Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel biedt een snelle oriëntatie met een opstartlens op vijf basisplatformpijlers: compute, netwerken, opslag, containers en gegevens. Voor elke pijler krijgt u een korte beslistabel die uw situatie koppelt aan een standaarddienst, met daarnaast een opmerking over wanneer u die keuze opnieuw moet bekijken naarmate uw startup opschaalt.
In dit artikel leert u hoe u
- Kies de juiste Azure reken-, netwerk- en opslagprimitief voor uw fase.
- Bepaal of Azure Kubernetes Service het juiste containerplatform is voor uw fase en wat u in plaats daarvan moet gebruiken als dit niet het juiste is.
- Kies een eerste gegevensplatform voor relationele, document-, vector- en analyseworkloads.
- Pas een kleine set standaardinstellingen voor kosten, betrouwbaarheid en beveiliging toe die standhouden naarmate u groeit.
- De signalen herkennen die u vertellen dat een standaardkeuze de bruikbaarheid ervan heeft ontgroeid.
Prerequisites
- Een actieve Azure-abonnement.
- De Azure CLI geïnstalleerd en aangemeld. Als u zich wilt aanmelden, voert u het volgende uit
az login. - Toegang tot eigenaar of inzender voor ten minste één resourcegroep.
- Bekendheid met de landingspagina van de Azure portal is nuttig, maar niet vereist.
- Basiskennis van Azure basisprincipes (regio's, abonnementen en resourcegroepen).
Waarom dit belangrijk is voor start-ups
Bij een vroeg opstarten zijn de kosten van een verkeerde infrastructuurkeuze niet de factuur. Het is de week die u verliest aan het wegmigreren van de verkeerde dienst nadat u alles daaromheen hebt gebouwd. De vijf pijlers in dit artikel zijn de pijlers waarbij een standaardinstelling die slecht is gekozen, de neiging heeft om samen te voegen: het verkeerde rekenplatform vormt uw implementatiepijplijn; de verkeerde database beperkt uw gegevensmodel; de verkeerde netwerktopologie blokkeert uw eerste zakelijke klant. U hebt geen platformteam, een sitebetrouwbaarheidstechnicus of een specialist in financiële activiteiten nodig om deze keuzes goed te maken. U hebt een standaardwaarde nodig die goed genoeg is om aan te verzenden en een duidelijk signaal waarmee u wordt aangegeven wanneer u het opnieuw moet bezoeken. Als uw startup deelneemt aan het Microsoft for Startups-programma, zorgen diezelfde standaardinstellingen ervoor dat uw tegoeden langer meegaan en u later in aanmerking blijft komen voor geavanceerde voordelen.
Compute: waar uw code wordt uitgevoerd
Azure heeft meer dan tien rekenservices. Het goede nieuws: voor de meeste workloads in de vroege fase hebben er drie betrekking op wat u nodig hebt.
| Uw situatie | Standaardservice voor Azure | Waarom | Opnieuw bekijken wanneer |
|---|---|---|---|
| Web-app of HTTP-API, een of twee services, u een beheerde runtime wilt | Azure App Service (Linux) | Er is geen containerbuild vereist. Ingebouwde TLS, aangepaste domeinen, implementatieslots en automatisch schalen. De niveaus Free en Basic zijn goedkoop genoeg om een testomgeving te draaien, al vereisen slots en automatisch schalen Standard of hoger. | U wilt meer dan een handvol services uitvoeren, een schaal per service nodig hebben of sidecars nodig hebben. |
| Gebeurtenisgestuurde functie, geplande taak of webhookhandler | Azure Functions (verbruiksabonnement) | Betalen per uitvoering. Kan tot nul worden teruggeschaald. Bindingen verwijderen de meeste lijmcode voor wachtrijen, blobs en HTTP-triggers. | Koude starts verhogen de latentie voor gebruikers, of u overschrijdt de limieten van het Consumption-plan. |
| Gecontaineriseerde microservices, u wilt een runtime met vaste uitgangspunten zonder Kubernetes te beheren | Azure Container Apps | Gebouwd op Kubernetes met automatisch schalen op basis van KEDA, maar u beheert het cluster niet. Dapr is beschikbaar als optionele integratie. Automatisch terugschalen naar nul, revisies en HTTPS-ingress inbegrepen. | U hebt beheer op clusterniveau, een aangepaste planner of geavanceerde netwerken nodig. |
| Langdurige batch-, GPU-training of lift-and-shift van een bestaande workload voor virtuele machines | Azure Virtuele Machines | Volledige controle over het besturingssysteem. Gebruik een schaalset voor virtuele machines wanneer u horizontaal moet schalen. | De operationele last van patchbeheer en imagebeheer begint de oplevering te vertragen. |
| U weet zeker dat u Kubernetes nodig hebt (zie sectie 4 voordat u ervan uitgaat dat dit het geval is) | Azure Kubernetes Service | Beheerde beheerlaag. Past bij teams die al kubernetes-ervaring of specifieke platformvereisten hebben. | Zie de sectie Containers voor AKS-beslissingscriteria. |
Tip
Begin met App Service voor uw eerste gebruikersgerichte web-app en Azure Functions voor alles wat gebeurtenisgestuurd is. U kunt later overstappen op Azure Container Apps of Azure Kubernetes Service zonder de toepassingscode te wijzigen, als u de toepassing staatloos houdt en configuratie naar omgevingsvariabelen schrijft.
