Perguntas frequentes sobre a zona de aterrissagem do Azure (FAQ)

Este artigo responde às perguntas frequentes sobre a arquitetura da zona de aterrissagem do Azure.

Para obter perguntas frequentes sobre a implementação da arquitetura de zona de aterrissagem do Azure, consulte Perguntas frequentes sobre a implementação em escala empresarial.

O que é o acelerador de zona de destino do Azure?

O acelerador de zona de destino do Azure é uma experiência de implantação do portal do Azure baseada em dados. Ele implanta uma implementação de opinião baseada na arquitetura conceitual de zona de destino do Azure.

Quais são os aceleradores e implementações recomendados para zonas de aterrissagem do Azure?

A Microsoft desenvolve e mantém ativamente os aceleradores e implementações de plataforma e aplicativos em alinhamento com os princípios de design da zona de aterrissagem do Azure e as diretrizes da área de design.

Revise as diretrizes Implantar zonas de aterrissagem do Azure para saber mais sobre as zonas de aterrissagem recomendadas de plataforma e aplicativo.

Para saber como personalizar sua implantação de zonas de aterrissagem do Azure para atender às suas necessidades, consulte Personalizar a arquitetura da zona de aterrissagem do Azure para atender aos requisitos

Dica

Para solicitar uma adição à lista de aceleradores e implementações, levante um problema do GitHub no repositório ANZ.

O que é a arquitetura conceitual de zona de destino do Azure?

A arquitetura conceitual da zona de destino do Azure representa decisões de escala e maturidade. Ela se baseia nas lições aprendidas e nos comentários dos clientes que adotaram o Azure como parte de sua propriedade digital. Essa arquitetura conceitual pode ajudar sua organização a definir uma direção para projetar e implementar uma zona de destino.

Para que uma zona de aterrissagem é mapeada no Azure no contexto da arquitetura da zona de aterrissagem do Azure?

Do ponto de vista da zona de aterrissagem do Azure, as zonas de aterrissagem são assinaturas individuais do Azure.

O que significa governança controlada por políticas e como ela funciona?

A governança controlada por políticas é um dos principais princípios de design da arquitetura de escala empresarial.

Governança controlada por políticas significa usar o Azure Policy para reduzir o tempo necessário para tarefas operacionais comuns e repetidas em seu locatário do Azure. Use muitos dos efeitos do Azure Policy, como AppendDeny, DeployIfNotExists e Modify, para evitar a não conformidade, evitando que recursos que não estão em conformidade (conforme definido pela definição de política) sejam criados ou atualizados ou implantando recursos ou modificando configurações de uma criação de recursos ou solicitação de atualização para torná-los compatíveis. Alguns efeitos, como Audit, Disabled e AuditIfNotExists, não impedem ou fazem ações; eles apenas auditam e relatam a não conformidade.

Alguns exemplos de governança controlada por políticas são:

• Deny efeito: Impede que as sub-redes seja criadas ou atualizadas para não haver grupos de segurança de rede associados a elas.

• DeployIfNotExists efeito: uma nova assinatura (zona de aterrissagem) é criada e colocada em um grupo de gerenciamento dentro da implantação da zona de aterrissagem do Azure. O Azure Policy garante que o Microsoft Defender para Nuvem (anteriormente conhecido como Central de Segurança do Azure) está habilitado na assinatura. Ele também define as configurações de diagnóstico do Log de Atividades para enviar logs para o espaço de trabalho do Log Analytics na assinatura de Gerenciamento.

  Em vez de repetir o código ou atividades manuais quando uma nova assinatura é criada, DeployIfNotExists a definição de política as implanta e configura automaticamente para você.

E se não pudermos ou ainda não estivermos prontos para utilizar as políticas DeployIfNotExists (DINE)?

Temos uma página dedicada que percorre as várias fases e opções que você tem para "desabilitar" as políticas do DINE ou usar nossa abordagem de três fases para adotá-las ao longo do tempo em seu ambiente.

Confira as diretrizes Adotar os verificadores de integridade orientados por políticas

Devemos usar o Azure Policy para implantar cargas de trabalho?

Resumindo, não. Use o Azure Policy para controlar, administrar e manter suas cargas de trabalho e zonas de destino em conformidade. Ele não foi projetado para implantar cargas de trabalho inteiras e outras ferramentas. Use o portal do Azure ou as ofertas de infraestrutura como código (Modelos ARM, Bicep, Terraform) para implantar e gerenciar sua carga de trabalho e obter a autonomia necessária.

