Perguntas frequentes sobre a zona de aterrissagem do Azure

Este artigo responde a perguntas frequentes sobre a arquitetura da zona de aterrissagem do Azure.

Para obter perguntas frequentes sobre a implementação da arquitetura de zona de aterrissagem do Azure, consulte Perguntas frequentes sobre implementação em escala empresarial.

O que é o acelerador de zona de aterrissagem do Azure?

O acelerador de zona de aterrissagem do Azure é uma experiência de implantação baseada no portal do Azure. Realiza uma implementação padronizada baseada na arquitetura conceitual da zona de aterrissagem do Azure.

Quais são os aceleradores e implementações recomendados para zonas de aterrissagem do Azure?

A Microsoft desenvolve e mantém ativamente a plataforma e os aceleradores e implementações de aplicativos em alinhamento com os princípios de design da zona de aterrissagem do Azure e as diretrizes da área de design .

Reveja a orientação Implantar zonas de aterrissagem do Azure para saber mais sobre as zonas de aterrissagem de plataforma e aplicativo recomendadas.

Para saber como personalizar a implantação de suas zonas de aterrissagem do Azure para atender às suas necessidades, consulte Personalizar a arquitetura da zona de aterrissagem do Azure para atender aos requisitos

Sugestão

Para solicitar uma adição ao acelerador e à lista de implementação, levante um problema do GitHub no repositório ALZ.

O que é a arquitetura conceitual da zona de aterrissagem do Azure?

A arquitetura conceitual da zona de aterrissagem do Azure representa decisões de escala e maturidade. Baseia-se nas lições aprendidas e nos comentários dos clientes que adotaram o Azure como parte do seu património digital. Essa arquitetura conceitual pode ajudar sua organização a definir uma direção para projetar e implementar uma zona de pouso.

O que uma zona de aterragem mapeia no Azure no contexto da arquitetura de zona de aterragem do Azure?

Do ponto de vista da zona de aterrissagem do Azure, as zonas de aterrissagem são assinaturas individuais do Azure.

O que significa governação orientada por políticas e como funciona?

A governança orientada por políticas é um dos principais princípios de design da arquitetura em escala empresarial.

Governança orientada por políticas significa usar a Política do Azure para reduzir o tempo necessário para tarefas operacionais comuns e repetidas em seu locatário do Azure. Use muitos dos efeitos da Política do Azure, como Append, Deny, DeployIfNotExistse Modify, para evitar a não conformidade, restringindo a criação ou atualização de recursos não compatíveis (conforme definido pela definição de política) ou implantando recursos ou modificando configurações de uma solicitação de criação ou atualização de recursos para torná-los compatíveis. Alguns efeitos, como Audit, Disabled, e AuditIfNotExists, não impedem ou tomam medidas, apenas auditam e relatam o não cumprimento.

Eis alguns exemplos de governação orientada para as políticas:

• Deny efeito: Impede que sub-redes sejam criadas ou atualizadas para que não haja Grupos de Segurança de Rede associados a elas.

• DeployIfNotExists efeito: Uma nova subscrição (zona de embarque/desembarque) é criada e colocada num grupo de gestão dentro da implementação da zona de embarque/desembarque do Azure. A Política do Azure garante que o Microsoft Defender for Cloud (anteriormente conhecido como Central de Segurança do Azure) esteja habilitado na assinatura. Ele também define as configurações de diagnóstico do Log de Atividades para enviar logs para o espaço de trabalho do Log Analytics na assinatura de Gerenciamento.

  Em vez de repetir código ou atividades manuais quando uma nova assinatura é criada, a DeployIfNotExists definição de política as implanta e configura automaticamente para você.

E se não pudermos ou ainda não estivermos prontos para utilizar as políticas DeployIfNotExists (DINE)?

Temos uma página dedicada que percorre as várias fases e opções necessárias para "desativar" as políticas do DINE ou usar nossa abordagem trifásica para adotá-las ao longo do tempo em seu ambiente.

Veja as orientações Adotando guarda-corpos orientados por políticas

Devemos usar a Política do Azure para implantar cargas de trabalho?

Em suma, não. Use a Política do Azure para controlar, controlar e manter suas cargas de trabalho e zonas de aterrissagem em conformidade. Ele não foi projetado para implantar cargas de trabalho inteiras e outras ferramentas. Use o portal do Azure ou as ofertas de infraestrutura como código (Modelos ARM, Bicep, Terraform) para implantar e gerenciar sua carga de trabalho e obter a autonomia de que você precisa.

O que são as zonas de aterragem do Cloud Adoption Framework para Terraform (aztfmod)?

