Share via

Strefa docelowa platformy Azure — często zadawane pytania

  • Artykuł

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące architektury strefy docelowej platformy Azure.

Aby uzyskać często zadawane pytania dotyczące implementowania architektury strefy docelowej platformy Azure, zobacz Często zadawane pytania dotyczące implementacji w skali przedsiębiorstwa.

Co to jest akcelerator strefy docelowej platformy Azure?

Akcelerator strefy docelowej platformy Azure to środowisko wdrażania oparte na witrynie Azure Portal. Wdraża ona opinię implementacji opartą na architekturze koncepcyjnej strefy docelowej platformy Azure.

Firma Microsoft aktywnie opracowuje i utrzymuje akceleratory i implementacje platformy oraz aplikacji zgodnie z zasadami projektowania strefy docelowej platformy Azure i wskazówkami dotyczącymi obszaru projektowania.

Zapoznaj się ze wskazówkami dotyczącymi wdrażania stref docelowych platformy Azure, aby dowiedzieć się więcej o zalecanych strefach docelowych platformy i aplikacji.

Aby dowiedzieć się, jak dostosować wdrożenie stref docelowych platformy Azure w celu spełnienia Twoich potrzeb, zobacz Dostosowywanie architektury strefy docelowej platformy Azure w celu spełnienia wymagań

Napiwek

Aby zażądać dodania do listy akceleratora i implementacji, zgłoś problem z usługą GitHub w repozytorium ALZ.

Jaka jest architektura koncepcyjna strefy docelowej platformy Azure?

Architektura koncepcyjna strefy docelowej platformy Azure reprezentuje decyzje dotyczące skali i dojrzałości. Jest ona oparta na doświadczeniach i opiniach klientów, którzy przyjęli platformę Azure w ramach ich majątku cyfrowego. Ta architektura koncepcyjna może pomóc organizacji w ustawieniu kierunku projektowania i implementowania strefy docelowej.

Co mapuje strefa docelowa na platformę Azure w kontekście architektury strefy docelowej platformy Azure?

Z punktu widzenia strefy docelowej platformy Azure strefy docelowe to poszczególne subskrypcje platformy Azure.

Co oznacza nadzór oparty na zasadach i jak działa?

Zarządzanie oparte na zasadach jest jedną z kluczowych zasad projektowania architektury w skali przedsiębiorstwa.

Zarządzanie oparte na zasadach oznacza użycie usługi Azure Policy w celu skrócenia czasu potrzebnych na typowe i powtarzające się zadania operacyjne w dzierżawie platformy Azure. Użyj wielu efektów usługi Azure Policy, takich jak Append, , DenyDeployIfNotExistsi Modify, aby zapobiec niezgodności przez ograniczenie niezgodnych zasobów (zgodnie z definicją zasad) z tworzenia lub aktualizowania lub wdrażania zasobów albo modyfikowania ustawień tworzenia zasobów lub żądania aktualizacji w celu zapewnienia ich zgodności. Niektóre efekty, takie jak Audit, Disabledi AuditIfNotExists, nie uniemożliwiają ani nie podejmują działań; tylko przeprowadzają inspekcję i zgłaszanie niezgodności.

Oto kilka przykładów ładu opartego na zasadach:

  • Deny efekt: zapobiega tworzeniu lub aktualizowaniu podsieci, aby nie skojarzyły z nimi żadnych sieciowych grup zabezpieczeń.

  • DeployIfNotExists efekt: nowa subskrypcja (strefa docelowa) jest tworzona i umieszczana w grupie zarządzania we wdrożeniu strefy docelowej platformy Azure. Usługa Azure Policy zapewnia włączenie Microsoft Defender dla Chmury (wcześniej znanej jako Azure Security Center) w ramach subskrypcji. Konfiguruje również ustawienia diagnostyczne dziennika aktywności w celu wysyłania dzienników do obszaru roboczego usługi Log Analytics w subskrypcji zarządzania.

    Zamiast powtarzać kod lub działania ręczne po utworzeniu nowej subskrypcji, DeployIfNotExists definicja zasad jest automatycznie wdrażana i konfiguruje je dla Ciebie.

Co zrobić, jeśli nie możemy jeszcze korzystać z zasad DeployIfNotExists (DINE) lub nie jesteśmy jeszcze gotowi?

Mamy dedykowaną stronę, która przeprowadzi Cię przez różne fazy i opcje, które należy "wyłączyć" zasady DINE lub użyć naszego trzyfazowego podejścia, aby wdrożyć je w czasie w danym środowisku.

Zobacz wskazówki Dotyczące wdrażania barier zabezpieczających opartych na zasadach

Czy należy używać usługi Azure Policy do wdrażania obciążeń?

Krótko mówiąc, nie. Użyj usługi Azure Policy, aby kontrolować, zarządzać i utrzymywać zgodność obciążeń i stref docelowych. Nie jest przeznaczony do wdrażania całych obciążeń i innych narzędzi. Użyj witryny Azure Portal lub ofert typu infrastruktura jako kod (szablony usługi ARM, Bicep, Terraform), aby wdrożyć obciążenie i zarządzać nim oraz uzyskać wymaganą autonomię.

Co to są strefy docelowe przewodnika Cloud Adoption Framework dla programu Terraform (aztfmod)?

Projekt typu open source stref docelowych w przewodniku Cloud Adoption Framework (OSS) (znany również jako aztfmod) to projekt oparty na społeczności należący do zespołu podstawowego strefy docelowej platformy Azure i organizacji usługi Azure GitHub. Jeśli Twoja organizacja zdecyduje się korzystać z tego projektu systemu operacyjnego, należy wziąć pod uwagę pomoc techniczną dostępną, ponieważ jest to spowodowane wysiłkami społeczności za pośrednictwem usługi GitHub.

Co zrobić, jeśli mamy już zasoby w naszych strefach docelowych, a później przypiszemy definicję usługi Azure Policy, która zawiera je w swoim zakresie?

Przejrzyj następujące sekcje dokumentacji:

Jak obsługujemy strefy docelowe obciążeń "tworzenie/testowanie/produkcja" w architekturze strefy docelowej platformy Azure?

Aby uzyskać więcej informacji, zobacz Zarządzanie środowiskami projektowymi aplikacji w strefach docelowych platformy Azure.

Dlaczego poproszono nas o określenie regionów platformy Azure podczas wdrażania akceleratora strefy docelowej platformy Azure i do czego służą?

Podczas wdrażania architektury strefy docelowej platformy Azure przy użyciu środowiska portalu akceleratora strefy docelowej platformy Azure wybierz region platformy Azure do wdrożenia. Pierwsza karta Lokalizacja wdrożenia określa, gdzie są przechowywane dane wdrożenia. Aby uzyskać więcej informacji, zobacz Wdrożenia dzierżawy z szablonami usługi ARM. Niektóre części strefy docelowej są wdrażane globalnie, ale metadane wdrożenia są śledzone w regionalnym magazynie metadanych. Metadane dotyczące ich wdrożenia są przechowywane w regionie wybranym na karcie Lokalizacja wdrożenia.

Selektor regionów na karcie Lokalizacja wdrożenia służy również do wybierania regionu świadczenia usługi Azure, który ma być przechowywany w dowolnym regionie, na przykład w obszarze roboczym usługi Log Analytics i koncie usługi Automation, jeśli jest to wymagane.

Jeśli wdrożysz topologię sieci na karcie Topologia sieci i łączność , musisz wybrać region platformy Azure, aby wdrożyć zasoby sieciowe. Ten region może różnić się od regionu wybranego na karcie Lokalizacja wdrożenia.

Aby uzyskać więcej informacji na temat regionów używanych przez zasoby strefy docelowej, zobacz Regiony strefy docelowej.

Jak włączyć więcej regionów świadczenia usługi Azure w przypadku korzystania z architektury strefy docelowej platformy Azure?

Aby dowiedzieć się, jak dodać nowe regiony do strefy docelowej lub jak przenieść zasoby strefy docelowej do innego regionu, zobacz Regiony strefy docelowej.

Czy powinniśmy za każdym razem utworzyć nową subskrypcję platformy Azure lub ponownie użyć subskrypcji platformy Azure?

Co to jest ponowne użycie subskrypcji?

Ponowne użycie subskrypcji to proces ponownego tworzenia istniejącej subskrypcji dla nowego właściciela. Powinien istnieć proces resetowania subskrypcji do znanego stanu czystego, a następnie ponownego przypisania do nowego właściciela.

Dlaczego warto rozważyć ponowne użycie subskrypcji?

Ogólnie rzecz biorąc, zalecamy, aby klienci przyjęli zasadę projektowania Demokratyzacja subskrypcji. Istnieją jednak konkretne okoliczności, w których ponowne użycie subskrypcji nie jest możliwe lub zalecane.

Napiwek

Obejrzyj film wideo YouTube na temat zasady projektowania Demokratyzacji subskrypcji tutaj: Strefy docelowe platformy Azure — ile subskrypcji należy używać na platformie Azure?

Jeśli spełniasz jedną z następujących sytuacji, rozważ ponowne użycie subskrypcji:

  • Masz Umowa Enterprise (EA) i planujesz utworzyć ponad 5000 subskrypcji na jednym koncie właściciela konta EA (koncie rozliczeniowym), w tym usuniętych subskrypcjach.
  • Masz Umowa z Klientem Microsoft (MCA) lub umowę MICROSOFT Partner Agreement MPA i planujesz mieć więcej niż 5000 aktywnych subskrypcji
  • Jesteś klientem z płatnością zgodnie z rzeczywistym użyciem
  • Używasz dostępu sponsorowanego Microsoft Azure
  • Często tworzone są następujące opisano:
    1. Efemeryczny laboratorium lub środowiska piaskownicy
    2. Środowiska demonstracyjne na potrzeby weryfikacji koncepcji (POC) lub minimalnych produktów opłacalnych (MVP), w tym niezależnych dostawców oprogramowania (ISV) na potrzeby dostępu do pokazu/wersji próbnej klienta
    3. Środowiska szkoleniowe, takie jak msps/środowiska uczniów trenera

Jak mogę ponownie używać subskrypcji?

