你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
下表包含 Azure Lighthouse 的关键 Azure 资源管理器模板的链接。 这些文件以及其他内容还可在 Azure Lighthouse 示例存储库中找到。
将客户加入 Azure Lighthouse 的示例模板
我们提供了不同的模板来处理特定载入方案。 请确保修改参数文件以反映你的环境。 有关如何在部署中使用这些文件的详细信息,请参阅 将客户载入 Azure Lighthouse。
| 模板 | 说明 |
|---|---|
| subscription | 将客户的订阅加入 Azure Lighthouse。 必须为每个订阅执行单独的部署。 |
| rg 和 multi-rg | 将客户的一个或多个资源组加入 Azure Lighthouse。 使用 rg.json 加入单个资源组,或使用 multi-rg.json 加入一个订阅中的多个资源组。 |
| marketplace-delegated-resource-management | 如果将 托管服务产品/服务发布到Microsoft市场,可以选择使用此模板为接受该产品/服务的客户加入资源。 参数文件中的 marketplace 值必须与发布产品时使用的值匹配。 |
若要包括符合条件的授权,请从示例存储库的 delegated-resource-management-eligible-authorizations 部分选择相应的模板。
通常,每个要载入的订阅都需要单独的部署,但也可以使用以下示例跨多个订阅部署模板。
| 模板 | 说明 |
|---|---|
| cross-subscription-deployment | 跨多个订阅部署 Azure 资源管理器模板。 |
提示
不能在一个部署中加入整个管理组,但可以部署一个策略,用于将每个订阅加入到管理组中。
Azure Policy 和 Azure Lighthouse 的示例模板
这些示例演示如何对已加入 Azure Lighthouse 的订阅使用 Azure Policy。
| 模板 | 说明 |
|---|---|
| policy-add-or-replace-tag | 分配一个策略,该策略为委派的订阅添加或删除标记(使用 modify 效果)。 有关详细信息,请参阅部署可以在委派的订阅中修正的策略。 |
| policy-allow-certain-managing-tenants | 分配将 Azure Lighthouse 委派限制为特定管理租户的策略。 |
| policy-audit-delegation | 分配一个用于审核委派分配的策略。 |
| policy-delegate-management-groups | 分配一个策略来确认已将管理组中的订阅委托给管理租户;如果未委托,则创建分配。 |
| policy-enforce-keyvault-monitoring | 分配一个策略,该策略对委托订阅中的 Azure Key Vault 资源启用诊断(使用 deployIfNotExists 效果)。 有关详细信息,请参阅部署可以在委派的订阅中修正的策略。 |
| policy-enforce-sub-monitoring | 分配几个策略,以便对委派的订阅启用诊断,并将所有 Windows VM 和 Linux VM 连接到按策略创建的 Log Analytics 工作区。 有关详细信息,请参阅部署可以在委派的订阅中修正的策略。 |
| policy-initiative | 将策略计划(多个相关的策略定义)应用于委派的订阅。 |
Azure Monitor 和 Azure Lighthouse 的示例模板
这些示例演示如何使用 Azure Monitor 为已载入 Azure Lighthouse 的订阅创建警报。
| 模板 | 说明 |
|---|---|
| monitor-delegation-changes | 查询管理租户中的过去一天的活动,并 报告任何添加或删除的委派 以及未成功的任何尝试。 |
| alert-using-actiongroup | 创建一个 Azure 警报并连接到现有操作组。 |
| multiple-loganalytics-alerts | 基于 Kusto 查询创建多个日志警报。 |
| delegation-alert-for-customer | 当用户将订阅委派给管理租户时在租户中部署警报。 |
| workbook-activitylogs-by-domain | 显示不同订阅之间的 Azure 活动日志,并提供按域名对其进行筛选的选项。 |
其他 Azure Lighthouse 方案的示例模板
这些示例说明了可在跨租户管理方案中执行的各种任务。
| 模板 | 说明 |
|---|---|
create-keyvault-secret |
在客户的租户中创建一个 Key Vault 并创建访问策略。 |
cross-rg-deployment |
将存储帐户部署到两个不同的资源组中。 |
deploy-azure-mgmt-services |
创建 Azure 管理服务,将它们链接在一起并部署解决方案。 对于端到端部署,请使用 rgWithAzureMgmt.json 模板。 |
deploy-azure-security-center |
在目标 Azure 订阅中启用和配置 Microsoft Defender for Cloud。 |
deploy-azure-sentinel |
在委托订阅中的现有 Log Analytics 工作区上部署并启用 Microsoft Sentinel。 |
deploy-log-analytics-vm-extensions |
允许将 Log Analytics VM 扩展部署到 Windows 和 Linux VM,并将其连接到 Log Analytics 工作区。 |