Azure 登陆区域常见问题解答

本文解答了有关 Azure 登陆区域体系结构的常见问题。

有关 实现 Azure 登陆区域体系结构的常见问题解答，请参阅 企业规模实现常见问题解答。

什么是 Azure 登陆区域加速器？

Azure 登陆区域加速器是基于 Azure 门户的部署体验。 它基于 Azure 登陆区域概念体系结构部署了一种有指导性的实现。

Azure 登陆区域的推荐加速器和实现有哪些？

Microsoft积极开发和维护平台和应用程序加速器和实现，以符合 Azure 登陆区域 设计原则 和 设计区域 指南。

查看 “部署 Azure 登陆区域 ”指南，详细了解推荐的平台和应用程序登陆区域。

若要了解如何根据需求定制 Azure 登陆区域部署，请参阅 定制 Azure 登陆区域体系结构以满足需求

什么是 Azure 登陆区域概念体系结构？

Azure 着陆区概念架构代表扩展和成熟度决策。 它基于将 Azure 作为其数字化资产组合一部分的客户的经验教训和反馈。 此概念体系结构可帮助组织制定设计和实施登陆区域的方向。

在 Azure 登陆区域体系结构的上下文中，登陆区域指的是什么？

从 Azure 着陆区的角度来看，着陆区指的是单个的 Azure 订阅。

策略驱动的治理意味着什么，以及它的工作原理？

策略驱动的治理 是企业规模体系结构的主要设计原则之一。

策略驱动的治理意味着使用 Azure Policy 减少在 Azure 租户中执行常见和重复作任务所需的时间。 使用许多 Azure Policy 效果（例如Append，Deny，DeployIfNotExists，以及Modify），通过限制不合规资源（如策略定义中所述）的创建或更新，或者通过部署资源或修改资源创建或更新请求的设置，使其合规，从而防止不合规。 某些影响（例如 Audit， Disabled和 AuditIfNotExists）不会阻止或采取行动;它们仅审核和报告不符合性。

策略驱动治理的一些示例包括：

• Deny 效果：阻止创建或更新子网，使其没有与之关联的网络安全组。

• DeployIfNotExists 效果：在 Azure 登陆区域部署中创建一个新订阅，并将其放入管理组。 Azure Policy 可确保在订阅上启用 Microsoft Defender for Cloud（以前称为 Azure 安全中心）。 它还配置活动日志的诊断设置，以将日志发送到管理订阅中的 Log Analytics 工作区。

  在创建新订阅时，策略定义会自动为你部署并配置它们，而不是重复代码或手动活动。

如果我们无法或尚未准备好使用 DeployIfNotExists （DINE） 策略，该怎么办？

我们有一个专用页面，介绍各种阶段和选项，帮助你选择如何“禁用”DINE策略，或在你的环境中通过我们的三个阶段方法逐步采用这些策略。

请参阅采用策略驱动的规范措施指导

是否应使用 Azure Policy 部署工作负荷？

简言之， 不。 使用 Azure Policy 控制和治理工作负载及登陆区域，以确保它们符合要求。 它不是为了部署完整的工作负载及其他工具而设计的。 使用 Azure 门户或基础结构即代码产品/服务（ARM 模板、Bicep、Terraform）来部署和管理工作负荷，并获取所需的自主性。

什么是用于 Terraform 的云采用框架登陆区域 (aztfmod)？

云采用框架登陆区域 开放源代码项目（ 也称为 aztfmod）是在 Azure 登陆区域核心团队和 Azure GitHub 组织之外拥有和维护的社区驱动项目。 如果你的组织选择使用此 OSS 项目，则应考虑可用的支持，因为这是由社区努力通过 GitHub 推动的。

如果我们的登陆区域中已经有资源，并且后来分配了一个将它们包含在其范围内的 Azure 策略定义，该怎么办？

查看以下文档部分：

• 将现有 Azure 环境转换为 Azure 登陆区域概念体系结构 - “Policy” 部分
• 快速入门：创建策略分配以标识不合规资源 - “识别不合规资源” 部分

是否需要专用或单独的 AI 登陆区域？

否，不需要单独的 AI 登陆区域。 相反，可以使用现有的 Azure 登陆区域体系结构将 AI 工作负载部署到该体系结构中。 请参阅 Azure 登陆区域中的 AI 指南和说明。

如何在 Azure 登陆区域体系结构中处理“开发/测试/生产”工作负荷登陆区域？

有关详细信息，请参阅管理 Azure 登陆区域中的应用程序开发环境。

为什么在 Azure 登陆区域加速器部署期间要求指定 Azure 区域及其用途？

使用基于 Azure 登陆区域加速器门户的体验部署 Azure 登陆区域体系结构时，选择要部署到的 Azure 区域。 第一个选项卡 “部署位置”确定部署数据的存储位置。 有关详细信息，请参阅 使用 ARM 模板的租户部署。 登陆区域的某些部分在全球范围内部署，但它们的部署元数据在区域元数据存储中跟踪。 有关部署的元数据存储在“ 部署位置 ”选项卡上选择的区域。

部署位置选项卡上的区域选择器还用于根据需要选择要存储任何特定于区域的资源的 Azure 区域，例如 Log Analytics 工作区。

如果在“ 网络拓扑和连接 ”选项卡上部署网络拓扑，则需要选择要将网络资源部署到的 Azure 区域。 此区域可以不同于在 “部署位置 ”选项卡上选择的区域。

有关登陆区域资源使用的区域的详细信息，请参阅 登陆区域区域。

使用 Azure 登陆区域体系结构时，如何启用更多 Azure 区域？

若要了解如何将新区域添加到登陆区域，或如何将登陆区域资源移到其他区域，请参阅 登陆区域区域。

我们应该每次创建新的 Azure 订阅，还是应该重复使用 Azure 订阅？

什么是订阅重用？

订阅重用是向新所有者重新颁发现有订阅的过程。 应该有一个过程将订阅重置为已知的干净状态，然后重新分配给新所有者。

为何应考虑重用订阅？

一般情况下，我们建议客户采用 订阅民主化设计原则。 然而，在某些情况下，重复使用订阅是不可能的或不被建议的。

如果满足以下情况之一，应考虑重复使用订阅：

• 你有一个企业协议（EA），并计划在单个 EA 帐户所有者帐户（计费帐户）上创建 5,000 多个订阅，包括已删除的订阅。
• 你拥有微软客户协议（MCA）或微软合作伙伴协议（MPA），并计划拥有超过 5,000 个活跃订阅。 若要详细了解订阅限制，请参阅 Azure 门户中的计费帐户和范围。
• 你是即用即付客户。
• 您使用 Microsoft Azure 赞助。
• 您通常创建的内容：
  1. 临时实验室或沙盒环境
  2. 用于概念证明（POC）或最低可行产品（MVP）的演示环境，包括用于客户演示/试用访问的独立软件供应商（ISV）
  3. 培训环境，例如 MSP/培训师的学习者环境

如何重复使用订阅？

如果符合上述方案或注意事项之一，则可能需要考虑重用现有已解除授权或未使用的订阅，并将其重新分配给新的所有者和用途。

清理旧订阅

首先需要清理旧订阅以供重复使用。 在订阅可以重复使用之前，需要对其执行以下操作：

• 删除资源组和包含的资源。
• 在订阅范围内删除角色分配，包括 Privileged Identity Management (PIM) 角色分配。
• 在订阅层级删除自定义角色访问控制（RBAC）定义。
• 删除订阅范围内的策略定义、计划、分配和豁免。
• 删除订阅范围内的部署。
• 删除订阅范围内的标记。
• 删除订阅范围中的任何资源锁。
• 删除订阅范围内的任何Microsoft成本管理预算。
• 除非组织要求将这些日志设置为付费层，恢复 Microsoft Defender for Cloud 计划至免费层。 通常通过 Azure Policy 强制实施这些要求。
• 删除转发到 Log Analytics 工作区、事件中心、存储帐户或其他受支持的目标的订阅活动日志（诊断设置），除非组织要求在订阅处于活动状态时强制转发这些日志。
• 删除订阅范围中的任何 Azure Lighthouse 委派。
• 从订阅中删除任何隐藏的资源。

重新分配订阅

完成清理订阅后，您可以重新分配订阅。 下面是可能需要在重新分配过程中执行的一些常见活动：

• 添加新标记并在订阅上设置这些标记的值。
• 在订阅范围内为新所有者添加新的角色分配或 Privileged Identity Management (PIM) 角色分配。 通常，这些分配是给 Microsoft Entra 组，而不是个人。
• 根据治理要求将订阅放入所需的管理组。
• 创建新的Microsoft成本管理预算，并在达到阈值时向新所有者设置警报。
• 将 Microsoft Defender for Cloud 计划设置为所需的层。 一旦放入正确的管理组，你应该通过 Azure 策略强制执行此设置。
• 配置订阅活动日志（诊断设置）转发至 Log Analytics 工作区、事件中心、存储帐户或其他多个受支持的目的地。 一旦放入正确的管理组，你应该通过 Azure 策略强制执行此设置。

什么是主权登陆区域，它与 Azure 登陆区域体系结构有何关联？

主权登陆区域是Microsoft主权云的一部分，适用于需要高级主权控制的公共部门客户。 作为 Azure 登陆区域概念体系结构的定制版本，主权登陆区域符合 Azure 功能，例如服务驻留、客户管理的密钥、Azure 专用链接和机密计算。 通过这种对齐方式，主权登陆区域会创建一个云体系结构，默认情况下，数据和工作负载提供加密和保护威胁。

有关主权登陆区域的详细信息，请参阅主权登陆区域（SLZ）。