O que é Cloud Adoption Framework Landing zones for Terraform (aztfmod)?

O projeto de código aberto (OSS) de zonas de aterrissagem da Estrutura de Adoção de Nuvem (também conhecido como aztfmod) é um projeto orientado pela comunidade de propriedade e mantido fora da equipe principal da zona de aterrissagem do Azure e da organização do GitHub do Azure. Se sua organização optar por usar esse projeto OSS, deve-se considerar o suporte disponível, pois isso é impulsionado pelo esforço da comunidade por meio do GitHub.

E se já tivermos recursos em nossas zonas de destino e, posteriormente, atribuirmos uma definição do Azure Policy que os inclua em seu escopo?

Revise as seguintes seções da documentação:

• Fazer a transição de ambientes existentes do Azure para a arquitetura conceitual da zona de aterrissagem do Azure - seção "Política"
• Início Rápido: Criar uma atribuição de política para identificar recursos sem conformidade – seção "Identificar recursos não compatíveis"

Como lidamos com zonas de aterrissagem de carga de trabalho de "desenvolvimento/teste/produção" na arquitetura de zona de aterrissagem do Azure?

Para obter mais informações, consulte Gerenciar ambientes de desenvolvimento de aplicativos em zonas de aterrissagem do Azure.

Por que é solicitado especificar as regiões do Azure durante a implantação do acelerador de zona de destino do Azure e para que elas são usadas?

Ao implantar a arquitetura de zona de aterrissagem do Azure usando a experiência baseada no portal do acelerador de zona de aterrissagem do Azure, selecione uma região do Azure para implantar. A primeira guia, Local da implantação, determina onde os dados de implantação são armazenados. Para obter mais informações, confira Implantações de locatário com modelos do ARM. Algumas partes de uma zona de aterrissagem são implantadas globalmente, mas seus metadados de implantação são rastreados em um repositório de metadados regional. Os metadados relacionados à implantação são armazenados na região selecionada na guia Local de implantação.

O seletor de região na guia Local de implantação também é usado para selecionar qual região do Azure quaisquer recursos específicos da região devem ser armazenados, como um espaço de trabalho do Log Analytics e uma conta de automação, se necessário.

Se você implantar uma topologia de rede na guia Topologia de rede e conectividade , precisará selecionar uma região do Azure para implantar os recursos de rede. Essa região pode ser diferente da região selecionada na guia Local de implantação .

Para obter mais informações sobre as regiões que os recursos da zona de aterrissagem usam, consulte Regiões da zona de aterrissagem.

Como habilitamos mais regiões do Azure quando usamos a arquitetura de zona de aterrissagem do Azure?

Para entender como adicionar novas regiões a uma zona de aterrissagem ou como mover recursos da zona de aterrissagem para uma região diferente, consulte Regiões da zona de aterrissagem.

Devemos criar uma nova Assinatura do Azure sempre ou devemos reutilizar as Assinaturas do Azure?

O que é reutilização de assinatura?

A reutilização de assinatura é o processo de reemissão de uma assinatura existente para um novo proprietário. Deve haver um processo para redefinir a assinatura para um estado limpo conhecido e, em seguida, reatribuído a um novo proprietário.

Por que devo considerar a reutilização de assinaturas?

Em geral, recomendamos que os clientes adotem o princípio de design de democratização de assinatura. No entanto, há circunstâncias específicas em que a reutilização da assinatura não é possível ou recomendada.

Dica

Assista ao vídeo do YouTube sobre o princípio de design de democratização de assinatura aqui: Zonas de aterrissagem do Azure - Quantas assinaturas devo usar no Azure?

Você deve considerar a reutilização da assinatura se atender a uma das seguintes circunstâncias:

• Você tem um Enterprise Agreement (EA) e planeja criar mais de 5.000 assinaturas em uma única Conta de Proprietário da Conta EA (conta de cobrança), incluindo assinaturas excluídas.
• Você tem um Contrato de Cliente Microsoft (MCA) ou um Contrato de Parceiro Microsoft MPA e planeja ter mais de 5.000 assinaturas ativas
• Você é um cliente pré-pago
• Você usa um patrocínio do Microsoft Azure
• Você geralmente cria:
  1. Ambientes efêmeros de laboratório ou sandbox
  2. Ambientes de demonstração para provas de conceito (POCs) ou produtos mínimos viáveis (MVP), incluindo fornecedores independentes de software (ISV) para acesso de demonstração/avaliação do cliente
  3. Ambientes de treinamento, como ambientes de alunos de MSPs/Trainer

Como faço para reutilizar assinaturas?