O projeto de open source (OSS) de zonas de aterragem do Cloud Adoption Framework (também conhecido como aztfmod) é um projeto pertencente e mantido pela comunidade, fora da equipa principal de zonas de aterragem do Azure e da organização do GitHub da Azure. Se sua organização optar por usar este projeto OSS, deve-se considerar o suporte disponível, pois isso é impulsionado pelo esforço da comunidade através do GitHub.

E se já tivermos recursos em nossas zonas de aterrissagem e, posteriormente, atribuirmos uma definição de Política do Azure que os inclua em seu escopo?

Analise as seguintes seções de documentação:

• Fazer a transição de ambientes existentes do Azure para a arquitetura conceitual da zona de aterrissagem do Azure - seção "Política"
• Guia de início rápido: criar uma atribuição de política para identificar recursos não compatíveis - seção "Identificar recursos não compatíveis"

Preciso de uma zona de pouso de IA dedicada ou separada?

Não, você não precisa de uma zona de pouso de IA separada. Em vez disso, você pode usar a arquitetura de zona de aterrissagem existente do Azure para implantar cargas de trabalho de IA. Consulte as orientações e explicações em IA nas zonas de aterrissagem do Azure.

Como lidamos com zonas de aterrissagem de carga de trabalho "desenvolvimento/teste/produção" na arquitetura de zona de aterrissagem do Azure?

Para obter mais informações, consulte Gerenciar ambientes de desenvolvimento de aplicativos em zonas de aterrissagem do Azure.

Por que somos solicitados a especificar regiões do Azure durante a implantação do acelerador de zona de aterrissagem do Azure e para que elas são usadas?

Ao implantar a arquitetura da zona de aterrissagem do Azure usando a experiência baseada no portal do acelerador de zona de aterrissagem do Azure, selecione uma região do Azure na qual implantar. A primeira guia, Local de implantação, determina onde os dados de implantação são armazenados. Para obter mais informações, consulte Implementações de inquilinos com modelos ARM. Algumas partes de uma zona de aterrissagem são implantadas globalmente, mas seus metadados de implantação são rastreados em um repositório de metadados regional. Os metadados relativos à sua implementação são armazenados na região selecionada no separador Local de implementação .

O seletor de região na guia Local de implantação também é usado para selecionar qual região do Azure os recursos específicos da região devem ser armazenados, como um espaço de trabalho do Log Analytics, se necessário.

Se você implantar uma topologia de rede na guia Topologia e conectividade de rede , precisará selecionar uma região do Azure para implantar os recursos de rede. Essa região pode ser diferente da região selecionada na guia Local de implantação .

Para obter mais informações sobre as regiões que os recursos da zona de aterrissagem usam, consulte Regiões da zona de desembarque.

Como habilitamos mais regiões do Azure quando usamos a arquitetura de zona de aterrissagem do Azure?

Para entender como adicionar novas regiões a uma zona de aterrissagem ou como mover recursos da zona de pouso para uma região diferente, consulte Regiões da zona de pouso.

Devemos criar sempre uma nova Subscrição do Azure ou devemos reutilizar as Subscrições do Azure?

O que é a reutilização de subscrição?

A reutilização da subscrição é o processo de reemissão de uma subscrição existente para um novo proprietário. Deve haver um processo para redefinir a assinatura para um estado limpo e conhecido e, em seguida, reatribuí-la a um novo proprietário.

Por que devo considerar a reutilização de assinaturas?

Em geral, recomendamos que os clientes adotem o princípio de design de Democratização da Assinatura. No entanto, existem circunstâncias específicas em que a reutilização da subscrição não é possível ou recomendada.

Sugestão

Assista ao vídeo do YouTube sobre o princípio de design de Democratização da Assinatura aqui: Zonas de aterrissagem do Azure - Quantas assinaturas devo usar no Azure?

Você deve considerar a reutilização da assinatura se atender a uma das seguintes circunstâncias:

• Tem um Enterprise Agreement (EA) e planeia criar mais de 5.000 subscrições numa única Conta de Proprietário EA (conta de faturação), incluindo subscrições eliminadas.
• Tem um Contrato de Cliente Microsoft (MCA) ou um Contrato de Parceiro Microsoft MPA e planeia ter mais de 5.000 subscrições ativas. Para saber mais sobre limites de assinatura, consulte Contas e escopos de cobrança no portal do Azure.
• Você é um cliente pré-pago.
• Você usa um Patrocínio do Microsoft Azure.
• Você normalmente cria:
  1. Ambientes efêmeros de laboratório ou sandbox
  2. Ambientes de demonstração para provas de conceito (POCs) ou produtos mínimos viáveis (MVP), incluindo fornecedores independentes de software (ISV) para demonstração/avaliação aos clientes.
  3. Ambientes de formação, tais como ambientes de aprendizagem de MSPs/Formadores

Como posso reutilizar subscrições?

