Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Enclave è un servizio di networking cloud che offre alle organizzazioni che gestiscono dati altamente sensibili la possibilità di distribuire e gestire rapidamente carichi di lavoro su larga scala nei cloud Azure commerciali e nei cloud Azure isolati. In questo articolo, tu:
- Distribuire un modello del catalogo dei servizi per un'app per le funzioni di servizio app in un carico di lavoro esistente dal portale.
Note
Questa distribuzione di esempio è solo a scopo dimostrativo e non rappresenta tutte le procedure consigliate per l'amministrazione di rete, sistemi o applicazioni.
Prima di iniziare
Questo articolo presuppone una conoscenza di base della rete e dei concetti di Azure Enclave. Per altre informazioni, vedere Procedure consigliate per Azure Enclave.
È necessario un account Azure con una sottoscrizione attiva. Se non ne hai uno, crea gratuitamente un account.
Sono necessarie una community, un enclave, un carico di lavoro e almeno un gruppo di risorse del carico di lavoro e autorizzazioni per creare risorse all'interno del gruppo di risorse del carico di lavoro.
Abilitare la
Advancedmodalità di manutenzione per l'enclave in modo da poter aggiungere le risorse collegamento privato al gruppo di risorse gestite dall'enclave.
Prerequisiti
Esistono requisiti di salvaguardia per le enclave per garantire che le risorse delle enclave siano crittografate utilizzando chiavi gestite dal cliente (CMK). Ciò richiede una chiave e un'identità per accedere alla chiave accessibile nell'enclave. Creare la CMK (Key Vault facoltativo) e l'identità gestita nel modello del catalogo di servizi Dipendenze comuni
- Subnet per endpoint privati: è possibile creare subnet durante la creazione dell'enclave oppure creare nuove subnet dopo la creazione dell'enclave. La subnet per l'endpoint privato non deve avere alcuna delega della subnet affinché gli endpoint privati funzionino correttamente.
- Usare la funzionalità di gestione delle subnet dell'enclave in modo da avere due subnet con dimensioni
/26, ad esempio 10.0.2.0/26 [10.0.2.0 - 10.0.2.63] e 10.0.2.128/26 [10.0.2.128 - 10.0.2.191]) - La prima subnet viene utilizzata per il parametro del modello "Subnet Name". Crea un nome per la subnet come
FunctionAppSubnete usalo nel passaggio 5 della distribuzione seguente.- Aggiungere una delega per la subnet
Microsoft.Web/serverFarms
- Aggiungere una delega per la subnet
- La seconda subnet viene utilizzata per il parametro del modello "collegamento privato Subnet Name". Creare un nome di subnet come
PrivateLinkSubnete usare il nome nel passaggio 5 della distribuzione seguente.
Note
Non è possibile ridimensionare una subnet una volta distribuite le risorse all'interno della subnet. Due subnet "/26" lasciano spazio disponibile nella subnet dell'enclave per altre subnet (ad esempio un'altra "/26"). Se queste due subnet sono le uniche subnet necessarie nell'enclave, possono essere ridimensionate in base alle esigenze.
- Creare rapidamente queste zone DNS privato in base a quanto creato di seguito:
-
Key Vaultobbligatorio quando si crea un Key Vault da questo modello o il modello di Key Vault più personalizzabile. -
Storage File,Storage Queue,Storage BlobeStorage Tablesono necessari quando si crea un account di archiviazione da questo modello o il modello di account di archiviazione più personalizzabile. -
privatelink.azurewebsites.netinAdditional DNS privato Zone names, necessario per accedere alle App per le funzioni in modo privato.
-
- Per questo modello sono necessari un Key Vault, una chiave gestita dal cliente e un'identità gestita. Creare un Key Vault, un CMK e un'identità gestita nell'avvio rapido del catalogo dei servizi Dipendenze comuni oppure crearne di totalmente nuovi.
- Queste risorse devono essere create all'interno di un gruppo di risorse del carico di lavoro.
- Dopo aver creato l'identità gestita dall'utente, verificare che abbia accesso alla chiave CMK
- Assegnare il ruolo RBAC
Key Vault Crypto Service Encryption Userall'identità gestita con ambito nell'insieme di credenziali delle chiavi seguendo queste istruzioni. In questo modo è possibile assegnare successivamente l'identità gestita a un'altra risorsa, ad esempio una macchina virtuale, e tale macchina virtuale può crittografare il disco del sistema operativo con la CMK nell'insieme di credenziali senza disporre delle autorizzazioni per eseguire altre operazioni nell'insieme di credenziali, secondo il principio del privilegio minimo.
- Assegnare il ruolo RBAC
Implementare il modello
- Passare al carico di lavoro per la distribuzione prevista.
- Selezionare il pulsante
Add Service. - Selezionare il
Function Appmodello di servizio dall'elenco a discesa del catalogo dei servizi, confermare la versione necessaria (impostazione predefinita:latest) e selezionare .Next
- Nella scheda Informazioni di base immettere tutti i parametri obbligatori. Il nome dell'account di archiviazione è il nome del nuovo account di archiviazione.
- Dopo aver creato le due subnet, immettere i nuovi nomi di subnet nella scheda Rete.
- Nella scheda Crittografia immettere il nome della nuova chiave aggiunta al Key Vault per la configurazione della chiave gestita dal cliente.
- Immettere il nome dell'identità gestita dall'utente creata durante la configurazione della CMK.
- Modifica qualsiasi parametro prepopolato o predefinito secondo necessità.
- Selezionare
Review + CreatequindiCreate.
Il completamento della creazione di tutte le risorse può richiedere 10 minuti. Attendere che la distribuzione venga completata correttamente prima di eseguire eventuali azioni all'interno delle risorse distribuite.
Convalidare la distribuzione
Passare al gruppo di risorse specificato per verificare che siano state create le risorse desiderate. Tra cui: App per le funzioni e nuovo account di archiviazione
Apri la risorsa Function App
- Apri la risorsa Function App
- Nella pagina di panoramica controllare le funzioni
Eliminare la distribuzione
Se non prevedi di mantenere queste risorse, elimina quelle non necessarie per evitare addebiti di Azure. Se non esistono altre distribuzioni nel gruppo di risorse, è possibile eliminare l'intero gruppo di risorse.
Recommendations
-
Aggiungere tag alle distribuzioni del catalogo dei servizi per tenere traccia di informazioni importanti per tale risorsa, ad esempio:
- Proprietario:
<main POC> - Deployer:
<yourName> - Scopo:
<automation function> - Nome del catalogo servizi:
<App Service Function App> - Versione del catalogo dei servizi:
<version you deployed>
- Proprietario:
- Prendere in considerazione l'aggiunta di un Criteri di Azure per applicare ed ereditare i tag