Microsoft成本管理预算。
- 除非组织要求将这些日志设置为付费层,否则重置 Microsoft Defender for Cloud 计划免费层。 通常通过 Azure Policy 强制实施这些要求。
- 删除转发到 Log Analytics 工作区、事件中心、存储帐户或其他受支持的目标的订阅活动日志(诊断设置),除非组织要求在订阅处于活动状态时强制转发这些日志。
- 删除订阅范围中的任何 Azure Lighthouse 委派。
- 从订阅中删除任何隐藏的资源。
提示
使用 Get-AzResource
或 az resource list -o table
面向订阅范围有助于在重新分配之前找到要删除的任何隐藏或剩余资源。
重新分配订阅
清理订阅后,可以重新分配订阅。 下面是可能需要在重新分配过程中执行的一些常见活动:
- 添加新标记并在订阅上设置这些标记的值。
- 在新所有者的订阅范围内添加新的角色分配或 Privileged Identity Management (PIM) 角色分配。 通常,这些分配是Microsoft Entra 组而不是个人。
- 根据订阅的治理要求将订阅放入所需的管理组。
- 创建新的Microsoft成本管理预算,并在达到阈值时向新所有者设置警报。
- 将 Microsoft Defender for Cloud 计划设置为所需的层。 应通过 Azure Policy 强制实施此设置,一旦放入正确的管理组。
- 配置订阅活动日志(诊断设置)转发到 Log Analytics 工作区、事件中心、存储帐户或其他受支持的目标。 应通过 Azure Policy 强制实施此设置,一旦放入正确的管理组。
什么是主权登陆区域,它与 Azure 登陆区域体系结构有何关联?
主权登陆区域是Microsoft云主权的一部分,适用于需要高级主权控制的公共部门客户。 作为 Azure 登陆区域概念体系结构的定制版本,主权登陆区域符合 Azure 功能,例如服务驻留、客户管理的密钥、Azure 专用链接和机密计算。 通过这种对齐方式,主权登陆区域会创建一个云体系结构,默认情况下,数据和工作负载提供加密和保护威胁。
注意
Microsoft云主权面向具有主权需求的政府组织。 应仔细考虑是否需要 Microsoft Cloud for Sovereignty 功能,然后才考虑采用主权登陆区域体系结构。
有关主权登陆区域的详细信息,请参阅 Azure 登陆区域的主权注意事项。