Was ist Azure Resource Manager?
Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Er bietet eine Verwaltungsebene, die das Erstellen, Aktualisieren und Löschen von Ressourcen in Ihrem Azure-Konto ermöglicht. Mithilfe von Verwaltungsfeatures wie Zugriffssteuerung, Sperren und Tags können Sie Ihre Ressourcen nach der Bereitstellung schützen und organisieren.
Informationen zu Azure Resource Manager-Vorlagen (ARM-Vorlagen) finden Sie in der Übersicht über ARM-Vorlagen. Weitere Informationen zu Bicep finden Sie unter Übersicht über Bicep.
Das folgende Video behandelt grundlegende Konzepte von Azure Resource Manager.
Einheitliche Verwaltungsebene
Wenn Sie eine Anforderung über eine der APIs, über eines der Azure-Tools oder über eines der SDKs sendet, wird diese von Resource Manager empfangen. Sie authentifiziert und autorisiert die Anforderung, bevor sie an den entsprechenden Azure-Dienst weitergeleitet wird. Da alle Anforderungen von der gleichen API verarbeitet werden, stehen in allen Tools konsistente Ergebnisse und Funktionen zur Verfügung.
Die folgende Abbildung veranschaulicht die Rolle von Azure Resource Manager bei der Behandlung von Azure-Anforderungen.
Alle Funktionen, die über das Azure-Portal verfügbar sind, stehen auch über PowerShell, die Azure CLI, die REST-APIs und über Client-SDKs zur Verfügung. Funktionen, die ursprünglich über APIs veröffentlicht wurden, werden innerhalb von 180 Tagen ab der ursprünglichen Veröffentlichung in das Portal aufgenommen.
Wichtig
Azure Resource Manager unterstützt nur Transport Layer Security (TLS) 1.2 oder höher bis Herbst 2023. Weitere Informationen finden Sie unter Migrieren zu TLS 1.2 für Azure Resource Manager.
Begriff
Wenn Sie mit dem Azure Resource Manager noch nicht vertraut sind, kennen Sie unter Umständen einige Begriffe noch nicht.
- Ressource : Ein verwaltbares Element, das über Azure verfügbar ist. Virtuelle Computer, Speicherkonten, Web-Apps, Datenbanken und virtuelle Netzwerke sind Beispiele für Ressourcen. Ressourcengruppen, Abonnements, Verwaltungsgruppen und Tags sind ebenfalls Beispiele für Ressourcen.
- Ressourcengruppe : Ein Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Die Ressourcengruppe enthält die Ressourcen, die Sie als Gruppe verwalten möchten. Sie entscheiden in Abhängigkeit davon, was für Ihre Organisation am sinnvollsten ist, welche Ressourcen in eine Ressourcengruppen gehören. Weitere Informationen finden Sie unter Was ist eine Ressourcengruppe?.
- Ressourcenanbieter: Ein Dienst, der Azure-Ressourcen bereitstellt. Ein gängiger Ressourcenanbieter, von dem die VM-Ressource bereitgestellt wird, ist beispielsweise
Microsoft.Compute
.Microsoft.Storage
ist ein weiterer gängiger Ressourcenanbieter. Weitere Informationen finden Sie unter Ressourcenanbieter und -typen. - Deklarative Syntax: Bei dieser Syntax können Sie beispielsweise „Here is what I intend to create“ (Dies möchte ich erstellen) eingeben, ohne dafür die Folge der Programmierbefehle für die Erstellung schreiben zu müssen. ARM-Vorlagen und Bicep-Dateien sind Beispiele für deklarative Syntax. In diesen Dateien definieren Sie die Eigenschaften für die Infrastruktur zum Bereitstellen für Azure.
- ARM-Vorlage: Eine JSON-Datei (JavaScript Object Notation), mit der eine oder mehrere Ressourcen zum Bereitstellen einer Ressourcengruppe, eines Abonnements, einer Verwaltungsgruppe oder eines Mandanten definiert werden. Die Vorlage kann zum konsistenten und wiederholten Bereitstellen der Ressourcen verwendet werden. Weitere Informationen finden Sie in der Übersicht über die Vorlagenbereitstellung.
- Bicep-Datei: Eine Datei für die deklarative Bereitstellung von Azure-Ressourcen. Bicep ist eine Sprache, die entwickelt wurde, um die beste Benutzeroberfläche für die Erstellung für Infrastructure-as-Code-Lösungen in Azure zu bieten. Weitere Informationen finden Sie unter Übersicht über Bicep.
