Architektura Služby Azure Lighthouse

Článek
10/18/2023

Azure Lighthouse pomáhá poskytovatelům služeb zjednodušit zapojení zákazníků a onboarding a současně spravovat delegovaná prostředky ve velkém měřítku s flexibilitou a přesností. Autorizovaní uživatelé, skupiny a instanční objekty můžou pracovat přímo v kontextu předplatného zákazníka bez účtu v tenantovi Microsoft Entra daného zákazníka nebo spoluvlastníka tenanta zákazníka. Mechanismus používaný k podpoře tohoto přístupu se nazývá delegovaná správa prostředků Azure.

Diagram illustrating Azure delegated resource management.

Tip

Azure Lighthouse je možné použít také v rámci podniku, který má několik vlastních tenantů Microsoft Entra, aby se zjednodušila správa napříč tenanty.

Toto téma popisuje vztah mezi tenanty ve službě Azure Lighthouse a prostředky vytvořenými v tenantovi zákazníka, které tuto relaci umožňují.

Poznámka:

Onboarding zákazníka do Služby Azure Lighthouse vyžaduje nasazení účtem bez hosta v tenantovi zákazníka, který má roli s oprávněním Microsoft.Authorization/roleAssignments/write , jako je vlastník, pro předplatné, které se nasadí (nebo které obsahuje skupiny prostředků, které se připojují).

Prostředky delegování vytvořené v tenantovi zákazníka

Když se předplatné nebo skupina prostředků zákazníka připojí ke službě Azure Lighthouse, vytvoří se dva prostředky: definice registrace a přiřazení registrace. K přístupu k těmto prostředkům můžete použít rozhraní API a nástroje pro správu nebo s nimi pracovat na webu Azure Portal.

Definice registrace

Definice registrace obsahuje podrobnosti o nabídce Služby Azure Lighthouse (id tenanta a autorizaci, která přiřazují předdefinované role konkrétním uživatelům, skupinám a/nebo instančním objektům ve správě tenanta.

Definice registrace se vytvoří na úrovni předplatného pro každé delegovaný předplatné nebo v každém předplatném, které obsahuje delegovanou skupinu prostředků. Při vytváření definice registrace pomocí rozhraní API budete muset pracovat na úrovni předplatného. Například pomocí Azure PowerShellu budete muset před vytvořením nové definice registrace (New-AzManagedServicesDefinition) místo použití Rutiny New-AzureRmResourceGroupDeployment použít New-AzureRmDeployment.

Přiřazení registrace

Přiřazení registrace přiřadí definici registrace ke konkrétnímu rozsahu – to znamená onboarded předplatná nebo skupiny prostředků.

Přiřazení registrace se vytvoří v každém delegovaném oboru, takže bude buď na úrovni skupiny předplatného, nebo na úrovni skupiny prostředků v závislosti na onboardingu.

Každé přiřazení registrace musí odkazovat na platnou definici registrace na úrovni předplatného, vázat autorizaci tohoto poskytovatele služeb do delegovaného oboru a tím udělit přístup.

Logická projekce

Azure Lighthouse vytvoří logickou projekci prostředků z jednoho tenanta do jiného tenanta. To umožňuje autorizovaným poskytovatelům služeb přihlásit se ke svému vlastnímu tenantovi s autorizací, aby mohli pracovat v delegovaných zákaznických předplatných a skupinách prostředků. Uživatelé v tenantovi poskytovatele služeb pak můžou provádět operace správy jménem svých zákazníků, aniž by se museli přihlašovat ke každému jednotlivému tenantovi zákazníka.

Pokaždé, když uživatel, skupina nebo instanční objekt v tenantovi poskytovatele služeb přistupuje k prostředkům v tenantovi zákazníka, Azure Resource Manager obdrží žádost. Resource Manager tyto žádosti ověřuje stejně jako u žádostí provedených uživateli v rámci vlastního tenanta zákazníka. Pro Azure Lighthouse to dělá potvrzením, že v tenantovi zákazníka existují dva prostředky – definice registrace a přiřazení registrace. Pokud ano, Resource Manager autorizuje přístup podle informací definovaných těmito prostředky.

Diagram illustrating the logical projection in Azure Lighthouse.

Aktivita uživatelů v tenantovi poskytovatele služeb se sleduje v protokolu aktivit, který je uložený v tenantovi zákazníka. Díky tomu může zákazník zjistit, jaké změny udělal a kdo.

Jak funguje Azure Lighthouse

Na vysoké úrovni funguje Azure Lighthouse pro spravovaného tenanta:

Určete role, které budou vaše skupiny, instanční objekty nebo uživatelé potřebovat ke správě prostředků Azure zákazníka.
Zadejte tento přístup a připojte zákazníka ke službě Azure Lighthouse tak , že publikujete nabídku spravované služby na Azure Marketplace nebo nasadíte šablonu Azure Resource Manageru. Tento proces onboardingu vytvoří dva prostředky popsané výše (definice registrace a přiřazení registrace) v tenantovi zákazníka.
Po nasazení zákazníka se autorizovaní uživatelé přihlásí ke správě tenanta a provádějí úlohy v zadaném oboru zákazníka (předplatném nebo skupině prostředků) podle vámi definovaného přístupu. Zákazníci můžou zkontrolovat všechny provedené akce a kdykoli můžou odebrat přístup.

Ve většině případů bude pro zákazníka spravovat jenom jeden poskytovatel služeb, ale zákazník může vytvořit více delegování pro stejné předplatné nebo skupinu prostředků, což umožňuje více poskytovatelům služeb mít přístup. Tento scénář také umožňuje scénáře nezávislých výrobců softwaru, které projektují prostředky z tenanta poskytovatele služeb na více zákazníků.

Další kroky

Projděte si příkazy Azure CLI a Azure PowerShellu pro práci s definicemi registrace a přiřazeními registrace.
Seznamte se s vylepšenými službami a scénáři pro Azure Lighthouse.
Přečtěte si další informace o tom, jak tenanti, uživatelé a role fungují se službou Azure Lighthouse.