SLZ 概念
本文说明与主权登陆区域 (SLZ) 相关的各个概念。
SLZ 的部署和配置方法
对于想要简化采用的组织,可以从特殊的参数文件配置 SLZ,并通过运行特殊脚本来进行部署。 参数文件及其关联的部署编排通过使用资源的通用命名约定和环境中的标准化等方法在环境中提供一致性。 这种设计让组织能够快速开始使用 SLZ,而无需参考很多手动部署步骤和各种文档来源。
当组织需要证明责任分离并遵守最低权限时,可以从一个或多个参数文件配置 SLZ。 组织可以根据功能区域将部署分解为单独的步骤。 例如,提供订阅和配置管理组的团队可以作为一项部署活动来实现此目的,同时仍然允许单独的团队管理这些范围内的策略和合规性。 这些单独的部署步骤需要协调,但可以实现更精细的部署体验。
有关初始一次性部署整个 SLZ 或使用单独部署步骤的更多信息,请参阅 GitHub 上的主权登陆区域文档。
SLZ 高级自定义
SLZ 参数文件可以帮助组织完全配置部署并确保环境所有部分保持一致。 组织应查看配置选项来确定适合其部署的设置。
但是,SLZ 参数文件无法为客户可能希望有的每项可能的设置提供完整的配置选项。 如果需要更多功能,我们建议使用以下选项:
通过功能请求请求新的配置功能。 我们建议在解决通用或常见挑战时请求这些新功能。
在 SLZ 部署后进行自定义。 当组织需要在为工作负荷负责人提供使用环境的权限之前实施更多控制或创建额外资源时,建议执行部署后步骤。
为 SLZ 存储库的本地副本创建分支并维护副本。 我们建议需要对环境进行完全配置控制或需要将安全控制融入到环境中的组织使用此选项。
使用自定义策略
Azure 策略用于提供适当的可见性和技术防护,以确保维持合规态势。 对于很多组织,在部署工作负荷之前将这些策略内置到环境中至关重要。 SLZ 编排提供随 SLZ 部署一起、在部署内的指定范围内创建和部署自定义策略定义和分配的能力。 这种编排让组织可以确信他们独有的合规要求从一开始就已被满足。 不需要自定义策略的组织也可以使用编排来分配内置策略集。
我们关于策略组合中预览策略集的文档包含有关如何在 SLZ 中使用自定义策略的更多信息。
最大限度地降低试用成本
在试用或进行概念验证时,认真考虑成本影响非常重要。 SLZ 的默认设置创建生产就绪部署,这对于尚未准备好生产的组织来说可能成本高昂。 SLZ 编排针对很多资源提供切换,组织应确定哪些资源对于部署是必要的。
我们建议查看以下产品:
Azure DDoS 防护:我们推荐使用标准 SKU,因为它在流量整形、补救和对 DDoS 事件的可见性方面具有更强的能力。 但是,您可以将基本 SKU 用于非生产环境。
Azure 防火墙:Azure 防火墙使组织能够围绕其 SLZ 部署构建强大的网络安全。 但是,组织可以找到其他 Azure 网络资源作为围绕非生产环境构建安全性的合适技术。
Azure VPN 网关:Azure VPN 网关和 ExpressRoute 产品使组织能够将其本地环境连接为 Azure。 但是,组织可能不需要非生产环境来获得这种类型的网络连接,而是可以使用 Azure Bastion 或其他访问技术。