Pokyny pro implementaci na podnikovém měřítkuEnterprise-scale implementation guidelines

V tomto článku se dozvíte, jak začít s podnikovou implementací na úrovni podniku a s návrhem návrhu osnovy.This article covers how to get started with the enterprise-scale, platform-native reference implementation and outline design objectives.

Aby bylo možné implementovat architekturu na podnikové úrovni, je třeba vzít v úvahu následující kategorie aktivit:In order to implement the enterprise-scale architecture, you must think in terms of the following categories of activities:

  1. Co musí být pravdivé pro architekturu na podnikové úrovni: Zahrnuje aktivity, které musí správci Azure a Azure Active Directory (Azure AD) provádět, aby navázali počáteční konfiguraci.What must be true for the enterprise-scale architecture: Encompasses activities that must be performed by the Azure and Azure Active Directory (Azure AD) administrators to establish an initial configuration. Tyto aktivity jsou sekvenční podle povahy a primárně jednorázových aktivit.These activities are sequential by nature and primarily one-off activities.

  2. Povolit novou oblast (soubor-> oblast New->): Zahrnuje aktivity, které jsou požadovány pokaždé, když je potřeba rozšířit platformu podnikového škálování do nové oblasti Azure.Enable a new region (File -> New -> Region): Encompasses activities that are required whenever there is a need to expand the enterprise-scale platform into a new Azure region.

  3. Nasadit novou cílovou zónu (souborová > nová > zóna pro vykládku): Jedná se o opakující se aktivity, které jsou nutné k vytvoření instance nové cílové zóny.Deploy a new landing zone (File -> New -> Landing Zone): These are recurring activities that are required to instantiate a new landing zone.

Aby se zprovoznění ve velkém měřítku, musí tyto aktivity následovat po principech infrastruktury jako kódu (IaC) a musí být automatizované pomocí kanálů nasazení.To operationalize at scale, these activities must follow infrastructure-as-code (IaC) principles and must be automated by using deployment pipelines.

Co musí být pravdivé pro zónu s cílovoum škálováním na podnikové úrovniWhat must be true for an enterprise-scale landing zone

V následujících částech jsou uvedeny kroky pro dokončení této kategorie aktivity v rozhraní Microsoft Cloud pro přijetí pro Azure.The following sections list the steps to complete this category of activity in the Microsoft Cloud Adoption Framework for Azure.

smlouva Enterprise registrace a tenantů Azure ADEnterprise Agreement enrollment and Azure AD tenants

  1. Nastavte správce smlouva Enterprise (EA) a účet oznámení.Set up the Enterprise Agreement (EA) administrator and notification account.

  2. Vytváření oddělení: obchodních domén/geograficky-based/org.Create departments: business domains/geo-based/org.

  3. Vytvořte účet EA v rámci oddělení.Create an EA account under a department.

  4. Nastavte Azure AD Connect pro každého tenanta Azure AD, pokud chcete identitu synchronizovat z místního prostředí.Set up Azure AD Connect for each Azure AD tenant if the identity is to be synchronized from on-premises.

  5. Navažte pomocí Azure AD Privileged Identity Management (PIM) žádný stálý přístup k prostředkům Azure a přístup za běhu.Establish zero standing access to Azure resources and just-in-time access via Azure AD Privileged Identity Management (PIM).

Skupina pro správu a předplatnéManagement group and subscription

  1. Vytvořte hierarchii skupiny pro správu podle doporučení v organizaci skupiny pro správu a předplatného.Create a management group hierarchy by following the recommendations in Management group and subscription organization.

  2. Definujte kritéria pro zřizování předplatného a zodpovědnosti vlastníka předplatného.Define the criteria for subscription provisioning and the responsibilities of a subscription owner.

  3. Vytvořte si odběry pro správu, připojení a identitu pro správu platforem, globální síťové služby a prostředky pro připojení a identitu, jako jsou řadiče domény služby Active Directory.Create management, connectivity, and identity subscriptions for platform management, global networking, and connectivity and identity resources like Active Directory domain controllers.

  4. Nastavte úložiště Git pro hostování IaC a instančních objektů pro použití s kanálem platformy pro průběžnou integraci a průběžné nasazování.Set up a Git repository to host IaC and service principals for use with a platform pipeline for continuous integration and continuous deployment.

  5. Vytvářejte vlastní definice rolí a spravujte nároky pomocí Azure AD PIM pro obory a skupiny pro správu předplatného.Create custom role definitions and manage entitlements by using Azure AD PIM for subscription and management group scopes.

  6. V následující tabulce Vytvořte Azure Policy přiřazení pro zóny pro vykládku.Create the Azure Policy assignments in the following table for the landing zones.

    NázevName PopisDescription
    Deny-PublicEndpoints /. AzState/Microsoft.Authorization_policySetDefinitions-Deny-PublicEndpoints.parameters.jsna)Deny-PublicEndpoints /.AzState/Microsoft.Authorization_policySetDefinitions-Deny-PublicEndpoints.parameters.json) Odepře vytváření služeb pomocí veřejných koncových bodů na všech zónách pro vykládku.Denies the creation of services with public endpoints on all landing zones.
    Deploy-VM-Backup /Landing%20Zones%20(landingzones) /. AzState/Microsoft.Authorization_policyAssignments-Deploy-VM-Backup.parameters.jsna)Deploy-VM-Backup /Landing%20Zones%20(landingzones) /.AzState/Microsoft.Authorization_policyAssignments-Deploy-VM-Backup.parameters.json) Zajistí, aby se záloha nakonfigurovali a nasadila na všechny virtuální počítače v cílových zónách.Ensures that backup is configured and deployed to all VMs in the landing zones.
    Deploy-VNet /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-vNet.parameters.jsna)Deploy-VNet /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-vNet.parameters.json) Zajistí, že všechny zóny pro vykládku mají nasazenou virtuální síť a že jsou v partnerském vztahu k regionálnímu virtuálnímu rozbočovači.Ensures that all landing zones have a virtual network deployed and that it's peered to the regional virtual hub.

Pokyny pro řízení izolovaného prostoruSandbox governance guidance

Jak je podrobně popsáno v oblasti návrhu důležitá pro skupinu pro správu a organizaci předplatného, musí mít odběry umístěné v rámci hierarchie skupiny správy izolovaného prostoru méně omezující přístup k zásadám.As detailed in the Management group and subscription organization critical design area, subscriptions placed within the Sandbox Management Group hierarchy should have a less restrictive policy approach. Jelikož tyto odběry by měly být používány uživateli v rámci firmy k experimentování a inovacím s produkty a službami Azure, které v hierarchii zóny pro vykládku nemusí být ještě povolené, abyste ověřili, jestli jejich nápady nebo koncepty mohly fungovat; než se přesunou do formálního vývojového prostředí.As these subscriptions should be used by users within the business to experiment and innovate with Azure products and services, that may not be yet permitted in your landing zones hierarchy, to validate if their ideas/concepts could work; before they move into a formal development environment.

Tato předplatná ale v hierarchii skupin pro správu izolovaného prostoru (sandbox) ale stále vyžadují některé guardrails, aby se zajistilo jejich správné použití, například pro inovace, experimentování s novými službami a funkcemi Azure a ověřování ideation.However, these subscriptions in the Sandbox Management Group hierarchy still require some guardrails to ensure they are used properly, such as for innovation, experimenting with new Azure services and features, and ideation validation.

Proto doporučujeme:We therefore recommend:

  1. V následující tabulce v oboru skupiny pro správu izolovaného prostoru (sandbox) vytvořte Azure Policy přiřazení:Create the Azure Policy assignments in the following table at the Sandbox Management Group scope:
NázevName PopisDescription Poznámky k přiřazeníAssignment Notes
Deny-VNET-Peering-Cross-Subscription /. AzState)Deny-VNET-Peering-Cross-Subscription /.AzState) Zabraňuje vytváření připojení partnerských vztahů virtuálních sítí k jiným virtuální sítě mimo předplatné.Prevents VNET peering connections being created to other VNETs outside of the subscription. Zajistěte, aby byla tato zásada přiřazena pouze úrovni oboru hierarchie skupiny správy izolovaného prostoru.Ensure this policy is only assigned to the Sandbox Management Group hierarchy scoping level.
Denied-Resources /. AzState/Microsoft.Authorization_policyAssignments-Denied-Resources.parameters.jsna)Denied-Resources /.AzState/Microsoft.Authorization_policyAssignments-Denied-Resources.parameters.json) Prostředky, které jsou odepřeny vytváření v předplatných izolovaného prostoru (sandbox).Resources that are denied from creation in the sandbox subscriptions. Tím zabráníte v vytváření prostředků hybridního připojení; například VPN/ExpressRoute/VirtualWANThis will prevent any hybrid connectivity resources from being created; such as VPN/ExpressRoute/VirtualWAN Když se tyto zásady přiřadí, vyberte následující prostředky, které odepřete vytváření: brány VPN: microsoft.network/vpngateways , brány P2S: microsoft.network/p2svpngateways , virtuální sítě WAN: microsoft.network/virtualwans , virtuální sítě WAN: microsoft.network/virtualhubs , ExpressRoute okruhy:, microsoft.network/expressroutecircuits ExpressRoute brány: microsoft.network/expressroutegateways , ExpressRoute porty: microsoft.network/expressrouteports , ExpressRoute křížová připojení: microsoft.network/expressroutecrossconnections a brány místní sítě: microsoft.network/localnetworkgateways .When assigning this policy select the following resources to deny the creation of: VPN Gateways: microsoft.network/vpngateways, P2S Gateways: microsoft.network/p2svpngateways, Virtual WANs: microsoft.network/virtualwans, Virtual WAN Hubs: microsoft.network/virtualhubs, ExpressRoute Circuits: microsoft.network/expressroutecircuits, ExpressRoute Gateways: microsoft.network/expressroutegateways, ExpressRoute Ports: microsoft.network/expressrouteports, ExpressRoute Cross-Connections: microsoft.network/expressroutecrossconnections and Local Network Gateways: microsoft.network/localnetworkgateways.
Deploy-Budget-Sandbox /. AzState)Deploy-Budget-Sandbox /.AzState) Zajišťuje, že rozpočet existuje pro každé předplatné izolovaného prostoru (sandbox) s povolenými e-mailovými upozorněnímiEnsures a budget exists for each sandbox subscription, with e-mail alerts enabled. Rozpočet bude pojmenován: default-sandbox-budget v každém předplatném.The budget will be named: default-sandbox-budget in each subscription. Pokud během přiřazování zásady se parametry nemění z jejich výchozích hodnot, vytvoří se rozpočet ( default-sandbox-budget ) s limitem prahové hodnoty 1000 a pošle e-mailové upozornění vlastníkům a přispěvatelům předplatného (na základě přiřazení role Azure) na 90% a 100% prahové hodnoty rozpočtu.If during the assignment of the policy the parameters are not amended from their defaults a the budget (default-sandbox-budget) will be created with a 1000 currency threshold limit and will send an e-mail alert to the subscription's owners and contributors (based on Azure role assignment) at 90% and 100% of the budget threshold.

Globální síť a připojeníGlobal networking and connectivity

  1. Přidělte vhodný rozsah CIDR virtuální sítě pro každou oblast Azure, ve které budou nasazeny virtuální rozbočovače a virtuální sítě.Allocate an appropriate virtual network CIDR range for each Azure region where virtual hubs and virtual networks will be deployed.

  2. Pokud se rozhodnete vytvořit síťové prostředky prostřednictvím Azure Policy, přiřaďte k předplatnému připojení zásady uvedené v následující tabulce.If you decide to create the networking resources via Azure Policy, assign the policies listed in the following table to the connectivity subscription. Tím se Azure Policy zajistí, že se prostředky v následujícím seznamu vytvoří na základě zadaných parametrů.By doing this, Azure Policy ensures the resources in the following list are created based on parameters provided.