Se você corresponder a um dos cenários ou considerações acima, talvez seja necessário considerar a reutilização de assinaturas existentes desativadas ou não utilizadas e reatribuí-las a um novo proprietário e finalidade.

Limpar assinatura antiga

Primeiro, você precisa limpar a assinatura antiga para reutilização. Você precisa executar as seguintes ações em uma assinatura antes que ela esteja pronta para reutilização:

• Remover grupos de recursos e recursos contidos.
• Remova Atribuições de Função, incluindo Atribuições de Função de Gerenciamento de Identidades Privilegiadas (PIM), no escopo da assinatura.
• Remova as definições de RBAC (Controle de Acesso Baseado em Função) Personalizadas, no escopo da assinatura.
• Remova definições de política, iniciativas, atribuições e isenções no escopo da assinatura.
• Remova implantações no escopo da assinatura.
• Remova as tags no escopo da assinatura.
• Remova quaisquer bloqueios de recursos no escopo da assinatura.
• Remova todos os orçamentos do Microsoft Cost Management no escopo da assinatura.
• Redefina os planos do Microsoft Defender for Cloud para Níveis Gratuitos, a menos que os requisitos organizacionais exijam que esses logs sejam definidos para as camadas pagas. Normalmente, você impõe esses requisitos por meio da Política do Azure.
• Remova os logs de atividade de assinatura (configurações de diagnóstico) encaminhados para Espaços de Trabalho do Log Analytics, Hubs de Eventos, Conta de Armazenamento ou outros destinos com suporte, a menos que os requisitos organizacionais exijam o encaminhamento desses logs enquanto uma assinatura estiver ativa.
• Remova todas as Delegações do Farol do Azure no escopo da assinatura.
• Remova todos os recursos ocultos da assinatura.

Dica

Usar Get-AzResource ou direcionar para o escopo da assinatura ajudará você a encontrar quaisquer recursos ocultos ou az resource list -o table restantes a serem removidos antes de reatribuir.

Reatribuir a assinatura

Você pode reatribuir a assinatura depois de limpá-la. Aqui estão algumas atividades comuns que você pode querer executar como parte do processo de reatribuição:

• Adicione novas tags e defina valores para elas na assinatura.
• Adicione novas Atribuições de Função, ou Atribuições de Função de Gerenciamento de Identidades Privilegiadas (PIM), no escopo de assinatura dos novos proprietários. Normalmente, essas atribuições seriam para grupos do Microsoft Entra em vez de indivíduos.
• Coloque a assinatura no Grupo de Gerenciamento desejado com base em seus requisitos de governança.
• Crie novos orçamentos do Microsoft Cost Management e defina alertas para novos proprietários quando os limites forem atingidos.
• Defina os planos do Microsoft Defender for Cloud para as camadas desejadas. Você deve impor essa configuração por meio da Política do Azure depois de colocada no Grupo de Gerenciamento correto.
• Configure logs de atividade de assinatura (configurações de diagnóstico) encaminhamento para Espaços de Trabalho do Log Analytics, Hubs de Eventos, Conta de Armazenamento ou outros destinos compatíveis. Você deve impor essa configuração por meio da Política do Azure depois de colocada no Grupo de Gerenciamento correto.

O que é uma zona de aterrissagem soberana e como ela está relacionada à arquitetura da zona de pouso do Azure?

A zona de pouso soberano é um componente do Microsoft Cloud for Sovereignty destinado a clientes do setor público que precisam de controles avançados de soberania. Como uma versão personalizada da arquitetura conceitual da zona de aterrissagem do Azure, a zona de aterrissagem soberana alinha os recursos do Azure, como residência de serviço, chaves gerenciadas pelo cliente, Link Privado do Azure e computação confidencial. Por meio desse alinhamento, a zona de pouso soberano cria uma arquitetura de nuvem onde dados e cargas de trabalho oferecem criptografia e proteção contra ameaças por padrão.

Observação

O Microsoft Cloud for Sovereignty é orientado para organizações governamentais com necessidades de soberania. Você deve considerar cuidadosamente se precisa dos recursos do Microsoft Cloud for Sovereignty e, só então, considerar a adoção da arquitetura de zona de aterrissagem soberana.

Para obter mais informações sobre a zona de pouso soberano, consulte Considerações sobre soberania para zonas de aterrissagem do Azure.