Partager via


Architecture mutualisée et Azure Resource Manager

Azure Resource Manager est le principal service de gestion des ressources pour Azure. Chaque ressource dans Azure est créée, gérée, voire finalement supprimée, via Resource Manager. Lorsque vous générez une solution mutualisée, vous travaillez souvent avec Resource Manager afin d’approvisionner des ressources de façon dynamique pour chaque locataire. Sur cette page, nous décrivons quelques-unes des fonctionnalités de Resource Manager pertinentes des solutions mutualisées. Nous fournissons également des liens vers des conseils utiles lorsque vous envisagez d’utiliser Resource Manager.

Fonctionnalités de Resource Manager qui prennent en charge l’architecture mutualisée

Infrastructure as code

Resource Manager fournit des outils pour prendre en charge une infrastructure en tant que code, parfois appelée IaC. Définir une infrastructure en tant que code est une bonne pratique pour toutes les solutions dans le cloud mais, lorsque vous travaillez avec des solutions mutualisées, elle devient particulièrement importante. Une solution multilocataire vous oblige souvent à mettre à l’échelle des déploiements et à provisionner de nouvelles ressources à mesure que vous intégrez de nouveaux locataires. En créant ou configurant manuellement des ressources, vous introduisez un risque et un temps de traitement supplémentaires. Une approche manuelle donnera un processus de déploiement globalement moins fiable.

Lors du déploiement de votre infrastructure en tant que code à partir d’un pipeline de déploiement, nous vous recommandons d’utiliser Bicep, un langage spécifiquement conçu pour déployer et gérer des ressources Azure de façon déclarative. Vous pouvez également utiliser des modèles Azure Resource Manager JSON (modèles ARM), Terraform ou d’autres produits tiers qui accèdent aux API Resource Manager sous-jacentes.

Les piles de déploiement offrent la possibilité de gérer un ensemble de ressources comme une seule unité, même si elles sont réparties sur des groupes de ressources ou des abonnements. Les piles de déploiement peuvent être utiles si vous approvisionnez plusieurs ressources spécifiques à un locataire à différents endroits, puis devez gérer leur cycle de vie comme une seule unité logique.

Les spécifications de modèle peuvent être utiles pour approvisionner de nouvelles ressources, des empreintes de déploiement ou des environnements à partir d’un modèle unique et bien paramétré. Les spécifications de modèle vous permettent de créer un référentiel central des modèles que vous utilisez pour déployer l’infrastructure spécifique de votre locataire. Les modèles sont stockés et gérés dans Azure, et vous pouvez réutiliser les spécifications de modèle chaque fois que vous devez les déployer à partir de celles-ci.

Dans certaines solutions, vous pouvez choisir d’écrire du code personnalisé pour approvisionner ou configurer des ressources de manière dynamique, ou pour lancer un déploiement de modèle. Vous pouvez utiliser des Kits de développement logiciel (SDK) Azure à partir de votre propre code pour gérer votre environnement Azure. Veillez à suivre les bonnes pratiques en matière de gestion de l’authentification de votre application auprès de Resource Manager, et utilisez des identités managées afin d’éviter le stockage et la gestion des informations d’identification.

Contrôle d’accès en fonction du rôle

Le mécanisme de contrôle d’accès en fonction du rôle (RBAC Azure) vous offre une approche fine pour gérer l’accès à vos ressources Azure. Dans une solution mutualisée, déterminez si vous avez des ressources nécessitant l’application de stratégies de RBAC Azure spécifiques. Par exemple, il se peut que vous ayez des locataires disposant de données particulièrement sensibles, et que vous deviez appliquer le contrôle d’accès en fonction du rôle (RBAC) pour accorder l’accès à certaines personnes sans inclure d’autres personnes de votre organisation. De même, des locataires pourraient demander à accéder directement à leurs ressources Azure, par exemple, lors d’un audit. Si vous choisissez d’autoriser cela, des autorisations RBAC dont l’étendue est finement établie peuvent vous permettre d’accorder l’accès aux données d’un locataire, sans autoriser l’accès aux données d’autres locataires.

Étiquettes

Les étiquettes vous permettent d’ajouter des métadonnées personnalisées à vos ressources, groupes de ressources et abonnements Azure. Envisagez d’étiqueter les ressources spécifiques de votre locataire avec l’identificateur de celui-ci afin de pouvoir facilement suivre et allouer vos coûts Azure, et de simplifier la gestion de vos ressources.

Quotas de ressources Azure

Resource Manager est l’un des points dans Azure qui applique des limites et quotas. Il est important de tenir compte de ces quotas tout au long du processus de conception. Toutes les ressources Azure ont des limites à respecter, notamment concernant le nombre de requêtes qui peuvent être adressées à Resource Manager au cours d’une période donnée. Si vous dépassez cette limite, Resource Manager limite les requêtes.

Lorsque vous créez une solution mutualisée qui effectue des déploiements automatisés, vous risquez d’atteindre ces limites plus rapidement que d’autres clients. Des solutions mutualisées qui approvisionnent de grandes quantités d’infrastructures peuvent également déclencher les limites.

Chaque service Azure est géré par un fournisseur de ressources qui peut également définir ses propres limites. Par exemple, le fournisseur de ressources Azure Compute gère l’approvisionnement de machines virtuelles et fixe des limites au nombre de requêtes qui peuvent être effectuées sur une brève période. D’autres limites du fournisseur de ressources sont documentées dans Limites de fournisseur de ressources.

Si vous risquez de dépasser les limites définies par Resource Manager ou un fournisseur de ressources, pensez aux atténuations suivantes :

  • Partitionnez votre charge de travail entre plusieurs abonnements Azure.
  • Utilisez plusieurs groupes de ressources dans les abonnements.
  • Envoyez des requêtes provenant de différents principaux Microsoft Entra.
  • Demandez des allocations de quota supplémentaires. En général, les demandes d’allocation de quota sont soumises en ouvrant un cas de support, même si certains services fournissent des API pour ces requêtes, comme pour les instances réservées de machine virtuelle.

Les atténuations que vous sélectionnez doivent être adaptées à la limite que vous rencontrez.

Modèles d’isolation

Dans certaines solutions mutualisées, vous pouvez décider de déployer des ressources distinctes ou dédiées pour chaque locataire. Resource Manager fournit plusieurs modèles que vous pouvez utiliser pour isoler des ressources en fonction de vos besoins et de la raison pour laquelle vous choisissez d’isoler les ressources. Pour obtenir des conseils sur l’isolation de vos ressources Azure, consultez Organisation des ressources Azure dans les solutions mutualisées.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

Autre contributeur :

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

Examinez les approches du déploiement et de la configuration pour une architecture mutualisée.