Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Piaskownica to izolowane środowisko, w którym można testować i eksperymentować bez wpływu na inne środowiska, takie jak środowiska produkcyjne, programistyczne lub test akceptacyjne (UAT, user acceptance testing). Przeprowadź weryfikację koncepcji (POC) z zasobami platformy Azure w kontrolowanym środowisku. Każda piaskownica ma własną subskrypcję platformy Azure, a polityki Azure kontrolują subskrypcję. Zasady są stosowane na poziomie grupy zarządzania piaskownicą, a grupa zarządzania dziedziczy zasady z hierarchii powyżej. W zależności od celu osoba lub zespół może używać piaskownicy.
Wskazówka
Aby uzyskać informacje na temat domyślnych przypisań zasad Azure landing zones, zobacz Zasady zawarte w wdrożeniach referencyjnych Azure landing zones.
Środowiska piaskownicy to najlepsze miejsce do praktycznego uczenia się na platformie Azure. Niektóre typowe przypadki użycia obejmują:
- Deweloper potrzebuje kontrolowanego środowiska platformy Azure, aby szybko przetestować wzorce projektowe aplikacji.
- Architekt chmury potrzebuje środowiska testowego do oceny zasobów platformy Azure lub przeprowadzania testów koncepcyjnych dla usługi lub zasobu platformy Azure przed ich formalnym zatwierdzeniem w organizacji.
- Inżynier chmury potrzebuje środowiska piaskownicy, aby lepiej zrozumieć, co się stanie po zmianie ustawienia w zasobie platformy Azure.
- Inżynier platformy chce utworzyć i przetestować nowe zasady platformy Azure i zobaczyć, jak działa zgodnie ze wskazówkami Canary.
- Deweloper chce eksperymentować z usługami lub zasobami platformy Azure podczas tworzenia aplikacji.
Architektura piaskownicy
Na poniższej ilustracji przedstawiono układ grupy zarządzania i subskrypcji.
Umieść subskrypcję piaskownicy w grupie zarządzania piaskownicą. Aby uzyskać więcej informacji na temat grup zarządzania i organizacji subskrypcji, zobacz Obszary projektowe strefy docelowej i architektura koncepcyjna. Zasady platformy Azure tworzone dla piaskownic są umieszczane na poziomie grupy zarządzania piaskownicy. Następnie środowiska piaskownicy dziedziczą zasady platformy Azure z hierarchii grup zarządzania, która jest powyżej nich.
Subskrypcja dla piaskownicy ułatwia zarządzanie kosztami każdego programu lub projektu. Możesz łatwo śledzić koszty i anulować środowiska testowe, gdy budżety się zmniejszają lub kiedy środowisko testowe wygaśnie.
Sieć
Utwórz sieć subskrypcji sandbox, która odpowiada Twoim potrzebom. Aby zachować izolację piaskownicy, upewnij się, że sieci utworzone w ramach subskrypcji piaskownicy nie zostały połączone sieciowo z sieciami, które znajdują się poza piaskownicą. Możesz użyć polityki odmowy komunikacji sieci wirtualnych między subskrypcjami, aby upewnić się, że każda piaskownica jest własnym izolowanym środowiskiem.
Użyj zasady blokującej tworzenie ExpressRoute/VPN/Virtual WAN, aby zablokować tworzenie bram ExpressRoute, bram VPN i koncentratorów Virtual WAN. Odmowa dostępu do tych zasobów zapewnia, że sieci subskrypcji testowej pozostaną izolowane.
Rejestrowanie inspekcji
Ze względów bezpieczeństwa ważne jest włączenie rejestrowania audytów dla środowiska piaskownicy. Włącz ustawienie diagnostyczne zawierające co najmniej kategorie dzienników administracyjnych i zabezpieczeń (audyt) dla wszystkich subskrypcji piaskownic. Przechowuj dzienniki inspekcji w centralnym miejscu docelowym, na przykład domyślny obszar roboczy usługi Log Analytics dla strefy docelowej platformy Azure, aby móc je łatwo przeglądać. Możesz też zintegrować je z platformą zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), na przykład z usługą Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące inwentarza i widoczności.
Polityki Azure zawarte w implementacji referencyjnej strefy docelowej na skalę przedsiębiorstwa zawierają definicję polityki Azure ("Konfigurowanie dzienników aktywności platformy Azure w celu przesyłania strumieniowego do określonego obszaru roboczego usługi Log Analytics"), co umożliwia prowadzenie audytów dla wszystkich subskrypcji. Grupa zarządzania piaskownicą powinna dziedziczyć tę politykę, aby włączyć diagnostyczne rejestrowanie subskrypcji piaskownicy.
Dostęp do piaskownicy
Użytkownik piaskownicy ma dostęp właściciela do subskrypcji piaskownicy. Po anulowaniu piaskownicy usuń kontrolę dostępu opartą na rolach (RBAC) właściciela dla wszystkich użytkowników piaskownicy.
Inne uwagi
Aby zapewnić niezawodną i wydajną wydajność środowiska piaskownicy, należy wziąć pod uwagę następujące czynniki.
Wygaśnięcie piaskownicy
W razie potrzeby możesz zrezygnować lub usunąć sandboks. Zaplanuj strategię usuwania piaskownic, aby zaoszczędzić na kosztach i zapewnić niezawodność zabezpieczeń. Rozważ koszt i datę wygaśnięcia piaskownicy, aby określić, kiedy usunąć piaskownicę. Po wygaśnięciu piaskownicy przenieś ją do zlikwidowanej grupy zarządzania.
Koszt
Kluczowym problemem dla środowisk piaskownicy opartych na chmurze jest zarządzanie kosztami. Aby ułatwić śledzenie, możesz utworzyć budżet w usłudze Microsoft Cost Management. Funkcja budżetów wysyła alerty, gdy rzeczywiste wydatki lub prognozowane wydatki przekraczają skonfigurowany próg.
Podczas wdrażania piaskownicy można utworzyć budżet usługi Microsoft Cost Management i przypisać go do subskrypcji. Funkcja budżetu ostrzega użytkowników piaskownicy, gdy progi wydatków przekraczają określony procent. Można na przykład ustawić alert, gdy budżet przekroczy próg wydatków 100%. W takim przypadku możesz anulować lub usunąć subskrypcję. Sam alert jest tylko mechanizmem ostrzegawczym.
Budżet można przypisać do wszystkich piaskownic. Zastosuj domyślny budżet przy użyciu zasad Deploy-Budget Platformy Azure na poziomie grupy zarządzania piaskownicą. Ustaw domyślny budżet na maksymalny koszt, jaki organizacja zatwierdza dla środowiska testowego. Domyślny budżet wysyła alerty dotyczące kosztów dla każdej piaskownicy, która nie ma przypisanego bardziej szczegółowego budżetu.
Data wygaśnięcia
Większość organizacji chce, aby piaskownice przestały działać i zostały usunięte po upływie określonego czasu. Wygasanie piaskownic w celu zapewnienia korzyści związanych z kontrolą kosztów i zabezpieczeniami. Środowiska piaskownicy są tworzone do celów testowych i szkoleniowych. Po tym, jak użytkownik piaskownicy przeprowadzi test lub zdobędzie zamierzoną wiedzę, możesz zakończyć działanie piaskownicy, ponieważ nie jest już potrzebna. Nadaj datę wygaśnięcia każdej sandbox. Po osiągnięciu tej daty anuluj lub usuń subskrypcję piaskownicy.
Podczas tworzenia piaskownicy można umieścić tag platformy Azure z datą wygaśnięcia subskrypcji. Użyj automatyzacji, aby anulować lub usunąć subskrypcję po osiągnięciu daty wygaśnięcia.
Ograniczanie zasobów platformy Azure
Aby zapewnić najbardziej niezawodne środowisko szkoleniowe dla użytkowników piaskownicy, udostępnij wszystkie usługi platformy Azure w środowisku piaskownicy. Nieograniczone piaskownice są idealne, ale niektóre organizacje mają wymagania dotyczące ograniczania usług platformy Azure wdrożonych w piaskownicach. Kontrolowanie tych ograniczeń za pośrednictwem usługi Azure Policy. Zasady listy bloków usług platformy Azure umożliwiają odmowę wdrożenia określonych usług platformy Azure.
Ochrona informacji
Większość organizacji zgadza się, że ważne jest, aby dane poufne nie trafiały do środowiska sandbox. Pierwszą linią obrony ochrony informacji jest edukacja użytkowników. Przed przypisaniem użytkownika do piaskownicy podaj im zastrzeżenia i informacje, które wyraźnie nie umożliwiają dodawania poufnych danych do piaskownicy.
Użyj usługi Microsoft Purview, aby zapewnić ochronę informacji dla środowisk piaskownicy. Usługa Purview może wysyłać alerty, jeśli użytkownik dodaje dane, które organizacja oznacza jako poufne, do środowisk piaskownicy.