Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden häufig gestellte Fragen zu Azure Zielzonenarchitektur beantwortet.
Häufig gestellte Fragen zur Implementierung der Azure-Landing-Zone-Architektur finden Sie unter Enterprise-scale Implementation FAQ.
Was ist der Azure Landing Zone Portalbeschleuniger?
Der Azure Landing Zone Portal-Accelerator ist eine auf dem Azure-Portal basierende Bereitstellungserfahrung. Es bietet eine vordefinierte Implementierung basierend auf der Azure Landing Zone Referenzarchitektur an.
Welche sind die empfohlenen Beschleuniger und Implementierungen für Azure Landing Zones?
Microsoft entwickelt und verwaltet die Plattform- und Anwendungsbeschleuniger und -implementierungen aktiv in Übereinstimmung mit den Azure Landing Zone Design-Prinzipien und Designbereich-Anleitungen.
Lesen Sie die Anleitungen Deploy Azure Landing Zones, um mehr über die empfohlenen Plattform- und Anwendungslandzonen zu erfahren.
Finden Sie Informationen dazu, wie Sie Ihre Azure Landingzonen-Bereitstellung an Ihre Anforderungen anpassen können, unter Die Azure Landingzonenarchitektur zur Erfüllung der Anforderungen anpassen
Tipp
Um eine Ergänzung der Beschleuniger- und Implementierungsliste anzufordern, eröffnen Sie ein GitHub-Issue im ALZ-Repository.
Was ist die Azure Landing Zone Referenzarchitektur?
Die Azure Landing Zone Referenzarchitektur veranschaulicht Entscheidungen zu Skalierung und Reife. Sie basiert auf den Erkenntnissen und dem Feedback von Kunden, die Azure als Teil ihrer digitalen Infrastruktur übernommen haben. Diese konzeptionelle Architektur kann Ihrer Organisation helfen, eine Richtung für das Entwerfen und Implementieren einer Zielzone festzulegen.
Was entspricht einer Landing Zone in Azure im Kontext der Azure-Zielzonenarchitektur?
Aus der Perspektive einer Azure Landingzone betrachtet, sind Zielzonen einzelne Azure-Abonnements.
Was bedeutet richtliniengesteuerte Governance und wie funktioniert sie?
Richtliniengesteuerte Governance ist eines der wichtigsten Entwurfsprinzipien der Unternehmensarchitektur.
Richtliniengesteuerte Governance bedeutet, Azure Policy zu verwenden, um die Zeit zu reduzieren, die Sie für häufige und wiederholte operative Aufgaben in Ihrem Azure Mandanten benötigen. Verwenden Sie viele der Azure Policy Effekte, z. B. Append, Deny, DeployIfNotExists und Modify, um die Nichteinhaltung zu verhindern, indem Sie entweder nicht konforme Ressourcen (wie in der Richtliniendefinition beschrieben) an der Erstellung oder Aktualisierung hindern oder Ressourcen bereitstellen oder Einstellungen einer Ressourcenerstellungs- oder Aktualisierungsanforderung ändern, um sie konform zu machen. Einige Effekte, wie Audit, Disabled und AuditIfNotExists, verhindern oder ergreifen keine Maßnahmen; sie auditieren und berichten nur über Nichtkonformitäten.
Einige Beispiele für richtliniengesteuerte Governance sind:
DenyEffekt: Verhindert, dass Subnetze erstellt oder aktualisiert werden, damit ihnen keine Netzwerksicherheitsgruppen zugeordnet sind.DeployIfNotExistsEffekt: Ein neues Abonnement (Landing Zone) wird erstellt und in eine Verwaltungsgruppe innerhalb Ihrer Azure Landing Zone-Bereitstellung platziert. Azure Policy stellt sicher, dass Microsoft Defender for Cloud im Abonnement aktiviert ist. Außerdem werden die Diagnoseeinstellungen für das Aktivitätsprotokoll so konfiguriert, dass Protokolle an den Log Analytics Arbeitsbereich im Verwaltungsabonnement gesendet werden.Anstatt Code oder manuelle Aktivitäten zu wiederholen, wenn ein neues Abonnement erstellt wird, stellt die
DeployIfNotExistsRichtliniendefinition diese automatisch bereit und konfiguriert sie für Sie.