Jeśli pasujesz do jednego z powyższych scenariuszy lub zagadnień, może być konieczne ponowne użycie istniejących zlikwidowanych lub nieużywanych subskrypcji i ponowne przypisanie ich do nowego właściciela i celu.

Czyszczenie starej subskrypcji

Najpierw należy wyczyścić starą subskrypcję do ponownego użycia. Przed rozpoczęciem ponownego użycia należy wykonać następujące akcje w subskrypcji:

  • Usuń grupy zasobów i zawarte zasoby.
  • Usuń przypisania ról, w tym przypisania ról usługi Privileged Identity Management (PIM) w zakresie subskrypcji.
  • Usuń niestandardowe definicje kontroli dostępu opartej na rolach (RBAC) w zakresie subskrypcji.
  • Usuń definicje zasad, inicjatywy, przypisania i wykluczenia w zakresie subskrypcji.
  • Usuń wdrożenia w zakresie subskrypcji.
  • Usuń tagi w zakresie subskrypcji.
  • Usuń wszystkie blokady zasobów w zakresie subskrypcji.
  • Usuń wszystkie budżety usługi Microsoft Cost Management w zakresie subskrypcji.
  • Zresetuj Microsoft Defender dla Chmury plany warstwy Bezpłatna, chyba że wymagania organizacyjne nakazują ustawienie tych dzienników na warstwy płatne. Zwykle te wymagania są wymuszane za pośrednictwem usługi Azure Policy.
  • Usuń przekazywanie dzienników aktywności subskrypcji (ustawień diagnostycznych) do obszarów roboczych usługi Log Analytics, usługi Event Hubs, konta magazynu lub innych obsługiwanych miejsc docelowych, chyba że wymagania organizacyjne nakazują przekazywanie tych dzienników, gdy subskrypcja jest aktywna.
  • Usuń wszystkie delegowania usługi Azure Lighthouse w zakresie subskrypcji.
  • Usuń wszystkie ukryte zasoby z subskrypcji.

Napiwek

Użycie Get-AzResource lub az resource list -o table ukierunkowanie na zakres subskrypcji ułatwi znalezienie ukrytych lub pozostałych zasobów do usunięcia przed ponownym przypisaniem.

Ponowne przypisywanie subskrypcji

Po wyczyszczeniu subskrypcji możesz ponownie przypisać subskrypcję. Poniżej przedstawiono niektóre typowe działania, które można wykonać w ramach procesu ponownego przypisania:

  • Dodaj nowe tagi i ustaw wartości dla nich w subskrypcji.
  • Dodaj nowe przypisania ról lub przypisania ról usługi Privileged Identity Management (PIM) w zakresie subskrypcji dla nowych właścicieli. Zazwyczaj te przypisania dotyczą grup Entra firmy Microsoft zamiast osób fizycznych.
  • Umieść subskrypcję w żądanej grupie zarządzania na podstawie wymagań dotyczących ładu.
  • Utwórz nowe budżety usługi Microsoft Cost Management i ustaw alerty dla nowych właścicieli po osiągnięciu progów.
  • Ustaw plany Microsoft Defender dla Chmury na żądane warstwy. To ustawienie należy wymusić za pomocą usługi Azure Policy po umieszczeniu w odpowiedniej grupie zarządzania.
  • Skonfiguruj przekazywanie dzienników aktywności subskrypcji (ustawień diagnostycznych) do obszarów roboczych usługi Log Analytics, usługi Event Hubs, konta magazynu lub innych obsługiwanych miejsc docelowych. To ustawienie należy wymusić za pomocą usługi Azure Policy po umieszczeniu w odpowiedniej grupie zarządzania.

Suwerenna strefa docelowa jest składnikiem chmury microsoft cloud for Sovereignty przeznaczonej dla klientów sektora publicznego, którzy potrzebują zaawansowanych mechanizmów kontroli suwerenności. Jako dostosowaną wersję architektury koncepcyjnej strefy docelowej platformy Azure suwerenna strefa docelowa jest zgodna z możliwościami platformy Azure, takimi jak rezydencja usługi, klucze zarządzane przez klienta, usługa Azure Private Link i poufne przetwarzanie. Dzięki temu wyrównaniu suwerenna strefa docelowa tworzy architekturę chmury, w której dane i obciążenia domyślnie oferują szyfrowanie i ochronę przed zagrożeniami.

Uwaga

Chmura firmy Microsoft dla suwerenności jest ukierunkowana na organizacje rządowe z potrzebami suwerenności. Należy dokładnie rozważyć, czy potrzebujesz możliwości chmury firmy Microsoft dla suwerenności, a dopiero potem rozważ wdrożenie suwerennej architektury strefy docelowej.

Aby uzyskać więcej informacji na temat suwerennej strefy docelowej, zobacz Zagadnienia dotyczące suwerenności stref docelowych platformy Azure.