Vysvětlení rozsahů nasazení

  • 6 min

Virtuální počítače, logické servery a databáze Azure SQL, účty úložiště, virtuální sítě a většinu dalších prostředků Azure je potřeba umístit do skupiny prostředků. Některé prostředky ale můžou být nebo musí být nasazeny jiným způsobem. Tyto prostředky se obvykle používají k řízení chování prostředí Azure.

V této lekci si projdete hierarchii organizace prostředků Azure a podíváte se, jak se můžou určité prostředky nasazovat v různých oborech.

Hierarchie prostředků Azure

Azure má hierarchickou strukturu prostředků s několika úrovněmi správy. Tady je diagram znázorňující, jak může vaše společnost toy uspořádat své prostředí Azure:

Diagram showing an Azure tenant, three management groups, three subscriptions, and four resource groups.

Váš tenant odpovídá vaší instanci Microsoft Entra. Organizace má obvykle pouze jednu instanci Microsoft Entra. Tato instance funguje jako kořen hierarchie prostředků.

Skupiny pro správu poskytují způsob, jak uspořádat předplatná Azure. Každý tenant má jednu kořenovou skupinu pro správu a v ní můžete vytvořit vlastní hierarchii skupin pro správu. Můžete vytvořit samostatné skupiny pro správu pro různé části vaší organizace nebo pro předplatná, která mají vlastní požadavky na zabezpečení nebo zásady správného řízení. Omezení zásad a řízení přístupu můžete použít pro skupiny pro správu a všechna předplatná pod danou skupinou pro správu v hierarchii tato omezení dědí. Skupiny pro správu se nenasazují do oblastí a nemají žádný vliv na umístění vašich prostředků.

Předplatná fungují jako fakturační účty a obsahují skupiny prostředků a prostředky. Podobně jako skupiny pro správu nemají předplatná žádné umístění a neomezují, kde jsou vaše prostředky nasazené.

Skupiny prostředků jsou logické kontejnery pro vaše prostředky. Pomocí skupin prostředků můžete spravovat a řídit související prostředky jako jednu jednotku. Prostředky, jako jsou virtuální počítače, plány služby Aplikace Azure, účty úložiště a virtuální sítě, musí být vloženy do skupiny prostředků. Skupiny prostředků se vytvářejí v umístění, aby Azure mohl sledovat metadata prostředků ve skupině, ale prostředky uvnitř skupiny je možné nasadit do jiných umístění.

Dříve ilustrovaný příklad je poměrně základní scénář, který ukazuje, jak můžete používat skupiny pro správu. Vaše organizace může také zvážit implementaci cílové zóny, což je sada prostředků Azure a konfigurace, které potřebujete, abyste mohli začít pracovat s produkčním prostředím Azure. Cílová zóna na podnikové úrovni představuje osvědčený přístup k efektivní správě prostředků Azure pomocí skupin pro správu a předplatných:

Diagram of an enterprise-scale landing-zone architecture, with four management groups and four subscriptions.

Bez ohledu na to, jaký model sledujete, když pochopíte různé úrovně hierarchie, můžete začít používat flexibilní ovládací prvky, jak se vaše prostředí Azure používá a spravuje. Pomocí Bicep můžete tyto ovládací prvky spravovat se všemi výhodami infrastruktury jako kódu.

Poznámka:

Existují také některé další prostředky, které se nasazují v konkrétních oborech. Prostředky rozšíření se nasazují v oboru jiného prostředku Azure. Zámek prostředku je například prostředek rozšíření, který se nasadí do prostředku, jako je účet úložiště.

Už víte, jak nasazovat prostředky do skupin prostředků, takže se podíváme na další obory nasazení.

Prostředky s vymezeným předplatným

Prostředky můžete nasadit do předplatného, když:

  • Potřebujete vytvořit novou skupinu prostředků. Skupina prostředků je ve skutečnosti pouze prostředek s vymezeným předplatným.
  • Potřebujete udělit přístup ke všem prostředkům v rámci předplatného. Pokud má například vaše personální oddělení předplatné Azure, které obsahuje všechny prostředky Azure oddělení, můžete vytvořit přiřazení rolí, aby všichni členové personálního oddělení mohli číst obsah předplatného.
  • Používáte Azure Policy a chcete definovat nebo použít zásadu pro všechny prostředky v rámci předplatného. Například oddělení R&D vaší společnosti vás požádalo o nasazení zásady, které omezují seznam skladových položek virtuálních počítačů, které je možné vytvořit v rámci předplatného týmu.

Prostředky s vymezeným oborem skupiny pro správu

Prostředky můžete nasadit do skupiny pro správu v případech, kdy:

  • Potřebujete udělit přístup ke všem prostředkům v rámci všech předplatných, která spadají do hierarchie skupin pro správu. Váš tým cloudového provozu může například vyžadovat přístup ke všem předplatným ve vaší organizaci. Přiřazení role můžete vytvořit v kořenové skupině pro správu, která týmu cloudového provozu uděluje přístup ke všemu v Azure.