Was geschieht, wenn wir noch nicht bereit sind, DeployIfNotExists (DINE)-Richtlinien zu nutzen?
Wir haben eine dedizierte Seite, die die verschiedenen Phasen und Optionen beschreibt, um DINE-Richtlinien entweder zu "deaktivieren" oder unseren dreistufigen Ansatz zu nutzen, damit sie schrittweise in Ihre Umgebung integriert werden.
Anleitungen dazu finden Sie unter Einführung von richtliniengesteuerten Schutzmaßnahmen.
Sollten wir Azure Policy verwenden, um Workloads bereitzustellen?
Kurz gesagt , nein. Verwenden Sie Azure Policy, um Ihre Workloads und Landezonen zu steuern, zu verwalten und konform zu halten. Es ist nicht für die Bereitstellung ganzer Workloads und anderer Tools konzipiert. Verwenden Sie das Azure-Portal oder Infrastruktur-as-Code-Angebote (ARM-Vorlagen, Bicep, Terraform), um Ihre Arbeitsauslastung bereitzustellen und zu verwalten und die notwendige Autonomie zu erhalten.
Was ist Cloud Adoption Framework Landungszonen für Terraform (aztfmod)?
Die Cloud Adoption Framework Startbereiche Open-Source-Projekt (OSS) (auch bekannt als aztfmod) ist ein gemeinschaftsgesteuertes Projekt, das außerhalb des Azure Startbereich-Kernteams und der Azure GitHub Organisation entwickelt und gepflegt wird. Wenn Ihre Organisation sich für die Verwendung dieses OSS-Projekts entscheidet, sollten Sie den verfügbaren Support berücksichtigen, da dies von der Community-Anstrengung durch GitHub gesteuert wird.
Was geschieht, wenn wir bereits Ressourcen in unseren Landezonen haben und später eine Azure Policy Definition zuweisen, die sie in ihren Umfang einschließt?
Lesen Sie die folgenden Dokumentationsabschnitte:
- Überleitung vorhandener Azure-Umgebungen zur Azure-Landing-Zone-Referenzarchitektur im Abschnitt "Richtlinie"
- Schnellstart: Erstellen einer Richtlinienzuweisung zum Identifizieren nicht kompatibler Ressourcen – Abschnitt "Identifizieren nicht konformer Ressourcen"
Benötige ich eine dedizierte oder separate KI-Landezone?
Nein, Sie benötigen keine separate KI-Landezone. Stattdessen können Sie die vorhandene Azure Landing Zone Architektur verwenden, um KI-Workloads zu implementieren. Siehe die Anleitung und Erklärung in AI in Azure Landezonen.
Wie behandeln wir die „dev/test/production“ Arbeitslast-Landezonen in der Azure-Landezonenarchitektur?
Weitere Informationen finden Sie unter Verwaltung von Entwicklungsumgebungen für Anwendungen in Azure Landing Zones.
Warum werden wir aufgefordert, Azure-Regionen während der Bereitstellung der Referenzarchitektur der Azure-Zielzone anzugeben und wofür sie gebraucht werden?
Wenn Sie die Azure-Landezonenarchitektur mithilfe der portalbasierten Referenzarchitektur bereitstellen, wählen Sie eine Azure-Region aus, in die sie bereitgestellt werden soll. Die erste Registerkarte, Bereitstellungsspeicherort, bestimmt, wo die Bereitstellungsdaten gespeichert sind. Weitere Informationen finden Sie im Artikel zur Bereitstellung von Mandanten mit ARM-Vorlagen. Einige Teile einer Zielzone werden global bereitgestellt, aber ihre Bereitstellungsmetadaten werden in einem regionalen Metadatenspeicher nachverfolgt. Die Metadaten zu ihrer Bereitstellung werden in der Region gespeichert, die auf der Registerkarte "Bereitstellungsspeicherort " ausgewählt ist.
Die Regionsauswahl auf der Registerkarte Deployment wird auch verwendet, um auszuwählen, welche Azure regionspezifischen Ressourcen gespeichert werden sollen, z. B. ein Log Analytics Arbeitsbereich, falls erforderlich.