- Erweiterungsressource: Eine Ressource, die einer anderen Ressource Funktionen hinzufügt. Eine Rollenzuweisung ist beispielsweise eine Erweiterungsressource. Sie wenden eine Rollenzuweisung auf eine beliebige andere Ressource an, um den Zugriff anzugeben. Siehe Erweiterungsressourcen.
Weitere Definitionen der Azure-Terminologie finden Sie unter Grundlegende Konzepte in Azure.
Vorteile der Verwendung des Ressourcen-Managers
Resource Manager ermöglicht Folgendes:
Verwalten Ihrer Infrastruktur über deklarative Vorlagen (anstelle von Skripts)
Bereitstellen, Verwalten und Überwachen aller Ressourcen für Ihre Lösung als Gruppe, anstatt diese Ressourcen einzeln zu behandeln
Wiederholtes Bereitstellen Ihrer Lösung während des gesamten Entwicklungslebenszyklus mit der Gewissheit, dass Ihre Ressourcen konsistent bereitgestellt werden
Definieren der Abhängigkeiten zwischen Ressourcen, sodass diese in der korrekten Reihenfolge bereitgestellt werden
Anwenden der Zugriffssteuerung auf alle Dienste, da die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) nativ in die Verwaltungsplattform integriert ist
Anwenden von Tags auf Ressourcen, um alle Ressourcen in Ihrem Abonnement logisch zu organisieren
Anzeigen der Kosten für eine Gruppe von Ressourcen mit dem gleichen Tag, um die Abrechnungstransparenz Ihrer Organisation zu verbessern
Der Bereich
Azure bietet vier Verwaltungsebenen: Verwaltungsgruppen, Abonnements, Ressourcengruppen und Ressourcen. Die folgende Abbildung zeigt ein Beispiel dieser Ebenen.
Sie wenden die Verwaltungseinstellungen auf einer dieser Bereichsebenen an. Die von Ihnen ausgewählte Ebene bestimmt, wie umfassend die Einstellung angewendet wird. Niedrigere Ebenen erben die Einstellungen von höheren Ebenen. Wenn Sie also beispielsweise eine Richtlinie auf das Abonnement anwenden, gilt diese für alle Ressourcengruppen und Ressourcen in Ihrem Abonnement. Wenn Sie eine Richtlinie auf die Ressourcengruppe anwenden, gilt diese für die Ressourcengruppe und alle dazugehörigen Ressourcen. Andere Ressourcengruppen sind von der Richtlinienzuweisung dagegen nicht betroffen.
Informationen zum Verwalten von Identitäten und Zugriff finden Sie unter Microsoft Entra ID.
Sie können Vorlagen für Mandanten, Verwaltungsgruppen, Abonnements oder Ressourcengruppen bereitstellen.
Was ist eine Ressourcengruppe?
Eine Ressourcengruppe ist ein Container, der die Verwaltung verwandter Ressourcen für eine Azure-Lösung ermöglicht. Mithilfe der Ressourcengruppe können Sie Änderungen an den zugehörigen Ressourcen koordinieren. Sie können beispielsweise ein Update für die Ressourcengruppe bereitstellen und darauf vertrauen, dass die Ressourcen in einem koordinierten Vorgang aktualisiert werden. Wenn Sie mit der Lösung fertig sind, können Sie auch die Ressourcengruppe löschen und sicher sein, dass alle Ressourcen gelöscht wurden.
Beim Definieren der Ressourcengruppe sind einige wichtige Faktoren zu beachten:
Alle Ressourcen einer Ressourcengruppe sollten über den gleichen Lebenszyklus verfügen. Sie werden von Ihnen zusammen bereitgestellt, aktualisiert und gelöscht. Falls eine Ressource, z. B. ein Server, in einem anderen Entwicklungszyklus vorhanden sein muss, sollte er in einer anderen Ressourcengruppe enthalten sein.
Jede Ressource kann nur in einer Ressourcengruppe vorhanden sein.
Sie können eine Ressource einer Ressourcengruppe jederzeit hinzufügen bzw. die Ressource daraus entfernen.
Sie können eine Ressource aus einer Ressourcengruppe in eine andere Gruppe verschieben. Weitere Informationen finden Sie unter Verschieben von Ressourcen in eine neue Ressourcengruppe oder ein neues Abonnement.