Kiezen tussen Container Apps en App Service
Container Apps en App Service overlappen elkaar. De eerlijke doorslaggever: als uw toepassing al als een containerimage wordt uitgevoerd en u per service wilt schalen (andere aantallen replica's voor de weblaag dan voor de worker), wint Container Apps. Als uw toepassing één webproces is en u geen Dockerfile wilt onderhouden, wint App Service.
Caution
Overweeg Azure Kubernetes Service wanneer u duidelijke vereisten hebt waaraan niet wordt voldaan door eenvoudigere opties. Hoewel het een sterke flexibiliteit en controle biedt, worden er ook aanvullende operationele overwegingen geïntroduceerd (zoals upgrades, grootte van knooppuntgroepen, configuratie van inkomend verkeer en certificaatbeheer). Als het te vroeg wordt ingevoerd, besteden teams vaak meer tijd aan platformbeheer dan aan het bouwen van productfunctionaliteit.
Netwerken: wat moet u instellen op dag 1
De meeste vroege fase Azure workloads hebben geen virtueel netwerk nodig op dag één. App Service, Functions, Container Apps en de meeste beheerde databases bieden u openbare eindpunten met TLS die veilig beschikbaar zijn, zolang u de verificatie juist instelt. Het toevoegen van netwerkcomplexiteit voordat u een reden hebt, is de meest voorkomende voortijdige optimalisatie op Azure.
| Uw situatie | Standaardbenadering | Waarom | Opnieuw bekijken wanneer |
|---|---|---|---|
| Gloednieuwe app, openbaar webverkeer, nog geen nalevingsvereisten | Gebruik het openbare eindpunt met TLS. Geen virtueel netwerk. | Laagste overheadkosten. App Service, Container Apps en beheerde databases verwerken TLS voor u. Gebruik Microsoft Entra ID voor verificatie. | Uw eerste zakelijke klant vraagt om privéconnectiviteit. |
| U hebt een privéverbinding tussen uw app en een beheerde database nodig | Integratie van virtuele netwerken aan de rekenzijde, privé-eindpunt aan de databasezijde | Verkeer blijft op de backbone van Microsoft. Geen openbare blootstelling voor de database. Dezelfde beheerde service, geen toepassingswijziging. | Dag één als u beveiligde gegevens verwerkt; anders wanneer een audit of klant hier om vraagt. |
| U hebt één openbaar toegangspunt nodig dat meerdere back-ends met routering, TLS-beëindiging en een webtoepassingsfirewall fronteert | Azure Front Door (globaal) of Azure Application Gateway (regionaal) | Front Door voegt een wereldwijd netwerk voor contentlevering en edge-caching toe. Application Gateway is de regionale, virtuele netwerkeigen optie. | U hebt de ingebouwde TLS en routering van App Service ontgroeid. |
| U hebt uitgaande statische IP-adressen nodig (bijvoorbeeld een acceptatielijst voor de betalingsprocessor) | NAT-gateway gekoppeld aan uw virtuele netwerk | Voorspelbaar uitgaand IP-adres. Vereist voor veel API's van derden. | Een leverancier vereist dit. Voeg het niet speculatief toe. |
| Topologie voor meerdere regio's of meerdere accounts | Peering van virtueel netwerk of Azure Virtual WAN | Echte netwerkarchitectuur begint hier. Buiten het bereik voor de meeste teams in de verkenningsfase. | Meerdere regio's is een echte vereiste, geen aspiratie. |
Important
Vergrendel Microsoft Entra ID en uw abonnementsroltoewijzingen voordat u zich zorgen maakt over netwerkisolatie. De meeste beveiligingsincidenten in Azure bij kleine bedrijven worden veroorzaakt door een identiteit met te veel rechten, niet door openstelling van het netwerk. Gebruik Microsoft Entra ID-groepen voor toegang voor engineeringteams, en ken de rol Owner niet toe op abonnementsniveau.
