部署和配置主权登陆区域

在部署和配置主权登陆区域 (SLZ) 之前,您需要完成各种先决步骤。

部署 SLZ

SLZ 以与 企业规模登陆区域一致的方式部署和配置各种 Azure 资源,作为云采用框架 (CAF) 最佳做法的一部分,并提供适当的防护措施,以便组织可以进行配置来实现其数据主权要求。 选择部署技术以获取进一步的部署信息。

在使用 Bicep 部署和配置主权 landing zone(SLZ)之前,您需要完成各种先决条件步骤。 有关 SLZ 及其所有功能的详细概述,请参阅 GitHub 上的 Sovereign Landing Zone(Bicep) 文档。

先决条件

要完成部署,需要执行以下先决步骤:

  • 确保您的本地环境安装了以下版本(或更高版本):

    • PowerShell 7.0
    • Azure RM 2.51.0
    • Azure PowerShell 10.0.0
    • Azure Bicep 0.20.0
  • 确保您有权访问 Microsoft Entra 具有 Azure 中以下权限的 ID 身份:

    • 创建(或使用现有)订阅
    • 订阅的所有者
    • 创建服务主体
    • 创建策略集定义和分配。

部署主权登陆区域的步骤

  1. 查看 Sovereign Landing Zone 的本地 副本

  2. 通过运行 Confirm-SovereignLandingZonePrerequisites.ps1 脚本,验证是否满足本地运行时环境和 Azure 权限的先决条件。

  3. 使用 SLZ 存储库本地副本中所需的参数更新参数文件。 您可以使用以下最少参数创建 SLZ 部署:

    • SLZ 的唯一且人类可读的名称
    • 部署地点和批准地点
    • 新创建或现有订阅的账单信息
  4. (可选)根据合规性需要添加自定义策略定义。

  5. 运行部署脚本中的所有 New-SovereignLandingZone.ps1 步骤。 初始部署流程可能需要一小时以上的时间。

  6. 通过查看部署结束时显示的合规性控制面板输出链接来验证部署已完成。

配置主权基准策略计划

您需要使用以下 SLZ 配置参数来配置主权基准策略计划:

  • parAllowedLocations:使用此参数为 SLZ 在机密管理组范围之外部署的所有资源配置位置限制策略。

  • parAllowedLocationsForConfidentialComputing:使用此参数为在机密管理组范围内部署的资源配置位置限制策略。 此参数可以与 parAllowedLocations 参数相同,但如果 Azure 机密计算在首选区域不可用,则可能需要不同。

  • parPolicyEffect:此参数在具有拒绝效果的基准(建议用于生产工作负载)或审计效果之间切换。

使用策略组合或 ALZ 策略

策略组合中的任何预览版计划都必须部署其定义,然后才能在 SLZ 部署中使用。 有关部署这些定义的详细信息,请查看有关 策略组合 的文章。 您可以使用这些步骤将定义部署到任何现有的登陆区域。

使用以下配置参数来配置这些策略计划:

部署平台或应用程序登陆区域

部署 SLZ 后,您可以通过以下步骤预配平台或应用程序登陆区域:

  1. 查看 ALZ 登陆区域自动售货的本地副本。

  2. 参考配置自动售货模块所需的相关管理组、位置、资源 ID 等的现有 SLZ 部署日志。

  3. 使用适当的参数更新 main.bicep 文件并运行 bicep 脚本。

另请参见