Hakimiyet Giriş Bölgesi'ni dağıtma ve yapılandırma

Bicep kullanarak Bağımsız Giriş Bölgesi'ni (SLZ) dağıtmadan ve yapılandırmadan önce çeşitli önkoşul adımlarını tamamlamanız gerekir. SLZ'ye ve tüm özelliklerine ayrıntılı bir genel bakış için GitHub'daki Bağımsız Giriş Bölgesi (Bicep) belgelerine bakın .

Önkoşullar

Dağıtımı tamamlamak için önkoşul adımları gerçekleştirmeniz gerekir:

• Yerel ortamınızda aşağıdaki sürümlerin (veya daha güncel bir sürümün) yüklü olduğundan emin olun:

  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • Azure Bicep 0.20.0

• Azure'da aşağıdaki izinlere sahip bir Microsoft Entra kimlik kimliğine erişiminiz olduğundan emin olun:

  • Abonelik oluşturma (veya mevcut bir aboneliği kullanma)
  • Aboneliklere sahip olma
  • Hizmet ilkeleri oluşturma
  • İlke kümesi tanımları ve atamaları oluşturun.

Hakimiyet Giriş Bölgesi'ni dağıtma adımları

1. Sovereign Landing Zone'un yerel bir kopyasına göz atın.

2. Confirm-SovereignLandingZonePrerequisites.ps1 betiğini çalıştırarakyerel çalışma zamanı ortamınız ve Azure izinleriniz için önkoşulların karşılanıp karşılanmadığını doğrulayın.

3. SLZ deposuna ilişkin yerel kopyanızda gerekli parametrelerle parametre dosyasını güncelleştirin. Aşağıdaki minimum parametrelerle bir SLZ dağıtımı oluşturabilirsiniz:

   • SLZ için benzersiz ve okunabilir adlar
   • Dağıtım için konum ve onaylanmış konum
   • Yeni oluşturulan veya mevcut abonelikler için fatura bilgileri

4. (İsteğe bağlı) Uyumluluk için gerektiği gibi özel ilke tanımları ekleyin.

5. Dağıtım betiği içindeki tüm New-SovereignLandingZone.ps1 adımları çalıştırın. İlk dağıtım işlemi bir saat kadar sürebilir.

6. Dağıtımın sonunda görüntülenen uyumluluk panosu çıktısı ilişkilendirmek dosyasını kontrol ederek dağıtımın tamamlandığını doğrulayın.

Bağımsızlık Temeli ilkesi girişimlerini yapılandırma

Bağımsızlık Temeli ilkesi girişimlerini yapılandırmak için aşağıdaki SLZ yapılandırma parametrelerini kullanmanız gerekir:

• parAllowedLocations: Gizli yönetim grubu kapsamları dışında SLZ tarafından dağıtılan tüm kaynaklar için konum kısıtlama ilkelerini yapılandırmak için bu parametreyi kullanın.

• parAllowedLocationsForConfidentialComputing: Gizli yönetim grubu kapsamları içinde dağıtılan kaynaklar için konum kısıtlama ilkelerini yapılandırmak için bu parametreyi kullanın. Bu parametre, parAllowedLocations parametresi ile aynı olabilir ancak tercih edilen bölgede Azure Gizli Bilgi İşlem mevcut değilse farklı olması gerekebilir.

• parPolicyEffect: Bu parametre, üretim iş yükleri için önerilen reddetme efektine sahip taban çizgisi veya denetim etkisi arasında geçiş yapar.

İlke portföyünü veya ALZ ilkelerini kullanma

İlke portföyündeki herhangi bir önizleme girişiminin, bir SLZ dağıtımında kullanılmadan önce tanımının dağıtılması gerekir. Bu tanımları dağıtmanın ayrıntıları için ilke portföyü hakkındaki makaleyi gözden geçirin. Tanımları mevcut giriş bölgelerine dağıtmak için bu adımları kullanabilirsiniz.

Bu ilke girişimlerini yapılandırmak için aşağıdaki yapılandırma parametrelerini kullanın:

• parCustomerPolicySets: Bu parametre, bir SLZ dağıtımı için en üst düzey yönetim grubu kapsamında atanacak ilke kümesi tanımlarının listesini belirtmenize yardımcı olur.

• parDeployAlzDefaultPolicies: Bu parametre, ALZ ilkelerinin bir SLZ dağıtımı içindeki ilgili kapsamlarda dağıtılmasını sağlar.

Terraform kullanarak Bağımsız Giriş Bölgesi'ni (SLZ) dağıtmadan ve yapılandırmadan önce çeşitli önkoşul adımlarını tamamlamanız gerekir. SLZ'ye ve tüm özelliklerine ayrıntılı bir genel bakış için GitHub'daki Bağımsız Giriş Bölgesi (Terraform) belgelerine bakın .

Önkoşullar

Dağıtımı tamamlamak için önkoşul adımları gerçekleştirmeniz gerekir:

• Yerel ortamınızda aşağıdaki sürümlerin (veya daha güncel bir sürümün) yüklü olduğundan emin olun:

  • Terraform v1.9.0
  • PowerShell 7.0
  • Azure RM 2.51.0
  • Azure PowerShell 10.0.0
  • ALZ 4.0.0

• Azure'da aşağıdaki izinlere sahip bir Microsoft Entra kimlik kimliğine erişiminiz olduğundan emin olun:

  • Abonelik oluşturma (veya mevcut bir aboneliği kullanma)
  • Aboneliklere sahip olma
  • Hizmet ilkeleri oluşturma
  • İlke kümesi tanımları ve atamaları oluşturun.

Hakimiyet Giriş Bölgesi'ni dağıtma adımları

1. Dağıtımınızı yapılandırmak için inputs.yaml dosyasının bir kopyasını indirin. Aşağıdaki minimum parametrelerle bir SLZ dağıtımı oluşturabilirsiniz:

   • SLZ için benzersiz ve okunabilir adlar
   • Dağıtım için konum ve onaylanmış konum
   • Yeni oluşturulan veya mevcut abonelikler için fatura bilgileri

2. (İsteğe bağlı) Uyumluluk için gerektiği gibi özel ilke tanımları ekleyin.

3. Bağımsız Giriş Bölgesi'nin (Terraform) yerel bir kopyasınıkullanıma almak için deploy accelerator PowerShell komutunu çalıştırın.

Deploy-Accelerator -iac terraform -bootstrap alz_local -inputConfigFilePath path\to\inputs.yaml

4. Komutu terraform apply çalıştırın. İlk dağıtım işlemi bir saat kadar sürebilir.

5. Dağıtımın sonunda görüntülenen uyumluluk panosu çıktısı ilişkilendirmek dosyasını kontrol ederek dağıtımın tamamlanıp tamamlanmadığını doğrulayın.

Bağımsızlık Temeli ilkesi girişimlerini yapılandırma

Bağımsızlık Temeli ilkesi girişimlerini yapılandırmak için aşağıdaki SLZ yapılandırma parametrelerini kullanmanız gerekir:

• allowed_locations: Gizli yönetim grubu kapsamları dışında SLZ tarafından dağıtılan tüm kaynaklar için konum kısıtlama ilkelerini yapılandırmak için bu parametreyi kullanın.

• allowed_locations_for_confidential_computing: Gizli yönetim grubu kapsamları içinde dağıtılan kaynaklar için konum kısıtlama ilkelerini yapılandırmak için bu parametreyi kullanın. Bu parametre allowed_locations parametresiyle aynı olabilir, ancak Azure Gizli Bilgi İşlem tercih edilen bölgede kullanılamıyorsa farklı olması gerekebilir.

• policy_effect: Bu parametre, üretim iş yükleri için önerilen reddetme etkisine sahip temel veya denetim etkisi arasında geçiş yapar.

İlke portföyünü veya ALZ ilkelerini kullanma

İlke portföyündeki herhangi bir önizleme girişiminin, bir SLZ dağıtımında kullanılmadan önce tanımının dağıtılması gerekir. Bu tanımları dağıtma hakkında ayrıntılı bilgi için ilke portföyü ile ilgili makaleyi inceleyin. Tanımları mevcut giriş bölgelerine dağıtmak için bu adımları kullanabilirsiniz.

Bu ilke girişimlerini yapılandırmak için aşağıdaki yapılandırma parametrelerini kullanın:

• customer_policy_sets: Bu parametre, bir SLZ dağıtımı için en üst düzey yönetim grubu kapsamında atanacak ilke kümesi tanımlarının listesini belirtmenize yardımcı olur.

• apply_alz_archetypes_via_architecture_definition_template: Bu parametre, ALZ ilkelerinin bir SLZ dağıtımı içindeki ilgili kapsamlarda dağıtılmasını sağlar.