Architektura usługi Azure Lighthouse

Artykuł
10/18/2023

Usługa Azure Lighthouse pomaga dostawcom usług uprościć zaangażowanie klientów i środowiska dołączania, jednocześnie zarządzając delegowanymi zasobami na dużą skalę dzięki elastyczności i precyzji. Autoryzowani użytkownicy, grupy i jednostki usługi mogą pracować bezpośrednio w kontekście subskrypcji klienta bez posiadania konta w dzierżawie firmy Microsoft firmy Microsoft lub współwłaścicielem dzierżawy klienta. Mechanizm używany do obsługi tego dostępu jest nazywany delegowanym zarządzaniem zasobami platformy Azure.

Diagram illustrating Azure delegated resource management.

Napiwek

Usługa Azure Lighthouse może być również używana w przedsiębiorstwie, które ma wiele własnych dzierżaw firmy Microsoft Entra, aby uprościć zarządzanie między dzierżawami.

W tym temacie omówiono relację między dzierżawami w usłudze Azure Lighthouse i zasobami utworzonymi w dzierżawie klienta, które umożliwiają tę relację.

Uwaga

Dołączanie klienta do usługi Azure Lighthouse wymaga wdrożenia przez konto innego niż gość w dzierżawie klienta, który ma rolę z Microsoft.Authorization/roleAssignments/write uprawnieniem, takim jak Właściciel, dla dołączonej subskrypcji (lub zawierającej dołączane grupy zasobów).

Zasoby delegowania utworzone w dzierżawie klienta

Po dołączeniu subskrypcji lub grupy zasobów klienta do usługi Azure Lighthouse tworzone są dwa zasoby: definicja rejestracji i przypisanie rejestracji. Możesz użyć interfejsów API i narzędzi do zarządzania, aby uzyskać dostęp do tych zasobów lub pracować z nimi w witrynie Azure Portal.

Definicja rejestracji

Definicja rejestracji zawiera szczegóły oferty usługi Azure Lighthouse (identyfikator dzierżawy zarządzania oraz autoryzacje, które przypisują wbudowane role do określonych użytkowników, grup i/lub jednostek usługi w dzierżawie zarządzającej.

Definicja rejestracji jest tworzona na poziomie subskrypcji dla każdej delegowanej subskrypcji lub w każdej subskrypcji zawierającej delegowana grupę zasobów. W przypadku tworzenia definicji rejestracji przy użyciu interfejsów API należy pracować na poziomie subskrypcji. Na przykład przy użyciu programu Azure PowerShell należy użyć polecenia New-AzureRmDeployment przed utworzeniem nowej definicji rejestracji (New-AzManagedServicesDefinition), zamiast używania polecenia New-AzureRmResourceGroupDeployment.

Przypisanie rejestracji

Przypisanie rejestracji przypisuje definicję rejestracji do określonego zakresu — czyli dołączonych subskrypcji i/lub grup zasobów.

Przypisanie rejestracji jest tworzone w każdym zakresie delegowanym, więc będzie na poziomie grupy subskrypcji lub na poziomie grupy zasobów, w zależności od tego, co zostało dołączone.

Każde przypisanie rejestracji musi odwoływać się do prawidłowej definicji rejestracji na poziomie subskrypcji, wiążąc autoryzacje tego dostawcy usług z zakresem delegowanym, a tym samym udzielając dostępu.

Projekcja logiczna

Usługa Azure Lighthouse tworzy logiczne projekcje zasobów z jednej dzierżawy do innej dzierżawy. Dzięki temu autoryzowani użytkownicy dostawcy usług mogą logować się do własnej dzierżawy z autoryzacją do pracy w delegowanych subskrypcjach klientów i grupach zasobów. Użytkownicy w dzierżawie dostawcy usług mogą następnie wykonywać operacje zarządzania w imieniu swoich klientów bez konieczności logowania się do każdej dzierżawy klienta.

Za każdym razem, gdy użytkownik, grupa lub jednostka usługi w dzierżawie dostawcy usług uzyskuje dostęp do zasobów w dzierżawie klienta, usługa Azure Resource Manager otrzymuje żądanie. Usługa Resource Manager uwierzytelnia te żądania, podobnie jak w przypadku żądań wysyłanych przez użytkowników w ramach własnej dzierżawy klienta. W przypadku usługi Azure Lighthouse jest to możliwe, potwierdzając, że w dzierżawie klienta znajdują się dwa zasoby — definicja rejestracji i przypisanie rejestracji. Jeśli tak, usługa Resource Manager autoryzuje dostęp zgodnie z informacjami zdefiniowanymi przez te zasoby.

Diagram illustrating the logical projection in Azure Lighthouse.

Aktywność użytkowników w dzierżawie dostawcy usług jest śledzona w dzienniku aktywności, który jest przechowywany w dzierżawie klienta. Dzięki temu klient może zobaczyć , jakie zmiany zostały wprowadzone i przez kogo.

Jak działa usługa Azure Lighthouse

Na wysokim poziomie przedstawiono sposób działania usługi Azure Lighthouse dla dzierżawy zarządzającej:

Zidentyfikuj role , które grupy, jednostki usługi lub użytkownicy będą musieli zarządzać zasobami platformy Azure klienta.
Określ ten dostęp i dołącz klienta do usługi Azure Lighthouse, publikując ofertę usługi zarządzanej w witrynie Azure Marketplace lub wdrażając szablon usługi Azure Resource Manager. Ten proces dołączania tworzy dwa zasoby opisane powyżej (definicja rejestracji i przypisanie rejestracji) w dzierżawie klienta.
Po dołączeniu klienta autoryzowani użytkownicy logujący się do dzierżawy zarządzającej i wykonują zadania w określonym zakresie klienta (subskrypcji lub grupie zasobów) zgodnie z zdefiniowanym dostępem. Klienci mogą przeglądać wszystkie podjęte działania i mogą w dowolnym momencie usuwać dostęp.

Chociaż w większości przypadków tylko jeden dostawca usług będzie zarządzać określonymi zasobami dla klienta, klient może utworzyć wiele delegacji dla tej samej subskrypcji lub grupy zasobów, co umożliwi wielu dostawcom usług dostęp. Ten scenariusz umożliwia również scenariusze niezależnego dostawcy oprogramowania, które projektują zasoby z dzierżawy dostawcy usług do wielu klientów.

Następne kroki

Zapoznaj się z poleceniami interfejsu wiersza polecenia platformy Azure i programu Azure PowerShell , aby pracować z definicjami rejestracji i przypisaniami rejestracji.
Dowiedz się więcej na temat rozszerzonych usług i scenariuszy dla usługi Azure Lighthouse.
Dowiedz się więcej o sposobie pracy dzierżaw, użytkowników i ról z usługą Azure Lighthouse.