Die Ressourcen in einer Ressourcengruppe können sich in verschiedenen Regionen als der Ressourcengruppe befinden, es wird jedoch empfohlen, denselben Speicherort zu verwenden. Siehe Welchen Speicherort soll ich für meine Ressourcengruppe verwenden?
Eine Ressourcengruppe kann zum Festlegen der Zugriffssteuerung für administrative Aktionen verwendet werden. Zum Verwalten einer Ressourcengruppe können Sie Azure-Richtlinien, Azure-Rollen oder Ressourcensperren zuweisen.
Sie können auf eine Ressourcengruppe Tags anwenden. Die Ressourcen in der Ressourcengruppe erben diese Tags nicht.
Eine Ressource kann eine Verbindung mit Ressourcen in anderen Ressourcengruppen herstellen. Dieses Szenario kommt häufig vor, wenn die beiden Ressourcen zusammengehören, aber nicht denselben Lebenszyklus aufweisen. Beispielsweise können Sie über eine Web-App verfügen, die eine Verbindung mit einer Datenbank in einer anderen Ressourcengruppe herstellt.
Wenn Sie eine Ressourcengruppe löschen, werden alle Ressourcen darin ebenfalls gelöscht. Weitere Informationen dazu, wie Azure Resource Manager diese Löschungen orchestriert, finden Sie unter Löschen von Ressourcengruppen und Ressourcen mit Azure Resource Manager.
Sie können bis zu 800 Instanzen eines Ressourcentyps in jeder Ressourcengruppe bereitstellen. Einige Ressourcentypen sind von der Beschränkung auf 800 Instanzen ausgenommen. Weitere Informationen finden Sie unter Grenzwerte für Ressourcengruppen.
Einige Ressourcen können außerhalb einer Ressourcengruppe vorhanden sein. Diese Ressourcen werden im Abonnement, in der Verwaltungsgruppe oder im Mandanten bereitgestellt. In diesen Bereichen werden nur bestimmte Ressourcentypen unterstützt.
Zum Erstellen einer Ressourcengruppe können Sie das Portal, PowerShell, die Azure CLI oder eine ARM-Vorlage verwenden.
Welchen Speicherort sollte ich für meine Ressourcengruppe verwenden?
Beim Erstellen einer Ressourcengruppe müssen Sie einen Standort für diese Ressourcengruppe angeben.
Vielleicht stellen Sie sich hierbei die folgende Frage: „Warum wird für eine Ressourcengruppe ein Standort benötigt? Und wenn die Ressourcen andere Standorte als die Ressourcengruppe aufweisen können, warum ist der Standort der Ressourcengruppe dann überhaupt wichtig?“
In der Ressourcengruppe werden Metadaten zu den Ressourcen gespeichert. Wenn Sie einen Standort für die Ressourcengruppe angeben, legen Sie fest, wo die Metadaten gespeichert werden. Aus Compliance-Gründen müssen Sie unter Umständen sicherstellen, dass Ihre Daten in einer bestimmten Region gespeichert werden.
Um die Zustandskonsistenz für die Ressourcengruppe sicherzustellen, werden alle Steuerungsebenenvorgänge über den Standort der Ressourcengruppe geroutet. Bei der Auswahl eines Ressourcengruppenstandorts empfiehlt es sich, einen Standort in der Nähe des Ursprungs Ihrer Steuerungsvorgänge auszuwählen. In der Regel ist dieser Standort derjenige, der Ihrem aktuellen Standort am nächsten liegt. Diese Routinganforderung gilt nur für Vorgänge auf Steuerungsebene für die Ressourcengruppe. Sie sich nicht auf Anforderungen aus, die an Ihre Anwendungen gesendet werden.
Ist die Region einer Ressourcengruppe vorübergehend nicht verfügbar, können Sie unter Umständen keine Ressourcen in der Ressourcengruppe aktualisieren, da die Metadaten nicht verfügbar sind. Die Ressourcen in anderen Regionen funktionieren weiterhin wie erwartet, doch können Sie diese unter Umständen nicht aktualisieren. Diese Bedingung gilt möglicherweise auch für globale Ressourcen wie Azure DNS, Azure DNS Private Zones, Azure Traffic Manager und Azure Front Door. Sie können über die Liste der Typen für die Azure Resource Graph-Ressourcentabelle anzeigen, für welche Typen die Metadaten von Azure Resource Manager verwaltet werden.