Se você corresponder a um dos cenários ou considerações acima, talvez seja necessário considerar a reutilização de assinaturas existentes desativadas ou não utilizadas e reatribuí-las a um novo proprietário e finalidade.

Limpar subscrição antiga

Primeiro, você precisa limpar a assinatura antiga para reutilização. Você precisa executar as seguintes ações em uma assinatura antes que ela esteja pronta para reutilização:

• Remova Grupos de Recursos e recursos contidos.
• Remova atribuições de função, incluindo atribuições de função de Gerenciamento de Identidade Privilegiada (PIM), no escopo da assinatura.
• Remova as definições personalizadas de RBAC (Controle de Acesso Baseado em Funções) ao nível da assinatura.
• Remova Definições, Iniciativas, Atribuições e Isenções de Política no escopo da assinatura.
• Remova implantações no âmbito da assinatura.
• Remova as tags no escopo da assinatura.
• Remova todos os bloqueios de recursos no escopo da assinatura.
• Remova todos os orçamentos do Microsoft Cost Management no escopo da assinatura.
• Redefina os planos do Microsoft Defender for Cloud para tiers gratuitos, a menos que os requisitos organizacionais exijam que esses logs sejam configurados para as camadas pagas. Normalmente, você impõe esses requisitos por meio da Política do Azure.
• Remova os encaminhamentos dos logs de atividade da assinatura (configurações de diagnóstico) para os Espaços de Trabalho do Log Analytics, Hubs de Eventos, Contas de Armazenamento ou outros destinos suportados, a menos que os requisitos organizacionais exijam o encaminhamento desses logs enquanto uma assinatura estiver ativa.
• Remova todas as Delegações do Farol do Azure no escopo da assinatura.
• Remova todos os recursos ocultos da assinatura.

Sugestão

Usar Get-AzResource ou az resource list -o table direcionados para o escopo da assinatura irá ajudar a encontrar quaisquer recursos ocultos ou restantes para remover antes de novamente atribuir.

Reatribuir a subscrição

Você pode reatribuir a assinatura depois de limpar a assinatura. Aqui estão algumas atividades comuns que você pode querer executar como parte do processo de reatribuição:

• Adicione novas tags e defina valores para elas na assinatura.
• Adicione novas Atribuições de Funções, ou Atribuições de Funções de Gerenciamento de Identidade Privilegiada (PIM), no âmbito da subscrição para os novos proprietários. Normalmente, essas atribuições seriam para grupos do Microsoft Entra em vez de indivíduos.
• Coloque a assinatura no Grupo de Gestão desejado com base nos seus requisitos de governança.
• Crie novos orçamentos do Microsoft Cost Management e defina alertas para novos proprietários quando os limites forem atingidos.
• Defina os planos do Microsoft Defender for Cloud para os níveis desejados. Você deve impor essa configuração por meio da Política do Azure uma vez colocada no Grupo de Gerenciamento correto.
• Configure os logs de atividade de assinatura (configurações de diagnóstico) para encaminhar para os espaços de trabalho do Log Analytics, os Hubs de Eventos, a Conta de Armazenamento ou outros destinos suportados. Você deve impor essa configuração por meio da Política do Azure uma vez colocada no Grupo de Gerenciamento correto.

O que é uma zona de aterragem soberana e como está relacionada com a arquitetura da zona de aterragem do Azure?

A zona de aterrissagem soberana é um componente do Microsoft Cloud for Sovereignty destinado a clientes do setor público que precisam de controles avançados de soberania. Como uma versão personalizada da arquitetura conceitual da zona de aterrissagem do Azure, a zona de aterrissagem soberana alinha recursos do Azure, como residência de serviço, chaves gerenciadas pelo cliente, Link Privado do Azure e computação confidencial. Por meio desse alinhamento, a zona de aterrissagem soberana cria uma arquitetura de nuvem onde dados e cargas de trabalho oferecem criptografia e proteção contra ameaças por padrão.

Observação

O Microsoft Cloud for Sovereignty é orientado para organizações governamentais com necessidades de soberania. Você deve considerar cuidadosamente se precisa dos recursos do Microsoft Cloud for Sovereignty e só então considerar a adoção da arquitetura de zona de aterrissagem soberana.

Para obter mais informações sobre a zona de aterrissagem soberana, consulte Considerações de soberania para zonas de pouso do Azure.