Strefa docelowa platformy Azure — często zadawane pytania

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące architektury strefy docelowej platformy Azure.

Aby uzyskać często zadawane pytania dotyczące implementowania architektury strefy docelowej platformy Azure, zobacz Często zadawane pytania dotyczące implementacji w skali przedsiębiorstwa.

Co to jest akcelerator portalu strefy docelowej platformy Azure?

Akcelerator portalu strefy docelowej platformy Azure to środowisko wdrażania oparte na witrynie Azure Portal. Wdraża ona określoną implementację opartą na architekturze referencyjnej strefy początkowej platformy Azure.

Jakie są zalecane akceleratory i implementacje stref docelowych platformy Azure?

Firma Microsoft aktywnie opracowuje i utrzymuje akceleratory i implementacje platformy oraz aplikacji zgodnie z zasadami projektowania strefy docelowej platformy Azure i wskazówkami dotyczącymi obszaru projektowania .

Zapoznaj się ze wskazówkami dotyczącymi wdrażania stref docelowych platformy Azure , aby dowiedzieć się więcej o zalecanych strefach docelowych platformy i aplikacji.

Aby dowiedzieć się, jak dostosować wdrożenie stref docelowych platformy Azure w celu spełnienia Twoich potrzeb, zobacz Dostosowywanie architektury strefy docelowej platformy Azure w celu spełnienia wymagań

Jaka jest architektura referencyjna strefy docelowej platformy Azure?

Architektura referencyjna strefy docelowej platformy Azure reprezentuje decyzje dotyczące skali i dojrzałości. Jest ona oparta na doświadczeniach i opiniach klientów, którzy przyjęli platformę Azure w ramach ich majątku cyfrowego. Ta architektura koncepcyjna może pomóc organizacji w ustawieniu kierunku projektowania i implementowania strefy docelowej.

Na co jest mapowana strefa docelowa w Azure w kontekście architektury strefy docelowej Azure?

Z punktu widzenia strefy docelowej platformy Azure strefy docelowe to poszczególne subskrypcje platformy Azure.

Co oznacza nadzór oparty na zasadach i jak działa?

Zarządzanie oparte na zasadach jest jedną z kluczowych zasad projektowania architektury w skali przedsiębiorstwa.

Zarządzanie oparte na zasadach oznacza użycie usługi Azure Policy w celu skrócenia czasu potrzebnych na typowe i powtarzające się zadania operacyjne w dzierżawie platformy Azure. Użyj wielu efektów usługi Azure Policy, takich jak Append, Deny, DeployIfNotExists i Modify, aby zapobiec niezgodności poprzez zabronienie tworzenia lub aktualizowania niezgodnych zasobów (zgodnie z definicją policy), wdrażanie zasobów albo modyfikowanie ustawień tworzenia zasobów lub żądania aktualizacji, aby spełniały wymagania zgodności. Niektóre efekty, takie jak Audit, Disabled i AuditIfNotExists, nie uniemożliwiają ani nie podejmują działań; jedynie audytują i zgłaszają niezgodności.

Oto kilka przykładów ładu opartego na zasadach:

• Deny efekt: zapobiega tworzeniu lub aktualizowaniu podsieci w taki sposób, aby nie miały skojarzonych z nimi żadnych sieciowych grup zabezpieczeń.

• DeployIfNotExists efekt: utworzona zostaje nowa subskrypcja (strefa docelowa) i umieszczona w grupie zarządzania w ramach wdrożenia strefy docelowej platformy Azure. Usługa Azure Policy gwarantuje, że usługa Microsoft Defender for Cloud (wcześniej znana jako Azure Security Center) jest włączona w ramach subskrypcji. Konfiguruje również ustawienia diagnostyczne dziennika aktywności w celu wysyłania dzienników do obszaru roboczego usługi Log Analytics w subskrypcji zarządzania.

  Zamiast powtarzać kod lub działania ręczne po utworzeniu nowej subskrypcji, DeployIfNotExists definicja zasad jest automatycznie wdrażana i konfiguruje je dla Ciebie.

Co zrobić, jeśli nie możemy jeszcze korzystać z zasad DeployIfNotExists (DINE) lub nie jesteśmy jeszcze gotowi?

Mamy dedykowaną stronę, która prowadzi Cię przez różne fazy i opcje, czy to 'wyłączenia' zasad DINE, czy użycia naszego trzyfazowego podejścia do ich stopniowego przyjmowania w danym środowisku.

Zobacz wskazówki Dotyczące wdrażania barier zabezpieczających opartych na zasadach

Czy należy używać usługi Azure Policy do wdrażania obciążeń?

Krótko mówiąc, nie. Użyj usługi Azure Policy, aby kontrolować, zarządzać i utrzymywać zgodność obciążeń i stref docelowych. Nie jest przeznaczony do wdrażania całych zadań oraz innych narzędzi. Użyj portalu Azure lub ofert typu infrastruktura jako kod (szablony ARM, Bicep, Terraform), aby wdrożyć obciążenie i zarządzać obciążeniem oraz uzyskać wymaganą autonomię.

Czym są strefy docelowe w ramach Cloud Adoption Framework dla Terraform (aztfmod)?

Projekt open source stref docelowych w ramach Cloud Adoption Framework (OSS) (znany również jako aztfmod) to projekt oparty na współpracy społecznościowej, prowadzony i utrzymywany poza zespołem podstawowym strefy docelowej platformy Azure i organizacją Azure GitHub. Jeśli Twoja organizacja zdecyduje się korzystać z tego projektu systemu operacyjnego, należy wziąć pod uwagę pomoc techniczną dostępną, ponieważ jest to spowodowane wysiłkami społeczności za pośrednictwem usługi GitHub.

Co zrobić, jeśli mamy już zasoby w naszych strefach docelowych, a później przypiszemy definicję usługi Azure Policy, która zawiera je w swoim zakresie?

Przejrzyj następujące sekcje dokumentacji:

• Przenoszenie istniejących środowisk platformy Azure do architektury referencyjnej strefy docelowej platformy Azure — "Zasady"
• Szybki start: tworzenie przypisania zasad w celu zidentyfikowania niezgodnych zasobów — sekcja "Identyfikowanie niezgodnych zasobów"

Czy potrzebuję dedykowanej lub oddzielnej strefy docelowej sztucznej inteligencji?

Nie, nie potrzebujesz oddzielnej strefy docelowej sztucznej inteligencji. Zamiast tego możesz użyć istniejącej architektury strefy docelowej platformy Azure do wdrożenia obciążeń sztucznej inteligencji. Zapoznaj się ze wskazówkami i wyjaśnieniem w temacie Sztuczna inteligencja w strefach docelowych platformy Azure.

Jak obsługujemy strefy docelowe obciążeń "tworzenie/testowanie/produkcja" w architekturze strefy docelowej platformy Azure?

Aby uzyskać więcej informacji, zobacz Zarządzanie środowiskami projektowymi aplikacji w strefach docelowych platformy Azure.

Dlaczego poproszono nas o określenie regionów platformy Azure podczas wdrażania architektury referencyjnej strefy docelowej platformy Azure i do czego służą?

Podczas wdrażania architektury strefy docelowej platformy Azure przy użyciu środowiska opartego na portalu architektury referencyjnej strefy docelowej platformy Azure wybierz region platformy Azure do wdrożenia. Pierwsza karta Lokalizacja wdrożenia określa, gdzie są przechowywane dane wdrożenia. Aby uzyskać więcej informacji, zobacz Wdrożenia dzierżawców z szablonami ARM. Niektóre części strefy docelowej są wdrażane globalnie, ale metadane wdrożenia są śledzone w regionalnym magazynie metadanych. Metadane dotyczące ich wdrożenia są przechowywane w regionie wybranym na karcie Lokalizacja wdrożenia .

Selektor regionów na karcie Lokalizacja wdrożenia służy również do wybierania regionu Azure, w którym powinny być przechowywane zasoby specyficzne dla regionu, takie jak obszar roboczy Log Analytics, jeśli jest to wymagane.

Jeśli wdrożysz topologię sieci na karcie Topologia sieci i łączność , musisz wybrać region platformy Azure, aby wdrożyć zasoby sieciowe. Ten region może różnić się od regionu wybranego na karcie Lokalizacja wdrożenia .

Aby uzyskać więcej informacji na temat regionów używanych przez zasoby strefy docelowej, zobacz Regiony strefy docelowej.

Jak włączyć więcej regionów świadczenia usługi Azure w przypadku korzystania z architektury strefy docelowej platformy Azure?

Aby dowiedzieć się, jak dodać nowe regiony do strefy docelowej lub jak przenieść zasoby strefy docelowej do innego regionu, zobacz Regiony strefy docelowej.

Czy powinniśmy za każdym razem utworzyć nową subskrypcję platformy Azure lub ponownie użyć subskrypcji platformy Azure?

Co to jest ponowne użycie subskrypcji?

Ponowne użycie subskrypcji to proces ponownego tworzenia istniejącej subskrypcji dla nowego właściciela. Powinien istnieć proces resetowania subskrypcji do znanego stanu czystego, a następnie ponownego przypisania do nowego właściciela.

Dlaczego warto rozważyć ponowne użycie subskrypcji?

Ogólnie rzecz biorąc, zalecamy, aby klienci przyjęli zasadę projektowania Demokratyzacja subskrypcji. Istnieją jednak konkretne okoliczności, w których ponowne użycie subskrypcji nie jest możliwe lub zalecane.

Jeśli spełniasz jedną z następujących sytuacji, rozważ ponowne użycie subskrypcji:

• Masz umowę Enterprise Agreement (EA) i planujesz utworzyć ponad 5000 subskrypcji na jednym koncie właściciela konta EA (koncie rozliczeniowym), w tym usuniętych subskrypcjach.
• Masz umowę klienta firmy Microsoft (MCA) lub umowę MICROSOFT Partner Agreement MPA i planujesz mieć więcej niż 5000 aktywnych subskrypcji. Aby dowiedzieć się więcej na temat limitów subskrypcji, zobacz Konta rozliczeniowe i zakresy w witrynie Azure Portal.
• Jesteś klientem z płatnością zgodnie z użyciem.
• Używasz dostępu sponsorowanego Microsoft Azure.
• Często tworzysz:
  1. Tymczasowe środowiska laboratoryjne i sandboxowe
  2. Środowiska demonstracyjne do testowania koncepcji (POC) lub minimalnych opłacalnych produktów (MVP), w tym niezależnych dostawców oprogramowania (ISV) na potrzeby dostępu do demonstracji/wersji próbnej klienta.
  3. Środowiska szkoleniowe, takie jak środowiska MSP/uczących się trenera

Jak ponownie używać subskrypcji?

Jeśli pasujesz do jednego z powyższych scenariuszy lub zagadnień, może być konieczne ponowne użycie istniejących zlikwidowanych lub nieużywanych subskrypcji i ponowne przypisanie ich do nowego właściciela i celu.

Czyszczenie starej subskrypcji

Najpierw należy wyczyścić starą subskrypcję do ponownego użycia. Przed rozpoczęciem ponownego użycia należy wykonać następujące akcje w subskrypcji:

• Usuń grupy zasobów i zawarte zasoby.
• Usuń przypisania ról, w tym przypisania ról usługi Privileged Identity Management (PIM), na poziomie subskrypcji.
• Usuń niestandardowe definicje kontroli dostępu opartej na rolach (RBAC) w zakresie subskrypcji.
• Usuń definicje zasad, inicjatywy, przypisania i wykluczenia w zakresie subskrypcji.
• Usuń wdrożenia w zakresie subskrypcji.
• Usuń tagi w zakresie subskrypcji.
• Usuń wszystkie blokady zasobów w zakresie subskrypcji.
• Usuń wszystkie budżety usługi Microsoft Cost Management w zakresie subskrypcji.
• Zresetuj plany usługi Microsoft Defender dla chmury do wersji bezpłatnej, chyba że wymagania organizacyjne nakazują ustawienie tych dzienników na płatne wersje. Zwykle te wymagania są wymuszane za pośrednictwem usługi Azure Policy.
• Usuń przekazywanie dzienników aktywności subskrypcji (ustawień diagnostycznych) do obszarów roboczych usługi Log Analytics, usługi Event Hubs, konta magazynu lub innych obsługiwanych miejsc docelowych, chyba że wymagania organizacyjne nakazują przekazywanie tych dzienników, gdy subskrypcja jest aktywna.
• Usuń wszystkie delegowania usługi Azure Lighthouse w zakresie subskrypcji.
• Usuń wszystkie ukryte zasoby z subskrypcji.

Przypisz ponownie subskrypcję

Po wyczyszczeniu subskrypcji możesz ją ponownie przypisać. Poniżej przedstawiono niektóre typowe działania, które można wykonać w ramach procesu ponownego przypisania:

• Dodaj nowe tagi i ustaw wartości dla nich w subskrypcji.
• Dodaj nowe przypisania ról lub przypisania ról w usłudze Privileged Identity Management (PIM) w zakresie subskrypcji dla nowych właścicieli. Zazwyczaj te przypisania dotyczą grup Entra firmy Microsoft zamiast osób fizycznych.
• Umieść subskrypcję w odpowiedniej grupie zarządzania według jej wymagań zarządczych.
• Utwórz nowe budżety w usłudze Microsoft Cost Management i skonfiguruj alerty dla nowych właścicieli, gdy zostaną osiągnięte ustalone progi.
• Ustaw plany usługi Microsoft Defender for Cloud na żądane warstwy. To ustawienie należy wymusić za pomocą usługi Azure Policy po umieszczeniu w odpowiedniej grupie zarządzania.
• Skonfiguruj przekazywanie dzienników aktywności subskrypcji (ustawień diagnostycznych) do obszarów roboczych usługi Log Analytics, usługi Event Hubs, konta magazynu lub innych obsługiwanych miejsc docelowych. To ustawienie należy wymusić za pomocą usługi Azure Policy po umieszczeniu w odpowiedniej grupie zarządzania.

Co to jest suwerenna strefa docelowa i jak jest związana z architekturą strefy docelowej platformy Azure?

Suwerenna strefa docelowa jest składnikiem suwerennej chmury firmy Microsoft przeznaczonej dla klientów sektora publicznego, którzy potrzebują zaawansowanych mechanizmów kontroli suwerenności. Dostosowana wersja architektury referencyjnej strefy docelowej platformy Azure, suwerenna strefa docelowa, współgra z możliwościami platformy Azure, takimi jak lokalizacja usługi, klucze zarządzane przez klienta, usługa Azure Private Link i poufne przetwarzanie. Dzięki temu wyrównaniu suwerenna strefa docelowa tworzy architekturę chmury, w której dane i obciążenia domyślnie oferują szyfrowanie i ochronę przed zagrożeniami.

Aby uzyskać więcej informacji na temat suwerennej strefy docelowej, zobacz Suwerenna strefa docelowa (SLZ).