Azure Lighthouse-architektúra

Az Azure Lighthouse segít a szolgáltatóknak egyszerűsíteni az ügyfelek bevonását és az előkészítési szolgáltatásokat, miközben a delegált erőforrásokat nagy léptékben, rugalmassággal és precizitással kezelik. A jogosult felhasználók, csoportok és szolgáltatásnevek közvetlenül az ügyfél-előfizetések kontextusában dolgozhatnak anélkül, hogy az ügyfél Microsoft Entra-bérlőjében van fiókja, vagy az ügyfél bérlőjének társtulajdonosa. A hozzáférés támogatásához használt mechanizmus neve Azure delegált erőforrás-kezelés.

Tipp.

Az Azure Lighthouse egy olyan vállalaton belül is használható , amelynek több Saját Microsoft Entra-bérlője van a bérlők közötti felügyelet egyszerűsítése érdekében.

Ez a témakör az Azure Lighthouse-ban lévő bérlők és az ügyfél bérlőjében létrehozott, a kapcsolatot engedélyező erőforrások közötti kapcsolatot ismerteti.

Megjegyzés:

Az ügyfél Azure Lighthouse-ba való beléptetéséhez egy nem vendégfiók üzembe helyezésére van szükség az ügyfél bérlőjében, aki rendelkezik az előkészítés alatt álló előfizetéshez (vagy az előkészítés alatt álló erőforráscsoportokat tartalmazó) engedéllyel (például tulajdonossal) rendelkező szerepkörrelMicrosoft.Authorization/roleAssignments/write.

Az ügyfélbérlésben létrehozott erőforrások delegálása

Ha egy ügyfél előfizetése vagy erőforráscsoportja az Azure Lighthouse-ba kerül, két erőforrás jön létre: a regisztrációs definíció és a regisztrációs hozzárendelés. Api-k és felügyeleti eszközök használatával hozzáférhet ezekhez az erőforrásokhoz, vagy dolgozhat velük az Azure Portalon.

Regisztrációs definíció

A regisztrációs definíció tartalmazza az Azure Lighthouse-ajánlat részleteit (a bérlői azonosítót és azokat az engedélyeket, amelyek beépített szerepköröket rendelnek a felügyelt bérlő adott felhasználóihoz, csoportjaihoz és/vagy szolgáltatásneveihez.

A regisztráció definíciója az előfizetés szintjén jön létre minden delegált előfizetéshez, vagy minden olyan előfizetéshez, amely delegált erőforráscsoportot tartalmaz. Amikor API-kat használ egy regisztrációs definíció létrehozásához, az előfizetés szintjén kell dolgoznia. Az Azure PowerShell használatával például a New-AzureRmDeployment szolgáltatást kell használnia, mielőtt új regisztrációs definíciót (New-AzManagedServicesDefinition) hoz létre a New-AzureRmResourceGroupDeployment helyett.

Regisztrációs hozzárendelés

A regisztrációs hozzárendelés hozzárendeli a regisztrációs definíciót egy adott hatókörhöz, vagyis az előkészített előfizetés(ek)hez és/vagy erőforráscsoport(ok)hoz.

A regisztrációs hozzárendelés minden delegált hatókörben létrejön, így vagy az előfizetési csoport szintjén vagy az erőforráscsoport szintjén lesz, attól függően, hogy mi lett előkészítve.

Minden regisztrációs hozzárendelésnek érvényes regisztrációs definícióra kell hivatkoznia az előfizetés szintjén, és az adott szolgáltató engedélyeit a delegált hatókörhöz kell társítania, és így hozzáférést kell biztosítania.

Logikai kivetítés

Az Azure Lighthouse logikai előrejelzést készít az erőforrásokról az egyik bérlőről egy másik bérlőre. Ez lehetővé teszi, hogy a jogosult szolgáltatói felhasználók bejelentkezhessenek a saját bérlőjükbe, és meghatalmazással dolgozhatnak delegált ügyfél-előfizetésekben és erőforráscsoportokban. A szolgáltató bérlőjében lévő felhasználók ezután anélkül végezhetnek felügyeleti műveleteket az ügyfeleik nevében, hogy minden egyes ügyfélbérlelőbe be kellene jelentkezniük.

Amikor egy felhasználó, csoport vagy szolgáltatásnév a szolgáltató bérlőjében egy ügyfél bérlőjében lévő erőforrásokhoz fér hozzá, az Azure Resource Manager kérést kap. A Resource Manager ugyanúgy hitelesíti ezeket a kéréseket, mint az ügyfél saját bérlőjén belül a felhasználók által küldött kéréseket. Az Azure Lighthouse esetében ezt úgy teszi, hogy megerősíti, hogy két erőforrás – a regisztrációs definíció és a regisztrációs hozzárendelés – jelen van az ügyfél bérlőjében. Ha igen, a Resource Manager engedélyezi a hozzáférést az erőforrások által meghatározott információknak megfelelően.

A szolgáltató bérlőjében lévő felhasználók tevékenységeit a tevékenységnapló követi nyomon, amelyet az ügyfél bérlője tárol. Ez lehetővé teszi az ügyfél számára, hogy lássa, milyen módosításokat hajtottak végre, és ki által.

Az Azure Lighthouse működése

Magas szinten az Azure Lighthouse működése a következő:

1. Azonosítsa azokat a szerepköröket , amelyekre a csoportoknak, a szolgáltatásneveknek vagy a felhasználóknak szükségük lesz az ügyfél Azure-erőforrásainak kezelésére.
2. Adja meg ezt a hozzáférést, és helyezze üzembe az ügyfelet az Azure Lighthouse-ban egy felügyelt szolgáltatási ajánlat Azure Marketplace-en való közzétételével vagy egy Azure Resource Manager-sablon üzembe helyezésével. Ez az előkészítési folyamat létrehozza a fent leírt két erőforrást (regisztrációs definíció és regisztrációs hozzárendelés) az ügyfél bérlőjében.
3. Az ügyfél előkészítése után a jogosult felhasználók bejelentkeznek a felügyeleti bérlőbe, és a megadott hozzáférésen (előfizetésen vagy erőforráscsoporton) elvégzik a feladatokat. Az ügyfelek áttekinthetik az összes végrehajtott műveletet, és bármikor eltávolíthatják a hozzáférést.

Bár a legtöbb esetben csak egy szolgáltató kezeli az ügyfél adott erőforrásait, az ügyfél több delegálást is létrehozhat ugyanahhoz az előfizetéshez vagy erőforráscsoporthoz, így több szolgáltató is hozzáférhet. Ez a forgatókönyv olyan ISV-forgatókönyveket is lehetővé tesz, amelyek a szolgáltató bérlőjéből több ügyfélnek projektelnek erőforrásokat.

Következő lépések

• Tekintse át az Azure CLI - és Az Azure PowerShell-parancsokat a regisztrációs definíciók és a regisztrációs hozzárendelések használatához.
• Ismerje meg az Azure Lighthouse továbbfejlesztett szolgáltatásait és forgatókönyveit .
• További információ arról, hogyan működnek a bérlők, a felhasználók és a szerepkörök az Azure Lighthouse-jal.