Freigeben über

Häufig gestellte Fragen zur Azure Landingzone (FAQ)

In diesem Artikel werden häufig gestellte Fragen zur Azure-Zielzonenarchitektur beantwortet.

Häufig gestellte Fragen zur Implementierung der Azure-Zielzonenarchitektur finden Sie in den unternehmensweiten Implementierungs-FAQs.

Was ist der Azure-Zielzonenbeschleuniger?

Der Azure Landing Zone Accelerator ist ein Azure-Portal-basiertes Bereitstellungserlebnis. Sie stellt eine meinungsbasierte Implementierung basierend auf der konzeptionellen Architektur der Azure-Zielzone bereit.

Microsoft entwickelt und verwaltet die Plattform- und Anwendungsbeschleuniger und -implementierungen in Übereinstimmung mit den Entwurfsprinzipien und Designbereichsrichtlinien für Azure-Zielzonen.

Lesen Sie die Anleitungen zur Bereitstellung von Azure-Zielzonen , um mehr über die empfohlene Plattform und Anwendungslandungszonen zu erfahren.

Informationen zum Anpassen Ihrer Bereitstellung von Azure-Zielzonen auf Ihre Anforderungen finden Sie unter Anpassen der Azure-Zielzonenarchitektur, um die Anforderungen zu erfüllen.

Tipp

Um eine Ergänzung der Accelerator- und Implementierungsliste anzufordern, lösen Sie ein GitHub-Problem im ALZ-Repository aus.

Was ist die konzeptionelle Architektur der Azure-Zielzone?

Die konzeptionelle Architektur der Azure-Zielzone stellt Skalierungs- und Reifeentscheidungen dar. Sie basiert auf den Erkenntnissen und dem Feedback von Kunden, die Azure als Teil ihrer digitalen Umgebung übernommen haben. Diese konzeptionelle Architektur kann Ihrer Organisation helfen, eine Richtung für das Entwerfen und Implementieren einer Zielzone festzulegen.

Was wird einer Landing Zone in Azure im Kontext der Azure Landing Zone-Architektur zugeordnet?

Aus der Perspektive einer Azure-Zielzone handelt es sich bei den Zielzonen um einzelne Azure-Abonnements.

Was bedeutet richtliniengesteuerte Governance und wie funktioniert sie?

Richtliniengesteuerte Governance ist eines der wichtigsten Entwurfsprinzipien der Unternehmensarchitektur.

Richtliniengesteuerte Governance bedeutet die Verwendung von Azure-Richtlinien, um die Zeit zu reduzieren, die Sie für häufige und wiederholte operative Aufgaben in Ihrem Azure-Mandanten benötigen. Verwenden Sie viele der Azure-Richtlinieneffekte, wie z.B. Append, Deny, DeployIfNotExists und Modify, um zu verhindern, dass nicht konforme Ressourcen (gemäß der Richtliniendefinition) erstellt oder aktualisiert werden. Dies kann erreicht werden, indem Ressourcen bereitgestellt oder Einstellungen einer Ressourcenerstellungs- oder Aktualisierungsanforderung verändert werden, um sie konform zu machen. Einige Effekte, wie Audit, Disabled und AuditIfNotExists, verhindern oder ergreifen keine Maßnahmen; sie auditieren und berichten nur über Nichtkonformitäten.

Einige Beispiele für richtliniengesteuerte Governance sind:

  • Deny Effekt: Verhindert, dass Subnetze erstellt oder aktualisiert werden, damit ihnen keine Netzwerksicherheitsgruppen zugeordnet sind.

  • DeployIfNotExists-Auswirkung: Ein neues Abonnement (Zielzone) wird erstellt und in einer Verwaltungsgruppe innerhalb Ihrer Azure-Zielzonenbereitstellung platziert. Azure-Richtlinie stellt sicher, dass Microsoft Defender für Cloud (früher azure Security Center) im Abonnement aktiviert ist. Außerdem werden die Diagnoseeinstellungen für das Aktivitätsprotokoll so konfiguriert, dass Protokolle an den Log Analytics-Arbeitsbereich im Verwaltungsabonnement gesendet werden.

    Anstatt Code oder manuelle Aktivitäten zu wiederholen, wenn ein neues Abonnement erstellt wird, stellt die DeployIfNotExists Richtliniendefinition diese automatisch bereit und konfiguriert sie für Sie.

Was geschieht, wenn wir noch nicht bereit sind, DeployIfNotExists (DINE)-Richtlinien zu nutzen?

Wir haben eine dedizierte Seite, die die verschiedenen Phasen und Optionen beschreibt, um DINE-Richtlinien entweder zu "deaktivieren" oder unseren dreistufigen Ansatz zu nutzen, damit sie schrittweise in Ihre Umgebung integriert werden.

Anleitungen dazu finden Sie unter Einführung von richtliniengesteuerten Schutzmaßnahmen.

Sollten wir Azure-Richtlinie zum Bereitstellen von Workloads verwenden?

Kurz gesagt , nein. Verwenden Sie Azure-Richtlinien, um Ihre Workloads und Landezonen zu steuern, zu verwalten und konform zu halten. Es ist nicht für die Bereitstellung ganzer Workloads und anderer Tools konzipiert. Verwenden Sie das Azure-Portal oder Infrastruktur-as-Code-Angebote (ARM-Vorlagen, Bicep, Terraform), um Ihre Workloads bereitzustellen und zu verwalten, um die benötigte Autonomie zu erhalten.

Was bedeutet Cloud Adoption Framework-Landezonen für Terraform (aztfmod)?

Das Open-Source-Projekt (OSS) für Cloud Adoption Framework-Zielzonen (auch aztfmod genannt) ist ein communitybasiertes Projekt, das außerhalb des Kernteams für Azure-Zielzonen und außerhalb der Azure GitHub-Organisation verwaltet wird. Wenn Ihre Organisation sich für die Verwendung dieses OSS-Projekts entscheidet, sollten Sie die unterstützung berücksichtigen, die verfügbar ist, da dies durch die Bemühungen der Community über GitHub gesteuert wird.

Was geschieht, wenn wir bereits Ressourcen in unseren Landezonen haben und später eine Azure-Richtliniendefinition zuweisen, die sie in ihren Gültigkeitsbereich einschließt?

Lesen Sie die folgenden Dokumentationsabschnitte:

Benötige ich eine dedizierte oder separate KI-Landezone?

Nein, Sie benötigen keine separate KI-Landezone. Stattdessen können Sie die vorhandene Azure-Zielzonenarchitektur verwenden, um KI-Workloads bereitzustellen. Lesen Sie die Anleitungen und Erläuterungen in KI in Azure-Landezonen.

Wie gehen wir mit „dev/test/production“-Workload-Zielzonen in der Azure-Zielzonenarchitektur um?

Weitere Informationen finden Sie unter Verwalten von Anwendungsentwicklungsumgebungen in Azure-Zielzonen.

Warum werden wir aufgefordert, bei der Bereitstellung des Azure-Zielzonenbeschleunigers Azure-Regionen anzugeben, und wofür werden sie verwendet?

Wenn Sie die Architektur der Azure-Landing Zone mithilfe der auf dem Azure-Landing Zone Accelerator-Portal basierenden Erfahrung bereitstellen, wählen Sie eine Azure-Region für die Bereitstellung aus. Die erste Registerkarte, Bereitstellungsspeicherort, bestimmt, wo die Bereitstellungsdaten gespeichert sind. Weitere Informationen finden Sie im Artikel zur Bereitstellung von Mandanten mit ARM-Vorlagen. Einige Teile einer Zielzone werden global bereitgestellt, aber ihre Bereitstellungsmetadaten werden in einem regionalen Metadatenspeicher nachverfolgt. Die Metadaten zu ihrer Bereitstellung werden in der Region gespeichert, die auf der Registerkarte "Bereitstellungsspeicherort " ausgewählt ist.

Die Regionsauswahl auf der Registerkarte " Bereitstellungsort " wird auch verwendet, um auszuwählen, welche Azure-Region alle regionsspezifischen Ressourcen gespeichert werden sollen, z. B. einen Log Analytics-Arbeitsbereich, falls erforderlich.

Wenn Sie eine Netzwerktopologie auf der Registerkarte "Netzwerktopologie und Konnektivität " bereitstellen, müssen Sie eine Azure-Region auswählen, in der die Netzwerkressourcen bereitgestellt werden. Diese Region kann sich von der Region unterscheiden, die auf der Registerkarte " Bereitstellungsort " ausgewählt ist.

Weitere Informationen zu den Regionen, die von Landing Zone-Ressourcen verwendet werden, finden Sie unter Landungszonenregionen.

Wie aktivieren wir weitere Azure-Regionen, wenn wir die Azure-Zielzonenarchitektur verwenden?

Informationen zum Hinzufügen neuer Regionen zu einer Zielzone oder zum Verschieben von Landungszonenressourcen in eine andere Region finden Sie unter Landungszonenregionen.

Sollten wir jedes Mal ein neues Azure-Abonnement erstellen oder Azure-Abonnements wiederverwenden?

Was ist die Wiederverwendung von Abonnements?

Die Wiederverwendung von Abonnements ist der Prozess der Neuverwertung eines vorhandenen Abonnements für einen neuen Besitzer. Es sollte ein Prozess geben, um das Abonnement auf einen bekannten sauberen Zustand zurückzusetzen und dann einem neuen Besitzer zuzuweisen.

Warum sollte ich die Wiederverwendung von Abonnements in Betracht ziehen?

Im Allgemeinen empfehlen wir, dass Kunden das Designprinzip der Abonnementdemokratisierung übernehmen. Es gibt jedoch bestimmte Umstände, unter denen die Wiederverwendung von Abonnements nicht möglich oder empfohlen wird.

Tipp

Schauen Sie sich das YouTube-Video zum Designprinzip für die Abonnementdemokratisierung hier an: Azure Landing Zones – Wie viele Abonnements sollte ich in Azure verwenden?

Sie sollten die Wiederverwendung von Abonnements in Betracht ziehen, wenn Sie eine der folgenden Bedingungen erfüllen:

  • Sie verfügen über einen Enterprise Agreement (EA) und planen, mehr als 5.000 Abonnements für ein einzelnes EA-Kontobesitzerkonto (Abrechnungskonto) zu erstellen, einschließlich gelöschter Abonnements.
  • Sie verfügen über einen Microsoft-Kundenvertrag (MCA) oder microsoft Partner Agreement MPA und planen, mehr als 5.000 aktive Abonnements zu haben. Weitere Informationen zu Abonnementbeschränkungen finden Sie unter Abrechnungskonten und -bereiche im Azure-Portal.
  • Sie sind ein Pay-as-you-go-Kunde.
  • Sie verwenden ein Microsoft Azure-Sponsoring.
  • Häufig erstellen Sie:
    1. Ephemerale Labor- oder Sandkastenumgebungen
    2. Demoumgebungen für POCs (Proofs-of-Concept) oder Minimum Viable Products (MVP), einschließlich unabhängiger Softwareanbieter (Independent Software Vendors, ISVs) für Demo-/Testzugriff für Kunden
    3. Schulungsumgebungen, wie die Lernumgebungen von Managed Service Providern (MSPs) und Trainern

Wie kann ich Abonnements wiederverwenden?

Wenn Sie einem der oben genannten Szenarien oder Überlegungen entsprechen, könnten Sie die Wiederverwendung vorhandener außerbetriebgenommener oder nicht genutzter Abonnements in Betracht ziehen und sie einem neuen Besitzer und Zweck zuweisen.

Altes Abonnement bereinigen

Zuerst müssen Sie das alte Abonnement für die Wiederverwendung bereinigen. Sie müssen die folgenden Aktionen für ein Abonnement ausführen, bevor es für die Wiederverwendung bereit ist:

