Grundlegendes zu Bereitstellungsbereichen

  • 6 Minuten

Virtuelle Computer, logische Azure SQL-Server und -Datenbanken, Speicherkonten, virtuelle Netzwerke und die meisten anderen Azure-Ressourcen müssen in einer Ressourcengruppe platziert werden. Einige Ressourcen können (oder müssen) jedoch auf andere Weise bereitgestellt werden. Diese Ressourcen werden normalerweise verwendet, um das Verhalten Ihrer Azure-Umgebung zu steuern.

In dieser Lerneinheit sehen Sie sich die Hierarchie der Azure-Ressourcenorganisation an und erfahren, wie bestimmte Ressourcen in verschiedenen Bereichen bereitgestellt werden können.

Die Azure-Ressourcenhierarchie

Azure verfügt über eine hierarchische Ressourcenstruktur mit mehreren Verwaltungsebenen. Die folgende Abbildung zeigt, wie Ihr Spielzeugunternehmen seine Azure-Umgebung organisieren kann:

Diagram showing an Azure tenant, three management groups, three subscriptions, and four resource groups.

Ihr Mandant entspricht Ihrer Microsoft Entra-Instanz. Eine Organisation verfügt normalerweise nur über eine Microsoft Entra-Instanz. Diese Instanz fungiert als Stamm der Ressourcenhierarchie.

Verwaltungsgruppen bieten eine Möglichkeit zum Organisieren von Azure-Abonnements. Jeder Mandant verfügt über eine einzelne Stammverwaltungsgruppe, und Sie können unter ihr eine eigene Hierarchie von Verwaltungsgruppen einrichten. Sie können separate Verwaltungsgruppen für die verschiedenen Teile Ihrer Organisation oder für Abonnements mit eigenen Sicherheits- oder Governanceanforderungen erstellen. Sie können Richtlinien- und Zugriffssteuerungseinschränkungen auf Verwaltungsgruppen anwenden, und diese Einschränkungen werden von allen Abonnements unterhalb dieser Verwaltungsgruppe in der Hierarchie geerbt. Verwaltungsgruppen werden nicht in Regionen bereitgestellt und besitzen keine Auswirkungen auf die Standorte Ihrer Ressourcen.

Abonnements fungieren als Abrechnungskonten und enthalten Ressourcengruppen und Ressourcen. Wie Verwaltungsgruppen haben Abonnements keinen Standort und schränken nicht ein, wo Ihre Ressourcen bereitgestellt werden.

Ressourcengruppen sind logische Container für Ihre Ressourcen. Mit Ressourcengruppen können Sie verwandte Ressourcen als einzelne Einheit verwalten und steuern. Ressourcen wie virtuelle Computer, Azure App Service-Pläne, Speicherkonten und virtuelle Netzwerke müssen in einer Ressourcengruppe gespeichert werden. Ressourcengruppen werden an einem Standort erstellt, damit Azure die Metadaten für die Ressourcen in der Gruppe nachverfolgen kann, aber Ressourcen innerhalb der Gruppe können an anderen Standorten bereitgestellt werden.

Das zuvor veranschaulichte Beispiel ist ein ziemlich einfaches Szenario, das zeigt, wie Sie Verwaltungsgruppen verwenden können. Ihre Organisation könnte auch die Implementierung einer Zielzone in Betracht ziehen. Dabei handelt es sich um eine Reihe von Azure-Ressourcen und -Konfigurationen, die Sie für den Einstieg in eine Azure-Produktionsumgebung benötigen. Die Zielzone auf Unternehmensebene ist ein bewährter Ansatz für die Verwendung von Verwaltungsgruppen und Abonnements zur effektiven Verwaltung Ihrer Azure-Ressourcen:

Diagram of an enterprise-scale landing-zone architecture, with four management groups and four subscriptions.

Unabhängig davon, welchem Modell Sie folgen, können Sie durch das Verständnis der verschiedenen Hierarchieebenen damit beginnen, flexible Steuerungen für die Verwendung und Verwaltung Ihrer Azure-Umgebung anzuwenden. Mithilfe von Bicep können Sie diese Steuerungen mit allen Vorteilen von Infrastructure-as-Code verwalten.

Hinweis

Es gibt auch einige andere Ressourcen, die in bestimmten Bereichen bereitgestellt werden. Erweiterungsressourcen werden im Bereich einer anderen Azure-Ressource bereitgestellt. Eine Ressourcensperre ist beispielsweise eine Erweiterungsressource, die für eine Ressource wie etwa ein Speicherkonto bereitgestellt wird.

Sie sind bereits mit der Bereitstellung von Ressourcen in Ressourcengruppen vertraut, daher sehen wir uns die anderen Bereiche für die Bereitstellung an.

Ressourcen im Abonnementbereich

Sie können Ressourcen in einem Abonnement bereitstellen, wenn Folgendes zutrifft:

  • Sie müssen eine neue Ressourcengruppe erstellen. Eine Ressourcengruppe ist eigentlich nur eine Ressource im Abonnementbereich.
  • Sie müssen Zugriff auf alle Ressourcen in einem Abonnement gewähren. Wenn Ihre Personalabteilung beispielsweise über ein Azure-Abonnement verfügt, das alle Azure-Ressourcen der Abteilung enthält, können Sie Rollenzuweisungen erstellen, damit alle Personen in der Personalabteilung den Inhalt des Abonnements lesen können.
  • Sie verwenden Azure Policy und möchten eine Richtlinie für alle Ressourcen innerhalb des Abonnements definieren oder auf diese anwenden. Die R&D-Abteilung Ihres Spielzeugunternehmens hat Sie beispielsweise gebeten, eine Richtlinie bereitzustellen, die die Liste der VM-SKUs einschränkt, die im Abonnement des Teams erstellt werden können.

Ressourcen im Verwaltungsgruppenbereich

Sie können Ressourcen in einer Verwaltungsgruppe bereitstellen, wenn Folgendes zutrifft:

  • Sie müssen Zugriff auf alle Ressourcen in allen Abonnements gewähren, die unter die Verwaltungsgruppenhierarchie fallen. Beispielsweise benötigt Ihr Cloudbetriebsteam möglicherweise Zugriff auf jedes Abonnement in Ihrer Organisation. Sie können eine Rollenzuweisung in Ihrer Stammverwaltungsgruppe erstellen, die Ihrem Cloudbetriebsteam Zugriff auf alle Ressourcen in Azure gewährt.

    Achtung

    Seien Sie äußerst vorsichtig, wenn Sie den Zugriff auf Ressourcen mithilfe von Verwaltungsgruppen und insbesondere der Stammverwaltungsgruppe gewähren. Denken Sie daran, dass jede Ressource unter der Verwaltungsgruppe in der Hierarchie die Rollenzuweisung erbt. Stellen Sie sicher, dass Ihre Organisation bewährte Methoden für die Identitätsverwaltung und Authentifizierung befolgt und dass sie das Prinzip der geringsten Rechte einhält, was bedeutet, dass Sie keinen Zugriff gewähren, der nicht erforderlich ist.

  • Sie müssen Richtlinien in Ihrer gesamten Organisation anwenden. Beispielsweise verfügt Ihre Organisation möglicherweise über eine Richtlinie, dass Ressourcen unter keinen Umständen in bestimmten geografischen Regionen erstellt werden können. Sie können eine Richtlinie auf Ihre Stammverwaltungsgruppe anwenden, die die Erstellung von Ressourcen in dieser Region blockiert.

Hinweis

Bevor Sie Verwaltungsgruppen zum ersten Mal verwenden, richten Sie sie für Ihre Azure-Umgebung ein.

Ressourcen im Mandantenbereich

Sie können Ressourcen für Ihren Mandanten bereitstellen, wenn Folgendes zutrifft:

  • Sie müssen Azure-Abonnements erstellen. Wenn Sie Verwaltungsgruppen verwenden, befinden sich Abonnements unter Verwaltungsgruppen in der Ressourcenhierarchie, aber ein Abonnement wird als Ressource im Mandantenbereich bereitgestellt.

    Hinweis

    Nicht alle Azure-Kunden können Abonnements mithilfe von Infrastructure-as-Code erstellen. Abhängig von Ihrer Abrechnungsbeziehung mit Microsoft ist dies möglicherweise nicht möglich. Weitere Informationen finden Sie unter Programmgesteuertes Erstellen von Azure-Abonnements.

  • Sie erstellen oder konfigurieren Verwaltungsgruppen. Azure erstellt eine einzelne Stammverwaltungsgruppe, wenn Sie Verwaltungsgruppen für Ihren Mandanten aktivieren, und Sie können darunter mehrere Ebenen von Verwaltungsgruppen erstellen. Sie können Bicep verwenden, um die gesamte Verwaltungsgruppenhierarchie zu definieren. Sie können Verwaltungsgruppen auch Abonnements zuweisen.

    Mit Bicep können Sie Bereitstellungen an den Mandantenbereich übermitteln. Bereitstellungen im Mandantenbereich erfordern eine spezielle Berechtigung. In der Praxis müssen Sie jedoch keine Bereitstellungen im Mandantenbereich übermitteln. Es ist einfacher, stattdessen Ressourcen im Mandantenbereich mithilfe einer Vorlage in einem anderen Bereich bereitzustellen. Wie das geht, erfahren Sie später in diesem Modul.

    Tipp

    Sie können keine Richtlinien oder Rollenzuweisungen im Mandantenbereich erstellen. Wenn Sie jedoch Zugriff gewähren oder Richtlinien in Ihrer gesamten Organisation anwenden müssen, können Sie diese Ressourcen in der Stammverwaltungsgruppe bereitstellen.

Ressourcen-IDs

Mittlerweile sind Sie mit Ressourcen-IDs für Ressourcen vertraut, die sich in Abonnements befinden. Hier sehen Sie beispielsweise eine Ressourcen-ID, die eine Ressourcengruppe darstellt, bei der es sich um eine Ressource im Abonnementbereich handelt:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c/resourceGroups/ToyDevelopment

Dies ist eine visuelle Darstellung derselben Informationen:

Screenshot of a Resource ID for a resource group.

Abonnements selbst verfügen über eigene IDs:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c

Hinweis

Obwohl Abonnements als untergeordnete Elemente von Verwaltungsgruppen betrachtet werden, enthalten ihre Ressourcen-IDs keine Verwaltungsgruppen-ID. Azure verfolgt die Beziehung zwischen Abonnements und Verwaltungsgruppen auf eine Weise nach, die sich von anderen Ressourcenbeziehungen unterscheidet. Dies bietet Ihnen die Flexibilität, Abonnements zwischen Verwaltungsgruppen zu verschieben, ohne alle Ressourcen-IDs ändern zu müssen.

Wenn Sie mit Ressourcen im Verwaltungsgruppen- oder Mandantenbereich arbeiten, können Ressourcen-IDs etwas anders als normalerweise aussehen. Sie folgen größtenteils dem Standardmuster der Verschachtelung des Ressourcentyps mit den Informationen zu Ihren spezifischen Ressourcen. Das spezifische Format hängt jedoch von der Ressource ab, mit der Sie arbeiten.

Dies ist ein Beispiel für eine Ressourcen-ID für eine Verwaltungsgruppe:

/providers/Microsoft.Management/managementGroups/ProductionMG

So sieht sie aus:

Screenshot of a Resource ID for a management group.

Hinweis

Verwaltungsgruppen verfügen sowohl über einen Bezeichner als auch über einen Anzeigenamen. Der Anzeigename ist eine von Menschen lesbare Beschreibung der Verwaltungsgruppe. Sie können den Anzeigenamen ändern, ohne die ID der Verwaltungsgruppe zu beeinflussen.

Wenn eine Ressource in einem Verwaltungsgruppenbereich bereitgestellt wird, enthält ihre Ressourcen-ID die Verwaltungsgruppen-ID. Dies ist eine Beispielressourcen-ID für eine Rollendefinition, die in einem Verwaltungsgruppenbereich erstellt wurde:

/providers/Microsoft.Management/managementGroups/ProductionMG/providers/Microsoft.Authorization/roleDefinitions/d79b8492-6f38-49f9-99e6-b2e667d4f3ca

Dies ist eine visuelle Darstellung derselben ID:

Screenshot of a Resource ID for a role definition that's deployed at a management group scope.

Eine andere Rollendefinition kann in einem Abonnementbereich definiert werden, sodass ihre Ressourcen-ID etwas anders aussieht:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c/providers/Microsoft.Authorization/roleDefinitions/d79b8492-6f38-49f9-99e6-b2e667d4f3ca

Dies ist eine visuelle Darstellung derselben ID:

Screenshot of a Resource ID for a role definition that's deployed at a subscription scope.

Nachdem Sie nun die Azure-Ressourcenhierarchie und die Ressourcentypen kennen, die Sie für jeden Bereich bereitstellen können, können Sie Entscheidungen über die Bereiche treffen, in denen Ihre Ressourcen bereitgestellt werden sollen. Beispielsweise können Sie eine fundierte Entscheidung treffen, ob Sie eine Richtliniendefinition im Bereich einer Ressourcengruppe, eines Abonnements oder einer Verwaltungsgruppe erstellen sollten. In der nächsten Lerneinheit erfahren Sie, wie Sie Bicep-Dateien für jeden dieser Bereiche erstellen.