Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Песочница — это изолированная среда, в которой можно тестировать и экспериментировать, не влияя на другие среды, такие как рабочие среды, разработка или приемочное тестирование пользователей (UAT). Проведение проверки концепции (POC) с использованием ресурсов Azure в контролируемой среде. Каждая песочница имеет собственную подписку Azure, а политики Azure управляют подпиской. Политики применяются на уровне группы управления песочницей, а группа управления наследует политики из вышестоящей иерархии. В зависимости от своей цели отдельный пользователь или команда могут использовать песочницу.
Подсказка
Сведения о назначениях политик целевых зон Azure по умолчанию см. в политиках, включенных в эталонные реализации целевых зон Azure.
Среды песочницы — это лучшее место для практического обучения Azure. Ниже приведены некоторые распространенные варианты использования:
- Разработчику требуется контролируемая среда Azure для быстрого тестирования шаблонов разработки приложений.
- Облачному архитектору требуется среда песочницы для оценки ресурсов Azure или проведения PoC для службы или ресурса Azure, прежде чем официально утвердить их в своей организации.
- Инженеру облака требуется среда песочницы, чтобы лучше понять, что происходит при изменении параметра в ресурсе Azure.
- Инженер платформы хочет создать новую политику Azure, протестировать её и увидеть, как она ведет себя в соответствии с «канарной» стратегией.
- Разработчик хочет поэкспериментировать со службами или ресурсами Azure при создании приложения.
Архитектура песочницы
На следующем рисунке показана группа управления и макет подписки.
Поместите подписку песочницы в группу управления песочницей. Для получения дополнительной информации о группах управления и организации подписок см. «Области проектирования целевой зоны и концептуальная архитектура». Политики Azure, созданные для песочниц, размещаются на уровне группы управления песочницы. Затем среды песочницы наследуют политики Azure из иерархии групп управления, которая находится над ними.
Подписка на тестовую среду помогает эффективно управлять расходами для каждой программы или проекта. Вы можете легко отслеживать затраты и отменять песочницы при уменьшении бюджета или истечения срока действия песочницы.
Нетворкинг
Создайте сеть песочницы из подписок, которая соответствует вашим потребностям. Чтобы изолировать песочницу, убедитесь, что сети внутри подписок песочницы не подключены к другим сетям за ее пределами. Чтобы убедиться, что каждая песочница является отдельной изолированной средой, можно использовать политику запрета пиринга виртуальных сетей между подписками.
Используйте политику запрета создания ExpressRoute/VPN/Virtual WAN, чтобы запретить создание шлюзов ExpressRoute, VPN-шлюзов и концентраторов виртуальной глобальной сети. Если вы запрещаете эти ресурсы, это гарантирует, что сети подписок песочницы остаются изолированными.
Ведение журнала аудита
Для безопасности важно включить ведение журнала аудита для среды песочницы. Включите параметр диагностики, включающий по крайней мере категории административных и журналов безопасности (аудит) для всех подписок песочницы. Храните журналы аудита в центральном месте назначения, например в рабочей области Log Analytics по умолчанию для целевой зоны Azure, чтобы их можно было легко просмотреть. Кроме того, вы можете интегрировать их с платформой управления сведениями о безопасности и событиями (SIEM), например Microsoft Sentinel. Дополнительные сведения см. в рекомендациях по инвентаризации и видимости.
Политики Azure, включенные в эталонную реализацию зоны корпоративного масштаба, содержат определение политики Azure ("Настройка журналов действий Azure для потоковой передачи в указанную рабочую область Log Analytics"), что позволяет вести журнал аудита для всех подписок. Группа управления песочницей должна наследовать эту политику, чтобы включить ведение журнала диагностики подписок песочницы.
Доступ к песочнице
Пользователь песочницы имеет доступ владельца к подписке песочницы. При отмене песочницы удалите управление доступом на основе ролей владельца (RBAC) для всех пользователей песочницы.
Другие вопросы
Чтобы обеспечить надежную и эффективную производительность среды песочницы, рассмотрите следующие факторы.
Истечение срока действия песочницы
При необходимости можно отменить или удалить песочницу. Запланируйте стратегию по устранению песочниц, чтобы сэкономить на затратах и убедиться, что безопасность остается надежной. Рассмотрите стоимость и дату окончания срока действия песочницы, чтобы определить, когда удалить песочницу. После истечения срока действия песочницы переместите ее в группу управления, снятую с эксплуатации .
Себестоимость
Ключевой проблемой для облачных сред песочницы является отслеживание затрат. Чтобы упростить отслеживание, можно создать бюджет в Microsoft Cost Management. Функция бюджетов отправляет оповещения, когда фактические расходы или прогнозируемые расходы пересекают настроенное пороговое значение.
При развертывании песочницы можно создать бюджет управления затратами Майкрософт и назначить его подписке. Функция бюджета оповещает пользователей песочницы, когда пороговые значения расходов пересекают указанный процент. Например, можно задать оповещение, если бюджет пересекает пороговое значение 100% расходов. В этом случае может потребоваться отменить или удалить подписку. Оповещение только является механизмом предупреждения.
Бюджет можно назначить всем песочницам. Примените бюджет по умолчанию с помощью политики Deploy-Budget Azure на уровне группы управления песочницами. Установите бюджет по умолчанию равным максимальной стоимости, которую организация одобряет для песочницы. Бюджет по умолчанию отправляет оповещения о затратах для любой песочницы, которая не назначена более конкретному бюджету.
Срок действия
Большинство организаций хотят, чтобы срок действия песочниц истек и они были удалены по истечении определенного времени. Чтобы обеспечить управление затратами и преимущества безопасности, срок действия песочниц истекает. Среды песочницы создаются для тестирования и обучения. После того как пользователь песочницы выполняет тест или получает необходимые знания, срок действия песочницы истекает, так как он больше не нужен. Укажите дату окончания срока действия для каждой песочницы. Когда наступит эта дата, отмените или удалите подписку песочницы.
При создании песочницы можно поместить тег Azure с датой окончания срока действия подписки. Используйте автоматизацию для отмены или удаления подписки, когда она достигнет даты окончания срока действия.
Ограничение ресурсов Azure
Чтобы обеспечить наиболее надежную среду обучения для пользователей песочницы, сделайте все службы Azure доступными в среде песочницы. Неограниченные песочницы идеально подходят, но некоторые организации имеют требования к ограничению того, какие службы Azure развертываются в песочницах. Управляйте этими ограничениями с помощью политики Azure. Используйте политику блокировки служб Azure , чтобы запретить развертывание определенных служб Azure.
Защита информации
Большинство организаций согласны с тем, что важно хранить конфиденциальные данные вне среды песочницы. Первая линия защиты информации — обучение пользователей. Перед назначением пользователя в песочницу предоставьте им отказ от ответственности и информацию, четко указывающую, что нельзя добавлять конфиденциальные данные в песочницу.
Используйте Microsoft Purview , чтобы обеспечить защиту информации для сред песочницы. Purview может отправлять оповещения, если пользователь добавляет данные, которые организация помечает как конфиденциальные, в среды песочницы.