    • Vytvořte standardní instanci Azure Virtual WAN.Create an Azure Virtual WAN Standard instance.
    • Vytvořte virtuální rozbočovač Azure Virtual WAN pro každou oblast.Create an Azure Virtual WAN virtual hub for each region. Zajistěte, aby se nasadila aspoň jedna brána (Azure ExpressRoute nebo VPN) na jedno virtuální centrum.Ensure that at least one gateway (Azure ExpressRoute or VPN) per virtual hub is deployed.
    • Zabezpečte virtuální rozbočovače nasazením Azure Firewall v rámci každého virtuálního rozbočovače.Secure virtual hubs by deploying Azure Firewall within each virtual hub.
    • Vytvořte požadované zásady Azure Firewall a přiřaďte je k zabezpečeným virtuálním rozbočovačům.Create required Azure Firewall policies and assign them to secure virtual hubs.
    • Zajistěte, aby všechny virtuální sítě připojené k zabezpečenému virtuálnímu rozbočovači byly chráněny pomocí Azure Firewall.Ensure that all virtual networks connected to a secure virtual hub are protected by Azure Firewall.
  3. Nasaďte a nakonfigurujte zónu Azure Privátní DNS.Deploy and configure an Azure Private DNS zone.

  4. Zřizování okruhů ExpressRoute s privátním partnerským vztahem Azure.Provision ExpressRoute circuits with Azure private peering. Postupujte podle pokynů v tématu Vytvoření a úprava partnerského vztahu pro okruh ExpressRoute.Follow the instructions in Create and modify peering for an ExpressRoute circuit.

  5. Připojte se k virtuálním rozbočovačům Azure Virtual WAN pomocí okruhů ExpressRoute místní HQs nebo řadiče domény.Connect on-premises HQs/DCs to Azure Virtual WAN virtual hubs via ExpressRoute circuits.

  6. Chraňte provoz virtuální sítě mezi virtuálními centry pomocí skupin zabezpečení sítě (skupin zabezpečení sítě).Protect virtual network traffic across virtual hubs with network security groups (NSGs).

  7. Volitelné Nastavte šifrování prostřednictvím privátního partnerského vztahu ExpressRoute.(Optional) Set up encryption over ExpressRoute private peering. Postupujte podle pokynů v tématu šifrování ExpressRoute: IPSec over ExpressRoute pro virtuální síť WAN.Follow the instructions in ExpressRoute encryption: IPsec over ExpressRoute for Virtual WAN.

  8. Volitelné Připojte větve k virtuálnímu rozbočovači prostřednictvím sítě VPN.(Optional) Connect branches to the virtual hub via VPN. Postupujte podle pokynů v tématu vytvoření připojení typu Site-to-site pomocí Azure Virtual WAN.Follow the instructions in Create a Site-to-Site connection using Azure Virtual WAN.

  9. Volitelné Nakonfigurujte ExpressRoute Global Reach pro připojení místních HQs/řadičů domény v případě, že je více než jedno místní umístění připojeno k Azure prostřednictvím ExpressRoute.(Optional) Configure ExpressRoute Global Reach for connecting on-premises HQs/DCs when more than one on-premises location is connected to Azure via ExpressRoute. Postupujte podle pokynů v tématu Konfigurace ExpressRoute Global REACH.Follow the instructions in Configure ExpressRoute Global Reach.

Následující seznam uvádí Azure Policy přiřazení, která používáte při implementaci síťových prostředků pro nasazení na podnikové úrovni:The following list shows Azure Policy assignments that you use when you're implementing networking resources for an enterprise-scale deployment:

NázevName PopisDescription
Deploy-FirewallPolicy /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-FirewallPolicy.parameters.jsna)Deploy-FirewallPolicy /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-FirewallPolicy.parameters.json) Vytvoří zásadu brány firewall.Creates a firewall policy.
Deploy-VHub /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-vHUB.parameters.jsna)Deploy-VHub /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-vHUB.parameters.json) Tato zásada nasazuje virtuální rozbočovač, Azure Firewall a brány VPN/ExpressRoute.This policy deploys a virtual hub, Azure Firewall, and VPN/ExpressRoute gateways. Také nakonfiguruje výchozí trasu pro připojené virtuální sítě na Azure Firewall.It also configures the default route on connected virtual networks to Azure Firewall.
Deploy-VWAN /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-vWAN.parameters.jsna)Deploy-VWAN /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-vWAN.parameters.json) Nasadí virtuální síť WAN.Deploys a Virtual WAN.

Zabezpečení, zásady správného řízení a dodržování předpisůSecurity, governance, and compliance

  1. Definujte a použijte rozhraní pro povolení služby , abyste zajistili, že služby Azure budou splňovat požadavky na podnikový zabezpečení a zásady správného řízení.Define and apply a service enablement framework to ensure Azure services meet enterprise security and governance requirements.

  2. Vytvořte vlastní definice rolí.Create custom role definitions.

  3. Povolte Azure AD PIM a zjistěte prostředky Azure, abyste usnadnili PIM.Enable Azure AD PIM and discover Azure resources to facilitate PIM.

  4. Pomocí Azure AD PIM můžete vytvářet skupiny jenom pro správu prostředků v Azure AD.Create Azure AD-only groups for the Azure control plane management of resources by using Azure AD PIM.

  5. Použijte zásady uvedené v následující tabulce, abyste zajistili, že služby Azure budou splňovat požadavky Enterprise.Apply policies listed in the following table to ensure Azure services are compliant to enterprise requirements.

  6. Definujte zásadu vytváření názvů a vynuťte ji pomocí Azure Policy.Define a naming convention and enforce it via Azure Policy.

  7. Vytvořte matici zásad ve všech oborech (například povolte monitorování pro všechny služby Azure prostřednictvím Azure Policy).Create a policy matrix at all scopes (for example, enable monitoring for all Azure services via Azure Policy).

Pro zajištění stavu dodržování předpisů v rámci podnikové sítě by se měly použít následující zásady.The following policies should be used to enforce company-wide compliance status.

NázevName PopisDescription
Allowed-ResourceLocation /. AzState/Microsoft.Authorization_policyAssignments-Allowed-ResourceLocation.parameters.jsna)Allowed-ResourceLocation /.AzState/Microsoft.Authorization_policyAssignments-Allowed-ResourceLocation.parameters.json) Určuje povolenou oblast, kde mohou být prostředky nasazeny.Specifies the allowed region where resources can be deployed.
Allowed-RGLocation /. AzState/Microsoft.Authorization_policyAssignments-Allowed-RGLocation.parameters.jsna)Allowed-RGLocation /.AzState/Microsoft.Authorization_policyAssignments-Allowed-RGLocation.parameters.json) Určuje povolenou oblast, kde lze nasadit skupiny prostředků.Specifies the allowed region where resource groups can be deployed.
Denied-Resources /. AzState/Microsoft.Authorization_policyAssignments-Denied-Resources.parameters.jsna)Denied-Resources /.AzState/Microsoft.Authorization_policyAssignments-Denied-Resources.parameters.json) Prostředky, které jsou pro společnost zamítnuté.Resources that are denied for the company.
Deny-AppGW-Without-WAF /. AzState/Microsoft.Authorization_policyDefinitions-Deny-AppGW-Without-WAF.parameters.jsna)Deny-AppGW-Without-WAF /.AzState/Microsoft.Authorization_policyDefinitions-Deny-AppGW-Without-WAF.parameters.json) Povolí, aby byly aplikační brány nasazené s povoleným firewallem webových aplikací Azure (WAF).Allows application gateways deployed with Azure Web Application Firewall (WAF) enabled.
Deny-IP-Forwarding /. AzState/Microsoft.Authorization_policyAssignments-Deny-IP-Forwarding.parameters.jsna)Deny-IP-Forwarding /.AzState/Microsoft.Authorization_policyAssignments-Deny-IP-Forwarding.parameters.json) Odmítne předávání IP adres.Denies IP forwarding.
Deny-RDP-From-Internet /. AzState/Microsoft.Authorization_policyAssignments-Deny-RDP-From-Internet.parameters.jsna)Deny-RDP-From-Internet /.AzState/Microsoft.Authorization_policyAssignments-Deny-RDP-From-Internet.parameters.json) Zakazuje připojení RDP z Internetu.Denies RDP connections from the internet.
Deny-Subnet-Without-Nsg /. AzState/Microsoft.Authorization_policyDefinitions-Deny-Subnet-Without-Nsg.parameters.jsna)Deny-Subnet-Without-Nsg /.AzState/Microsoft.Authorization_policyDefinitions-Deny-Subnet-Without-Nsg.parameters.json) Odmítá vytvoření podsítě bez NSG.Denies subnet creation without an NSG.
Deploy-ASC-CE /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-ASC-CE.parameters.jsna)Deploy-ASC-CE /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-ASC-CE.parameters.json) Nastaví průběžný export Azure Security Center do pracovního prostoru Log Analytics.Sets up Azure Security Center continuous export to your Log Analytics workspace.
Deploy-ASC-Monitoring /. AzState/Microsoft.Authorization_policyAssignments-Deploy-ASC-Monitoring.parameters.jsna)Deploy-ASC-Monitoring /.AzState/Microsoft.Authorization_policyAssignments-Deploy-ASC-Monitoring.parameters.json) Povolí monitorování v Security Center.Enables monitoring in Security Center.
Deploy-ASC-Standard /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-ASC-Standard.parameters.jsna)Deploy-ASC-Standard /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-ASC-Standard.parameters.json) Zajistí, že odběry mají povolený Security Center Standard.Ensures that subscriptions have Security Center Standard enabled.
Deploy-Diag-ActivityLog /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-Diagnostics-ActivityLog.parameters.jsna)Deploy-Diag-ActivityLog /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-Diagnostics-ActivityLog.parameters.json) Povolí protokol aktivity diagnostiky a předává je Log Analytics.Enables diagnostics activity log and forwarding to Log Analytics.
Deploy-Diag-LogAnalytics /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-Log-Analytics.parameters.jsna)Deploy-Diag-LogAnalytics /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-Log-Analytics.parameters.json)
Deploy-VM-Monitoring /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-Diagnostics-VM.parameters.jsna)Deploy-VM-Monitoring /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-Diagnostics-VM.parameters.json) Ověří, jestli je povolené monitorování virtuálních počítačů.Ensures that VM monitoring is enabled.

