Środowiska piaskownicy strefy docelowej

  • Artykuł

Piaskownica to izolowane środowisko, w którym można testować i eksperymentować bez wpływu na inne środowiska, takie jak środowiska produkcyjne, programistyczne lub test akceptacyjne (UAT, user acceptance testing). Przeprowadź weryfikację koncepcji (POC) z zasobami platformy Azure w kontrolowanym środowisku. Każda piaskownica ma własną subskrypcję platformy Azure, a zasady platformy Azure kontrolują subskrypcję. Zasady są stosowane na poziomie grupy zarządzania piaskownicą, a grupa zarządzania dziedziczy zasady z hierarchii powyżej. W zależności od celu osoba lub zespół mogą używać piaskownicy.

Porada

Aby uzyskać informacje na temat domyślnych przypisań zasad stref docelowych platformy Azure, zobacz Zasady zawarte w implementacjach odwołań stref docelowych platformy Azure.

Środowiska piaskownicy to najlepsze miejsce na praktyczne uczenie się platformy Azure. Oto niektóre typowe przypadki użycia:

  • Deweloper potrzebuje kontrolowanego środowiska platformy Azure, aby szybko przetestować wzorce projektowe aplikacji.
  • Architekt chmury potrzebuje środowiska piaskownicy do oceny zasobów platformy Azure lub przeprowadzania weryfikacji koncepcji dla usługi lub zasobu platformy Azure przed formalnym zatwierdzeniem ich dla organizacji.
  • Inżynier chmury potrzebuje środowiska piaskownicy, aby lepiej zrozumieć, co się stanie po zmianie ustawienia w zasobie platformy Azure.
  • Inżynier platformy chce skompilować i przetestować nowe zasady platformy Azure i zobaczyć, jak działa zgodnie ze wskazówkami canary.
  • Deweloper chce eksperymentować z usługami lub zasobami platformy Azure podczas tworzenia aplikacji.

Architektura piaskownicy

Na poniższej ilustracji przedstawiono grupę zarządzania i układ subskrypcji.

Schemat blokowy przedstawiający architekturę piaskownicy z pojedynczym przypadkiem użycia.

Umieść subskrypcję piaskownicy w grupie zarządzania piaskownicą. Aby uzyskać więcej informacji na temat grup zarządzania i organizacji subskrypcji, zobacz Obszary projektowe strefy docelowej i architektura koncepcyjna. Zasady platformy Azure tworzone dla piaskownic są umieszczane na poziomie grupy zarządzania piaskownicy. Następnie środowiska piaskownicy dziedziczą zasady platformy Azure z hierarchii grup zarządzania, która jest powyżej nich.

Subskrypcja piaskownicy ułatwia zarządzanie kosztami dla każdego programu lub projektu. Możesz łatwo śledzić koszty i anulować piaskownice po obniżeniu budżetów lub wygaśnięciu piaskownicy.

Sieć

Utwórz sieć subskrypcji piaskownicy, która odpowiada Twoim potrzebom. Aby zachować izolację piaskownicy, upewnij się, że sieci utworzone w ramach subskrypcji piaskownicy nie były równorzędne z innymi sieciami spoza piaskownicy. Możesz użyć zasad odmowy komunikacji równorzędnej sieci wirtualnych między subskrypcjami , aby upewnić się, że każda piaskownica jest własnym izolowanym środowiskiem.

Użyj zasad tworzenia odmowy usługi ExpressRoute/VPN/Virtual WAN, aby odmówić tworzenia bram usługi ExpressRoute, bram sieci VPN i centrów Virtual WAN. W przypadku odmowy tych zasobów gwarantuje, że sieci subskrypcji piaskownicy pozostaną izolowane.

Rejestrowanie inspekcji

W przypadku zabezpieczeń ważne jest włączenie rejestrowania inspekcji dla środowiska piaskownicy. Włącz ustawienie diagnostyczne, które zawiera co najmniej kategorie dzienników administracyjnych i zabezpieczeń (inspekcja) dla wszystkich subskrypcji piaskownicy. Przechowuj dzienniki inspekcji w centralnym miejscu docelowym, na przykład domyślny obszar roboczy usługi Log Analytics dla strefy docelowej platformy Azure, dzięki czemu można je łatwo przeglądać. Możesz też zintegrować je z platformą zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takimi jak Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące spisu i widoczności.

Zasady platformy Azure zawarte w implementacji referencyjnej strefy docelowej w skali przedsiębiorstwa mają definicję zasad platformy Azure ("Konfigurowanie dzienników aktywności platformy Azure do strumieniowego przesyłania strumieniowego do określonego obszaru roboczego usługi Log Analytics"), która umożliwia rejestrowanie inspekcji dla wszystkich subskrypcji. Grupa zarządzania piaskownicą powinna dziedziczyć te zasady, aby włączyć rejestrowanie diagnostyczne subskrypcji piaskownicy.

Dostęp do piaskownicy

Użytkownik piaskownicy ma dostęp właściciela do subskrypcji piaskownicy. Po anulowaniu piaskownicy usuń kontrolę dostępu opartą na rolach (RBAC) właściciela dla wszystkich użytkowników piaskownicy.

Inne zagadnienia

Aby zapewnić niezawodną i wydajną wydajność środowiska piaskownicy, należy wziąć pod uwagę następujące czynniki.

Wygaśnięcie piaskownicy

W razie potrzeby możesz anulować lub usunąć piaskownicę. Zaplanuj strategię usuwania piaskownic, aby zaoszczędzić na kosztach i zapewnić, że zabezpieczenia pozostaną zależne. Rozważ datę wygaśnięcia kosztu i piaskownicy, aby określić, kiedy usunąć piaskownicę. Po wygaśnięciu piaskownicy przenieś ją do zlikwidowanej grupy zarządzania.

Koszty

Kluczową kwestią dla środowisk piaskownicy opartych na chmurze jest śledzenie kosztów. Aby ułatwić śledzenie, możesz utworzyć budżet w usłudze Microsoft Cost Management. Funkcja budżetów wysyła alerty, gdy rzeczywiste wydatki lub prognozowane wydatki przekraczają skonfigurowany próg.

Podczas wdrażania piaskownicy można utworzyć budżet usługi Microsoft Cost Management i przypisać go do subskrypcji. Funkcja budżetu powiadamia użytkowników piaskownicy, gdy progi wydatków przekraczają określony procent. Można na przykład ustawić alert, gdy budżet przekroczy próg wydatków na 100%. W takim przypadku możesz anulować lub usunąć subskrypcję. Sam alert jest tylko mechanizmem ostrzegawczym.

Budżet można przypisać do wszystkich piaskownic. Zastosuj domyślny budżet przy użyciu zasad deploy-budget platformy Azure na poziomie grupy zarządzania piaskownicą. Ustaw domyślny budżet na maksymalny koszt zatwierdzany przez organizację dla piaskownicy. Domyślny budżet wysyła alerty dotyczące kosztów dla każdej piaskownicy, która nie ma przypisanego bardziej szczegółowego budżetu.

Data wygaśnięcia

Większość organizacji chce wygasnąć i usunąć piaskownice po upływie czasu. Wygasanie piaskownic w celu zapewnienia korzyści związanych z kontrolą kosztów i zabezpieczeniami. Środowiska piaskownicy są tworzone do celów testowych i szkoleniowych. Po wykonaniu testu przez użytkownika piaskownicy lub dokonaniu zamierzonej wiedzy możesz wygasnąć piaskownicę, ponieważ nie jest już potrzebna. Nadaj datę wygaśnięcia każdej piaskownicy. Po osiągnięciu tej daty anuluj lub usuń subskrypcję piaskownicy.

Podczas tworzenia piaskownicy można umieścić tag platformy Azure z datą wygaśnięcia subskrypcji. Użyj automatyzacji, aby anulować lub usunąć subskrypcję po osiągnięciu daty wygaśnięcia.

Ograniczanie zasobów platformy Azure

Aby zapewnić najbardziej niezawodne środowisko szkoleniowe dla użytkowników piaskownicy, udostępnij wszystkie usługi platformy Azure w środowisku piaskownicy. Nieograniczone piaskownice są idealne, ale niektóre organizacje mają wymagania dotyczące ograniczania usług platformy Azure wdrożonych w piaskownicach. Kontroluj te ograniczenia za pośrednictwem Azure Policy. Zasady listy bloków usług platformy Azure umożliwiają odmowę wdrożenia określonych usług platformy Azure.

Ochrona informacji

Większość organizacji zgadza się, że ważne jest, aby poufne dane nie były w środowisku piaskownicy. Pierwszą linią obrony ochrony informacji jest edukacja użytkowników. Przed przypisaniem użytkownika do piaskownicy podaj zastrzeżenia i informacje, które wyraźnie nie umożliwiają dodawania poufnych danych do piaskownicy.

Użyj usługi Microsoft Purview , aby zapewnić ochronę informacji dla środowisk piaskownicy. Usługa Purview może wysyłać alerty, jeśli użytkownik dodaje dane, które organizacja etykietuje jako poufne dla środowisk piaskownicy.

Następne kroki

Przewodnik po piaskownicy platformy Azure

Ulepszanie ładu strefy docelowej