Comprendere gli ambiti di distribuzione
Le macchine virtuali, i server logici e i database SQL di Azure, gli account di archiviazione, le reti virtuali e la maggior parte delle altre risorse di Azure devono essere inseriti in un gruppo di risorse. Tuttavia, alcune risorse possono o devono essere distribuite in modo diverso. Queste risorse vengono in genere usate per controllare il comportamento dell'ambiente Azure.
In questa unità si esaminerà la gerarchia dell'organizzazione delle risorse di Azure e si esaminerà il modo in cui alcune risorse potrebbero essere distribuite in vari ambiti.
Gerarchia delle risorse di Azure
Azure ha una struttura di risorse gerarchica con più livelli di gestione. Di seguito è riportato un diagramma che illustra come l'azienda di giocattoli potrebbe organizzare l'ambiente Azure:
Il tenant corrisponde all'istanza di Microsoft Entra. Un'organizzazione dispone in genere di una sola istanza di Microsoft Entra. Questa istanza funge da radice della gerarchia di risorse.
I gruppi di gestione consentono di organizzare le sottoscrizioni di Azure. Ogni tenant ha un singolo gruppo di gestione radice ed è possibile stabilire la propria gerarchia di gruppi di gestione al suo sotto. È possibile creare gruppi di gestione separati per le varie parti dell'organizzazione o per le sottoscrizioni con requisiti di sicurezza o governance specifici. È possibile applicare i criteri e le restrizioni di controllo di accesso ai gruppi di gestione nella gerarchia, e tutte le sottoscrizioni al di sotto di quel gruppo di gestione ereditano queste restrizioni. I gruppi di gestione non vengono distribuiti nelle aree e non hanno alcun impatto sulle posizioni delle risorse.
Le sottoscrizioni fungono da account di fatturazione e contengono gruppi di risorse e risorse. Come i gruppi di gestione, le sottoscrizioni non hanno una posizione e non limitano la posizione in cui vengono distribuite le risorse.
I gruppi di risorse sono contenitori logici per le risorse. Con i gruppi di risorse è possibile gestire e controllare le risorse correlate come singola unità. Le risorse come macchine virtuali, piani di servizio app di Azure, account di archiviazione e reti virtuali devono essere inserite in un gruppo di risorse. I gruppi di risorse vengono creati in una posizione in modo che Azure possa tenere traccia dei metadati per le risorse nel gruppo, ma le risorse all'interno del gruppo possono essere distribuite in altre posizioni.
L'esempio illustrato in precedenza è uno scenario piuttosto semplice che illustra come usare i gruppi di gestione. L'organizzazione può anche prendere in considerazione l'implementazione di una zona di destinazione, ovvero un set di risorse di Azure e una configurazione necessari per iniziare a usare un ambiente di azure di produzione. La zona di destinazione su scala aziendale è un approccio collaudato all'uso di gruppi di gestione e sottoscrizioni per gestire in modo efficace le risorse di Azure:
Indipendentemente dal modello seguito, comprendendo i vari livelli della gerarchia, è possibile iniziare ad applicare controlli flessibili sul modo in cui viene usato e gestito l'ambiente di Azure. Usando Bicep, è possibile gestire questi controlli con tutti i vantaggi dell'infrastruttura come codice.
Annotazioni
Esistono anche altre risorse distribuite in ambiti specifici. Le risorse di estensione vengono distribuite nell'ambito di un'altra risorsa di Azure. Ad esempio, un blocco di risorse è una risorsa di estensione, che viene distribuita in una risorsa, ad esempio un account di archiviazione.
Siete già familiari con la distribuzione delle risorse nei gruppi di risorse, quindi esaminiamo gli altri ambiti per la distribuzione.
Risorse con ambito sottoscrizione
È possibile distribuire le risorse in una sottoscrizione quando:
- È necessario creare un nuovo gruppo di risorse. Un gruppo di risorse è in realtà solo una risorsa con ambito sottoscrizione.
- È necessario concedere l'accesso a tutte le risorse all'interno di una sottoscrizione. Ad esempio, se il reparto risorse umane ha una sottoscrizione di Azure che contiene tutte le risorse di Azure del reparto, è possibile creare assegnazioni di ruolo per consentire a tutti gli utenti del reparto risorse umane di leggere il contenuto della sottoscrizione.
- Si stanno utilizzando Azure Policy e si vuole definire o applicare una politica a tutte le risorse all'interno della sottoscrizione. Ad esempio, il reparto di ricerca e sviluppo dell'azienda di giocattoli chiede di distribuire un criterio che limita l'elenco di SKU di macchine virtuali che è possibile creare all'interno della sottoscrizione del team.
Risorse con ambito gruppo di gestione
È possibile distribuire le risorse in un gruppo di gestione quando:
È necessario concedere l'accesso a tutte le risorse all'interno di tutte le sottoscrizioni che rientrano nella gerarchia dei gruppi di gestione. Ad esempio, il team delle operazioni cloud potrebbe richiedere l'accesso a ogni sottoscrizione dell'organizzazione. È possibile creare un'assegnazione di ruolo nel gruppo di gestione principale, che concede al team operativo cloud l'accesso completo a tutte le risorse in Azure.
Attenzione
Prestare particolare attenzione quando si concede l'accesso alle risorse usando i gruppi di gestione e soprattutto il gruppo di gestione radice. Tenere presente che ogni risorsa nel gruppo di gestione nella gerarchia eredita l'assegnazione di ruolo. Assicurarsi che l'organizzazione segua le procedure consigliate per la gestione delle identità e l'autenticazione e che segua il principio dei privilegi minimi; ovvero, non concedere alcun accesso non necessario.
È necessario applicare criteri all'intera organizzazione. Ad esempio, l'organizzazione potrebbe avere criteri che le risorse non possono essere create in determinate aree geografiche, in alcuna circostanza. È possibile applicare un criterio di gestione al gruppo di gestione principale che bloccherà la creazione di risorse in quella regione.
Annotazioni
Prima di usare i gruppi di gestione per la prima volta, configurarli per l'ambiente Azure.
Risorse con ambito tenant
È possibile distribuire le risorse nel tenant quando:
È necessario creare sottoscrizioni di Azure. Quando si utilizzano i gruppi di gestione, le sottoscrizioni si trovano all'interno dei gruppi di gestione nella gerarchia delle risorse, ma una sottoscrizione viene distribuita come risorsa a livello di tenant.
Annotazioni
Non tutti i clienti di Azure possono creare sottoscrizioni usando l'infrastruttura come codice. A seconda della relazione di fatturazione con Microsoft, questo potrebbe non essere possibile. Per altre informazioni, vedere Creare sottoscrizioni di Azure a livello di codice.
Si creano o si configurano gruppi di gestione. Azure crea un singolo gruppo di gestione radice quando si abilitano i gruppi di gestione per il tenant ed è possibile creare più livelli di gruppi di gestione. È possibile usare Bicep per definire l'intera gerarchia del gruppo di gestione. È anche possibile assegnare sottoscrizioni ai gruppi di gestione.
Con Bicep è possibile inviare distribuzioni all'ambito del tenant. Le distribuzioni con ambito tenant richiedono un'autorizzazione speciale. In pratica, tuttavia, non è necessario inviare distribuzioni con ambito tenant. È più semplice distribuire invece risorse con ambito tenant usando un modello in un ambito diverso. Questa operazione verrà illustrata più avanti in questo modulo.
Suggerimento
Non è possibile creare criteri o assegnazioni di ruolo a livello di tenant. Tuttavia, se è necessario concedere l'accesso o applicare criteri nell'intera organizzazione, è possibile distribuire queste risorse nel gruppo di gestione radice.
ID risorsa
Si ha già familiarità con gli ID delle risorse che risiedono all'interno delle sottoscrizioni. Ad esempio, di seguito è riportato un ID risorsa che rappresenta un gruppo di risorse, ovvero una risorsa con ambito sottoscrizione:
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ToyDevelopment
Ecco una rappresentazione visiva delle stesse informazioni:
Screenshot di un ID risorsa appartenente a un gruppo di risorse.
Le sottoscrizioni hanno i propri ID, come illustrato di seguito:
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
Annotazioni
Anche se le sottoscrizioni sono considerate elementi figlio dei gruppi di gestione, i relativi ID risorsa non includono un ID gruppo di gestione. Azure tiene traccia della relazione tra sottoscrizioni e gruppi di gestione in modo diverso da altre relazioni tra risorse. In questo modo è possibile spostare le sottoscrizioni tra gruppi di gestione senza dover modificare tutti gli ID risorsa.
Quando si lavora con le risorse in un gruppo di gestione o in un ambito tenant, gli ID risorsa possono avere un aspetto leggermente diverso rispetto al normale. Seguono principalmente il modello standard di alternare il tipo di risorsa con le informazioni sulle risorse specifiche. Tuttavia, il formato specifico dipende dalla risorsa con cui si sta lavorando.
Ecco un ID risorsa di esempio per un gruppo di gestione:
/providers/Microsoft.Management/managementGroups/ProductionMG
Ecco l'aspetto seguente:
Annotazioni
I gruppi di gestione hanno sia un identificatore che un nome visualizzato. Il nome visualizzato è una descrizione leggibile del gruppo di gestione. È possibile modificare il nome visualizzato senza influire sull'ID del gruppo di gestione.
Quando una risorsa viene distribuita nell'ambito di un gruppo di gestione, il relativo ID risorsa include l'ID del gruppo di gestione. Di seguito è riportato un ID risorsa di esempio per una definizione di ruolo creata in un ambito del gruppo di gestione:
/providers/Microsoft.Management/managementGroups/ProductionMG/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000
Ecco una rappresentazione visiva dello stesso ID:
Un'altra definizione di ruolo potrebbe essere definita in un ambito di sottoscrizione, quindi l'ID risorsa avrà un aspetto leggermente diverso:
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000
Ecco una rappresentazione visiva dello stesso ID:
Dopo aver compreso la gerarchia delle risorse di Azure e i tipi di risorse che è possibile distribuire in ogni ambito, è possibile prendere decisioni sugli ambiti in cui distribuire le risorse. Ad esempio, è possibile scegliere in modo informato se creare una definizione di criteri nell'ambito di un gruppo di risorse, di una sottoscrizione o di un gruppo di gestione. Nell'unità successiva si apprenderà come creare file Bicep destinati a ognuno di questi ambiti.