Развертывание и настройка суверенной целевой зоны
Перед развертыванием и настройкой суверенной целевой зоны (SLZ) необходимо выполнить ряд предварительных действий.
Развертывание SLZ
SLZ обеспечивает развертывание и конфигурирование различных ресурсов Azure в соответствии с целевой зоной корпоративного масштаба согласно рекомендациям Cloud Adoption Framework (CAF), и предоставляет ограничительные механизмы, которые организация может настроить для удовлетворения существующих в ней требований к суверенитету данных. Подробный обзор SLZ и всех ее возможностей см. в документации по суверенной целевой зоне на GitHub.
Предварительные условия
Для развертывания необходимо выполнить следующие предварительные действия:
Убедитесь, что в вашей локальной среде установлены следующие (или более новые) версии:
- PowerShell 7.0
- Azure RM 2.51.0
- Azure Bicep 0.20.0
- Azure PowerShell 10.0.0
У вас должен быть доступ к удостоверению Microsoft Entra ID со следующими разрешениями в Azure:
- Создание (или использование существующих) подписок
- Владелец подписок
- Создание субъектов-служб
- Создание определений и назначений наборов политик
Порядок развертывания суверенной целевой зоны
Извлеките локальную копию Sovereign Landing Zone.
Проверьте, соблюдены ли предварительные условия в отношении вашей локальной среды времени выполнения и разрешений Azure, запустив скрипт Confirm-SovereignLandingZonePrerequisites.ps1.
Отредактируйте файл параметров, указав необходимые значения, в вашей локальной копии репозитория SLZ. Создать развертывание SLZ можно со следующими минимальными параметрами:
- Уникальные и понятные имена для SLZ
- Расположение и утвержденное расположение для развертывания
- Платежная информация для вновь созданных или существующих подписок
(Необязательно) Добавьте пользовательские определения политик, необходимые для обеспечения соответствия.
Выполните шаг all в скрипте развертывания New-SovereignLandingZone.ps1. Первоначальный процесс развертывания может занять более часа.
Убедитесь, что развертывание завершено, путем извлечения выходного файла панели мониторинга соответствия в конце скрипта развертывания.
Дополнительные сведения см. в документации по суверенной целевой зоне на GitHub.
Настройка инициатив политики для базового плана суверенитета
Для настройки инициатив политики для базового плана суверенитета необходимо использовать следующие параметры конфигурации SLZ:
parAllowedLocations: используйте этот параметр для настройки политик ограничения на расположение для всех ресурсов, развертываемых SLZ за пределами областей конфиденциальной группы управления.
parAllowedLocationsForConfidentialComputing: используйте этот параметр для настройки политик ограничения на расположение для всех ресурсов, развертываемых внутри областей конфиденциальной группы управления. Значение этого параметра может совпадать с параметром parAllowedLocations, но может и отличаться, если конфиденциальные вычисления Azure недоступны в предпочтительном регионе.
parPolicyEffect: этот параметр позволяет переключаться между базой с эффектом запрета, что рекомендуется использовать для производственных рабочих нагрузок, и с эффектом аудита.
Дополнительные сведения см. в документации по суверенной целевой зоне на GitHub.
Использование портфеля политики или политик ALZ
Для входящих в портфель политики инициатив на этапе предварительной версии должны быть развернуты определения, прежде чем их можно будет использовать в развертывании SLZ. Подробную информацию о развертывании этих определений можно найти в статье о портфеле политики. Эти шаги можно использовать для развертывания определений в любой существующей целевой зоне.
Используйте следующие параметры конфигурации для настройки таких инициатив политик:
parCustomerPolicySets: этот параметр позволяет пользователю указать список определений наборов политик, которые нужно назначить в области группы управления верхнего уровня для развертывания SLZ.
parDeployAlzDefaultPolicies: этот параметр позволяет развертывать политики ALZ в соответствующих областях внутри развертывания SLZ.
Дополнительные сведения см. в документации по суверенной целевой зоне на GitHub.
Развертывание целевой зоны платформы или приложения
После развертывания SLZ вы можете подготовить целевую зону платформы или приложения, выполнив следующие действия:
Извлеките локальную копию ALZ Landing Zone Vending.
Обратитесь к существующим журналам развертывания SLZ для получения соответствующих групп управления, местоположений, идентификаторов ресурсов и т. д., необходимых для настройки вендингового модуля.
Отредактируйте файл main.bicep, указав соответствующие значения параметров, и запустите скрипт bicep.
Дополнительные сведения см. в документации по суверенной целевой зоне на GitHub.