部署和配置主权登陆区域
在部署和配置主权登陆区域 (SLZ) 之前,您需要完成各种先决步骤。
部署 SLZ
SLZ 以与 企业规模登陆区域一致的方式部署和配置各种 Azure 资源,作为云采用框架 (CAF) 最佳做法的一部分,并提供适当的防护措施,以便组织可以进行配置来实现其数据主权要求。 有关 SLZ 及其所有功能的详细概述,请参阅 GitHub 上的主权登陆区域文档。
先决条件
要完成部署,需要执行以下先决步骤:
确保您的本地环境安装了以下版本(或更高版本):
- PowerShell 7.0
- Azure RM 2.51.0
- Azure Bicep 0.20.0
- Azure PowerShell 10.0.0
您必须能够在 Azure 中访问具有以下权限的 Microsoft Entra ID 身份:
- 创建(或使用现有)订阅
- 订阅的所有者
- 创建服务主体
- 创建策略集定义和分配。
部署主权登陆区域的步骤
查看主权登陆区域的本地副本。
通过运行 Confirm-SovereignLandingZonePrerequisites.ps1 脚本,验证是否满足本地运行时环境和 Azure 权限的先决条件。
使用 SLZ 存储库本地副本中所需的参数更新参数文件。 您可以使用以下最少参数创建 SLZ 部署:
- SLZ 的唯一且人类可读的名称
- 部署地点和批准地点
- 新创建或现有订阅的账单信息
(可选)根据合规性需要添加自定义策略定义。
运行 New-SovereignLandingZone.ps1 部署脚本中的所有步骤。 初始部署过程大约需要两个小时。
通过检查部署脚本末尾的合规性仪表板输出文件来验证部署是否已完成。
有关详细信息,请参阅 GitHub 上的主权登陆区域文档。
配置主权基准策略计划
您需要使用以下 SLZ 配置参数来配置主权基准策略计划:
parAllowedLocations:使用此参数为 SLZ 在机密管理组范围之外部署的所有资源配置位置限制策略。
parAllowedLocationsForConfidentialComputing:使用此参数为在机密管理组范围内部署的资源配置位置限制策略。 此参数可以与 parAllowedLocations 参数相同,但如果 Azure 机密计算在首选区域不可用,则可能需要不同。
parPolicyEffect:此参数在具有拒绝效果(建议用于生产工作负载)或审核效果的基线之间切换。
有关详细信息,请参阅 GitHub 上的主权登陆区域文档。
使用策略组合或 ALZ 策略
策略组合中的任何预览计划都必须在用于 SLZ 部署之前部署其定义。 请参阅有关策略组合的文章,了解有关部署这些定义的详细信息。 您可以使用这些步骤将定义部署到任何现有的登陆区域。
使用以下配置参数来配置这些策略计划:
parCustomerPolicySets:此参数允许用户指定要在 SLZ 部署的顶级管理组范围内分配的策略集定义列表。
parDeployAlzDefaultPolicies:此参数允许将 ALZ 策略部署在 SLZ 部署内的相关范围。
有关详细信息,请参阅 GitHub 上的主权登陆区域文档。
部署平台或应用程序登陆区域
部署 SLZ 后,您可以通过以下步骤预配平台或应用程序登陆区域:
查看 ALZ 登陆区域自动售货的本地副本。
参考配置自动售货模块所需的相关管理组、位置、资源 ID 等的现有 SLZ 部署日志。
使用适当的参数更新 main.bicep 文件并运行 bicep 脚本。
有关详细信息,请参阅 GitHub 上的主权登陆区域文档。