SLZ 概念
本文說明各種與主權登陸區域 (SLZ) 相關聯的概念。
SLZ 的部署和配置方法
想要簡化採用程序的組織可以透過單獨參數檔案設定 SLZ,並執行單獨指令碼來進行部署, 參數檔案及其相關聯部署協調流程透過對資源使用一般命名慣例以及在環境中使用標準化等方法,在環境中提供一致性。 此設計可讓組織快速開始使用 SLZ,而無需參考許多手動部署步驟和各種文件來源。
組織需要證明職責分離以及對最低權限原則的遵守時,可以透過一個或多個參數檔案來設定 SLZ。 組織可以根據功能區域將部署分解為個別步驟。 例如,提供訂閱和設定管理群組的團隊可以將其做為部署活動來執行,同時仍允許另一個團隊管理這些範圍內的原則和合規性。 這些個別部署步驟需要協調,但啟用更細微的部署體驗。
如需有關最初一次性部署整個SLZ或使用個別部署步驟的詳細資訊,請參閱 GitHub 上的主權登陸區域文件。
SLZ 的進階自訂
SLZ 參數檔案可協助組織完整設定其部署,以及確保環境所有部分的一致性。 組織應審視設定選項,以決定適合其部署的設定。
不過,SLZ 參數檔案無法為客戶可能需要的各種設定提供完整的設定選項。 如果需要更多功能,我們建議使用下列選項:
透過功能要求請求新的設定功能。 我們建議在應對通用或一般挑戰時請求這些新功能。
在 SLZ 部署後進行自訂。 當組織需要在為工作負載擁有者提供使用環境的權限之前放置更多控制項或建立額外資源時,建議執行部署後步驟。
派生並維護 SLZ 存放庫的本機複本。 建議需要對其環境進行完全設定控制或需要將其安全控制融入環境中的組織使用此選項。
使用自訂原則
Azure 原則旨在提供適當的可見性和技術護欄,以確保維持合規性態勢。 對於許多組織來說,在部署工作負載之前將這些原則內建於環境中至關重要。 SLZ 協調流程讓自訂原則定義和指派可以與 SLZ 部署一起建立和部署,並處於部署中的指定範圍內。 協調流程使組織確信,其獨特的合規性需求從一開始就已滿足。 不需要自訂原則的組織也可以使用協調流程來指派內建原則集。
我們關於原則組合中預覽原則集的文件包含有關如何在 SLZ 中使用自訂原則的詳細資訊。
盡量降低試驗成本
在試驗或進行概念驗證時,請務必認真考慮成本影響。 SLZ 的預設設定會建立生產就緒部署,這對於尚未準備好進行生產的組織來說可能成本過高。 SLZ 協調流程提供許多資源的切換選項,組織應確定哪些資源是其部署所必需的。
我們建議檢閱下列產品供應項目:
Azure DDoS 防護:我們推薦使用標準 SKU,因為它在流量整形、補救和對 DDoS 事件的可見性方面具有更強的能力。 不過,您可以將基本 SKU 用於非商業執行環境。
Azure 防火牆:Azure 防火牆使組織能夠圍繞其 SLZ 部署構建強大的網路安全。 不過,組織可以找到其他 Azure 網路資源做為適合在非商業執行環境上建立安全性的技術。
Azure VPN 閘道:Azure VPN 閘道和 ExpressRoute 產品使組織能夠將其內部部署環境連線為 Azure。 不過,組織可能不需要非商業執行環境來取得這種類型的網路連線能力,而是可以使用 Azure Bastion 或其他存取技術。