Popis infrastruktury pro správu Azure

  • 7 min

Infrastruktura pro správu zahrnuje prostředky Azure a skupiny prostředků, předplatná a účty. Pochopení hierarchické organizace vám pomůže plánovat projekty a produkty v Rámci Azure.

Prostředky a skupiny prostředků Azure

Prostředek je základní stavební blok Azure. Cokoli, co vytvoříte, zřídíte, nasadíte atd. je prostředek. Všechny virtuální počítače, virtuální sítě, databáze, kognitivní služby atd. jsou všechny prostředky v Rámci Azure považovány za prostředky.

Diagram showing a resource group box with a function, VM, database, and app included.

Skupiny prostředků jsou jednoduše seskupování prostředků. Když vytvoříte prostředek, musíte ho umístit do skupiny prostředků. I když skupina prostředků může obsahovat mnoho prostředků, jeden prostředek může být současně pouze v jedné skupině prostředků. Některé prostředky se můžou přesouvat mezi skupinami prostředků, ale když prostředek přesunete do nové skupiny, už nebude přidružený k předchozí skupině. Kromě toho není možné vnořit skupiny prostředků, což znamená, že skupinu prostředků B nemůžete umístit do skupiny prostředků A.

Skupiny prostředků poskytují pohodlný způsob, jak seskupit prostředky dohromady. Když použijete akci na skupinu prostředků, tato akce se použije na všechny prostředky v rámci skupiny prostředků. Pokud odstraníte skupinu prostředků, odstraní se všechny prostředky. Pokud udělíte nebo odepřete přístup ke skupině prostředků, udělíte nebo odepřete přístup ke všem prostředkům v rámci skupiny prostředků.

Při zřizování prostředků je vhodné se zamyslet nad strukturou skupiny prostředků, která nejlépe vyhovuje vašim potřebám.

Pokud například nastavujete dočasné vývojové prostředí, seskupování všech prostředků dohromady znamená, že můžete zrušit zřízení všech přidružených prostředků najednou odstraněním skupiny prostředků. Pokud zřizujete výpočetní prostředky, které budou potřebovat tři různá schémata přístupu, může být nejvhodnější seskupit prostředky na základě schématu přístupu a pak přiřadit přístup na úrovni skupiny prostředků.

Neexistují žádná tvrdá pravidla o tom, jak používat skupiny prostředků, proto zvažte, jak nastavit skupiny prostředků tak, aby maximalizovaly jejich užitečnost za vás.

Předplatná Azure

Předplatná v Azure jsou jednotkou správy, fakturace a škálování. Podobně jako jsou skupiny prostředků způsob, jak logicky uspořádat prostředky, umožňují předplatná logicky uspořádat skupiny prostředků a usnadnit fakturaci.

Diagram showing Azure subscriptions using authentication and authorization to access Azure accounts.

K používání Azure je nutné předplatné Azure. Předplatné poskytuje ověřený a autorizovaný přístup k produktům a službám Azure. Umožňuje také zřizovat prostředky. Předplatné Azure odkazuje na účet Azure, což je identita v Microsoft Entra ID nebo v adresáři, kterému Microsoft Entra ID důvěřuje.

Účet může mít více předplatných, ale musí ho mít jenom jeden. V účtu s více předplatnými můžete pomocí předplatných nakonfigurovat různé fakturační modely a použít různé zásady správy přístupu. Pomocí předplatných Azure můžete definovat hranice kolem produktů, služeb a prostředků Azure. Můžete použít dva typy hranic předplatného:

  • Hranice fakturace: Tento typ předplatného určuje, jak se účet Azure účtuje za používání Azure. Můžete vytvořit několik předplatných pro různé typy požadavků na fakturaci. Azure vygeneruje samostatné sestavy faktur a faktury pro jednotlivá předplatná, abyste mohli organizovat a spravovat náklady.
  • Hranice řízení přístupu: Azure používá zásady správy přístupu na úrovni předplatného a můžete vytvořit samostatná předplatná, která odpovídají různým organizačním strukturám. V rámci společnosti máte například různá oddělení, pro která použijete odlišné zásady předplatného Azure. Tento model fakturace vám umožňuje spravovat a řídit přístup k prostředkům, které uživatelé zřizují v rámci konkrétních předplatných.

Vytvoření dalších předplatných Azure

Podobně jako použití skupin prostředků k oddělení prostředků podle funkce nebo přístupu můžete chtít vytvořit další předplatná pro účely správy prostředků nebo fakturace. Můžete se třeba rozhodnout, že vytvoříte další předplatná, abyste oddělili:

  • Prostředí: Můžete se rozhodnout vytvořit předplatná pro nastavení samostatných prostředí pro vývoj a testování, zabezpečení nebo izolaci dat z důvodů dodržování předpisů. Tento návrh je užitečný hlavně proto, že řízení přístupu k prostředkům probíhá na úrovni předplatného.
  • Organizační struktury: Můžete vytvořit předplatná, která budou odrážet různé organizační struktury. Můžete například omezit jeden tým na prostředky s nižšími náklady a zároveň povolit oddělení IT celou řadu. Tento návrh vám umožňuje spravovat a řídit přístup k prostředkům, které uživatelé zřizují v rámci jednotlivých předplatných.
  • Fakturace: Můžete vytvořit další předplatná pro účely fakturace. Protože náklady se nejdříve agregují na úrovni předplatného, můžete chtít vytvořit předplatná ke správě a sledování nákladů podle vašich požadavků. Například můžete chtít vytvořit jedno předplatné pro produkční úlohy a jiné předplatné pro úlohy vývoje a testování.

Skupiny pro správu Azure

Poslední část je skupina pro správu. Prostředky se shromáždí do skupin prostředků a skupiny prostředků se shromáždí do předplatných. Pokud teprve začínáte v Azure, která by mohla vypadat jako dostatečná hierarchie, aby byly věci uspořádané. Představte si ale, že pracujete s více aplikacemi, více vývojovými týmy v několika geografických oblastech.

Pokud máte mnoho předplatných, možná budete potřebovat způsob, jak efektivně spravovat přístup, zásady a dodržování předpisů pro tato předplatná. Skupiny pro správu Azure poskytují úroveň oboru nad předplatnými. Předplatná uspořádáte do kontejnerů označovaných jako skupiny pro správu a použijete podmínky zásad správného řízení pro skupiny pro správu. Všechna předplatná v rámci skupiny pro správu automaticky dědí podmínky použité pro skupinu pro správu stejným způsobem, jakým skupiny prostředků dědí nastavení z předplatných a prostředků zdědí ze skupin prostředků. Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaký typ předplatných můžete mít. Skupiny pro správu je možné vnořit.

Hierarchie skupin pro správu, předplatných a skupin prostředků

Můžete vytvořit flexibilní strukturu skupin pro správu a předplatných a uspořádat tak prostředky do hierarchie umožňující využít jednotné zásady a správu přístupu. Následující diagram ukazuje příklad vytvoření hierarchie pro zásady správného řízení s využitím skupin pro správu.

Diagram showing an example of a management group hierarchy tree.

Příklady použití skupin pro správu můžou být:

  • Vytvořte hierarchii, která použije zásadu. Umístění virtuálních počítačů můžete omezit na oblast USA – západ ve skupině s názvem Produkční. Tato zásada se dědí do všech předplatných, která jsou potomky této skupiny pro správu, a bude platit pro všechny virtuální počítače v rámci těchto předplatných. Tuto zásadu zabezpečení nemůže změnit vlastník prostředku ani předplatného. Výsledkem je vylepšení zásad správného řízení.
  • Poskytněte uživatelům přístup k více předplatným. Přesunutím několika předplatných do skupiny pro správu můžete vytvořit jedno přiřazení řízení přístupu na základě role v Azure (Azure RBAC) ve skupině pro správu. Přiřazení Azure RBAC na úrovni skupiny pro správu znamená, že všechna podsítě, předplatná, skupiny prostředků a prostředky pod touto skupinou pro správu také dědí tato oprávnění. Jedno přiřazení ve skupině pro správu umožňuje uživatelům mít přístup ke všemu, co potřebují, místo skriptování Azure RBAC přes různá předplatná.

Důležitá fakta o skupinách pro správu:

  • Jeden adresář podporuje až 10 000 skupin pro správu.
  • Strom skupin pro správu může mít až šest úrovní vnoření. Toto omezení nezahrnuje kořenovou úroveň nebo úroveň předplatného.
  • Každé předplatné a skupina pro správu může podporovat jenom jednu nadřazenou položku.