Sdílet prostřednictvím

Víceklientská architektura a Azure Resource Manager

  • Článek

Azure Resource Manager je základní služba správy prostředků pro Azure. Každý prostředek v Azure se vytvoří, spravuje a nakonec odstraní prostřednictvím Resource Manageru. Při vytváření víceklientských řešení často pracujete s Resource Managerem a dynamicky zřizují prostředky pro každého tenanta. Na této stránce popisujeme některé funkce Resource Manageru, které jsou relevantní pro víceklientských řešení. Poskytujeme také odkazy na pokyny, které vám můžou pomoct při plánování používání Resource Manageru.

Funkce Resource Manageru, které podporují víceklientské prostředí

Infrastruktura jako kód

Resource Manager poskytuje nástroje pro podporu infrastruktury jako kódu, někdy označované jako IaC. Definování infrastruktury jako kódu je dobrým postupem pro všechna řešení v cloudu, ale při práci s víceklientovými řešeními je obzvláště důležité. Víceklientského řešení často vyžaduje škálování nasazení a zřízení nových prostředků při připojování nových tenantů. Pokud prostředky vytváříte nebo konfigurujete ručně, zaveďte do procesu další riziko a čas. Výsledkem ručního přístupu je celkově méně spolehlivý proces nasazení.

Při nasazování infrastruktury jako kódu z kanálu nasazení doporučujeme použít Bicep, což je jazyk určený speciálně pro nasazení a správu prostředků Azure deklarativním způsobem. Můžete také použít šablony Azure Resource Manageru (šablony ARM), Terraform nebo jiné produkty třetích stran, které přistupují k podkladovým rozhraním API Resource Manageru.

Zásobníky nasazení poskytují možnost spravovat sadu prostředků jako jednu jednotku, i když jsou rozložené mezi skupiny prostředků nebo předplatná. Zásobníky nasazení můžou být užitečné, pokud zřídíte několik prostředků specifických pro tenanta na různých místech a pak potřebujete spravovat jejich životní cyklus jako jednu logickou jednotku.

Specifikace šablon můžou být užitečné pro zřizování nových prostředků, razítka nasazení nebo prostředí z jedné a dobře parametrizované šablony. Pomocí specifikací šablon můžete vytvořit centrální úložiště šablon, které používáte k nasazení infrastruktury specifické pro tenanta. Šablony se ukládají a spravují v rámci samotného Azure a specifikace šablon můžete opakovaně používat, kdykoli z nich potřebujete nasadit.

V některýchřešeních Sady Azure SDK je možné použít z vlastního kódu ke správě prostředí Azure. Ujistěte se, že dodržujete osvědčené postupy při správě ověřování aplikace do Resource Manageru a používáte spravované identity, abyste se vyhnuli ukládání a správě přihlašovacích údajů.

Řízení přístupu na základě role

Řízení přístupu na základě role (Azure RBAC) poskytuje jemně odstupňovaný přístup ke správě přístupu k prostředkům Azure. Ve víceklientských řešeních zvažte, jestli máte prostředky, které by měly mít použité konkrétní zásady Azure RBAC. Můžete mít například některé tenanty s zvlášť citlivými daty a možná budete muset použít RBAC, abyste udělili přístup určitým jednotlivcům bez zahrnutí dalších lidí ve vaší organizaci. Podobně můžou tenanti požádat o přímý přístup ke svým prostředkům Azure, například během auditu. Pokud se rozhodnete povolit toto, jemně vymezená oprávnění RBAC vám umožní udělit přístup k datům tenanta bez poskytnutí přístupu k datům jiných tenantů.

Značky

Značky umožňují přidávat vlastní metadata do prostředků Azure, skupin prostředků a předplatných. Zvažte označování prostředků specifických pro tenanta pomocí identifikátoru tenanta, abyste mohli snadno sledovat a přidělovat náklady na Azure a zjednodušit správu prostředků.

Kvóty prostředků Azure

Resource Manager je jedním z bodů v Azure, které vynucují limity a kvóty. Tyto kvóty je důležité vzít v úvahu během procesu návrhu. Všechny prostředky Azure mají limity, které je potřeba dodržovat, a tyto limity zahrnují počet požadavků, které je možné provést proti Resource Manageru v určitém časovém období. Pokud tento limit překročíte, Resource Manager požadavky omezí.

Při vytváření víceklientského řešení, které provádí automatizovaná nasazení, můžete dosáhnout těchto limitů rychleji než jiní zákazníci. Podobně mohou limity aktivovat víceklientských řešení, která zřizují velké objemy infrastruktury.

Každou službu Azure spravuje poskytovatel prostředků, který může také definovat vlastní limity. Poskytovatel výpočetních prostředků Azure například spravuje zřizování virtuálních počítačů a definuje limity počtu požadavků , které je možné provést za krátkou dobu. Některé další limity poskytovatele prostředků jsou popsané v omezeních poskytovatele prostředků.

Pokud riskujete překročení limitů definovaných Resource Managerem nebo poskytovatelem prostředků, zvažte následující omezení rizik:

  • Shardujte svou úlohu napříč několika předplatnými Azure.
  • V rámci předplatných použijte více skupin prostředků.
  • Odesílání požadavků z různých objektů zabezpečení Microsoft Entra
  • Požádejte o další přidělení kvót. Obecně platí, že žádosti o přidělení kvóty se odesílají otevřením případu podpory, i když některé služby poskytují rozhraní API pro tyto žádosti, například pro rezervované instance virtuálních počítačů.

Vámi vybrané zmírnění rizik musí být vhodné pro konkrétní omezení, na které narazíte.

Modely izolace

V některých víceklientských řešeních se můžete rozhodnout nasadit samostatné nebo vyhrazené prostředky pro každého tenanta. Resource Manager poskytuje několik modelů, které můžete použít k izolaci prostředků v závislosti na vašich požadavcích a důvodech, proč se rozhodnete prostředky izolovat. Pokyny k izolaci prostředků Azure najdete v organizaci prostředků Azure ve víceklientských řešeních .

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Další přispěvatel:

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

Projděte si přístupy k nasazení a konfiguraci pro víceklientské prostředí.