Opslag: blobs, bestanden en schijven
Azure Storage is één resourcetype (het opslagaccount) dat vier gegevensservices beschikbaar maakt: blobs, bestanden, wachtrijen en tabellen. Voor beslissingen over toepassingsopslag kiest u bijna altijd tussen blobs (objectopslag), bestanden (beheerde bestandsshares) en beheerde schijven (blokopslag die is gekoppeld aan een virtuele machine).
| Wat u opslaat | Standaardservice voor Azure | Waarom | Opnieuw bekijken wanneer |
|---|---|---|---|
| Door de gebruiker geüploade bestanden, gegenereerde rapporten, logboeken, modelartefacten, back-ups | Azure Blob Storage (dynamische laag) | Objectopslag. Goedkoop, duurzaam, schaalt naar petabytes. Gebruik later statische of archieflagen voor gegevens die u niet vaak leest. | U hebt POSIX-bestandssemantiek of willekeurige lees-schrijfbewerkingen nodig in één bestand vanaf meerdere computers. |
| Een gedeeld bestandssysteem dat is gekoppeld door meerdere virtuele machines of containers | Azure Files (Standaard) of Azure NetApp Files (hoge doorvoer) | Gedeelde NFS-volumes (Server Message Block) of Network File System (NFS). Gebruik deze niet voor inhoud die past bij het blobmodel. | U begint een bestandsshare te gebruiken als wachtrij of database. Ga naar de juiste primitieve. |
| Schijven voor een virtuele machine | Premium SSD v2 beheerde schijven | Instelbare prestaties, goede prijs-prestatieverhouding voor applicatieschijven. Premium SSD v2 kan niet worden gebruikt als de besturingssysteemschijf; koppel deze met Premium SSD (v1) of Standard SSD voor het besturingssysteem. Standard SSD is acceptabel voor workloads met lage doorvoer. | U hebt gedeelde blokopslag nodig op virtuele machines (gebruik Azure Elastic SAN of Azure NetApp Files). |
| Assets voor statische websites (toepassingsbundel met één pagina, marketingsite, documentatie) | Azure Storage hosting van statische websites + Azure Front Door | Static Web Apps is de moderne standaardinstelling: ingebouwde aangepaste domeinen, gratis beheerde TLS, wereldwijde distributie, GitHub Actions CI/CD en ingebouwde verificatie. Statische opslagwebsite + Front Door werkt nog steeds voor zeer goedkope instellingen, maar biedt geen systeemeigen ondersteuning voor aangepaste headers of verificatie. | U voegt door de server gerenderde pagina's toe. Ga naar App Service of Container Apps. |
Note
Opslagaccounts hebben een zachte limiet van 250 per regio per abonnement (mogelijk tot 500 per aanvraag). Dat is genoeg voor vroege teams. De fout om te voorkomen is het maken van één opslagaccount per microservice; groeperen op omgeving (productie, fasering, ontwikkeling) en op toegangspatroon (dynamisch, koud, archief) in plaats daarvan.
Een notitie over back-ups
Azure Backup en redundantieopties voor opslagaccounts (lokaal redundante opslag, zone-redundante opslag, geografisch redundante opslag) kunnen per account en per schijf worden geconfigureerd. Lokaal redundante opslag (LRS) is prima voor ontwikkeling en fasering. Gebruik Zone-redundante opslag (ZRS) voor productiegegevens. Geografisch redundante opslag voegt kosten toe en is geen vervanging voor herstel na noodgevallen op toepassingsniveau.