Um die Auswirkungen regionaler Ausfälle zu verringern, empfiehlt es sich, Ressourcen in derselben Region wie die Ressourcengruppe zu platzieren. Wenn die Region der Ressourcengruppe nicht verfügbar ist, kann Azure Resource Manager die Metadaten Ihrer Ressource möglicherweise nicht aktualisieren und blockiert Ihre Schreibaufrufe. Durch das Zusammenlegen der Ressourcen- und Ressourcengruppenregion verringern Sie das Risiko der Nichtverfügbarkeit von Regionen, da Ihre Ressourcen und Metadaten in einer Region statt in mehreren Regionen vorhanden sind.
Weitere Informationen zum Entwerfen zuverlässiger Anwendungen finden Sie unter Entwerfen zuverlässiger Azure-Anwendungen.
Resilienz von Azure Resource Manager
Der Azure Resource Manager-Dienst ist auf Resilienz und fortlaufende Verfügbarkeit ausgelegt. Resource Manager-Vorgänge und Vorgänge auf Steuerungsebene (an management.azure.com
gesendete Anforderungen) in der REST-API haben folgende Eigenschaften:
Sie sind regionsübergreifend verteilt. Azure Resource Manager verfügt in jeder Azure-Region über eine separate Instanz. Dies bedeutet, dass ein Ausfall der Azure Resource Manager-Instanz in einer Region die Verfügbarkeit von Azure Resource Manager oder anderen Azure-Diensten in einer anderen Region nicht beeinträchtigt. Obwohl Azure Resource Manager regionsübergreifend verteilt wird, sind einige Dienste regional. Diese Unterscheidung bedeutet, dass die anfängliche Behandlung des Steuerungsebenenvorgangs zwar resilient ist, die Anforderung aber für regionale Ausfälle anfällig sein kann, wenn sie an den Dienst weitergeleitet wird.
Sie sind an Standorten mit mehreren Verfügbarkeitszonen über diese Verfügbarkeitszonen (und Regionen) verteilt. Diese Verteilung stellt sicher, dass Azure Resource Manager entweder ein Failover auf eine andere Zone oder auf eine andere Region ausführen kann, wenn eine Region eine oder mehrere Zonen verliert, um weiterhin Funktionen der Steuerungsebene für die Ressourcen bereitzustellen.
Sie sind nicht von einem einzelnen logischen Rechenzentrum abhängig.
Sie werden nie für Wartungsaktivitäten außer Betrieb genommen.
Diese Resilienz gilt für Dienste, die Anforderungen über Resource Manager empfangen. Key Vault profitiert beispielsweise von dieser Resilienz.
Auflösen von parallelen Vorgängen
Wenn mehrere Vorgänge gleichzeitig versuchen, dieselbe Ressource zu aktualisieren, erkennt Azure Resource Manager den Konflikt und lässt nur für einen Vorgang den erfolgreichen Abschluss zu. Azure Resource Manager blockiert die anderen Vorgänge und gibt einen Fehler zurück.
Gleichzeitige Ressourcenaktualisierungen können zu unerwarteten Ergebnissen führen. Diese Lösung stellt sicher, dass Ihre Updates deterministisch und zuverlässig sind. Sie kennen den Status Ihrer Ressourcen und vermeiden Inkonsistenzen und Datenverluste.
Angenommen, Sie haben zwei Anforderungen (A und B), die gleichzeitig versuchen, dieselbe Ressource zu aktualisieren. Wenn Anforderung A vor Anforderung B abgeschlossen wird, ist Anforderung A erfolgreich, und bei Anforderung B tritt ein Fehler auf. Anforderung B gibt den Fehler 409 zurück. Nach dem Erhalt dieses Fehlercodes können Sie den aktualisierten Status der Ressource abrufen und ermitteln, ob Sie Anforderung B erneut senden möchten.
Nächste Schritte
Informationen zu Grenzwerten, die auf Azure-Dienste angewendet werden, finden Sie unter Einschränkungen für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.
Informationen zum Verschieben von Ressourcen finden Sie unter Verschieben von Ressourcen in eine neue Ressourcengruppe oder ein neues Abonnement.
Informationen zum Taggen von Ressourcen finden Sie unter Verwenden von Tags zum Organisieren von Azure-Ressourcen.
Informationen zum Sperren von Ressourcen finden Sie unter Sperren von Ressourcen, um unerwartete Änderungen zu verhindern.