    Upozornění

    Při udělování přístupu k prostředkům pomocí skupin pro správu a zejména kořenové skupiny pro správu buďte velmi opatrní. Nezapomeňte, že každý prostředek pod skupinou pro správu v hierarchii dědí přiřazení role. Ujistěte se, že vaše organizace dodržuje osvědčené postupy pro správu a ověřování identit a že se řídí principem nejnižších oprávnění; to znamená, že neudělujte žádný přístup, který není nutný.

  • Musíte použít zásady v celé organizaci. Vaše organizace může mít například zásadu, která za žádných okolností nemůže vytvářet prostředky v určitých geografických oblastech. Zásady můžete použít pro kořenovou skupinu pro správu, která bude blokovat vytváření prostředků v dané oblasti.

Poznámka:

Než skupiny pro správu použijete poprvé, nastavte je pro vaše prostředí Azure.

Prostředky v oboru tenanta

Prostředky můžete do tenanta nasadit, když:

  • Potřebujete vytvořit předplatná Azure. Když používáte skupiny pro správu, předplatná se nacházejí v hierarchii prostředků pod skupinami pro správu, ale předplatné se nasadí jako prostředek v oboru tenanta.

    Poznámka:

    Ne všichni zákazníci Azure můžou vytvářet předplatná pomocí infrastruktury jako kódu. V závislosti na vašem fakturačním vztahu s Microsoftem to nemusí být možné. Další informace najdete v části Programové vytváření předplatných Azure.

  • Vytváříte nebo konfigurujete skupiny pro správu. Když pro svého tenanta povolíte skupiny pro správu, Azure vytvoří jednu kořenovou skupinu pro správu a v ní můžete vytvořit více úrovní skupin pro správu. Pomocí Bicep můžete definovat celou hierarchii skupin pro správu. Můžete také přiřadit předplatná ke skupinám pro správu.

    Pomocí Bicep můžete odesílat nasazení do oboru tenanta. Nasazení v oboru tenanta vyžadují zvláštní oprávnění. V praxi ale nemusíte odesílat nasazení s vymezeným tenantem. Nasazení prostředků s vymezeným tenantem je jednodušší pomocí šablony v jiném oboru. Dozvíte se, jak to udělat později v tomto modulu.

    Tip

    V oboru tenanta nemůžete vytvářet zásady ani přiřazení rolí. Pokud ale potřebujete udělit přístup nebo použít zásady v celé organizaci, můžete tyto prostředky nasadit do kořenové skupiny pro správu.

ID prostředků

Teď už znáte ID prostředků pro prostředky, které žijí v rámci předplatných. Tady je například ID prostředku, které představuje skupinu prostředků, což je prostředek s vymezeným předplatným:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c/resourceGroups/ToyDevelopment

Tady je vizuální znázornění stejných informací:

Screenshot of a Resource ID for a resource group.

Předplatná mají vlastní ID, například takto:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c

Poznámka:

I když se předplatná považují za podřízené položky skupin pro správu, JEJICH ID prostředků nezahrnují ID skupiny pro správu. Azure sleduje vztah mezi předplatnými a skupinami pro správu způsobem, který se liší od jiných vztahů prostředků. Díky tomu můžete flexibilně přesouvat předplatná mezi skupinami pro správu, aniž byste museli měnit všechna ID prostředků.

Při práci s prostředky v oboru skupiny pro správu nebo tenanta můžou ID prostředků vypadat trochu jinak než obvykle. Většinou se řídí standardním vzorem prokládání typu prostředku s informacemi o konkrétních prostředcích. Konkrétní formát ale závisí na prostředku, se kterým pracujete.

Tady je příklad ID prostředku pro skupinu pro správu:

/providers/Microsoft.Management/managementGroups/ProductionMG

Vypadá to takto:

Screenshot of a Resource ID for a management group.

Poznámka:

Skupiny pro správu mají identifikátor i zobrazovaný název. Zobrazovaný název je popis skupiny pro správu čitelný pro člověka. Zobrazovaný název můžete změnit, aniž by to mělo vliv na ID skupiny pro správu.

Když je prostředek nasazen v oboru skupiny pro správu, jeho ID prostředku zahrnuje ID skupiny pro správu. Tady je příklad ID prostředku pro definici role, která byla vytvořena v oboru skupiny pro správu:

/providers/Microsoft.Management/managementGroups/ProductionMG/providers/Microsoft.Authorization/roleDefinitions/d79b8492-6f38-49f9-99e6-b2e667d4f3ca

Tady je vizuální znázornění stejného ID:

Screenshot of a Resource ID for a role definition that's deployed at a management group scope.

V oboru předplatného může být definována jiná definice role, takže ID prostředku vypadá trochu jinak:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c/providers/Microsoft.Authorization/roleDefinitions/d79b8492-6f38-49f9-99e6-b2e667d4f3ca

Tady je vizuální znázornění stejného ID:

Screenshot of a Resource ID for a role definition that's deployed at a subscription scope.

Teď, když rozumíte hierarchii prostředků Azure a typům prostředků, které můžete nasadit v každém oboru, můžete rozhodovat o oborech, ve kterých se mají prostředky nasadit. Můžete například nastavit informovanou volbu o tom, jestli byste měli vytvořit definici zásad v oboru skupiny prostředků, předplatného nebo skupiny pro správu. V další lekci se dozvíte, jak vytvořit soubory Bicep, které cílí na každý z těchto oborů.