Az üzembehelyezési hatókörök ismertetése

  • 6 perc

A virtuális gépeket, az Azure SQL logikai kiszolgálóit és adatbázisait, a tárfiókokat, a virtuális hálózatokat és a legtöbb más Azure-erőforrást egy erőforráscsoportba kell helyezni. Egyes erőforrások azonban más módon is üzembe helyezhetők vagy üzembe helyezhetők. Ezeket az erőforrásokat általában az Azure-környezet viselkedésének szabályozására használják.

Ebben a leckében áttekinti az Azure erőforrás-szervezeti hierarchiáját, és áttekinti, hogyan lehet egyes erőforrásokat különböző hatókörökben üzembe helyezni.

Az Azure-erőforráshierarchia

Az Azure hierarchikus erőforrás-struktúrával rendelkezik, több felügyeleti szinttel. Az alábbi ábra bemutatja, hogyan rendszerezheti a játékvállalat az Azure-környezetét:

Diagram showing an Azure tenant, three management groups, three subscriptions, and four resource groups.

A bérlő a Microsoft Entra-példánynak felel meg. A szervezetek általában csak egy Microsoft Entra-példányt tartalmazhatnak. Ez a példány az erőforráshierarchia gyökereként működik.

A felügyeleti csoportok lehetővé teszik az Azure-előfizetések rendszerezését. Minden bérlő egyetlen gyökérszintű felügyeleti csoportokkal rendelkezik, és saját felügyeleti csoportok hierarchiáját is létrehozhatja alatta. Létrehozhat külön felügyeleti csoportokat a szervezet különböző részeihez, vagy olyan előfizetésekhez, amelyek saját biztonsági vagy szabályozási követelményekkel rendelkeznek. Szabályzat- és hozzáférés-vezérlési korlátozásokat alkalmazhat a felügyeleti csoportokra, és a hierarchiában a felügyeleti csoport alatti összes előfizetés örökli ezeket a korlátozásokat. A felügyeleti csoportok nincsenek üzembe helyezve a régiókban, és nincs hatással az erőforrások helyére.

Az előfizetések számlázási fiókként működnek, és erőforráscsoportokat és erőforrásokat tartalmaznak. A felügyeleti csoportokhoz hasonlóan az előfizetéseknek sincs helyük, és nem korlátozzák az erőforrások üzembe helyezésének helyét.

Az erőforráscsoportok az erőforrások logikai tárolói. Az erőforráscsoportokkal egyetlen egységként kezelheti és szabályozhatja a kapcsolódó erőforrásokat. Az olyan erőforrásokat, mint a virtuális gépek, Azure-alkalmazás szolgáltatáscsomagok, tárfiókok és virtuális hálózatok, erőforráscsoportba kell helyezni. Az erőforráscsoportok egy helyen jönnek létre, hogy az Azure nyomon tudja követni a csoport erőforrásainak metaadatait, de a csoporton belüli erőforrások más helyekre is üzembe helyezhetők.

A korábban bemutatott példa egy meglehetősen alapszintű forgatókönyv, amely bemutatja, hogyan használhatja a felügyeleti csoportokat. A szervezet fontolóra vehet egy célzóna implementálását is, amely az azure-erőforrások és konfigurációk egy készlete, amelyet az éles Azure-környezet használatának megkezdéséhez kell elvégeznie. A nagyvállalati szintű célzóna bevált módszer arra, hogy felügyeleti csoportokat és előfizetéseket használjon az Azure-erőforrások hatékony kezeléséhez:

Diagram of an enterprise-scale landing-zone architecture, with four management groups and four subscriptions.

Bármelyik modellt is követi, a hierarchia különböző szintjeinek megismerésével rugalmas vezérlőket alkalmazhat az Azure-környezet használatának és felügyeletének módjára. A Bicep használatával ezeket a vezérlőket az infrastruktúra minden előnyével kezelheti kódként.

Megjegyzés:

Vannak más erőforrások is, amelyek adott hatókörökben vannak üzembe helyezve. A bővítményerőforrások egy másik Azure-erőforrás hatókörében vannak üzembe helyezve. Az erőforrás-zárolás például egy bővítményerőforrás, amely egy erőforráson, például egy tárfiókon van üzembe helyezve.

Már ismeri az erőforrások erőforráscsoportokban való üzembe helyezését, ezért nézzük meg az üzembe helyezés egyéb hatóköreit.

Előfizetés-hatókörű erőforrások

Az erőforrásokat a következő esetekben helyezheti üzembe egy előfizetésben:

  • Létre kell hoznia egy új erőforráscsoportot. Az erőforráscsoportok valójában csak előfizetés-hatókörű erőforrások.
  • Hozzáférést kell adnia az előfizetés összes erőforrásához. Ha például a HR-részleg rendelkezik egy Azure-előfizetéssel, amely tartalmazza a részleg összes Azure-erőforrását, szerepkör-hozzárendeléseket hozhat létre, amelyek lehetővé teszik, hogy a HR-részleg minden tagja elolvassa az előfizetés tartalmát.
  • Az Azure Policyt használja, és szabályzatot szeretne definiálni vagy alkalmazni az előfizetés összes erőforrására. A toy cég R&D részlege például egy olyan szabályzat üzembe helyezését kérte, amely korlátozza a csapat előfizetésében létrehozható virtuálisgép-termékváltozatok listáját.

Felügyeleti csoport hatókörű erőforrások

A következő esetekben helyezhet üzembe erőforrásokat egy felügyeleti csoportban:

  • A felügyeleti csoport hierarchiája alá tartozó előfizetések összes erőforrásához hozzáférést kell adnia. Előfordulhat például, hogy a felhőüzemeltetési csapatnak hozzáférésre van szüksége a szervezet összes előfizetéséhez. Létrehozhat egy szerepkör-hozzárendelést a gyökérszintű felügyeleti csoportban, amely hozzáférést biztosít a felhőüzemeltetési csapatnak az Azure-ban mindenhez.

    Figyelem

    Legyen rendkívül óvatos, ha felügyeleti csoportokkal, különösen a gyökérszintű felügyeleti csoporttal biztosít hozzáférést az erőforrásokhoz. Ne feledje, hogy a hierarchia felügyeleti csoportjának minden erőforrása örökli a szerepkör-hozzárendelést. Győződjön meg arról, hogy a szervezet betartja az identitáskezelés és -hitelesítés ajánlott eljárásait, és hogy az a minimális jogosultság elvét követi; vagyis ne adjon meg olyan hozzáférést, amely nem szükséges.

  • Szabályzatokat kell alkalmaznia a teljes szervezetben. Előfordulhat például, hogy a szervezet olyan szabályzattal rendelkezik, amely szerint az erőforrások semmilyen körülmények között nem hozhatók létre bizonyos földrajzi régiókban. Alkalmazhat egy szabályzatot a gyökérszintű felügyeleti csoportra, amely letiltja az erőforrások létrehozását az adott régióban.

Megjegyzés:

Mielőtt első alkalommal használ felügyeleti csoportokat, állítsa be őket az Azure-környezethez.

Bérlői hatókörű erőforrások

A következő esetekben helyezhet üzembe erőforrásokat a bérlőn:

  • Azure-előfizetéseket kell létrehoznia. Felügyeleti csoportok használata esetén az előfizetések felügyeleti csoportok alatt találhatók az erőforráshierarchiában, de az előfizetés bérlői hatókörű erőforrásként van üzembe helyezve.

    Megjegyzés:

    Nem minden Azure-ügyfél hozhat létre előfizetéseket az infrastruktúra kódként való használatával. A Microsofttal fennálló számlázási kapcsolatától függően előfordulhat, hogy ez nem lehetséges. For more information, see Create Azure subscriptions programmatically.

  • Felügyeleti csoportokat hoz létre vagy konfigurál. Az Azure egyetlen gyökérszintű felügyeleti csoportot hoz létre, amikor engedélyezi a felügyeleti csoportokat a bérlő számára, és több felügyeleti csoportot is létrehozhat alatta. A Bicep használatával definiálhatja a teljes felügyeleti csoporthierarchiát. Előfizetéseket felügyeleti csoportokhoz is hozzárendelhet.

    A Bicep használatával üzembe helyezéseket küldhet a bérlő hatókörébe. A bérlői hatókörű üzemelő példányok különleges engedélyt igényelnek. A gyakorlatban azonban nem kell bérlői hatókörű üzembe helyezéseket küldenie. Egyszerűbb inkább bérlői hatókörű erőforrásokat üzembe helyezni egy másik hatókörű sablon használatával. Ezt a modul későbbi részében láthatja.

    Tipp.

    A bérlő hatókörében nem hozhat létre szabályzatokat vagy szerepkör-hozzárendeléseket. Ha azonban hozzáférést kell adnia vagy szabályzatokat kell alkalmaznia a teljes szervezetben, ezeket az erőforrásokat üzembe helyezheti a gyökérszintű felügyeleti csoportban.

Erőforrás-azonosítók

Mostanra már ismeri az előfizetéseken belül élő erőforrások erőforrás-azonosítóit. Íme például egy erőforrás-azonosító, amely egy erőforráscsoportot jelöl, amely előfizetés-hatókörű erőforrás:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c/resourceGroups/ToyDevelopment

Íme egy vizualizáció, amely ugyanazokat az információkat jeleníti meg:

Screenshot of a Resource ID for a resource group.

Maguk az előfizetések rendelkeznek saját azonosítókkal, például a következőkkel:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c

Megjegyzés:

Bár az előfizetések felügyeleti csoportok gyermekeinek számítanak, az erőforrás-azonosítóik nem tartalmazzák a felügyeleti csoport azonosítóját. Az Azure az előfizetések és felügyeleti csoportok közötti kapcsolatot a többi erőforrás-kapcsolattól eltérő módon követi nyomon. Ez lehetővé teszi az előfizetések felügyeleti csoportok közötti áthelyezését anélkül, hogy az összes erőforrásazonosítót módosítania kellene.

Ha egy felügyeleti csoport vagy bérlő hatókörében dolgozik erőforrásokkal, az erőforrás-azonosítók a szokásostól kissé eltérőnek tűnhetnek. Ezek többnyire az erőforrástípus és az adott erőforrások információinak összekapcsolásának szabványos mintáját követik. Az adott formátum azonban attól az erőforrástól függ, amellyel dolgozik.

Íme egy példa erőforrás-azonosító egy felügyeleti csoporthoz:

/providers/Microsoft.Management/managementGroups/ProductionMG

Így néz ki:

Screenshot of a Resource ID for a management group.

Megjegyzés:

A felügyeleti csoportok azonosítóval és megjelenítendő névvel is rendelkeznek. A megjelenített név a felügyeleti csoport ember által olvasható leírása. A megjelenítendő nevet a felügyeleti csoport azonosítójának befolyásolása nélkül módosíthatja.

Ha egy erőforrás felügyeleti csoport hatókörében van üzembe helyezve, az erőforrás-azonosítója tartalmazza a felügyeleti csoport azonosítóját. Íme egy példa erőforrás-azonosító egy felügyeleti csoport hatókörében létrehozott szerepkördefinícióhoz:

/providers/Microsoft.Management/managementGroups/ProductionMG/providers/Microsoft.Authorization/roleDefinitions/d79b8492-6f38-49f9-99e6-b2e667d4f3ca

Íme egy vizualizáció ugyanahhoz az azonosítóhoz:

Screenshot of a Resource ID for a role definition that's deployed at a management group scope.

Egy másik szerepkördefiníció is definiálható egy előfizetés hatókörében, így az erőforrás-azonosítója egy kicsit másképp néz ki:

/subscriptions/f0750bbe-ea75-4ae5-b24d-a92ca601da2c/providers/Microsoft.Authorization/roleDefinitions/d79b8492-6f38-49f9-99e6-b2e667d4f3ca

Íme egy vizualizáció ugyanahhoz az azonosítóhoz:

Screenshot of a Resource ID for a role definition that's deployed at a subscription scope.

Most, hogy megismerte az Azure-erőforráshierarchiát és az egyes hatókörökben üzembe helyezhető erőforrások típusait, döntéseket hozhat az erőforrások üzembe helyezésének hatóköreiről. Megalapozott döntést hozhat például arról, hogy létre kell-e hoznia egy szabályzatdefiníciót egy erőforráscsoport, előfizetés vagy felügyeleti csoport hatókörében. A következő leckében megtudhatja, hogyan hozhat létre olyan Bicep-fájlokat, amelyek az egyes hatóköröket célják.