Containers en Azure Kubernetes Service
Azure heeft drie manieren om containers in productie uit te voeren: Azure Container Apps, Azure Container Instances en Azure Kubernetes Service. Ze sluiten aan bij verschillende teamgroottes en operationele bereidheid.
| Uw situatie | Standaardservice voor Azure | Waarom | Wanneer het begint te kwetsen |
|---|---|---|---|
| U hebt containerimages en u wilt een beheerde runtime met HTTPS-ingang, automatisch schalen naar nul en revisies | Azure Container Apps | Serverloos platform op Kubernetes met automatisch schalen van KEDA, maar u ziet of beheert het cluster niet. Betaal voor wat draait. Een goede keuze totdat u vereisten op clusterniveau bereikt. Dapr is beschikbaar als een opt-in-integratie. | U hebt aangepaste planners, geavanceerde netwerken (meerdere netwerkinterfacekaarten, aangepaste invoegtoepassingen voor Container Network Interface) of specifieke Kubernetes-operators nodig. |
| U wilt één container draaien als een eenmalige taak of een korte batchtaak | Azure Container Instances | Snelste route van image naar draaiende container. Geen orkestratie. In rekening gebracht per seconde van runtime. | U hebt iets nodig als een servicemesh of automatische schaling zodra u verder gaat dan één container. |
| U gebruikt Kubernetes al ergens anders of uw toepassingsarchitectuur vereist deze echt | Azure Kubernetes Service | Beheerde beheerlaag. Gebruik je eigen nodepools, netwerkplug-in, ingress-controller en observability-stack. | Dag één. Plan voor doorlopende upgrades (elke 4 maanden wordt een minor-versie uitgebracht), optimalisatie van nodepools en certificaatbeheer. |
| U weet niet zeker of u Kubernetes nodig hebt | Container Apps voorlopig | U kunt indien nodig opnieuw bouwen op Azure Kubernetes Service. Het overzetten van een stateless gecontaineriseerde applicatie kost dagen, geen weken. | U hebt een concrete behoefte (operatorecosysteem, beleid op clusterniveau) dat u kunt benoemen. "Toekomstbestendigheid" is geen concrete behoefte. |
Wanneer moet ik afstuderen aan AKS
Ga naar Azure Kubernetes Service (AKS) wanneer ten minste twee van deze waar zijn:
- U voert meer dan tien services uit met gedeelde levenscyclus- en netwerkproblemen.
- U hebt aangepaste controllers, sidecars of CRD's (Custom Resource Definitions) nodig die Container Apps niet beschikbaar maakt.
- U hebt uitgebreide integratie van virtuele netwerken met strikte beleidshandhaving nodig.
- U standaardiseert een op Kubernetes gebaseerd open source ecosysteem (Argo, Istio, KEDA, enzovoort).
Als u AKS gebruikt, volgt u de AKS-basislijnarchitectuur. Het Microsoft Azure Well-Architected Framework en de verwijzing naar de AKS-basislijn hebben betrekking op de gewenste standaardinstellingen voor beveiliging, schalen en upgraden.
AKS-standaardinstellingen voor een klein team
| Setting | Standaard | Waarom |
|---|---|---|
| Knooppuntgrootte | Standard_D4s_v5 systeemgroep, Standard_D8s_v5 gebruikersgroep | Voorspelbare prijs-prestatieverhouding voor algemene workloads |
| Clusterschaler automaat | Ingeschakeld | Betaal niet voor niet-actieve knooppunten |
| Workloadidentiteit | Ingeschakeld | Vervangt podidentiteit, geïntegreerd met Microsoft Entra ID |
| Azure Policy-invoegtoepassing | Ingeschakeld | Gratis beveiligingsmaatregelen (geen geprivilegieerde containers, verplichte labels) |
| Containeranalyse | Ingeschakeld | Eersteklas metrische gegevens en logboeken in Azure Monitor |
| Privécluster | Aan voor productie | Besturingsvlak alleen bereikbaar vanuit het VNet |
Azure Container Registratiedienst
Ongeacht welk rekenplatform u kiest, slaat u uw installatiekopieën op in Azure Container Registry. De Basic-laag is voldoende voor teams in een vroeg stadium. Gebruik een afzonderlijk register per omgeving (productie, fasering) als u harde isolatie wilt of één register met afzonderlijke opslagplaatsen en op rollen gebaseerd toegangsbeheer als u eenvoud wilt.
Gegevensplatform: relationeel, document-, vector- en analytisch
Beslissingen over het gegevensplatform zijn de meest waarschijnlijk permanente beslissingen. Het schema dat u in maand één oplevert, bepaalt elke functionaliteit voor de komende twee jaar. Kies een standaard die flexibel genoeg is om met het product te groeien en verzet u tegen de verleiding om vooraf een gespecialiseerde database te kiezen voor een functie die u nog niet hebt gebouwd.
| Uw werklast | Standaardservice voor Azure | Waarom | Opnieuw bekijken wanneer |
|---|---|---|---|
| Transactionele toepassingsgegevens (gebruikers, orders, inhoud) met een bekend relationeel schema | Azure Database for PostgreSQL (Flexible Server) | Volwassen, algemeen begrepen, sterk extensie-ecosysteem (inclusief pgvector voor insluitingen). Burstable-laag is goedkoop genoeg voor ontwikkeling en fasering. | Schrijfpatronen voor meerdere regio's of leespatronen op hyperschaal. Overweeg Azure Cosmos DB voor PostgreSQL. |
| Schemaflexibele operationele gegevens, wereldwijde distributie, voorspelbare leesbewerkingen in minder dan 10 milliseconden | Azure Cosmos DB (NoSQL-API) | Standaard meerdere regio's. Serverloze laag is goedkoop genoeg om op te starten. Ontwerp van partities is belangrijk; lees de richtlijnen voor partitiesleutels voordat u verzendt. | U dwingt relationele joins af via de toepassingslaag. PostgreSQL is waarschijnlijk het juiste antwoord. |
| Zoeken naar gestructureerde en ongestructureerde inhoud, inclusief het ophalen van augmented generation | Azure AI Zoeken | Hybride trefwoorden en vectorzoekopdrachten. Kan worden geïntegreerd met Azure OpenAI Service en Cosmos DB. Er bestaat een gratis laag voor het maken van prototypen. | U overschrijdt de indexlimieten per laag (Standard 1 is een algemeen upgradepunt). |
| Vector embeddings voor een retrieval-augmented generation-functie | Aan de slag met pgvector in PostgreSQL of met Azure AI Zoeken | Vermijd een afzonderlijke vectordatabase voor de eerste versie van een ophaalfunctie. U leert wat u eigenlijk nodig hebt (filteren, hybride zoeken, schalen) van echt gebruik. | U hebt uw leespatronen gekenmerkt en de beperkingen rechtvaardigen een gespecialiseerde engine. |
| Analyses, rapportages en ad-hocquery’s over productiegegevens | Azure Database for PostgreSQL leesreplica (Verkennen), Microsoft Fabric (Uitvouwen en extraheren) | Een leesreplica is voldoende voor de meeste analyses in de Explore-fase. Microsoft Fabric is het moderne analyticsplatform zodra dat niet meer toereikend is. | Uw read replica’s kunnen het niet bijbenen, of uw businessstakeholders hebben een selfservice-analyseomgeving nodig. |
| Cachelaag vóór een database | Azure Cache voor Redis (Basic-laag) | Standaard cacheprimitief. Goedkoop om later toe te voegen; voeg niet speculatief toe. | U ziet een duidelijk veelvoorkomend leespatroon dat de database verzadigt. Meting voordat u toevoegt. |
Important
Kies één standaarddatabase en blijf er zo lang mogelijk bij. Een team van vijftien engineers dat PostgreSQL, Cosmos DB, Redis, AI Search, een wachtrij en een grafendatabase beheert, heeft zichzelf onbedoeld het werk van een heel platformteam op de hals gehaald.
Waar Azure OpenAI Service thuishoort
Azure OpenAI Service is geen gegevensplatform, maar deelt hetzelfde beslissingsritme. De meeste startups die een generatieve AI-functie bouwen, beginnen met één modelimplementatie (een recent voltooiingsmodel voor chats) in één regio, plus AI Search of pgvector voor het ophalen. U hebt geen toegewezen pijplijn, een modelgateway of meerdere implementaties nodig totdat u deze moet toevoegen.
