Distribuera och konfigurera en Sovereign landningszon

Du måste slutföra de olika förutsättningsstegen innan du distribuerar och konfigurerar Sovereign landningszon (SLZ).

Distribuera SLZ

SLZ distribuerar och konfigurerar olika Azure-resurser på ett sätt som ligger i linje med landningszonen i företagsskala som en del av bästa praxis för Cloud Adoption Framework (CAF) och tillhandahåller lämpliga skydd som en organisation kan konfigurera för att uppnå sina krav på datasuveränitet. Välj distributionsteknik om du vill ha mer information om distributionen.

Bicep

Du måste utföra olika nödvändiga steg innan du distribuerar och konfigurerar Sovereign Landing Zone (SLZ) med Bicep. En detaljerad översikt över en SLZ och alla dess funktioner finns i dokumentationen om Sovereign landningszon (Bicep) på GitHub.

Förutsättningar

För att slutföra distributionen måste du utföra de nödvändiga stegen:

• Se till att din lokala miljö har följande versioner installerade (eller nyare):

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Kontrollera att du har åtkomst till en Microsoft Entra ID-identitet med följande behörigheter i Azure:

  • Skapa (eller använd befintliga) prenumerationer
  • Ägare till prenumerationerna
  • Skapa tjänsthuvudkonton
  • Skapa policyuppsättningsdefinitioner och -tilldelningar.

Steg för att distribuera Sovereign landningszon

1. Visa en lokal kopia av Sovereign landningszon.

2. Kontrollera om kraven är uppfyllda för din lokala körningsmiljö och Azure behörigheter genom att köra skriptet Confirm-SovereignLandingZonePrerequisites.ps1.

3. Uppdatera parameterfilen med de nödvändiga parametrarna i din lokala kopia av SLZ-lagringsplatsen. Du kan skapa en SLZ-distribution med följande minimala parametrar:

   • Unika och mänskligt läsbara namn för SLZ
   • Plats och godkänd plats för distributionen
   • Faktureringsinformation för de nyskapade eller befintliga prenumerationerna

4. (Valfritt) Lägg till anpassade policydefinitioner efter behov för efterlevnad.

5. Kör alla steg i distributionsskriptet New-SovereignLandingZone.ps1. Den första distributionsprocessen kan ta upp till en timme.

6. Kontrollera att distributionen är klar genom att kolla in utdatalänken för instrumentpanelen för efterlevnad som visas i slutet av distributionen.

Konfigurera suveränitetspolicyinitiativ på grundnivå

Du måste använda följande SLZ-konfigurationsparametrar för att konfigurera suveränitetspolicyinitiativ på grundnivå:

• parAllowedLocations: Använd den här parametern för att konfigurera platsbegränsningspolicyerna för alla resurser som distribueras av SLZ utanför de konfidentiella hanteringsgrupperna.

• parAllowedLocationsForConfidentialComputing: Använd den här parametern för att konfigurera platsbegränsningspolicyerna för alla resurser som distribueras inom de konfidentiella hanteringsgrupperna. Den här parametern kan vara densamma som parametern parAllowedLocations, men kan komma att behöva vara annorlunda om Azure Confidential Computing inte är tillgängligt i den föredragna regionen.

• parPolicyEffect: Den här parametern växlar mellan grundnivån som har en deny-effekt, som rekommenderas för produktionsbelastningar, eller en granskningseffekt.

Använd policyportföljen eller ALZ-policyer

Alla förhandsversionsinitiativ i principportföljen måste ha sin definition distribuerad innan de används i en SLZ-distribution. Mer information om hur du distribuerar dessa definitioner finns i artikeln om principportföljen . Du kan använda dessa steg för att distribuera definitionerna till vilken befintlig landningszon som helst.

Använd följande konfigurationsparametrar för att konfigurera dessa policyinitiativ:

• parCustomerPolicySets: Den här parametern hjälper dig att ange en lista över principuppsättningsdefinitioner som ska tilldelas på hanteringsgruppsomfånget på den översta nivån för en SLZ-distribution.

• parDeployAlzDefaultPolicies: Den här parametern gör det möjligt för ALZ-policyerna att distribueras i relevanta omfång inom en SLZ-distribution.