Wenn Sie eine Netzwerktopologie auf der Registerkarte Networktopologie und Konnektivität bereitstellen, müssen Sie eine Azure Region auswählen, in der die Netzwerkressourcen bereitgestellt werden sollen. Diese Region kann sich von der Region unterscheiden, die auf der Registerkarte " Bereitstellungsort " ausgewählt ist.
Weitere Informationen zu den Regionen, die von Landing Zone-Ressourcen verwendet werden, finden Sie unter Landungszonenregionen.
Wie aktivieren wir mehr Azure Regionen, wenn wir Azure Zielzonenarchitektur verwenden?
Informationen zum Hinzufügen neuer Regionen zu einer Zielzone oder zum Verschieben von Landungszonenressourcen in eine andere Region finden Sie unter Landungszonenregionen.
Sollten wir jedes Mal ein neues Azure-Abonnement erstellen oder Azure Abonnements wiederverwenden?
Was ist die Wiederverwendung von Abonnements?
Die Wiederverwendung von Abonnements ist der Prozess der Neuverwertung eines vorhandenen Abonnements für einen neuen Besitzer. Es sollte ein Prozess geben, um das Abonnement auf einen bekannten sauberen Zustand zurückzusetzen und dann einem neuen Besitzer zuzuweisen.
Warum sollte ich die Wiederverwendung von Abonnements in Betracht ziehen?
Im Allgemeinen empfehlen wir, dass Kunden das Designprinzip der Abonnementdemokratisierung übernehmen. Es gibt jedoch bestimmte Umstände, unter denen die Wiederverwendung von Abonnements nicht möglich oder empfohlen wird.
Tipp
Schauen Sie sich hier das YouTube-Video zum Designprinzip der Abonnementdemokratisierung an:
Sie sollten die Wiederverwendung von Abonnements in Betracht ziehen, wenn Sie eine der folgenden Bedingungen erfüllen:
- Sie verfügen über einen Enterprise Agreement (EA) und planen, mehr als 5.000 Abonnements für ein einzelnes EA-Kontobesitzerkonto (Abrechnungskonto) zu erstellen, einschließlich gelöschter Abonnements.
- Sie haben eine Microsoft-Kundenvereinbarung (MCA) oder Microsoft Partner-Vereinbarung MPA und planen mehr als 5.000 aktive Abonnements. Weitere Informationen zu Abonnementbeschränkungen finden Sie unter Billing-Konten und -Bereiche im Azure Portal.
- Sie sind ein Pay-as-you-go-Kunde.
- Sie verwenden ein Microsoft Azure Sponsoring-Programm.
- Häufig erstellen Sie:
- Ephemerale Labor- oder Sandkastenumgebungen
- Demoumgebungen für POCs (Proofs-of-Concept) oder Minimum Viable Products (MVP), einschließlich unabhängiger Softwareanbieter (Independent Software Vendors, ISVs) für Demo-/Testzugriff für Kunden
- Schulungsumgebungen, wie die Lernumgebungen von Managed Service Providern (MSPs) und Trainern
Wie kann ich Abonnements wiederverwenden?
Wenn Sie einem der oben genannten Szenarien oder Überlegungen entsprechen, könnten Sie die Wiederverwendung vorhandener außerbetriebgenommener oder nicht genutzter Abonnements in Betracht ziehen und sie einem neuen Besitzer und Zweck zuweisen.
Altes Abonnement bereinigen
Zuerst müssen Sie das alte Abonnement für die Wiederverwendung bereinigen. Sie müssen die folgenden Aktionen für ein Abonnement ausführen, bevor es für die Wiederverwendung bereit ist:
- Entfernen Sie Ressourcengruppen und enthaltene Ressourcen.
- Entfernen Sie Rollenzuweisungen, einschließlich Privileged Identity Management (PIM)-Rollenzuweisungen, im Abonnementbereich.
- Löschen Sie benutzerdefinierte rollenbasierte Zugriffskontrolle-Definitionen auf Abonnement-Ebene.
- Entfernen Sie Richtliniendefinitionen, Initiativen, Zuordnungen und Ausnahmen im Abonnementbereich.
- Entfernen von Bereitstellungen im Abonnementbereich
- Entfernen Sie Tags auf Abonnementsebene.
- Entfernen Sie alle Ressourcensperren im Abonnementbereich.
