共用方式為

Azure 登陸區域常見問題 (常見問題)

本文回答有關 Azure 登陸區域架構的常見問題。

如需 實作 Azure 登陸區域架構的常見問題,請參閱 企業級實作常見問題

什麼是 Azure 著陸區入口加速器?

Azure 登陸區入口加速器是一種基於 Azure 入口網站的部署體驗。 它部署了基於 Azure 登陸區參考架構 的具有明確立場的實作。

Microsoft積極開發和維護平臺和應用程式加速器和實作,以配合 Azure 登陸區域 設計原則設計區域 指引。

檢閱 部署 Azure 登陸區域 指引,以深入瞭解建議的平臺和應用程式登陸區域。

若要瞭解如何量身打造 Azure 登陸區域部署以符合您的需求,請參閱 量身打造符合需求的 Azure 登陸區域架構

小提示

若要要求新增加速器和實作清單,請在 ALZ 存放庫上提交 GitHub issue。

什麼是 Azure 著陸區參考架構?

Azure 著陸區參考架構代表規模與成熟度的決策。 其依據是採用 Azure 作為數字資產一部分的客戶所學到的教訓和意見反應。 此概念架構可協助您的組織設定設計及實作登陸區域的方向。

著陸區在 Azure 著陸區架構中對應至哪些項目?

從 Azure 登陸區域的觀點來看,登陸區域是個別的 Azure 訂用帳戶。

原則驅動治理的意義為何,以及其運作方式為何?

原則驅動的治理 是企業級架構的主要設計原則之一。

原則驅動治理表示使用 Azure Policy 來減少您在 Azure 租用戶中常見和重複的操作任務所需的時間。 使用許多 Azure 原則效果,例如 AppendDenyDeployIfNotExistsModify,藉由限制建立或更新原則定義的不符合規範的資源,或部署資源或修改資源建立或更新要求的設定,使其符合規範,以防止不符合規範。 某些效果,例如 AuditDisabledAuditIfNotExists,不會防止問題也不會採取行動,它們只會稽核並報告不符合規範的情況。

原則驅動治理的一些范例如下:

  • Deny 效果:防止建立或更新子網,使其沒有相關聯的網路安全組。

  • DeployIfNotExists 效果:系統會建立新的訂用帳戶(登陸區域),並將其放入 Azure 登陸區域部署內的管理群組中。 Azure 原則可確保訂用帳戶上已啟用適用於雲端的 Microsoft Defender(先前稱為 Azure 資訊安全中心)。 它也會設定活動記錄的診斷設定,以將記錄傳送至管理訂用帳戶中的 Log Analytics 工作區。

    建立新的訂用帳戶時,與其重複程式碼或手動操作,DeployIfNotExists 原則定義會自動部署併為您設定它們。

如果我們無法或尚未準備好使用 DeployIfNotExists (DINE) 原則,該怎麼辦?

我們有一個專用頁面,會說明您如何選擇「停用」DINE政策的各個階段和選項,或者使用我們的三階段方法逐步在您的環境中採用這些政策。

請參閱採用原則驅動護欄的指導方針

我們應該使用 Azure 原則來部署工作負載嗎?

簡言之, 。 使用 Azure 原則來控制、治理及保留工作負載和登陸區域相容。 其並非設計用來部署整個工作負載和其他工具。 使用 Azure 入口網站或基礎結構即程式代碼供應專案(ARM 範本、Bicep、Terraform)來部署和管理您的工作負載,並取得您需要的自主權。

什麼是 Terraform 的雲端採用架構登陸區域 (aztfmod)?

雲端採用架構登陸區域 開放原始碼專案(OSS)(也稱為 aztfmod)是由社群擁有和維護的專案,並非隸屬於 Azure 登陸區域核心小組和 Azure GitHub 組織。 如果您的組織選擇使用此 OSS 專案,應該考慮可用的支持,因為這是由社群工作透過 GitHub 所推動。

如果我們在登陸區域中已經有資源,稍後指派 Azure 原則定義,並將其包含在其範圍中,該怎麼辦?

檢閱下列文件部分:

我需要專用或個別的 AI 登陸區域嗎?

否,您不需要個別的 AI 登陸區域。 相反地,您可以使用現有的 Azure 登陸區域架構來部署 AI 工作負載。 請參閱 Azure 登陸區域中 AI 中的指引和說明。

我們如何在 Azure 登陸區域架構中處理「開發/測試/生產」工作負載登陸區域?

有關詳細資訊,請參閱「管理 Azure 登陸區域中的應用程式開發環境」。

為什麼在 Azure 登陸區參考架構部署時,我們被要求指定 Azure 區域?它們用於什麼?

當你使用 Azure 登陸區參考架構的入口網站體驗部署 Azure 登陸區架構時,請選擇一個 Azure 區域來部署。 第一個索引 標籤 [部署位置] 會決定部署數據的儲存位置。 如需詳細資訊,請參閱 使用ARM範本的租戶部署。 登陸區域的某些部分會全域部署,但其部署元數據會在區域元數據存放區中追蹤。 其部署的相關元數據會儲存在 [ 部署位置 ] 索引標籤上選取的區域。

在 [ 部署位置 ] 索引標籤上,區域選取器還可用來選擇應儲存哪些特定於區域的 Azure 資源(例如,必要時的 Log Analytics 工作區)所屬的 Azure 區域。

如果您在 [ 網络拓撲和連線 能力] 索引標籤上部署網路拓撲,您必須選取 Azure 區域來部署網路資源。 此區域與 [ 部署位置] 索引標籤 上選取的區域不同。

如需登陸區域資源使用之區域的詳細資訊,請參閱 登陸區域區域

當我們使用 Azure 登陸區域架構時,如何啟用更多 Azure 區域?

若要瞭解如何將新區域新增至登陸區域,或如何將登陸區域資源移至不同的區域,請參閱 登陸區域區域

我們應該每次建立新的 Azure 訂用帳戶,還是應該重複使用 Azure 訂用帳戶?

什麼是訂用帳戶重複使用?

訂閱重複使用是將現有訂閱重新發行給新擁有者的流程。 應該有一個程式,將訂用帳戶重設為已知的清除狀態,然後重新指派給新的擁有者。

我為什麼要考慮重複使用訂用帳戶?

一般而言,我們建議客戶採用訂用帳戶 民主化設計原則。 不過,在某些情況下,重複使用訂用帳戶是不可能或不建議的。

小提示

在這裡觀看訂用帳戶民主化設計原則的 YouTube 影片: Azure 登陸區域 - 我應該在 Azure 中使用多少個訂用帳戶?

如果您符合下列其中一種情況,您應該考慮重複使用訂用帳戶:

  • 您有 Enterprise 合約 (EA), 並計劃在單一 EA 帳戶擁有者帳戶 (計費帳戶) 上建立超過 5,000 個訂用帳戶,包括已刪除的訂用帳戶。
  • 您有Microsoft客戶合約(MCA)或Microsoft合作夥伴合約 MPA,並計劃擁有超過 5,000 個使用中的訂用帳戶。 若要深入瞭解訂用帳戶限制,請參閱 Azure 入口網站中的計費帳戶和範圍
  • 您是隨用隨付客戶。
  • 您使用 Microsoft Azure 贊助方案。
  • 您通常會建立:
    1. 暫時實驗室或沙盒環境
    2. 概念驗證(POC)或最低可行產品(MVP)的示範環境,包括提供客戶示範/試用存取的獨立軟體供應商(ISV)
    3. 訓練環境,例如受託服務供應商 (MSP) 或訓練師的學習環境

如何重複使用訂用帳戶?

如果您符合上述其中一個案例或考慮,您可能需要考慮重複使用現有的已解除委任或未使用的訂用帳戶,並將其重新指派給新的擁有者和用途。

清除舊訂用帳戶

您必須先清除舊的訂用帳戶,才能重複使用。 您必須在訂用帳戶上執行下列動作,才能準備好重複使用:

  • 移除資源群組和其中包含的資源。
  • 移除訂閱範圍內的角色指派,包括 Privileged Identity Management(PIM)角色指派。
  • 在訂閱範圍移除自訂角色型存取控制(RBAC)定義。
  • 在訂用帳戶範圍內移除政策定義、計畫、指定和豁免。
  • 移除訂閱範圍的部署。
  • 拿掉訂用帳戶範圍中的標籤。
  • 解除訂閱範圍內的任何資源鎖定。
  • 刪除訂用帳戶範圍內的任何 Microsoft 成本管理預算。
  • 除非因組織需求而需強制將這些日誌設定為付費層級,否則將 Microsoft Defender for Cloud 方案重設為免費層級。 您通常會透過 Azure 原則強制執行這些需求。
  • 除非組織需求在訂閱有效時強制轉送這些記錄,否則請移除將訂閱活動記錄(診斷設定)轉送至 Log Analytics 工作區、事件中樞、儲存體帳戶或其他支援的目的地的設定。
  • 移除任何訂用帳戶範圍內的 Azure Lighthouse 委派。
  • 從訂用帳戶中移除任何隱藏的資源。

小提示

使用 Get-AzResourceaz resource list -o table 鎖定訂用帳戶範圍的目標,可協助您尋找任何隱藏或剩餘的資源,以在重新指派之前移除。

重新指派訂用帳戶

清理訂閱內容後,您可以重新分配訂用帳戶。 以下是您可能想要在重新指派程式中執行的一些常見活動:

  • 在訂用帳戶上新增標記並設定其值。
  • 在新的擁有者的訂閱範疇內,新增角色指派,或新增特權身分管理 (PIM) 角色指派。 這些指派通常是指派給 Microsoft Entra 群組,而非個人。
  • 根據訂用帳戶的治理需求,將訂用帳戶放入所需的管理群組。
  • 建立新的 Microsoft 成本管理預算,並在達到閾值時向新的擁有者發送警示。
  • 將適用於雲端的 Defender Microsoft 方案設定為所需的階層。 您應該透過 Azure 原則強制執行此設定,一旦放入正確的管理群組。
  • 設定訂用帳戶活動記錄(診斷設定)轉送至 Log Analytics 工作區、事件中樞、記憶體帳戶或其他支援的目的地。 您應該透過 Azure 原則強制執行此設定,一旦放入正確的管理群組。

主權登陸區域是 Microsoft 主權雲端的元件,適用於需要進階主權控制的公營機構客戶。 作為 Azure 著陸區參考架構的量身打造版本,主權著陸區與 Azure 的能力相符,如服務駐留、客戶管理金鑰、Azure Private Link 及機密運算。 透過這種對齊方式,主權登陸區域會建立雲端架構,根據預設,數據和工作負載會提供加密和保護威脅。

備註

Microsoft 主權雲端主要針對有主權需求的組織。 您應該仔細考慮是否需要 Microsoft 主權雲端功能,然後才考慮採用主權登陸區域架構。

欲了解更多關於主權著陸區的資訊,請參閱主權著陸區(SLZ)。

  • Last updated on