Identita platformyPlatform identity

  1. Pokud vytvoříte prostředky identity prostřednictvím Azure Policy, přiřaďte k předplatnému identitu zásady uvedené v následující tabulce.If you create the identity resources via Azure Policy, assign the policies listed in the following table to the identity subscription. Tím Azure Policy zajistí, že se prostředky v následujícím seznamu vytvoří na základě zadaných parametrů.By doing this, Azure Policy ensures that the resources in the following list are created based on the parameters provided.

  2. Nasaďte řadiče domény služby Active Directory.Deploy the Active Directory domain controllers.

V následujícím seznamu jsou uvedeny zásady, které můžete použít při implementaci prostředků identity pro nasazení na podnikové úrovni.The following list shows policies that you can use when you're implementing identity resources for an enterprise-scale deployment.

NázevName PopisDescription
DataProtectionSecurityCenter /. AzState/)DataProtectionSecurityCenter /.AzState/) Ochrana dat automaticky vytvořena Security Center.Data protection automatically created by Security Center.
Deploy-VNet-Identity /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-vNet.parameters.jsna)Deploy-VNet-Identity /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-vNet.parameters.json) Nasadí virtuální síť do předplatného identity na hostitele (například DC).Deploys a virtual network into the identity subscription to host (for example, DC).

Správa a monitorování platforemPlatform management and monitoring

  1. Vytváření řídicích panelů pro dodržování zásad a zabezpečení pro zobrazení v organizacích a prostředcích.Create policy compliance and security dashboards for organizational and resource-centric views.

  2. Vytvoření pracovního postupu pro tajné klíče platformy (instanční objekty a účet Automation) a výměna klíčů.Create a workflow for platform secrets (service principals and automation account) and key rollover.

  3. Nastavení dlouhodobého archivace a uchovávání protokolů v rámci Log Analytics.Set up long-term archiving and retention for logs within Log Analytics.

  4. Nastavte Azure Key Vault pro ukládání tajných kódů platforem.Set up Azure Key Vault to store platform secrets.

  5. Pokud vytvoříte prostředky správy platformy prostřednictvím Azure Policy, přiřaďte k předplatnému pro správu Zásady uvedené v následující tabulce.If you create the platform management resources via Azure Policy, assign the policies listed in the following table to the management subscription. Tím Azure Policy zajistí, že se prostředky v následujícím seznamu vytvoří na základě zadaných parametrů.By doing this, Azure Policy ensures that the resources in the following list are created based on parameters provided.

NázevName PopisDescription
Deploy-LA-Config /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-LA-Config.parameters.jsna)Deploy-LA-Config /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-LA-Config.parameters.json) Konfigurace pracovního prostoru Log Analytics.Configuration of the Log Analytics workspace.
Deploy-Log-Analytics /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-Log-Analytics.parameters.jsna)Deploy-Log-Analytics /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-Log-Analytics.parameters.json) Nasadí Log Analytics pracovní prostor.Deploys a Log Analytics workspace.

> oblast New-> souboruFile -> New -> Region

  1. Pokud vytvoříte síťové prostředky prostřednictvím Azure Policy, přiřaďte k předplatnému připojení zásady uvedené v následující tabulce.If you create the networking resources via Azure Policy, assign the policies listed in the following table to the connectivity subscription. Tím Azure Policy zajistí, že se prostředky v následujícím seznamu vytvoří na základě zadaných parametrů.By doing this, Azure Policy ensures that the resources in the following list are created based on parameters provided.

    • V předplatném připojení vytvořte nové virtuální centrum v rámci stávající virtuální sítě WAN.In the connectivity subscription, create a new virtual hub within the existing Virtual WAN.
    • Zabezpečte virtuální rozbočovač nasazením Azure Firewall v rámci virtuálního centra a propojte stávající nebo nové zásady brány firewall pro Azure Firewall.Secure virtual hub by deploying Azure Firewall within the virtual hub and link existing or new firewall policies to Azure Firewall.
    • Zajistěte, aby všechny virtuální sítě připojené k zabezpečenému virtuálnímu rozbočovači byly chráněny pomocí Azure Firewall.Ensure that all virtual networks connected to a secure virtual hub are protected by Azure Firewall.
  2. Připojte virtuální rozbočovač k místní síti přes ExpressRoute nebo VPN.Connect the virtual hub to the on-premises network via either ExpressRoute or VPN.

  3. Chraňte provoz virtuální sítě napříč virtuálními centry přes skupin zabezpečení sítě.Protect virtual network traffic across virtual hubs via NSGs.

  4. Volitelné Nastavte šifrování prostřednictvím privátního partnerského vztahu ExpressRoute.(Optional) Set up encryption over ExpressRoute private peering.

NázevName PopisDescription
Deploy-VHub /. AzState/Microsoft.Authorization_policyDefinitions-Deploy-vHUB.parameters.jsna)Deploy-VHub /.AzState/Microsoft.Authorization_policyDefinitions-Deploy-vHUB.parameters.json) Tato zásada nasadí virtuální rozbočovač, Azure Firewall a brány (VPN/ExpressRoute).This policy deploys a virtual hub, Azure Firewall, and gateways (VPN/ExpressRoute). Také nakonfiguruje výchozí trasu pro připojené virtuální sítě na Azure Firewall.It also configures the default route on connected virtual networks to Azure Firewall.

> hraniční zóna New-> pro aplikace a úlohyFile -> New -> Landing Zone for applications and workloads

  1. Vytvořte předplatné a přesuňte ho pod Landing Zones obor skupiny pro správu.Create a subscription and move it under the Landing Zones management group scope.

  2. Vytvořte pro předplatné skupiny Azure AD, například, Owner Reader a Contributor .Create Azure AD groups for the subscription, such as Owner, Reader, and Contributor.

  3. Vytváření nároků Azure AD PIM pro zřízené skupiny Azure AD.Create Azure AD PIM entitlements for established Azure AD groups.