適用於 Azure 的 Microsoft 雲端採用架構基礎藍圖範例的概觀
重要
在 2026 年 7 月 11 日,藍圖 (預覽) 將會淘汰。 將現有的藍圖定義和指派移轉至範本規格和部署堆疊。 藍圖成品會轉換成用來定義部署堆疊的 ARM JSON 範本或 Bicep 檔案。 若要了解如何將成品撰寫為 ARM 資源,請參閱:
CAF 基礎藍圖 (由適用於 Azure 的 Microsoft 雲端採用架構所提供) 會部署一組核心基礎結構資源及原則控制項,以用於您第一個生產等級的 Azure 應用程式。 此基礎藍圖是以雲端採用架構中的建議模式為基礎。
架構
CAF 基礎藍圖範例會在 Azure 中部署建議的基礎結構資源,供組織用來放置管理其雲端資產所需的基礎控制項。 此範例會部署和強制執行資源、原則和範本,讓組織能夠安心地開始使用 Azure。
說明藉由部署 C A F Foundation 藍圖來達成的 Azure 架構。 其適用於資源群組的訂用帳戶,其中包含用於儲存記錄的儲存體帳戶和設定為儲存在儲存體帳戶中的 Log Analytics。 亦描述使用適用於雲端的 Microsoft Defender 標準設定所設定的 Azure Key Vault。 所有這些核心基礎結構都是使用 Azure Active Directory 來存取,並使用 Azure 原則加以強制執行。
此實作會結合數個 Azure 服務,用來提供完全受到監視的企業級安全基礎。 此環境包含:
- Azure Key Vault 執行個體,用來裝載共用服務環境中已部署 VM 所使用的祕密
- 部署 Log Analytics,以確保當您開始對儲存體帳戶進行安全部署以取得診斷記錄時,所有動作和服務皆會記錄到中央位置
- 部署適用於雲端的 Microsoft Defender (標準版本),為您的移轉工作負載提供威脅防護
- 藍圖也會定義和部署 Azure 原則定義:
- 原則定義:
- 套用至資源群組的標記 (CostCenter)
- 在資源群組中附加具有 CostCenter 標籤的資源
- 資源和資源群組的允許 Azure 區域
- 允許的儲存體帳戶 SKU (部署時選擇)
- 允許的 Azure VM SKU (部署時選擇)
- 需要部署網路監看員
- 需要 Azure 儲存體帳戶的安全傳輸加密
- 拒絕資源類型 (在部署時選擇)
- 原則計劃:
- 在適用於雲端的 Microsoft Defender 中啟用監視 (100 種以上原則定義)
- 原則定義:
所有這些項目皆遵循 Azure 架構中心 - 參考架構中所發佈且經過實證的做法。
注意
CAF 基礎會配置工作負載的基礎架構。 在此基礎架構的背後,您仍需要部署工作負載。
如需詳細資訊,請參閱適用於 Azure 的 Microsoft 雲端採用架構 - 就緒。
下一步
您已檢閱 CAF 基礎藍圖範例的概觀和架構。
有關藍圖及其使用方式的其他文件: