部署 Azure 安全性效能評定基礎藍圖範例
重要
在 2026 年 7 月 11 日,藍圖 (預覽) 將會淘汰。 將現有的藍圖定義和指派移轉至範本規格和部署堆疊。 藍圖成品會轉換成用來定義部署堆疊的 ARM JSON 範本或 Bicep 檔案。 若要了解如何將成品撰寫為 ARM 資源,請參閱:
若要部署 Azure 安全性效能評定基礎藍圖範例,您必須採取下列步驟:
- 從範例建立新的藍圖
- 將您的範例複本標記為已發佈
- 將您的藍圖複本指派給現有的訂用帳戶
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
從範例建立藍圖
首先,若要實作藍圖範例,請使用範例作為起點,在您的環境中建立新藍圖。
在左側窗格中選取 [所有服務]。 搜尋並選取 [藍圖]。
在左側的 [快速入門] 頁面上,選取 [建立藍圖] 下方的 [建立] 按鈕。
在 [其他範例] 底下,尋找 Azure 安全性效能評定基礎藍圖範例,然後選取 [使用此名稱]。
輸入藍圖範例的 [基本資料]:
- 藍圖名稱:為 Azure 安全性效能評定基礎藍圖範例的複本提供名稱。
- 定義位置:使用省略符號,然後選取要作為範例複本儲存位置的管理群組。
選取頁面頂端的 [成品] 索引標籤,或選取頁面底部的 [下一步: 成品]。
檢閱構成此藍圖範例的成品清單。 許多成品都具有我們稍後會定義的參數。 當您檢閱完藍圖範例時,請選取 [儲存草稿]。
發佈範例複本
您的環境中現已建立了藍圖範例複本。 該複本會以草稿模式建立,而且必須先發佈,才能進行指派和部署。 您可以根據環境和需求來自訂藍圖範例複本,但是這樣的修改可能會使其不符合 Azure 安全性效能評定基礎藍圖。
在左側窗格中選取 [所有服務]。 搜尋並選取 [藍圖]。
選取左側的 [藍圖定義] 頁面。 使用篩選來尋找您的藍圖範例複本,然後將其選取。
選取頁面頂端的 [發佈藍圖]。 在右側的新窗格中,提供藍圖範例複本的版本。 如果您稍後會進行修改,此屬性十分實用。 提供變更附註,例如「從 Azure 安全性基準基礎藍圖範例發佈的第一版」。然後選取頁面底部的 [發佈]。
指派範例複本
成功發佈藍圖範例複本後,可以將藍圖定義指派給其所在管理群組中的訂用帳戶。 此步驟用於提供參數,以建立每個專屬的藍圖範例複本部署。
在左側窗格中選取 [所有服務]。 搜尋並選取 [藍圖]。
選取左側的 [藍圖定義] 頁面。 使用篩選來尋找您的藍圖範例複本,然後將其選取。
選取藍圖定義頁面頂端的 [指派藍圖]。
提供用於指派藍圖的參數值:
基本概念
- 訂用帳戶:在用來儲存藍圖範例複本的管理群組中,選取一或多個訂用帳戶。 如果您選取多個訂用帳戶,輸入的參數就會用來為每個訂用帳戶建立指派。
- 指派名稱:名稱會根據藍圖名稱預先填入。 視需要變更,或保持原狀。
- 位置:選取將建立受控識別的區域。
- Azure 藍圖會使用此受控識別,在指派的藍圖中部署所有成品。 若要深入了解,請參閱適用於 Azure 資源的受控識別。
- 藍圖定義版本:挑選 [已發佈] 版本的藍圖範例複本。
鎖定指派
為您的環境選取藍圖鎖定設定。 如需詳細資訊,請參閱藍圖資源鎖定。
受控識別
選擇預設的 [系統指派的受控識別] 選項,或 [使用者指派的身分識別] 選項。
藍圖參數
許多藍圖定義中的成品都會使用這一節定義的參數,藉此提供一致性。
- 資源和資源群組的前置詞:此字串會作為所有資源和資源群組名稱的前置詞
- 中樞名稱:中樞的名稱
- 記錄保留 (天):記錄的保留天數;輸入「0」會無限期地保留記錄
- 部署中樞:輸入「true」或「false」以指定指派是否會部署架構的中樞元件
- 中樞位置:中樞資源群組的位置
- 目的地 IP 位址:輸出連線的目的地 IP 位址;以逗號分隔的 IP 位址或 IP 範圍前置詞清單
- 網路監看員名稱:網路監看員資源的名稱
- 網路監看員資源群組名稱:網路監看員資源群組的名稱
- 啟用 DDoS 保護:輸入「true」或「false」以指定是否要在虛擬網路中啟用 DDoS 保護
注意
如果已啟用網路監看員,建議您使用現有的網路監看員資源群組。 您也必須為成品參數網路監看員資源群組位置的現有網路監看員資源群組提供位置。
構件參數
本節中定義的參數會套用至其定義所屬的成品。 這些參數是動態參數,因為定義於藍圖指派期間。 如需完整清單或成品參數及其說明,請參閱成品參數資料表。
輸入所有參數後,選取頁面底部的 [指派]。 藍圖指派會隨即建立,並且開始部署成品。 部署需要大約一小時的時間。 若要檢查部署的狀態,請開啟藍圖指派。
成品參數資料表
下表提供藍圖參數的清單:
| 成品名稱 | 成品類型 | 參數名稱 | 描述 |
|---|---|---|---|
| 中樞資源群組 | 資源群組 | 資源群組名稱 | 已鎖定 - 串連前置詞與中樞名稱 |
| 中樞資源群組 | 資源群組 | 資源群組位置 | 已鎖定 - 使用中樞位置 |
| Azure 防火牆範本 | Resource Manager 範本 | Azure 防火牆私人 IP 位址 | |
| Azure Log Analytics 和診斷範本 | Resource Manager 範本 | Log Analytics 工作區位置 | Log Analytics 工作區建立所在的位置;在 Azure PowersShell 中執行 Get-AzLocation | Where-Object Providers -like 'Microsoft.OperationalInsights' | Select DisplayName 以查看可用的區域 |
| Azure Log Analytics 和診斷範本 | Resource Manager 範本 | Azure 自動化帳戶識別碼 (選用) | 自動化帳戶資源識別碼;用來建立 Log Analytics 與自動化帳戶之間的連結服務 |
| Azure 網路安全性群組範本 | Resource Manager 範本 | 啟用 NSG 流量記錄 | 輸入「true」或「false」以啟用或停用 NSG 流量記錄 |
| Azure 虛擬網路中樞範本 | Resource Manager 範本 | 虛擬網路位址前置詞 | 中樞虛擬網路的虛擬網路位址前置詞 |
| Azure 虛擬網路中樞範本 | Resource Manager 範本 | 防火牆子網路位址前置詞 | 中樞虛擬網路的防火牆子網路位址前置詞 |
| Azure 虛擬網路中樞範本 | Resource Manager 範本 | 堡壘子網路位址前置詞 | 中樞虛擬網路的堡壘子網路位址前置詞 |
| Azure 虛擬網路中樞範本 | Resource Manager 範本 | 閘道子網路位址前置詞 | 中樞虛擬網路的閘道子網路位址前置詞 |
| Azure 虛擬網路中樞範本 | Resource Manager 範本 | 管理子網路位址前置詞 | 中樞虛擬網路的管理子網路位址前置詞 |
| Azure 虛擬網路中樞範本 | Resource Manager 範本 | 跳箱子網路位址前置詞 | 中樞虛擬網路的跳箱子網路位址前置詞 |
| Azure 虛擬網路中樞範本 | Resource Manager 範本 | 子網路位址名稱 (選用) | 要部署至中樞虛擬網路的子網路名稱陣列;例如 "subnet1"、"subnet2" |
| Azure 虛擬網路中樞範本 | Resource Manager 範本 | 子網路位址前置詞 (選用) | 中樞虛擬網路的子網路 (選擇性) IP 位址前置詞陣列;例如 "10.0.7.0/24"、"10.0.8.0/24" |
| 輪輻資源群組 | 資源群組 | 資源群組名稱 | 已鎖定 - 串連前置詞與輪輻名稱 |
| 輪輻資源群組 | 資源群組 | 資源群組位置 | 已鎖定 - 使用中樞位置 |
| Azure 虛擬網路輪輻範本 | Resource Manager 範本 | 部署輪輻 | 輸入「true」或「false」以指定指派是否會部署架構的輪輻元件 |
| Azure 虛擬網路輪輻範本 | Resource Manager 範本 | 中樞訂用帳戶識別碼 | 中樞部署所在的訂用帳戶識別碼;預設值是藍圖定義所在的訂用帳戶 |
| Azure 虛擬網路輪輻範本 | Resource Manager 範本 | 輪輻名稱 | 輪輻的名稱 |
| Azure 虛擬網路輪輻範本 | Resource Manager 範本 | 虛擬網路位址首碼 | 輪輻虛擬網路的虛擬網路位址前置詞 |
| Azure 虛擬網路輪輻範本 | Resource Manager 範本 | 子網路位址前置詞 | 輪輻虛擬網路的子網路位址前置詞 |
| Azure 虛擬網路輪輻範本 | Resource Manager 範本 | 子網路位址名稱 (選用) | 要部署至輪輻虛擬網路的子網路名稱陣列;例如 "subnet1"、"subnet2" |
| Azure 虛擬網路輪輻範本 | Resource Manager 範本 | 子網路位址前置詞 (選用) | 輪輻虛擬網路的子網路 (選擇性) IP 位址前置詞陣列;例如 "10.0.7.0/24"、"10.0.8.0/24" |
| Azure 虛擬網路輪輻範本 | Resource Manager 範本 | 部署輪輻 | 輸入「true」或「false」以指定指派是否會部署架構的輪輻元件 |
| Azure 網路監看員範本 | Resource Manager 範本 | 網路監看員位置 | 網路監看員資源的位置 |
| Azure 網路監看員範本 | Resource Manager 範本 | 網路監看員資源群組位置 | 如果已啟用網路監看員,此參數值必須符合現有網路監看員資源群組的位置。 |
疑難排解
如果您遇到錯誤「The resource group 'NetworkWatcherRG' failed to deploy due to the following error: Invalid resource group location '{location}'. The Resource group already exists in location '{location}'.」,請確認藍圖參數網路監看員資源群組名稱指定的是現有的網路監看員資源群組名稱,而且成品參數網路監看員資源群組位置指定的是現有的網路監看員資源群組位置。
下一步
您已檢閱過 Azure 安全性效能評定基礎藍圖範例的部署步驟,接下來請瀏覽下列文章以了解架構:
有關藍圖及其使用方式的其他文件: