下表包含 Azure Lighthouse 的关键 Azure 资源管理器模板的链接。 这些文件以及其他内容还可在 Azure Lighthouse 示例存储库中找到。
我们提供了不同的模板来处理特定载入方案。 请确保修改参数文件以反映你的环境。 要详细了解如何在部署中使用这些文件,请参阅将客户加入 Azure Lighthouse。
| 模板 | 说明 |
|---|---|
| subscription | 将客户的订阅加入 Azure Lighthouse。 必须为每个订阅执行单独的部署。 |
| rg 和 multi-rg | 将客户的一个或多个资源组加入 Azure Lighthouse。 使用 rg.json 加入单个资源组,或使用 multi-rg.json 加入一个订阅中的多个资源组。 |
| marketplace-delegated-resource-management | 如果已向 Azure 市场发布托管服务产品,可选择性地使用此模板为接受了该产品的客户载入资源。 参数文件中的 marketplace 值必须与发布产品时使用的值匹配。 |
若要包括符合条件的授权,请从示例存储库的 delegated-resource-management-eligible-authorizations 部分选择相应的模板。
通常,每个载入的订阅都需要单独部署,但你也可以跨多个订阅部署模板。
| 模板 | 说明 |
|---|---|
| cross-subscription-deployment | 跨多个订阅部署 Azure 资源管理器模板。 |
提示
虽然无法在一个部署中加入整个管理组,但你可以部署策略以在管理组中加入每个订阅。
这些示例演示如何对已加入 Azure Lighthouse 的订阅使用 Azure Policy。
| 模板 | 说明 |
|---|---|
| policy-add-or-replace-tag | 分配一个策略,该策略为委派的订阅添加或删除标记(使用 modify 效果)。 有关详细信息,请参阅部署可以在委派的订阅中修正的策略。 |
| policy-allow-certain-managing-tenants | 分配将 Azure Lighthouse 委派限制为特定管理租户的策略。 |
| policy-audit-delegation | 分配一个用于审核委派分配的策略。 |
| policy-delegate-management-groups | 分配一个策略来确认已将管理组中的订阅委托给管理租户;如果未委托,则创建分配。 |
| policy-enforce-keyvault-monitoring | 分配一个策略,该策略对委托订阅中的 Azure Key Vault 资源启用诊断(使用 deployIfNotExists 效果)。 有关详细信息,请参阅部署可以在委派的订阅中修正的策略。 |
| policy-enforce-sub-monitoring | 分配几个策略,以便对委派的订阅启用诊断,并将所有 Windows VM 和 Linux VM 连接到按策略创建的 Log Analytics 工作区。 有关详细信息,请参阅部署可以在委派的订阅中修正的策略。 |
| policy-initiative | 将策略计划(多个相关的策略定义)应用于委派的订阅。 |
这些示例演示如何使用 Azure Monitor 为已载入 Azure Lighthouse 的订阅创建警报。
| 模板 | 说明 |
|---|---|
| monitor-delegation-changes | 查询管理租户中过去一天的活动,并报告有关任何已添加或已删除委派的信息(或有关失败尝试的信息)。 |
| alert-using-actiongroup | 创建一个 Azure 警报并连接到现有操作组。 |
| multiple-loganalytics-alerts | 基于 Kusto 查询创建多个日志警报。 |
| delegation-alert-for-customer | 当用户将订阅委派给管理租户时在租户中部署警报。 |
| workbook-activitylogs-by-domain | 显示不同订阅之间的 Azure 活动日志,并提供按域名对其进行筛选的选项。 |
这些示例说明了可在跨租户管理方案中执行的各种任务。
| 模板 | 说明 |
|---|---|
create-keyvault-secret |
在客户的租户中创建一个 Key Vault 并创建访问策略。 |
cross-rg-deployment |
将存储帐户部署到两个不同的资源组中。 |
deploy-azure-mgmt-services |
创建 Azure 管理服务,将它们链接在一起并部署解决方案。 对于端到端部署,请使用 rgWithAzureMgmt.json 模板。 |
deploy-azure-security-center |
在目标 Azure 订阅中启用和配置 Microsoft Defender for Cloud。 |
deploy-azure-sentinel |
在委托订阅中的现有 Log Analytics 工作区上部署并启用 Microsoft Sentinel。 |
deploy-log-analytics-vm-extensions |
使你可将 Log Analytics VM 扩展部署到 Windows VM 和 Linux VM,并将其连接到指定的 Log Analytics 工作区。 |