  • Entfernen Sie Ressourcengruppen und enthaltene Ressourcen.
  • Entfernen Sie Rollenzuweisungen, einschließlich PIM-Rollenzuweisungen (Privileged Identity Management) im Abonnementbereich.
  • Entfernen von benutzerdefinierten RBAC-Definitionen (Role-Based Access Control, rollenbasierte Zugriffssteuerung) im Abonnementbereich
  • Entfernen Sie Richtliniendefinitionen, Initiativen, Zuordnungen und Ausnahmen im Abonnementbereich.
  • Entfernen von Bereitstellungen im Abonnementbereich
  • Entfernen Sie Tags auf Abonnementsebene.
  • Entfernen Sie alle Ressourcensperren im Abonnementbereich.
  • Entfernen Sie alle Microsoft Cost Management-Budgets im Abonnementbereich.
  • Setzen Sie Microsoft Defender für Cloud-Pläne auf "Kostenlose Tarife" zurück, es sei denn, diese Protokolle müssen aufgrund von Organisationsanforderungen auf die kostenpflichtigen Stufen gesetzt werden. Normalerweise erzwingen Sie diese Anforderungen über Azure Policy.
  • Entfernen Sie die Weiterleitung von Abonnementaktivitätsprotokollen (Diagnoseeinstellungen) an Log Analytics-Arbeitsbereiche, Event Hubs, Speicherkonten oder andere unterstützte Ziele, es sei denn, organisatorische Anforderungen verlangen die Weiterleitung dieser Protokolle, während ein Abonnement aktiv ist.
  • Entfernen Sie alle Azure Lighthouse-Delegationen im Abonnementbereich.
  • Entfernen Sie alle ausgeblendeten Ressourcen aus dem Abonnement.

Tipp

Verwenden Sie Get-AzResource oder az resource list -o table mit dem Ziel, den Abonnementbereich anzusprechen, um alle ausgeblendeten oder verbleibenden Ressourcen zu finden, die entfernt werden sollen, bevor Sie sie erneut zuweisen.

Erneutes Zuweisen des Abonnements

Sie können das Abonnement neu zuweisen, nachdem Sie es bereinigt haben. Im Folgenden finden Sie einige allgemeine Aktivitäten, die Sie im Rahmen des Neuzuweisungsprozesses ausführen möchten:

  • Fügen Sie neue Tags hinzu und legen Sie Werte für sie im Abonnement fest.
  • Hinzufügen neuer Rollenzuweisungen oder Privileged Identity Management-Rollenzuweisungen (PIM), im Abonnementbereich für die neuen Besitzer. In der Regel würden diese Aufgaben an Microsoft Entra-Gruppen statt an Einzelpersonen gesendet.
  • Platzieren Sie das Abonnement basierend auf ihren Governanceanforderungen in die gewünschte Verwaltungsgruppe.
  • Erstellen Sie neue Microsoft Cost Management-Budgets, und legen Sie Benachrichtigungen für neue Besitzer fest, wenn Schwellenwerte erreicht wurden.
  • Legen Sie Microsoft Defender für Cloud-Pläne auf die gewünschten Ebenen fest. Sie müssen diese Einstellung über Azure Policy erzwingen, sobald die Platzierung in der richtigen Verwaltungsgruppe erfolgt ist.
  • Konfigurieren Sie die Weiterleitung von Abonnementaktivitätsprotokollen (Diagnoseeinstellungen) an Log Analytics-Arbeitsbereiche, Event Hubs, Speicherkonto oder andere unterstützte Ziele. Sie sollten diese Einstellung über Azure-Richtlinien erzwingen, sobald sie in die richtige Management-Gruppe eingefügt wurde.

Die souveräne Zielzone ist eine Komponente der Microsoft Cloud for Sovereignty, die für Kunden des öffentlichen Sektors vorgesehen ist, die erweiterte Souveränitätskontrollen benötigen. Als maßgeschneiderte Version der konzeptionellen Architektur der Azure-Zielzone nutzt die souveräne Zielzone Azure-Funktionen wie Service-Residenz, vom Kunden verwaltete Schlüssel, Azure Private Link und vertrauliche Datenverarbeitung. Durch diese Ausrichtung erstellt die souveräne Landungszone eine Cloudarchitektur, in der Daten und Workloads standardmäßig verschlüsselt sind und Schutz vor Bedrohungen bieten.

Hinweis

Microsoft Cloud for Sovereignty richtet sich an Regierungsorganisationen mit Souveränitätsanforderungen. Sie sollten sorgfältig überlegen, ob Sie die Microsoft Cloud for Sovereignty-Funktionen benötigen, und nur dann die Einführung der souveränen Landungszonenarchitektur in Betracht ziehen.

Weitere Informationen zur souveränen Landungszone finden Sie in den Überlegungen zur Souveränität für Azure-Landezonen.