Menyebarkan dan mengonfigurasi Sovereign Landing Zone

Anda perlu menyelesaikan berbagai langkah prasyarat sebelum menyebarkan dan mengonfigurasi Sovereign Landing Zone (SLZ).

Menyebarkan SLZ

SLZ menyebarkan dan mengonfigurasi berbagai sumber daya Azure dengan cara yang selaras dengan zona pendaratan skala perusahaan sebagai bagian dari praktik terbaik Cloud Adoption Framework (CAF) dan menyediakan pagar pembatas yang sesuai yang dapat dikonfigurasi organisasi untuk mencapai persyaratan kedaulatan data mereka. Pilih teknologi penyebaran untuk informasi penyebaran lebih lanjut.

Bisep

Anda perlu menyelesaikan berbagai langkah prasyarat sebelum menyebarkan dan mengonfigurasi Sovereign Landing Zone (SLZ) menggunakan Bicep. Untuk gambaran terperinci tentang SLZ dan semua kemampuannya, lihat dokumentasi Sovereign Landing Zone (Bicep) di GitHub.

Prasyarat

Untuk menyelesaikan penyebaran, Anda perlu melakukan langkah-langkah prasyarat:

• Pastikan lingkungan lokal Anda memiliki versi berikut yang diinstal (atau yang lebih baru):

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Pastikan Anda memiliki akses ke Microsoft Entra identitas ID dengan izin berikut di Azure:

  • Membuat (atau menggunakan langganan yang sudah ada)
  • Pemilik langganan
  • Membuat perwakilan layanan
  • Buat definisi dan penugasan set kebijakan.

Langkah-langkah untuk menyebarkan Zona Pendaratan Berdaulat

1. Lihat salinan lokal dari Sovereign Landing Zone.

2. Validasi apakah prasyarat terpenuhi untuk lingkungan runtime lokal Anda dan izin Azure dengan menjalankan skrip Confirm-SovereignLandingZonePrerequisites.ps1.

3. Perbarui file parameter dengan parameter yang diperlukan dalam salinan lokal repositori SLZ Anda. Anda dapat membuat penyebaran SLZ dengan parameter minimal berikut:

   • Nama yang unik dan dapat dibaca manusia untuk SLZ
   • Lokasi dan lokasi yang disetujui untuk penyebaran
   • Informasi penagihan untuk langganan yang baru dibuat atau yang sudah ada

4. (Opsional) Tambahkan definisi kebijakan kustom sesuai kebutuhan untuk kepatuhan.

5. Jalankan semua langkah dalam New-SovereignLandingZone.ps1 skrip penyebaran. Proses penerapan awal dapat memakan waktu lebih dari satu jam.

6. Verifikasi penyebaran selesai dengan memeriksa tautan output dasbor kepatuhan yang ditampilkan di akhir penyebaran.

Mengonfigurasi inisiatif kebijakan Dasar Kedaulatan

Anda perlu menggunakan parameter konfigurasi SLZ berikut untuk mengonfigurasi inisiatif kebijakan Dasar Kedaulatan:

• parAllowedLocations: Gunakan parameter ini untuk mengonfigurasi kebijakan pembatasan lokasi untuk semua sumber daya yang disebarkan oleh SLZ di luar cakupan grup manajemen rahasia.

• parAllowedLocationsForConfidentialComputing: Gunakan parameter ini untuk mengonfigurasi kebijakan pembatasan lokasi untuk sumber daya yang disebarkan dalam cakupan grup manajemen rahasia. Parameter ini dapat sama dengan parameter parAllowedLocations tetapi mungkin harus berbeda jika Azure Confidential Computing tidak tersedia di wilayah yang disukai.

• parPolicyEffect: Parameter ini beralih antara garis besar yang memiliki efek tolak, yang direkomendasikan untuk beban kerja produksi, atau efek audit.

Menggunakan portofolio kebijakan atau kebijakan ALZ

Setiap inisiatif pratinjau dalam portofolio kebijakan harus memiliki definisi yang disebarkan sebelum digunakan dalam penyebaran SLZ. Tinjau artikel tentang portofolio kebijakan untuk detail penerapan definisi ini. Anda dapat menggunakan langkah-langkah ini untuk menyebarkan definisi ke zona pendaratan yang ada.

Gunakan parameter konfigurasi berikut untuk mengonfigurasi inisiatif kebijakan ini:

• parCustomerPolicySets: Parameter ini membantu Anda menentukan daftar definisi kumpulan kebijakan untuk ditetapkan pada cakupan grup manajemen tingkat atas untuk penyebaran SLZ.

• parDeployAlzDefaultPolicies: Parameter ini memungkinkan kebijakan ALZ disebarkan pada cakupan yang relevan dalam penyebaran SLZ.

Terraform

Anda perlu menyelesaikan berbagai langkah prasyarat sebelum menyebarkan dan mengonfigurasi Sovereign Landing Zone (SLZ) menggunakan Terraform. Untuk gambaran umum terperinci tentang SLZ dan semua kemampuannya, lihat Sovereign Landing Zone (Terraform) dokumentasi di GitHub.

Prasyarat

Untuk menyelesaikan penyebaran, Anda perlu melakukan langkah-langkah prasyarat:

• Pastikan lingkungan lokal Anda memiliki versi berikut yang diinstal (atau yang lebih baru):

  • Terraform v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• Pastikan Anda memiliki akses ke Microsoft Entra identitas ID dengan izin berikut di Azure:

  • Membuat (atau menggunakan langganan yang sudah ada)
  • Pemilik langganan
  • Membuat perwakilan layanan
  • Buat definisi dan penugasan set kebijakan.

Langkah-langkah untuk menyebarkan Zona Pendaratan Berdaulat

1. Unduh salinan inputs.yaml untuk mengonfigurasi penyebaran Anda. Anda dapat membuat penyebaran SLZ dengan parameter minimal berikut:

   • Nama yang unik dan dapat dibaca manusia untuk SLZ
   • Lokasi dan lokasi yang disetujui untuk penyebaran
   • Informasi penagihan untuk langganan yang baru dibuat atau yang sudah ada

2. (Opsional) Tambahkan definisi kebijakan kustom sesuai kebutuhan untuk kepatuhan.

3. Jalankan perintah PowerShell akselerator sebarkan untuk memeriksa salinan lokal Zona Pendaratan Berdaulat (Terraform).

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

1. Jalankan terraform apply perintah. Proses penerapan awal dapat memakan waktu lebih dari satu jam.

2. Verifikasi apakah penyebaran selesai dengan memeriksa tautan output dasbor kepatuhan yang ditampilkan di akhir penyebaran.

Mengonfigurasi inisiatif kebijakan Dasar Kedaulatan

Anda perlu menggunakan parameter konfigurasi SLZ berikut untuk mengonfigurasi inisiatif kebijakan Dasar Kedaulatan:

• allowed_locations: Gunakan parameter ini untuk mengonfigurasi kebijakan pembatasan lokasi untuk semua sumber daya yang disebarkan oleh SLZ di luar cakupan grup manajemen rahasia.

• allowed_locations_for_confidential_computing: Gunakan parameter ini untuk mengonfigurasi kebijakan pembatasan lokasi untuk sumber daya yang disebarkan dalam cakupan grup manajemen rahasia. Parameter ini dapat sama dengan parameter allowed_locations tetapi mungkin harus berbeda jika Azure Confidential Computing tidak tersedia di wilayah pilihan.

• policy_effect: Parameter ini beralih antara garis besar yang memiliki efek tolak, yang direkomendasikan untuk beban kerja produksi, atau efek audit.

Menggunakan portofolio kebijakan atau kebijakan ALZ

Setiap inisiatif pratinjau dalam portofolio kebijakan harus memiliki definisi yang disebarkan sebelum digunakan dalam penyebaran SLZ. Tinjau artikel tentang portofolio kebijakan untuk detail tentang menyebarkan definisi ini. Anda dapat menggunakan langkah-langkah ini untuk menyebarkan definisi ke zona pendaratan yang ada.

Gunakan parameter konfigurasi berikut untuk mengonfigurasi inisiatif kebijakan ini:

• customer_policy_sets: Parameter ini membantu Anda menentukan daftar definisi kumpulan kebijakan untuk ditetapkan pada cakupan grup manajemen tingkat atas untuk penyebaran SLZ.

• apply_alz_archetypes_via_architecture_definition_template: Parameter ini memungkinkan kebijakan ALZ untuk disebarkan pada cakupan yang relevan dalam penyebaran SLZ.

Menyebarkan platform atau zona pendaratan aplikasi

Setelah SLZ disebarkan, Anda dapat menyediakan platform atau zona pendaratan aplikasi melalui langkah-langkah berikut:

1. Lihat salinan lokal dari ALZ Landing Zone Vending.

2. Referensikan log penyebaran SLZ yang ada untuk grup manajemen, lokasi, ID sumber daya, dll. yang relevan yang diperlukan untuk mengonfigurasi modul penjual otomatis.

3. Perbarui file main.bicep dengan parameter yang sesuai dan jalankan skrip bicep.

Baca juga

• Mengonfigurasi contoh aplikasi rahasia menggunakan Bicep
• Ikhtisar Zona Pendaratan Berdaulat
• Konsep Zona Pendaratan Berdaulat
• Portofolio kebijakan