Mehrinstanzenfähigkeit und Azure Resource Manager

Azure Resource Manager ist der zentrale Ressourcenverwaltungsdienst für Azure. Jede Ressource in Azure wird mit Resource Manager erstellt, verwaltet und schließlich gelöscht. Wenn Sie eine mehrinstanzenfähige Lösung erstellen, arbeiten Sie häufig mit Resource Manager, um Ressourcen für jeden Mandanten dynamisch bereitzustellen. Auf dieser Seite werden einige der Features von Resource Manager beschrieben, die für mehrinstanzenfähige Lösungen relevant sind. Wir stellen auch Links zu Anleitungen bereit, die bei der Verwendung von Resource Manager nützlich sein können.

Features von Resource Manager, die die Mehrinstanzenfähigkeit unterstützen

Infrastructure-as-Code

Resource Manager bietet Tools zur Unterstützung von Infrastructure-as-Code, manchmal auch als IaC bezeichnet. Definieren der Infrastructure-as-Code ist eine bewährte Vorgehensweise für alle Lösungen in der Cloud, hat bei der Arbeit mit mehrinstanzenfähigen Lösungen jedoch eine besondere Bedeutung. Eine mehrinstanzenfähige Lösung erfordert häufig die Skalierung von Bereitstellungen sowie die Bereitstellung neuer Ressourcen, wenn neue Mandanten integriert werden. Wenn Sie Ressourcen manuell erstellen oder konfigurieren, machen Sie den Prozess damit risikoreicher und langwieriger. Ein manueller Ansatz führt insgesamt zu einem weniger zuverlässigen Bereitstellungsprozess.

Wenn Sie Ihre Infrastructure-as-Code aus einer Bereitstellungspipeline bereitstellen, wird empfohlen, dass Sie Bicep verwenden. Dies ist eine Sprache, die speziell für die deklarative Bereitstellung und Verwaltung von Azure-Ressourcen entwickelt wurde. Sie können auch Azure Resource Manager-Vorlagen im JSON-Format (ARM-Vorlagen), Terraform oder andere Produkte von Drittanbietern verwenden, die auf die zugrunde liegenden Resource Manager-APIs zugreifen können.

Bereitstellungsstapel bieten die Möglichkeit, eine Gruppe von Ressourcen als eine einzelne Einheit zu verwalten, auch wenn sie über Ressourcengruppen oder Abonnements verteilt sind. Bereitstellungsstapel können hilfreich sein, wenn Sie mehrere mandantenspezifische Ressourcen an verschiedenen Stellen bereitstellen und dann ihren Lebenszyklus als eine logische Einheit verwalten müssen.

Vorlagenspezifikationen können bei der Bereitstellung von neuen Ressourcen, Bereitstellungsstempeln oder Umgebungen aus einer einzelnen und gut parametrisierten Vorlage nützlich sein. Mit Vorlagenspezifikationen können Sie ein zentrales Repository der Vorlagen erstellen, dass Sie zum Bereitstellen Ihrer mandantenspezifischen Infrastruktur verwenden können. Die Vorlagen werden in Azure selbst gespeichert und verwaltet, und Sie können die Vorlagenspezifikationen erneut verwenden, wenn Sie sie zum Bereitstellen benötigen.

In manchen Lösungen können Sie benutzerdefinierten Code schreiben, um Ressourcen dynamisch bereitzustellen oder zu konfigurieren oder eine Vorlagenbereitstellung zu initiieren. Die Azure-SDKs können von Ihrem eigenen Code aus verwendet werden, um Ihre Azure-Umgebung zu verwalten. Wenden Sie bewährte Methoden für die Verwaltung der Authentifizierung Ihrer Anwendung bei Resource Manager an, und verwenden Sie verwaltete Identitäten, um das Speichern und Verwalten von Anmeldeinformationen zu vermeiden.

Rollenbasierte Zugriffssteuerung

Die Rollenbasierte Zugriffssteuerung (Azure RBAC) bietet Ihnen eine differenzierte Möglichkeit zum Verwalten Ihrer Azure-Ressourcen. Wenn Sie eine mehrinstanzenfähige Lösung verwenden, überlegen Sie, ob Sie über Ressourcen verfügen, auf die bestimmte Azure RBAC-Richtlinien angewendet werden sollten. Möglicherweise verfügen Sie über Mandanten mit besonders sensiblen Daten, bei denen Sie die rollenbasierte Zugriffssteuerung verwenden müssen, um bestimmten Personen Zugriff zu gewähren, ohne andere Personen in Ihrer Organisation einzuschließen. Ebenso können Mandanten bitten, direkt auf ihre Azure-Ressourcen zugreifen zu dürfen, z. B. während eines Audits. Wenn Sie dies zulassen, können Sie mit gut abgestimmten RBAC-Berechtigungen den Zugriff auf die Daten eines Mandanten gewähren, ohne den Zugriff auf die Daten anderer Mandanten zu erlauben.

Tags

Mit Tags können Sie Ihren Azure-Ressourcen, -Ressourcengruppen und -Abonnements benutzerdefinierte Metadaten hinzufügen. Taggen Sie Ihre mandantenspezifischen Ressourcen mit dem Bezeichner des Mandanten, damit Sie Ihre Azure-Kosten problemlos nachverfolgen und zuordnen können und Ihre Ressourcenverwaltung vereinfachen können.

Azure-Ressourcenkontingente

Resource Manager ist einer der Dienste von Azure, mit dem Grenzwerte und Kontingente erzwungen werden. Diese Kontingente müssen während des gesamten Entwurfsprozesses berücksichtig werden. Alle Azure-Ressourcen verfügen über Grenzwerte, die eingehalten werden müssen. Zu diesen Grenzwerten gehört auch die Anzahl von Anforderungen, die innerhalb eines bestimmten Zeitraums an Resource Manager gesendet werden können. Wenn Sie diesen Grenzwert überschreiten, drosselt Resource Manager die Anforderungen.

Wenn Sie eine mehrinstanzenfähige Lösung erstellen, die automatisierte Bereitstellungen durchführt, erreichen Sie diese Grenzwerte möglicherweise schneller als andere Kund*innen. Auch können mehrinstanzenfähige Lösungen, die große Mengen an Infrastruktur bereitstellen, diese Grenzwerte auslösen.

Jeder Azure-Dienst wird von einem Ressourcenanbieter verwaltet, der auch eigene Grenzwerte definieren kann. Beispielsweise verwaltet der Azure Compute-Ressourcenanbieter die Bereitstellung von virtuellen Computern, und definiert die Grenzwerte für die Anzahl von Anforderungen, die innerhalb eines kurzen Zeitraums durchgeführt werden können. Einige andere Grenzwerte für Ressourcenanbieter sind unter Grenzwerte für Ressourcenanbieter dokumentiert.

Besteht die Gefahr, dass Sie die von Resource Manager oder einem Ressourcenanbieter definierten Grenzwerte überschreiten, haben Sie folgende Möglichkeiten:

• Partitionieren Sie Ihre Workload horizontal über mehrere Azure-Abonnements hinweg.
• Verwenden Sie innerhalb von Abonnements mehrere Ressourcengruppen.
• Senden Sie Anforderungen von verschiedenen Microsoft Entra-Prinzipalen.
• Fordern Sie zusätzliche Kontingentzuweisungen an. Allgemein werden Anforderungen zur Kontingentzuweisung übermittelt, indem eine Supportanfrage gestellt wird, obwohl einige Dienste APIs für diese Anforderungen bereitstellen, z. B. für reservierte Instanzen virtueller Computer.

Die von Ihnen ausgewählten Ausgleichsmaßnahmen müssen für den spezifischen Grenzwert geeignet sein, der in Ihrem Fall vorhanden ist.

Isolationsmodelle

In einigen mehrinstanzenfähigen Lösungen können Sie für jeden Mandanten separate oder dedizierte Ressourcen bereitstellen. Resource Manager bietet verschiedene Modelle, die Sie zum Isolieren von Ressourcen verwenden können, je nach Ihren Anforderungen und dem Grund, warum Sie die Ressourcen isolieren möchten. Anleitungen zum Isolieren Ihrer Azure-Ressourcen finden Sie unter Azure-Ressourcenorganisation in mehrinstanzenfähigen Lösungen.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• John Downs | Principal Software Engineer

Andere Mitwirkende:

• Arsen Vladimirskiy | Principal Customer Engineer, FastTrack for Azure

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

Lesen Sie Bereitstellungs- und Konfigurationsansätze für die Mehrinstanzenfähigkeit.