- Entfernen Sie alle Microsoft Cost Management Budgets im Abonnementbereich.
- Setzen Sie Microsoft Defender for Cloud-Pläne auf die kostenlosen Stufen zurück, es sei denn, organisatorische Anforderungen erfordern das Festlegen der Protokolle auf die kostenpflichtigen Stufen. Normalerweise erzwingen Sie diese Anforderungen über Azure Policy.
- Entfernen Sie die Weiterleitung von Abonnementaktivitätsprotokollen (Diagnoseeinstellungen) an Log Analytics Arbeitsbereiche, Event Hubs, Speicherkonten oder andere unterstützte Ziele, es sei denn, es gibt organisationsinterne Anforderungen, die das Weiterleiten dieser Protokolle erfordern, solange ein Abonnement aktiv ist.
- Entfernen Sie alle Azure Lighthouse Delegierungen im Abonnementbereich.
- Entfernen Sie alle ausgeblendeten Ressourcen aus dem Abonnement.
Tipp
Verwenden Sie Get-AzResource oder az resource list -o table mit dem Ziel, den Abonnementbereich anzusprechen, um alle ausgeblendeten oder verbleibenden Ressourcen zu finden, die entfernt werden sollen, bevor Sie sie erneut zuweisen.
Erneutes Zuweisen des Abonnements
Sie können das Abonnement neu zuweisen, nachdem Sie es bereinigt haben. Im Folgenden finden Sie einige allgemeine Aktivitäten, die Sie im Rahmen des Neuzuweisungsprozesses ausführen möchten:
- Fügen Sie neue Tags hinzu und legen Sie Werte für sie im Abonnement fest.
- Fügen Sie neue Rollenzuweisungen oder Privileged Identity Management (PIM)-Rollenzuweisungen im Abonnementbereich für die neuen Besitzer hinzu. Normalerweise werden diese Aufgaben Microsoft Entra-Gruppen statt Einzelpersonen zugewiesen.
- Platzieren Sie das Abonnement basierend auf ihren Governanceanforderungen in die gewünschte Verwaltungsgruppe.
- Erstellen Sie neue Microsoft Cost Management Budgets, und legen Sie Benachrichtigungen für neue Besitzer fest, wenn Schwellenwerte erreicht wurden.
- Legen Sie Microsoft Defender for Cloud-Pläne auf die gewünschten Stufen fest. Sie sollten diese Einstellung über Azure Policy erzwingen, sobald sie in die richtige Verwaltungsgruppe gesetzt wurden.
- Konfigurieren Sie die Weiterleitung von Abonnementaktivitätsprotokollen (Diagnoseeinstellungen) an Log Analytics Arbeitsbereiche, Event Hubs, Speicherkonto oder andere unterstützte Ziele. Sie sollten diese Einstellung über Azure Policy erzwingen, sobald sie in die richtige Verwaltungsgruppe gesetzt wurden.
Was ist eine souveräne Landezone und wie ist sie mit der architektur der Azure Landezone verbunden?
Die souveräne Landezone ist eine Komponente Microsoft Sovereign Cloud, die für Kunden des öffentlichen Sektors vorgesehen ist, die erweiterte Souveränitätskontrollen benötigen. Als maßgeschneiderte Version der Azure Landing-Zone-Referenzarchitektur stimmt die souveräne Landing-Zone Azure-Funktionen wie Dienstresidenz, vom Kunden verwaltete Schlüssel, Azure Private Link und vertrauliches Computing aufeinander ab. Durch diese Ausrichtung erstellt die souveräne Landungszone eine Cloudarchitektur, in der Daten und Workloads standardmäßig verschlüsselt sind und Schutz vor Bedrohungen bieten.
Hinweis
Microsoft Sovereign Cloud richtet sich an Organisationen mit Souveränitätsanforderungen. Sie sollten sorgfältig überlegen, ob Sie die Microsoft Sovereign Cloud-Funktionen benötigen, und nur dann die Einführung der Architektur der souveränen Landungszone in Betracht ziehen.
Weitere Informationen zur souveränen Landezone finden Sie unter Sovereign Landing Zone (SLZ).For more information about the sovereign landing zone, see Sovereign Landing Zone (SLZ).