Поделиться через

Развертывание и настройка суверенной целевой зоны

  • Статья

Перед развертыванием и настройкой суверенной целевой зоны (SLZ) необходимо выполнить ряд предварительных действий.

Развертывание SLZ

SLZ обеспечивает развертывание и конфигурирование различных ресурсов Azure в соответствии с целевой зоной корпоративного масштаба согласно рекомендациям Cloud Adoption Framework (CAF), и предоставляет ограничительные механизмы, которые организация может настроить для удовлетворения существующих в ней требований к суверенитету данных. Подробный обзор SLZ и всех ее возможностей см. в документации по суверенной целевой зоне на GitHub.

Предварительные условия

Для развертывания необходимо выполнить следующие предварительные действия:

  • Убедитесь, что в вашей локальной среде установлены следующие (или более новые) версии:

    • PowerShell 7.0
    • Azure RM 2.51.0
    • Azure Bicep 0.20.0
    • Azure PowerShell 10.0.0

  • У вас должен быть доступ к удостоверению Microsoft Entra ID со следующими разрешениями в Azure:

    • Создание (или использование существующих) подписок
    • Владелец подписок
    • Создание субъектов-служб
    • Создание определений и назначений наборов политик

Порядок развертывания суверенной целевой зоны

  1. Извлеките локальную копию Sovereign Landing Zone.

  2. Проверьте, соблюдены ли предварительные условия в отношении вашей локальной среды времени выполнения и разрешений Azure, запустив скрипт Confirm-SovereignLandingZonePrerequisites.ps1.

  3. Отредактируйте файл параметров, указав необходимые значения, в вашей локальной копии репозитория SLZ. Создать развертывание SLZ можно со следующими минимальными параметрами:

    • Уникальные и понятные имена для SLZ
    • Расположение и утвержденное расположение для развертывания
    • Платежная информация для вновь созданных или существующих подписок

  4. (Необязательно) Добавьте пользовательские определения политик, необходимые для обеспечения соответствия.

  5. Выполните шаг all в скрипте развертывания New-SovereignLandingZone.ps1. Процесс первоначального развертывания занимает около двух часов.

  6. Убедитесь, что развертывание завершено, путем извлечения выходного файла панели мониторинга соответствия в конце скрипта развертывания.

Дополнительные сведения см. в документации по суверенной целевой зоне на GitHub.

Настройка инициатив политики для базового плана суверенитета

Для настройки инициатив политики для базового плана суверенитета необходимо использовать следующие параметры конфигурации SLZ:

  • parAllowedLocations: используйте этот параметр для настройки политик ограничения на расположение для всех ресурсов, развертываемых SLZ за пределами областей конфиденциальной группы управления.

  • parAllowedLocationsForConfidentialComputing: используйте этот параметр для настройки политик ограничения на расположение для всех ресурсов, развертываемых внутри областей конфиденциальной группы управления. Значение этого параметра может совпадать с параметром parAllowedLocations, но может и отличаться, если конфиденциальные вычисления Azure недоступны в предпочтительном регионе.

  • parPolicyEffect: этот параметр позволяет переключаться между базой с эффектом запрета, что рекомендуется использовать для производственных рабочих нагрузок, и с эффектом аудита.

Дополнительные сведения см. в документации по суверенной целевой зоне на GitHub.

Использование портфеля политики или политик ALZ

Для входящих в портфель политики инициатив на этапе предварительной версии должны быть развернуты определения, прежде чем их можно будет использовать в развертывании SLZ. Подробную информацию о развертывании этих определений можно найти в статье о портфеле политики. Эти шаги можно использовать для развертывания определений в любой существующей целевой зоне.

Используйте следующие параметры конфигурации для настройки таких инициатив политик:

  • parCustomerPolicySets: этот параметр позволяет пользователю указать список определений наборов политик, которые нужно назначить в области группы управления верхнего уровня для развертывания SLZ.

  • parDeployAlzDefaultPolicies: этот параметр позволяет развертывать политики ALZ в соответствующих областях внутри развертывания SLZ.

Дополнительные сведения см. в документации по суверенной целевой зоне на GitHub.

Развертывание целевой зоны платформы или приложения

После развертывания SLZ вы можете подготовить целевую зону платформы или приложения, выполнив следующие действия:

  1. Извлеките локальную копию ALZ Landing Zone Vending.

  2. Обратитесь к существующим журналам развертывания SLZ для получения соответствующих групп управления, местоположений, идентификаторов ресурсов и т. д., необходимых для настройки вендингового модуля.

  3. Отредактируйте файл main.bicep, указав соответствующие значения параметров, и запустите скрипт bicep.

Дополнительные сведения см. в документации по суверенной целевой зоне на GitHub.

См. также