Distribuire e configurare una sovereign landing zone

Prima di distribuire e configurare la Sovereign Landing Zone (SLZ) tramite Bicep, è necessario completare vari passaggi preliminari. Per una panoramica dettagliata di una SLZ e di tutte le sue funzionalità, vedere la documentazione Sovereign Landing Zone (Bicep) su GitHub.

Prerequisiti

Per completare la distribuzione, devi eseguire i passaggi relativi ai prerequisiti:

• Assicurati che nel tuo ambiente locale siano installate le seguenti versioni (o più recenti):

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Assicurati di avere accesso a un'identità ID con le seguenti autorizzazioni in Azure: Microsoft Entra

  • Creazione (o utilizzo) di abbonamenti esistenti
  • Proprietà degli abbonamenti
  • Creazione di entità servizio
  • Creazione di definizioni e assegnazioni di set di criteri.

Passaggi per distribuire la sovereign landing zone

1. Dai un'occhiata a una copia locale della Sovereign Landing Zone.

2. Convalida se i prerequisiti sono soddisfatti per il runtime locale ambiente e le autorizzazioni di Azure eseguendo lo script Confirm-SovereignLandingZonePrerequisites.ps1.

3. Aggiorna il file di parametri con i parametri necessari nella tua copia locale del repository della sovereign landing zone. Puoi creare una distribuzione della sovereign landing zone con i seguenti parametri minimi:

   • Nomi univoci e leggibili dall'uomo per la sovereign landing zone
   • Posizione e posizione approvata per la distribuzione
   • Informazioni di fatturazione per gli abbonamenti appena creati o esistenti

4. (Facoltativo) Aggiungi definizioni di criteri personalizzate come necessario per la conformità.

5. Eseguire tutti i passaggi all'interno dello script di distribuzione. New-SovereignLandingZone.ps1 Il processo di distribuzione iniziale può richiedere più di un'ora.

6. Verificare che la distribuzione sia stata completata da conto corrente tramite l'output della dashboard di conformità collegare visualizzato alla fine della distribuzione.

Configurare le iniziative di criteri della baseline di sovranità

Devi utilizzare i seguenti parametri di configurazione della sovereign landing zone per la configurazione delle iniziative sui criteri della baseline di sovranità:

• parAllowedLocations: utilizzare questo parametro per configurare i criteri di restrizione della posizione per tutte le risorse distribuite dalla SLZ al di fuori degli ambiti del gruppo di gestione riservato.

• parAllowedLocationsForConfidentialComputing: utilizzare questo parametro per configurare i criteri di restrizione della posizione per le risorse distribuite negli ambiti del gruppo di gestione riservata. Questo parametro può essere uguale al parametro parAllowedLocations ma potrebbe essere necessario essere diverso se il Computing riservato di Azure non è disponibile nell'area preferita.

• parPolicyEffect: questo parametro consente di alternare tra la baseline con un effetto di negazione, consigliato per carichi di lavoro di produzione, o un effetto di controllo.

Utilizzare il portafoglio di criteri per i criteri della zona di destinazione di Azure

Ogni iniziativa anteprima all'interno del portafoglio di policy deve avere la sua definizione implementata prima di essere utilizzata in una distribuzione SLZ. Per i dettagli sull'implementazione di queste definizioni, consultare l'articolo sul portafoglio di politiche . Puoi utilizzare questi passaggi per distribuire le definizioni a qualsiasi zona di destinazione esistente.

Utilizza i seguenti parametri di configurazione per configurare queste iniziative di criteri:

• parCustomerPolicySets: questo parametro consente di specificare un elenco di definizioni di set di policy da assegnare all'ambito del gruppo di gestione di livello superiore per una distribuzione SLZ.

• parDeployAlzDefaultPolicies: questo parametro consente di distribuire le policy ALZ in ambiti pertinenti all'interno di una distribuzione SLZ.

Prima di distribuire e configurare la Sovereign Landing Zone (SLZ) tramite Terraform, è necessario completare vari passaggi preliminari. Per una panoramica dettagliata di una SLZ e di tutte le sue funzionalità, consultare la documentazione di Sovereign Landing Zone (Terraform) su GitHub.

Prerequisiti

Per completare la distribuzione, devi eseguire i passaggi relativi ai prerequisiti:

• Assicurati che nel tuo ambiente locale siano installate le seguenti versioni (o più recenti):

  • Terraformare v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• Assicurati di avere accesso a un'identità ID con le seguenti autorizzazioni in Azure: Microsoft Entra

  • Creazione (o utilizzo) di abbonamenti esistenti
  • Proprietà degli abbonamenti
  • Creazione di entità servizio
  • Creazione di definizioni e assegnazioni di set di criteri.

Passaggi per distribuire la sovereign landing zone

1. Scarica una copia di inputs.yaml per configurare la tua distribuzione. Puoi creare una distribuzione della sovereign landing zone con i seguenti parametri minimi:

   • Nomi univoci e leggibili dall'uomo per la sovereign landing zone
   • Posizione e posizione approvata per la distribuzione
   • Informazioni di fatturazione per gli abbonamenti appena creati o esistenti

2. (Facoltativo) Aggiungi definizioni di criteri personalizzate come necessario per la conformità.

3. Eseguire il comando PowerShell deploy accelerator per estrarre una copia locale di Sovereign Landing Zone (Terraform).

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. Esegui il comando terraform apply . Il processo di distribuzione iniziale può richiedere più di un'ora.

5. Verificare se la distribuzione è completa digitando conto corrente nell'output della dashboard di conformità collegare visualizzato alla fine della distribuzione.

Configurare le iniziative di criteri della baseline di sovranità

Devi utilizzare i seguenti parametri di configurazione della sovereign landing zone per la configurazione delle iniziative sui criteri della baseline di sovranità:

• allowed_locations: utilizzare questo parametro per configurare i criteri di restrizione della posizione per tutte le risorse distribuite dalla SLZ al di fuori degli ambiti del gruppo di gestione riservato.

• allowed_locations_for_confidential_computing: utilizzare questo parametro per configurare i criteri di restrizione della posizione per le risorse distribuite negli ambiti del gruppo di gestione riservata. Questo parametro può essere uguale al parametro allowed_locations , ma potrebbe dover essere diverso se Azure Confidential Computing non è disponibile nell'area geografica preferita.

• policy_effect: questo parametro consente di alternare tra la baseline con un effetto di negazione, consigliato per i carichi di lavoro di produzione, o un effetto di controllo.

Utilizzare il portafoglio di criteri per i criteri della zona di destinazione di Azure

Ogni iniziativa anteprima all'interno del portafoglio di policy deve avere la sua definizione implementata prima di essere utilizzata in una distribuzione SLZ. Consulta l'articolo sul portafoglio di criteri per dettagli sull'implementazione di queste definizioni. Puoi utilizzare questi passaggi per distribuire le definizioni a qualsiasi zona di destinazione esistente.

Utilizza i seguenti parametri di configurazione per configurare queste iniziative di criteri:

• customer_policy_sets: questo parametro consente di specificare un elenco di definizioni di set di policy da assegnare all'ambito del gruppo di gestione di livello superiore per una distribuzione SLZ.

• apply_alz_archetypes_via_architecture_definition_template: questo parametro consente di distribuire le policy ALZ in ambiti pertinenti all'interno di una distribuzione SLZ.