部署 Azure 登陸區域加速器

  • 10 分鐘

根據客戶敘述,Tailwind Traders 一開始會部署數個特定設定選項來符合其條件約束。 部署 Azure 登陸區域加速器時,下列選項將模仿 Tailwind Traders 所遵循的流程。

必要條件

您在部署 Azure 登陸區域加速器之前,必須先建立兩個 Azure 訂用帳戶:

  • 用於裝載網路和連線資產的網路訂用帳戶
  • 用於裝載身分識別與存取管理資產的身分識別訂用帳戶

如果您打算部署營運管理設定,可能也需要建立管理訂用帳戶。 Tailwind Traders 選擇不使用該設定選項。

建立 Microsoft 客戶合約訂 用帳戶一文可引導您完成建立這些訂用帳戶的流程。

部署 Azure 登陸區域加速器

  1. 開啟 Azure 入口網站中的 Azure 登陸區域加速器。 此入口網站體驗將引導您完成部署。

  2. 在 [部署設定] 索引標籤上:

    1. 針對 [目錄],選擇適當的 Microsoft Entra 租用戶。

      如果您沒有適當的權限,即會在租用戶下方出現錯誤。

    2. 針對 [區域],從下拉式清單中選取區域。

      Tailwind Traders 選擇美國中西部區域。

  3. 在 [Azure 核心設定] 索引標籤上:

    1. 針對 [資源首碼 (根識別碼)],輸入前置詞。

      Tailwind Traders 輸入 tailwind-

    2. 針對 平台訂用帳戶選項,請選擇 [專用] 選項,將所有平台資源保留在專用訂用帳戶中。

      注意

      為所有平台資源選擇專用訂用帳戶,即會將管理環境所需的所有工具集中。 當 Tailwind Traders 新增安全性、作業和治理時,其將使用已建立此專用選項的專用訂用帳戶和管理群組結構。 選擇單一訂用帳戶的選項,稍後可能需要在採用流程中大幅重做。

  4. 在 [平台管理、安全性和治理] 索引標籤上,選擇是否要部署 Log Analytics 工作區並啟用監視。 選取

    Tailwind Traders 如此選擇,是因為其稍後將增強登陸區域,以滿足安全性、管理和治理需求。

  5. 在 [平台 DevOps 和自動化] 索引標籤上,通常會選取適用於組織的選項。

    由於 Tailwind Traders 選擇不新增任何 Log Analytics 功能,因而無法新增任何 DevOps 和自動化功能。 因此,這裡沒有任何要選擇的項目。

  6. 在 [網路拓撲和連線能力] 索引標籤上:

    1. 選取 [中樞和輪輻搭配 Azure 防火牆] 選項。 這將會建立專用訂用帳戶以進行連線。

      Tailwind Traders 會選取此選項。 部署加速器之後,公司的 MPLS 解決方案將會連線至部署到該訂用帳戶的 Azure ExpressRoute 執行個體。 此設定可讓任何應用程式登陸區域透過 MPLS 進行連線,但會先透過 Azure 防火牆來路由傳送流量。

    2. 選擇 [中樞和輪輻搭配 Azure 防火牆] 選項之後,將出現更多選項,讓您能夠設定連線訂用帳戶:

      1. 針對 [連線能力訂用帳戶],選擇您的連線訂用帳戶。

      2. 針對 [位址空間],輸入您網路中樞內任何 IP 的位址空間。

      3. 針對 [第一個網路中樞的區域],選擇部署的區域。

        Tailwind Traders 選取 [美國中西部],以確保網路中樞會與其他部署位於相同區域。

      4. 針對 [啟用 DDoS 網路保護],選取 [否]

        Tailwind Traders 如此選擇,是因為目前不想啟用 DDoS 保護。 公司正在推遲安全性決策,且尚未準備好核准該服務的成本。

      5. 針對 [為 Azure PaaS 服務建立私人 DNS 區域],選取 [是]

        Tailwind Traders 將某些工作負載部署為 PaaS 服務,因此選擇啟用此免費服務。

      6. 針對 [部署 VPN 閘道] 和 [部署 ExpressRoute 閘道],保留預設選取的 [否]

        Tailwind Traders 如此選擇,是因為目前尚未準備好將 MPLS 連線到 Azure ExpressRoute。

      7. 針對 [部署 Azure 防火牆],保留預設選取的 [是] 以部署 Azure 防火牆。

      8. 針對 [Azure 防火牆的子網路],設定 Azure 防火牆執行個體的子網路範圍。

      針對上述步驟未提及的任何選項,保留預設值。

  7. 在 [身分識別] 索引標籤上:

    1. 針對 [指派建議的原則來治理身分識別和網域控制站],保留預設選取的 [是 (建議)]

      Tailwind Traders 尚未準備好遵守原則驅動治理的準則。 但確實會選擇啟用原則來治理其身分識別和網域控制站。 這個邁向治理自動化的第一步,將有助於讓公司在雲端的身分識別控制器更安全。

    2. 針對 [身分識別訂用帳戶],選擇將用來裝載身分識別相關資產的訂用帳戶。

    3. 將所有原則相關選項都保留設定為預設的 [是 (建議)]

    4. 針對 [虛擬網路位址空間],輸入將裝載身分識別相關資產的虛擬網路位址空間。

  8. 在 [登陸區域設定] 索引標籤上:

    1. 針對 [將公司登陸區域連線至連線中樞],選取 [是]

    2. 針對 [公司登陸區域訂用帳戶],從下拉式清單中選擇。

      Tailwind Traders 有一個現有的訂用帳戶,可針對大多數虛擬機器及其他要移轉的資產用來作為目的地。 公司在此選擇該訂用帳戶。

    3. 針對 [線上登陸區域訂用帳戶],從下拉式清單中選擇。

      Tailwind Traders 還有一個訂用帳戶,已配置來裝載任何公開的應用程式。 公司在此選擇該訂用帳戶。

    4. 針對登陸區域管理群組中的一系列建議原則,請選取 [僅稽核]

      Tailwind Traders 以此方式設定了所有列出的原則,因為其尚未準備好採用原則驅動的治理。

      注意

      如果 Tailwind Traders 想要遵守以應用程式為中心的設計或訂用帳戶大眾化的設計準則,可在下拉式清單中多選取幾個訂用帳戶 (或稍後新增)。

      如果 Tailwind Traders 想要遵守原則驅動治理的設計準則,就會將所有列出的原則保留為建議選項 [是 (建議)],以透過 Azure 原則自動強制執行治理決策。

  9. 在 [檢閱 + 建立] 索引標籤上,選取 [建立] 以部署環境。

您已使用加速器成功部署 Azure 登陸區域。 如果您遵循上述流程,該部署應該與 Tailwind Traders 的條件約束一致。