Wat in dit artikel wordt behandeld (en wat het niet doet)
| Onderwerp | In dit artikel | Wanneer moet u deze toevoegen |
|---|---|---|
| Identiteits- en toegangsbeheer buiten de basisbeginselen | No | Dag 1 voor de Microsoft Entra ID-configuratie. Voorwaardelijke toegang en Privileged Identity Management wanneer u een beveiligingsbeoordeling voor gegevens hebt. |
| Infrastructure as Code (Bicep, Terraform) | No | Wanneer handmatige wijzigingen in de portal tussen omgevingen uiteen beginnen te lopen. Meestal wanneer u staging toevoegt. |
| Pijplijnen voor continue integratie en continue implementatie | No | Dag één. GitHub Actions of Azure DevOps Pipelines zijn allebei prima. |
| Waarneembaarheid (logboeken, metrische gegevens, traceringen) | No | Application Insights vanaf dag één. Azure Monitor werkmappen wanneer u waarschuwingsmoeheid hebt. |
| Kostenbeheer | No | Stel een budget op abonnementsniveau in op dag 1. Voorzie resources vanaf het begin van tags voor omgeving en eigenaar. |
| Naleving (SOC 2, ISO 27001, HIPAA) | No | Wanneer een klant hier om vraagt. Microsoft Defender voor Cloud heeft een dashboard voor naleving dat beheersmaatregelen koppelt aan Azure-resources. |
| Herstel na noodgevallen en meerdere regio's | No | Wanneer de kosten van een uur downtime hoger zijn dan de technische kosten van de tweede regio. |
Wanneer de standaardinstellingen van het platform niet meer voldoende zijn
Deze groeisignalen geven aan dat een specifieke standaardinstelling door een bewustere vervanging moet worden vervangen:
- U hebt meer dan vijf afzonderlijke services geïmplementeerd op App Service of Container Apps en de schaal per service wordt dagelijks een probleem. Kijk naar Azure Kubernetes Service.
- Uw maandelijkse Azure factuur groeit sneller dan uw maandelijkse omzet gedurende twee maanden achter elkaar. Tijd voor een evaluatie van Kostenbeheer en een analyse van Reserved Instances of Savings Plans.
- Uw virtuele netwerk omvat nu meerdere abonnementen of regio's. Bekijk Azure Virtual WAN en een hub-and-spoke-topologie.
- Eén PostgreSQL-exemplaar kan uw werkset niet in het geheugen opslaan en leesreplica's sluiten de kloof niet. Kijk naar Cosmos DB for PostgreSQL of een gesharde architectuur.
- Analysequery's in de productiedatabase zijn merkbaar van invloed op de toepassingslatentie. Analytics verplaatsen naar Microsoft Fabric.
- U gebruikt meer dan twee opslagaccounts per omgeving voor hetzelfde toegangspatroon. Consolideren.
- U hebt een derde land toegevoegd met betalende klanten. Tijd om een tweede regio, geografisch redundante opslag en een Front Door-routeringsstrategie te evalueren.
Note
Verzet je tegen de verleiding om enterprise platform tooling vroeg te gebruiken. De meeste van de eerder genoemde patronen (service mesh, multi-region active-active, FinOps-tools, aangepaste Kubernetes-operators) vergroten de operationele complexiteit, en dat verdient zich pas op schaal terug. Voeg ze toe wanneer u het team hebt om ze te onderhouden, niet eerder.
Controlelijst voor naslaginformatie
Dit één keer per maand doorlopen voor de eerste zes maanden op Azure. Het detecteert de meest voorkomende drift.
- Eén abonnement per omgeving (productie, fasering, ontwikkeling) of één abonnement met strikte resourcegroepen per omgeving. Niet mengen.
- Elke resource wordt gelabeld met omgeving, eigenaar en kostenplaats (zelfs als kostenplaats dezelfde waarde is voor alles vandaag).
- Een budget op abonnementsniveau met waarschuwingen op 50%, 80%en 100% van het maandelijkse doel in Cost Management.
- Microsoft Entra ID-groepen, niet individuen, hebben roltoewijzingen voor resourcegroepen. Geen vaste eigenaar in het abonnementsbereik.
- Application Insights of Azure Monitor is ingeschakeld voor elke rekenresource voor productie.
- Back-ups van productiedatabases worden gecontroleerd door een gedocumenteerde hersteltest (ten minste één keer).
- Geheimen bevinden zich in Azure Key Vault, niet in de toepassingsconfiguratie. Gebruik beheerde identiteiten voor het pad compute-to-Key-Vault.
- Containerimages worden gescand (Microsoft Defender for Containers of de ingebouwde scanner van uw containerregister).