你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Azure 的 Microsoft 云采用框架基础蓝图示例概述
重要
2026 年 7 月 11 日,蓝图(预览版)将弃用。 将现有蓝图定义和分配迁移到模板规格和部署堆栈。 蓝图项目将转换为 ARM JSON 模板或用于定义部署堆栈的 Bicep 文件。 若要了解如何将项目创作为 ARM 资源,请参阅:
CAF 基础蓝图(由适用于 Azure 的 Microsoft 云采用框架提供)部署了你的第一个生产级别 Azure 应用程序所需的一组核心基础结构资源和策略控制。 此基础蓝图基于在云采用框架中找到的建议模式。
体系结构
CAF 基础蓝图示例在 Azure 中部署建议的基础结构资源,这些资源可供组织用来将管理其云资产所需的基础控制实施到位。 此示例将部署并强制实施资源、策略和模板,从而使组织能够自信地开始使用 Azure。
介绍 Azure 体系结构,该体系结构是通过部署 C A F 基础蓝图来实现的。 它适用于具有资源组的订阅,该订阅包含用于存储日志的存储帐户、配置为在存储帐户中存储的 Log Analytics。 其中还描述了使用 Microsoft Defender for Cloud 标准设置配置的 Azure Key Vault。 所有这些核心基础结构均使用 Azure Active Directory 进行访问,并使用 Azure Policy 强制实施。
此实现纳入多项 Azure 服务,这些服务用于提供安全的、全面受监视的、面向企业的基础。 此环境包括:
- 一个 Azure Key Vault 实例,用于托管对共享服务环境中部署的 VM 使用的机密
- 部署 Log Analytics,以便确保从开始安全部署起所有操作和服务都记录到一个中心位置的存储帐户,用于诊断日志记录
- 部署 Microsoft Defender for Cloud(标准版)为迁移的工作负载提供威胁防护
- 蓝图也定义和部署了 Azure Policy 定义:
- 策略定义:
- 应用于资源组的标记功能 (CostCenter)
- 使用 CostCenter 标记追加资源组中的资源
- 资源和资源组允许的 Azure 区域
- 允许的存储帐户 SKU(在部署时选择)
- 允许的 Azure VM SKU(在部署时选择)
- 要求部署网络观察程序
- 要求 Azure 存储帐户安全传输加密
- 拒绝资源类型(在部署时选择)
- 策略计划:
- 在 Microsoft Defender for Cloud 中启用监视(100 多个策略定义)
- 策略定义:
所有这些元素遵守 Azure 体系结构中心 - 参考体系结构中发布的行之有效的做法。
注意
CAF 基础布设了用于工作负荷的基础体系结构。 你仍需要部署此基础体系结构后面的工作负荷。
有关详细信息,请参阅适用于 Azure 的 Microsoft 云采用框架 - 就绪。
后续步骤
你已查看了 CAF 基础蓝图示例的概述和体系结构。
有关蓝图及其使用方式的更多文章: