你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
部署 Azure 安全基准基础蓝图示例
重要
2026 年 7 月 11 日,蓝图(预览版)将弃用。 将现有蓝图定义和分配迁移到模板规格和部署堆栈。 蓝图项目将转换为 ARM JSON 模板或用于定义部署堆栈的 Bicep 文件。 若要了解如何将项目创作为 ARM 资源,请参阅:
若要部署 Azure 安全基准基础蓝图示例,必须执行以下步骤:
- 基于示例创建新的蓝图
- 将示例副本标记为“已发布”
- 将蓝图副本分配到现有的订阅
如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
基于示例创建蓝图
首先,通过使用示例作为起点在环境中创建新的蓝图,来实现蓝图示例。
在左侧窗格中,选择“所有服务”。 搜索并选择“蓝图”。
在左侧的“开始”页中,选择“创建蓝图”下的“创建”按钮。
在“其他示例”下找到“Azure 安全基准基础”蓝图示例,然后选择“使用此示例”。
输入该蓝图示例的“基本信息”:
- 蓝图名称:为 Azure 安全基准基础蓝图示例副本提供一个名称。
- 定义位置:使用省略号并选择要将示例副本保存到的管理组。
选择页面顶部的“项目”选项卡,或页面底部的“下一步: 项目”。
查看构成蓝图示例的项目列表。 许多项目包含稍后我们将要定义的参数。 查看完蓝图示例后,选择“保存草稿”。
发布示例副本
现已在环境中创建蓝图示例的副本。 该副本在创建后处于“草稿”模式,必须先将其发布,然后才能分配和部署它。 可根据环境和需求自定义蓝图示例的副本,但这种修改可能会使该副本偏离 Azure 安全基准基础蓝图。
在左侧窗格中,选择“所有服务”。 搜索并选择“蓝图”。
在左侧选择“蓝图定义”页。 使用筛选器找到蓝图示例的副本,然后选择它。
选择页面顶部的“发布蓝图”。 在右侧的新窗格中,提供蓝图示例副本的版本。 以后做出修改时,此属性非常有用。 提供更改注释,例如,“基于 Azure 安全基准基础蓝图示例发布的第一个版本”,然后在页面底部选择“发布”。
分配示例副本
成功发布蓝图示例的副本后,可将它分配到它所在的管理组中的某个订阅。 在此步骤中,需提供参数来使蓝图示例副本的每个部署保持唯一。
在左侧窗格中,选择“所有服务”。 搜索并选择“蓝图”。
在左侧选择“蓝图定义”页。 使用筛选器找到蓝图示例的副本,然后选择它。
选择蓝图定义页面顶部的“分配蓝图”。
提供蓝图分配的参数值:
基础
- 订阅:在蓝图示例副本所保存到的管理组中选择一个或多个订阅。 如果选择多个订阅,将使用输入的参数为每个订阅创建一个分配。
- 分配名称:系统会根据蓝图的名称预先填充该名称。 请根据需要更改该名称,或保留原样。
- 位置:选择要在其中创建托管标识的区域。
- Azure 蓝图使用此托管标识在分配的蓝图中部署所有项目。 若要了解详细信息,请参阅 Azure 资源的托管标识。
- 蓝图定义版本:选择蓝图示例副本的已发布版本。
锁分配
选择环境的蓝图锁定设置。 有关更多信息,请参阅蓝图资源锁定。
托管标识
选择默认的系统分配的托管标识选项或用户分配的标识选项。
蓝图参数
蓝图定义中的许多项目使用本部分定义的参数来提供一致性。
- 资源和资源组的前缀:该字符串用作所有资源和资源组名称的前缀
- 中心名称:中心的名称
- 日志保留(天数):日志保留天数;输入“0”将无限期保留日志
- 部署中心:输入“true”或“false”以指定分配是否部署体系结构的中心组件
- 中心位置:中心资源组的位置
- 目标 IP 地址:出站连接的目标 IP 地址;以逗号分隔的 IP 地址或 IP 范围前缀列表
- 网络观察程序名称:网络观察程序资源的名称
- 网络观察程序资源组名称:网络观察程序资源组的名称
- 启用 DDoS 防护:输入“true”或“false”以指定是否在虚拟网络中启用 DDoS 防护
注意
如果已启用网络观察程序,则建议使用现有的网络观察程序资源组。 还必须为项目参数“网络观察程序资源组位置”提供现有网络观察程序资源组的位置。
项目参数
在本部分定义的参数将应用到定义了这些参数的项目。 这些参数属于动态参数 ,因为它们是在分配蓝图期间定义的。 有关完整列表或项目参数及其说明,请参阅项目参数表 。
输入所有参数后,选择页面底部的“分配”。 随后将创建蓝图分配,并开始部署项目。 部署过程大约需要一小时。 若要检查部署状态,请打开蓝图分配。
项目参数表
下表提供了蓝图参数的列表:
| 项目名称 | 项目类型 | 参数名称 | 说明 |
|---|---|---|---|
| 中心资源组 | 资源组 | 资源组名称 | 已锁定 - 连接前缀与中心名称 |
| 中心资源组 | 资源组 | 资源组位置 | 已锁定 - 使用中心位置 |
| Azure 防火墙模板 | 资源管理器模板 | Azure 防火墙专用 IP 地址 | |
| Azure Log Analytics 和诊断模板 | 资源管理器模板 | Log Analytics 工作区位置 | Log Analytics 工作区的创建位置;在 Azure PowersShell 中运行 Get-AzLocation | Where-Object Providers -like 'Microsoft.OperationalInsights' | Select DisplayName 以查看可用区域 |
| Azure Log Analytics 和诊断模板 | 资源管理器模板 | Azure 自动化帐户 ID(可选) | 自动化帐户资源 ID,用于在 Log Analytics 和自动化帐户之间创建链接服务 |
| Azure 网络安全组模板 | 资源管理器模板 | 启用 NSG 流日志 | 输入“true”或“false”以启用或禁用 NSG 流日志 |
| Azure 虚拟网络中心模板 | 资源管理器模板 | 虚拟网络地址前缀 | 中心虚拟网络的虚拟网络地址前缀 |
| Azure 虚拟网络中心模板 | 资源管理器模板 | 防火墙子网地址前缀 | 中心虚拟网络的防火墙子网地址前缀 |
| Azure 虚拟网络中心模板 | 资源管理器模板 | Bastion 子网地址前缀 | 中心虚拟网络的 Bastion 子网地址前缀 |
| Azure 虚拟网络中心模板 | 资源管理器模板 | 网关子网地址前缀 | 中心虚拟网络的网关子网地址前缀 |
| Azure 虚拟网络中心模板 | 资源管理器模板 | 管理子网地址前缀 | 中心虚拟网络的管理子网地址前缀 |
| Azure 虚拟网络中心模板 | 资源管理器模板 | 跳转盒子网地址前缀 | 中心虚拟网络的跳转盒子网地址前缀 |
| Azure 虚拟网络中心模板 | 资源管理器模板 | 子网地址名称(可选) | 要部署到中心虚拟网络的子网名称数组,例如,“subnet1”、“subnet2” |
| Azure 虚拟网络中心模板 | 资源管理器模板 | 子网地址前缀(可选) | 用于中心虚拟网络的可选子网的 IP 地址前缀数组,例如,“10.0.7.0/24”、“10.0.8.0/24” |
| 分支资源组 | 资源组 | 资源组名称 | 已锁定 - 连接前缀与分支名称 |
| 分支资源组 | 资源组 | 资源组位置 | 已锁定 - 使用中心位置 |
| Azure 虚拟网络分支模板 | 资源管理器模板 | 部署分支 | 输入“true”或“false”以指定分配是否部署体系结构的分支组件 |
| Azure 虚拟网络分支模板 | 资源管理器模板 | 中心订阅 ID | 部署中心的订阅 ID,默认值是蓝图定义所在的订阅 |
| Azure 虚拟网络分支模板 | 资源管理器模板 | 分支名称 | 分支的名称 |
| Azure 虚拟网络分支模板 | 资源管理器模板 | 虚拟网络地址前缀 | 分支虚拟网络的虚拟网络地址前缀 |
| Azure 虚拟网络分支模板 | 资源管理器模板 | 子网地址前缀 | 分支虚拟网络的子网地址前缀 |
| Azure 虚拟网络分支模板 | 资源管理器模板 | 子网地址名称(可选) | 要部署到分支虚拟网络的子网名称数组,例如,“subnet1”、“subnet2” |
| Azure 虚拟网络分支模板 | 资源管理器模板 | 子网地址前缀(可选) | 用于分支虚拟网络的可选子网的 IP 地址前缀数组,例如,“10.0.7.0/24”、“10.0.8.0/24” |
| Azure 虚拟网络分支模板 | 资源管理器模板 | 部署分支 | 输入“true”或“false”以指定分配是否部署体系结构的分支组件 |
| Azure 网络观察程序模板 | 资源管理器模板 | 网络观察程序位置 | 网络观察程序资源的位置 |
| Azure 网络观察程序模板 | 资源管理器模板 | 网络观察程序资源组位置 | 如果已启用网络观察程序,则此参数值必须与现有网络观察程序资源组的位置相匹配。 |
疑难解答
如果遇到错误 The resource group 'NetworkWatcherRG' failed to deploy due to the following error: Invalid resource group location '{location}'. The Resource group already exists in location '{location}'.,请检查蓝图参数“网络观察程序资源组名称”是否指定了现有的网络观察程序资源组名称,以及项目参数“网络观察程序资源组位置”是否指定了现有的网络观察程序资源组位置。
后续步骤
查看了部署 Azure 安全基准基础蓝图示例的步骤后,请访问以下文章来了解体系结构:
有关蓝图及其使用方式的更多文章: