Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Koncepcje SLZ

Ten artykuł wyjaśnia różne koncepcje związane z suwerenną strefą lądowania (SLZ).

Sposoby wdrażania i konfiguracji SLZ

Organizacje, które chcą usprawnić wdrażanie, mogą skonfigurować SLZ z pojedynczego pliku parametrów i wdrożyć go, uruchamiając pojedynczy skrypt. Plik parametrów i powiązany z nim wdrożenie zapewnia spójność w środowisku za pomocą metod, takich jak zastosowanie wspólnej konwencji nazewnictwa zasobów i standaryzacji w środowisku. Dzięki temu organizacja może szybko rozpocząć pracę z rozwiązania SLA bez konieczności ręcznego wdrażania wielu kroków oraz różnych źródeł dokumentacji.

Kiedy organizacje muszą wykazać rozdzielenie obowiązków i przestrzeganie najniższych uprawnień, mogą skonfigurować SLZ z jednego lub większej liczby plików parametrów. Organizacje mogą podzielić wdrożenie na poszczególne etapy w oparciu o obszary funkcjonalne. Na przykład zespół zapewniający subskrypcje i konfigurujący grupy zarządzania może to zrobić jako jedno działanie wdrożeniowe, jednocześnie umożliwiając oddzielnemu zespołowi zarządzanie zasadami i zgodnością w tych zakresach. Te indywidualne kroki wdrażania wymagają koordynacji, ale umożliwiają bardziej szczegółowe wdrażanie.

Więcej informacji na temat wstępnego wdrożenia całej SLZ na raz lub poszczególnych etapów wdrażania można znaleźć w suwerennej strefie lądowania w serwisie GitHub.

Dostosowania zaawansowane dla SLZ

Plik parametrów SLZ pomaga organizacji poprzez pełną konfigurację wdrożenia i zapewnienie spójności we wszystkich częściach środowiska. Organizacje powinny przejrzeć opcje konfiguracji, aby określić odpowiednie ustawienia dla swojego wdrożenia.

Jednakże plik parametrów SLZ nie zapewnia pełnych opcji konfiguracyjnych dla każdego możliwego ustawienia, jakiego może sobie życzyć klient. W przypadku, gdy potrzebne są większe możliwości, polecamy następujące opcje:

  • Poproś o nowe możliwości konfiguracji poprzez zażądanie funkcji. Zalecamy zamawianie tych nowych funkcji w przypadku rozwiązywania problemów ogólnych lub typowych.

  • Dostosuj po wdrożeniu SLZ. Kroki po wdrożeniu są zalecane, gdy organizacje muszą umieścić więcej kontroli lub utworzyć dodatkowe zasoby przed przyznaniem właścicielom obciążeń uprawnień do korzystania ze środowiska.

  • Utwórz rozwidlenie i utrzymuj lokalną kopię repozytorium SLZ. Zalecamy korzystanie z tej opcji w przypadku organizacji, które potrzebują pełnej kontroli konfiguracji nad swoim środowiskiem lub wymagają, aby mechanizmy zabezpieczeń były wbudowane w środowisko.

Użyj zasad niestandardowych

Zasady platformy Azure mają na celu zapewnienie odpowiedniej widoczności i poręczy technicznych w celu zapewnienia zachowania zgodności. Dla wielu organizacji istotne jest, aby te zasady zostały wbudowane w środowisko przed wdrożeniem obciążeń. Orkiestracja SLZ umożliwia tworzenie i wdrażanie niestandardowych definicji zasad i przypisań wraz z wdrożeniem SLZ i w określonych zakresach w ramach wdrożenia. Orkiestracja zapewnia organizacjom pewność, że od początku obowiązują ich unikalne wymagania dotyczące zgodności. Organizacje, które nie potrzebują niestandardowych zasad, mogą również użyć orkiestracji do przypisania wbudowanych zestawów zasad.

Nasza dokumentacja dotycząca zestawów zasad podglądu w Portfolio zasad zawiera więcej informacji o tym, jak używać niestandardowych polityk w ramach SLZ.

Minimalizacja kosztów dla pilotów

Podczas pilotażu lub przeprowadzania weryfikacji koncepcji ważne jest, aby mieć świadomość konsekwencji kosztowych. Domyślne ustawienia SLZ tworzą wdrożenie gotowe do produkcji, co może być zbyt kosztowne dla organizacji, które nie są jeszcze gotowe do wdrożenia produkcyjnego. Orkiestracja SLZ zapewnia przełączniki dla wielu zasobów, a organizacje powinny określić, które z nich są niezbędne do ich wdrożenia.

Zalecamy przejrzenie następujących ofert produktów:

  • Azure Ochrona przed atakami DDoS: Zalecamy standardową jednostkę SKU ze względu na jej zwiększone możliwości w zakresie kształtowania ruchu, korygowania i wglądu w zdarzenia DDoS. Można jednak użyć podstawowej jednostki SKU w środowiskach nieprodukcyjnych.

  • Azure Zapora sieciowa: Zapora sieciowa Azure umożliwia organizacjom budowanie silnych zabezpieczeń sieciowych wokół wdrożenia SLZ. Organizacje mogą jednak znaleźć inne zasoby sieciowe platformy Azure jako odpowiednie technologie do tworzenia zabezpieczeń w środowiskach nieprodukcyjnych.

  • Azure VPN Gateway: Azure oferty VPN Gateway i ExpressRoute umożliwiają organizacji łączenie środowisk lokalny z Azure. Jednak organizacje mogą nie potrzebować środowisk nieprodukcyjnych, aby mieć tego typu łączność sieciową i zamiast tego mogą korzystać z usługi Azure Bastion lub innych technologii dostępu.

Zobacz też