Terraform

Du måste utföra olika nödvändiga steg innan du distribuerar och konfigurerar Sovereign Landing Zone (SLZ) med Terraform. En detaljerad översikt över en SLZ och alla dess funktioner finns i dokumentationen om Sovereign landningszon (Terraform) på GitHub.

Förutsättningar

För att slutföra distributionen måste du utföra de nödvändiga stegen:

• Se till att din lokala miljö har följande versioner installerade (eller nyare):

  • Terraform v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• Kontrollera att du har åtkomst till en Microsoft Entra ID-identitet med följande behörigheter i Azure:

  • Skapa (eller använd befintliga) prenumerationer
  • Ägare till prenumerationerna
  • Skapa tjänsthuvudkonton
  • Skapa policyuppsättningsdefinitioner och -tilldelningar.

Steg för att distribuera Sovereign landningszon

1. Ladda ned en kopia av inputs.yaml för att konfigurera distributionen. Du kan skapa en SLZ-distribution med följande minimala parametrar:

   • Unika och mänskligt läsbara namn för SLZ
   • Plats och godkänd plats för distributionen
   • Faktureringsinformation för de nyskapade eller befintliga prenumerationerna

2. (Valfritt) Lägg till anpassade policydefinitioner efter behov för efterlevnad.

3. Kör kommandot distributionsacceleratorn PowerShell för att checka ut en lokal kopia av Sovereign landningszon (Terraform).

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

1. Kör kommandot terraform apply. Den första distributionsprocessen kan ta upp till en timme.

2. Kontrollera att distributionen är klar genom att kolla in utdatalänken för instrumentpanelen för efterlevnad som visas i slutet av distributionen.

Konfigurera suveränitetspolicyinitiativ på grundnivå

Du måste använda följande SLZ-konfigurationsparametrar för att konfigurera suveränitetspolicyinitiativ på grundnivå:

• allowed_locations: Använd den här parametern för att konfigurera platsbegränsningspolicyerna för alla resurser som distribueras av SLZ utanför de konfidentiella hanteringsgrupperna.

• allowed_locations_for_confidential_computing: Använd den här parametern för att konfigurera platsbegränsningspolicyerna för alla resurser som distribueras inom de konfidentiella hanteringsgrupperna. Den här parametern kan vara samma som parametern allowed_locations, men kan behöva vara en annan om Azure konfidentiell databehandling inte är tillgänglig i önskad region.

• policy_effect: Den här parametern växlar mellan grundnivån som har en deny-effekt, som rekommenderas för produktionsbelastningar, eller en granskningseffekt.

Använd policyportföljen eller ALZ-policyer

Alla förhandsversionsinitiativ i principportföljen måste ha sin definition distribuerad innan de används i en SLZ-distribution. Läs artikeln om policyportfölj för detaljer om hur dessa definitioner implementeras. Du kan använda dessa steg för att distribuera definitionerna till vilken befintlig landningszon som helst.

Använd följande konfigurationsparametrar för att konfigurera dessa policyinitiativ:

• customer_policy_sets: Den här parametern hjälper dig att ange en lista över principuppsättningsdefinitioner som ska tilldelas på hanteringsgruppsomfånget på den översta nivån för en SLZ-distribution.

• apply_alz_archetypes_via_architecture_definition_template: Med den här parametern kan ALZ-principerna distribueras i relevanta omfång i en SLZ-distribution.

Distribuera en plattform eller programlandningszon

När en SLZ har distribuerats kan du etablera plattforms- eller programlandningszon genom följande steg:

1. Visa en lokal kopia av Försäljning av ALZ landningszon.

2. Referera till befintliga SLZ-distributionsloggar för relevanta hanteringsgrupper, platser, resurs-ID:n osv. som behövs för att konfigurera försäljningsmodulen.

3. Uppdatera main.bicep-filen med lämpliga parametrar och kör bicep-skriptet.

Se även

• Konfigurera ett konfidentiellt exempelprogram med Bicep
• Översikt över Sovereign landningszon
• Koncept för Sovereign landningszon
• Policyportfölj