Multitenancy en Azure Resource Manager
Azure Resource Manager is de belangrijkste resourcebeheerservice voor Azure. Elke resource in Azure wordt gemaakt, beheerd en uiteindelijk verwijderd via Resource Manager. Wanneer u een multitenant-oplossing bouwt, werkt u vaak samen met Resource Manager om resources dynamisch in te richten voor elke tenant. Op deze pagina beschrijven we enkele functies van Resource Manager die relevant zijn voor multitenant-oplossingen. We bieden ook koppelingen naar richtlijnen die u kunnen helpen bij het gebruik van Resource Manager.
Functies van Resource Manager die ondersteuning bieden voor multitenancy
Infrastructuur als code
Resource Manager biedt hulpprogramma's ter ondersteuning van infrastructuur als code, ook wel IaC genoemd. Het definiëren van infrastructuur als code is een goede gewoonte voor alle oplossingen in de cloud, maar wanneer u met multitenant-oplossingen werkt, wordt het met name belangrijk. Voor een multitenant-oplossing moet u vaak implementaties schalen en nieuwe resources inrichten wanneer u nieuwe tenants onboardt. Als u handmatig resources maakt of configureert, introduceert u extra risico's en tijd voor het proces. Een handmatige benadering resulteert in een minder betrouwbaar implementatieproces in het algemeen.
Wanneer u uw infrastructuur als code implementeert vanuit een implementatiepijplijn, raden we u aan Bicep te gebruiken. Dit is een taal die speciaal is ontworpen voor het implementeren en beheren van Azure-resources op een declaratieve manier. U kunt ook JSON Azure Resource Manager-sjablonen (ARM-sjablonen), Terraform of andere producten van derden gebruiken die toegang hebben tot de onderliggende Resource Manager-API's.
Implementatiestacks bieden de mogelijkheid om een set resources als één eenheid te beheren, zelfs als ze zijn verdeeld over resourcegroepen of abonnementen. Implementatiestacks kunnen handig zijn als u meerdere tenantspecifieke resources op verschillende locaties inricht en vervolgens de levenscyclus moet beheren als één logische eenheid.
Sjabloonspecificaties kunnen handig zijn voor het inrichten van nieuwe resources, implementatiestempels of omgevingen van één en goed geparameteriseerde sjabloon. Met behulp van sjabloonspecificaties kunt u een centrale opslagplaats maken van de sjablonen die u gebruikt om uw tenantspecifieke infrastructuur te implementeren. De sjablonen worden opgeslagen en beheerd in Azure zelf en u kunt de sjabloonspecificaties opnieuw gebruiken wanneer u ze moet implementeren.
In sommige oplossingen kunt u ervoor kiezen om aangepaste code te schrijven om resources dynamisch in te richten of te configureren, of om een sjabloonimplementatie te starten. De Azure SDK's kunnen worden gebruikt vanuit uw eigen code om uw Azure-omgeving te beheren. Zorg ervoor dat u goede procedures volgt voor het beheren van de verificatie van uw toepassing voor Resource Manager en gebruik beheerde identiteiten om te voorkomen dat referenties worden opgeslagen en beheerd.
Op rollen gebaseerd toegangsbeheer
Op rollen gebaseerd toegangsbeheer (Azure RBAC) biedt een verfijnde benadering voor het beheren van toegang tot uw Azure-resources. Overweeg in een oplossing met meerdere tenants of u resources hebt waarop specifiek Azure RBAC-beleid moet worden toegepast. U hebt bijvoorbeeld een aantal tenants met bijzonder gevoelige gegevens en u moet RBAC mogelijk toepassen om toegang te verlenen aan bepaalde personen, zonder dat andere personen in uw organisatie worden opgenomen. Op dezelfde manier kunnen tenants vragen om rechtstreeks toegang te krijgen tot hun Azure-resources, bijvoorbeeld tijdens een controle. Als u ervoor kiest om dit toe te staan, kunt u met een fijn bereik van RBAC-machtigingen toegang verlenen tot de gegevens van een tenant, zonder toegang te verlenen tot de gegevens van andere tenants.
Tags
Met tags kunt u aangepaste metagegevens toevoegen aan uw Azure-resources, -resourcegroepen en -abonnementen. Overweeg om uw tenantspecifieke resources te taggen met de tenant-id, zodat u uw Azure-kosten eenvoudig kunt bijhouden en toewijzen, en om uw resourcebeheer te vereenvoudigen.
Azure-resourcequota
Resource Manager is een van de punten in Azure waarmee limieten en quota worden afgedwongen. Deze quota zijn belangrijk om in uw ontwerpproces rekening mee te houden. Alle Azure-resources hebben limieten waaraan moet worden voldaan en deze limieten omvatten het aantal aanvragen dat binnen een bepaalde periode kan worden gedaan met Resource Manager. Als u deze limiet overschrijdt, beperkt Resource Manager de aanvragen.
Wanneer u een multitenant-oplossing bouwt die geautomatiseerde implementaties uitvoert, bereikt u deze limieten mogelijk sneller dan andere klanten. Op dezelfde manier kunnen multitenant-oplossingen die grote hoeveelheden infrastructuur inrichten de limieten activeren.
Elke Azure-service wordt beheerd door een resourceprovider, die ook zijn eigen limieten kan definiëren. De Azure Compute-resourceprovider beheert bijvoorbeeld het inrichten van virtuele machines en definieert limieten voor het aantal aanvragen dat in een korte periode kan worden gedaan. Sommige andere resourceproviderlimieten worden beschreven in resourceproviderlimieten.
Als u het risico loopt om de limieten te overschrijden die zijn gedefinieerd door Resource Manager of een resourceprovider, kunt u de volgende oplossingen overwegen:
- Shard uw workload in meerdere Azure-abonnementen.
- Gebruik meerdere resourcegroepen binnen abonnementen.
- Verzend aanvragen van verschillende Microsoft Entra-principals.
- Vraag aanvullende quotumtoewijzingen aan. Over het algemeen worden quotatoewijzingsaanvragen ingediend door een ondersteuningsaanvraag te openen, hoewel sommige services API's bieden voor deze aanvragen, zoals voor gereserveerde instanties van virtuele machines.
De oplossingen die u selecteert, moeten geschikt zijn voor de specifieke limiet die u tegenkomt.
Isolatiemodellen
In sommige multitenant-oplossingen kunt u besluiten afzonderlijke of toegewezen resources voor elke tenant te implementeren. Resource Manager biedt verschillende modellen die u kunt gebruiken om resources te isoleren, afhankelijk van uw vereisten en de reden waarom u ervoor kiest om de resources te isoleren. Zie de Azure-resourceorganisatie in multitenant-oplossingen voor hulp bij het isoleren van uw Azure-resources.
Medewerkers
Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.
Hoofdauteur:
- John Downs | Principal Software Engineer
Andere inzender:
- Arsen Vladimirskiy | Principal Customer Engineer, FastTrack voor Azure
Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.
Volgende stappen
Bekijk de implementatie- en configuratiemethoden voor multitenancy.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor