Omówienie aplikacji zarządzanych platformy Azure

  • Artykuł

Aplikacje zarządzane platformy Azure umożliwiają oferowanie rozwiązań w chmurze, które są łatwe dla klientów do wdrażania i obsługi. Jako wydawca wdrażasz infrastrukturę i możesz zapewnić ciągłą pomoc techniczną. Aby udostępnić aplikację zarządzaną wszystkim klientom, opublikuj ją w Azure Marketplace. Aby udostępnić ją tylko użytkownikom w organizacji, opublikuj ją w wewnętrznym katalogu usług.

Aplikacja zarządzana jest podobna do szablonu rozwiązania w Azure Marketplace z jedną kluczową różnicą. W aplikacji zarządzanej zasoby są wdrażane w zarządzanej grupie zasobów zarządzanej przez wydawcę aplikacji lub przez klienta. Zarządzana grupa zasobów znajduje się w subskrypcji klienta, ale tożsamość w dzierżawie wydawcy może mieć dostęp do zarządzanej grupy zasobów. Jako wydawca, jeśli zarządzasz aplikacją, określisz koszt bieżącej pomocy technicznej rozwiązania.

Uwaga

Dokumentacja dostawców niestandardowych platformy Azure używana do dołączania do aplikacji zarządzanych. Ta dokumentacja została przeniesiona do dostawców niestandardowych platformy Azure.

Uprawnienia wydawcy i klienta

W przypadku zarządzanej grupy zasobów dostęp do zarządzania wydawcy i przypisanie odmowy klienta są opcjonalne. Istnieją różne scenariusze uprawnień dostępne na podstawie potrzeb wydawcy i klienta dla aplikacji zarządzanej.

  • Zarządzane przez wydawcę: program Publisher ma dostęp do zasobów w zarządzanej grupie zasobów w dzierżawie platformy Azure klienta. Dostęp klienta do zarządzanej grupy zasobów jest ograniczony przez przypisanie odmowy. Program Publisher managed to domyślny scenariusz uprawnień aplikacji zarządzanej.
  • Dostęp wydawcy i klienta: wydawca i klient mają pełny dostęp do zarządzanej grupy zasobów. Przypisanie odmowy zostanie usunięte.
  • Tryb zablokowany: program Publisher nie ma dostępu do wdrożonej aplikacji zarządzanej ani zarządzanej grupy zasobów przez klienta. Dostęp klienta jest ograniczony przez przypisanie odmowy.
  • Zarządzany przez klienta: Klient ma pełny dostęp do zarządzania zarządzaną grupą zasobów, a dostęp wydawcy zostanie usunięty. Nie ma przypisania odmowy. Program Publisher opracowuje aplikację i publikuje w Azure Marketplace, ale nie zarządza aplikacją. Program Publisher licencje aplikacji na rozliczenia za pośrednictwem Azure Marketplace.

Zalety korzystania ze scenariuszy uprawnień:

  • Ze względów bezpieczeństwa wydawcy nie chcą trwałego dostępu do zarządzania do zarządzanej grupy zasobów, dzierżawy klienta ani danych w zarządzanej grupie zasobów.
  • Wydawcy chcą usunąć przypisanie odmowy, aby klienci zarządzali aplikacją. Program Publisher nie musi zarządzać przypisaniem odmowy, aby włączyć lub wyłączyć akcje dla klienta. Na przykład akcja, podobna do ponownego uruchomienia maszyny wirtualnej w aplikacji zarządzanej.
  • Zapewnij klientom pełną kontrolę nad zarządzaniem aplikacją, aby wydawcy nie musieli być dostawcą usług w celu zarządzania aplikacją.

Zalety związane z używaniem aplikacji zarządzanych

Aplikacje zarządzane zmniejszają bariery dla klientów korzystających z rozwiązań. Nie muszą oni dysponować wiedzą na temat infrastruktury w chmurze. W zależności od uprawnień skonfigurowanych przez wydawcę klienci mogą mieć ograniczony dostęp do krytycznych zasobów i nie muszą martwić się o popełnienie błędu podczas zarządzania nim.

Aplikacje zarządzane umożliwiają ustanawianie bieżących relacji z klientami. Definiujesz terminy dotyczące zarządzania aplikacją, a wszystkie opłaty są obsługiwane za pośrednictwem rozliczeń platformy Azure.

Mimo że klienci wdrażają aplikacje zarządzane w swoich subskrypcjach, nie muszą ich obsługiwać, aktualizować ani obsługiwać. Istnieją jednak uprawnienia, które umożliwiają klientowi pełny dostęp do zasobów w zarządzanej grupie zasobów. Można zagwarantować, że wszyscy klienci używają zatwierdzonych wersji. Klienci nie zarządzają aplikacjami, więc nie wymaga się od nich znajomości domeny specyficznej dla aplikacji. Automatycznie otrzymują oni aktualizacje aplikacji i nie muszą rozwiązywać problemów ani diagnozować usterek związanych z aplikacjami.

W przypadku zespołów IT aplikacje zarządzane umożliwiają oferowanie wstępnie zatwierdzonych rozwiązań użytkownikom w organizacji. Wiesz, że te rozwiązania są zgodne ze standardami używanymi w organizacji.

Aplikacje zarządzane obsługują tożsamości zarządzane dla zasobów platformy Azure.

Typy aplikacji zarządzanych

Aplikację zarządzaną można opublikować wewnętrznie w katalogu usług lub zewnętrznie w Azure Marketplace.

Diagram przedstawiający sposób publikowania aplikacji zarządzanej w katalogu usług lub Azure Marketplace.

Wykaz usług

Wykaz usług to wewnętrzny katalog zatwierdzonych rozwiązań, przeznaczonych dla użytkowników w organizacji. Katalog jest używany do spełnienia standardów organizacyjnych i oferowania rozwiązań dla organizacji. Pracownicy korzystają z wykazu usług, aby znaleźć aplikacje, które są zalecane i zatwierdzone przez działy IT. Mogą oni uzyskiwać dostęp do zarządzanych aplikacji udostępnianych innym osobom w organizacji.

Aby uzyskać informacje na temat publikowania aplikacji zarządzanej w katalogu usług, zobacz Szybki start: tworzenie i publikowanie definicji aplikacji zarządzanej.

Azure Marketplace

Dostawcy, którzy chcą rozliczać swoje usługi, mogą udostępnić aplikację zarządzaną za pośrednictwem Azure Marketplace. Po opublikowaniu aplikacji przez dostawcę jest ona dostępna dla użytkowników spoza organizacji. Dzięki temu podejściu dostawca usług zarządzanych (MSP), niezależny dostawca oprogramowania (ISV) lub integrator systemu (SI) może oferować swoje rozwiązania wszystkim klientom platformy Azure.

Aby uzyskać informacje na temat publikowania aplikacji zarządzanej w celu Azure Marketplace, zobacz Tworzenie oferty aplikacji platformy Azure.

Grupy zasobów aplikacji zarządzanych

Zazwyczaj zasoby aplikacji zarządzanej znajdują się w dwóch grupach zasobów. Klient zarządza jedną grupą zasobów, a wydawca zarządza inną grupą zasobów. Po zdefiniowaniu aplikacji zarządzanej wydawca określa poziomy dostępu. Wydawca może zażądać stałego przypisania roli lub dostępu just in time dla przydziału ograniczonego do okresu. Wydawcy mogą również skonfigurować aplikację zarządzaną, aby nie było dostępu wydawcy.

Ograniczanie dostępu do operacji na danych nie jest obecnie obsługiwane dla wszystkich dostawców danych na platformie Azure.

Na poniższej ilustracji przedstawiono relację między subskrypcją platformy Azure klienta a subskrypcją platformy Azure wydawcy, która jest domyślnym uprawnieniem zarządzanym przez wydawcę . Zarządzana aplikacja i zarządzana grupa zasobów znajdują się w subskrypcji klienta. Wydawca ma dostęp do zarządzanej grupy zasobów w celu utrzymania zasobów aplikacji zarządzanej. Wydawca umieszcza blokadę tylko do odczytu (przypisanie odmowy) w zarządzanej grupie zasobów, która ogranicza dostęp klienta do zarządzania zasobami. Tożsamości wydawcy, które mają dostęp do zarządzanej grupy zasobów, są wykluczone z blokady.

Diagram przedstawiający relację między subskrypcjami platformy Azure klienta i wydawcy dla zarządzanej grupy zasobów.

Dostęp do zarządzania, jak pokazano na obrazie, można zmienić. Klient może mieć pełny dostęp do zarządzanej grupy zasobów. Dostęp wydawcy do zarządzanej grupy zasobów można usunąć.

Grupa zasobów aplikacji

Ta grupa zasobów zawiera wystąpienie aplikacji zarządzanej. Może ona zawierać tylko jeden zasób. Typ zasobu aplikacji zarządzanej to Microsoft.Solutions/applications.

Klient ma pełny dostęp do grupy zasobów i używa go do zarządzania cyklem życia aplikacji zarządzanej.

Zarządzana grupa zasobów

Ta grupa zasobów zawiera wszystkie zasoby, które są wymagane przez aplikację zarządzaną. Na przykład maszyny wirtualne aplikacji, konta magazynu i sieci wirtualne. Klient może mieć ograniczony dostęp do tej grupy zasobów, ponieważ jeśli nie zostaną zmienione opcje uprawnień, klient nie zarządza poszczególnymi zasobami dla aplikacji zarządzanej. Dostęp wydawcy do grupy zasobów odpowiada roli określonej w definicji aplikacji zarządzanej. Na przykład wydawca może zażądać roli właściciela lub współautora dla tej grupy zasobów. Dostęp jest stały lub ograniczony do określonego czasu. Wydawca może nie mieć dostępu do zarządzanej grupy zasobów.

Po opublikowaniu aplikacji zarządzanej na platformie handlowej wydawca może przyznać klientom możliwość wykonywania określonych akcji dotyczących zasobów w zarządzanej grupie zasobów lub uzyskiwania pełnego dostępu. Na przykład wydawca może określić, że klienci mogą ponownie uruchamiać maszyny wirtualne. Wszystkie inne akcje poza akcjami odczytu są nadal odrzucane. Zmiany zasobów w zarządzanej grupie zasobów przez klienta z udzielonymi akcjami podlegają przypisaniom Azure Policy w ramach dzierżawy klienta w celu uwzględnienia zarządzanej grupy zasobów.

Gdy klient usunie aplikację zarządzaną, zarządzana grupa zasobów zostanie również usunięta.

Dostawca zasobów

Aplikacje zarządzane używają dostawcy zasobów z Microsoft.Solutions kodem JSON szablonu usługi ARM. Aby uzyskać więcej informacji, zobacz typy zasobów i wersje interfejsu API.

Azure Policy

Możesz zastosować Azure Policy do inspekcji aplikacji zarządzanej. Definicje zasad są stosowane, aby upewnić się, że wdrożone wystąpienia aplikacji zarządzanej spełniają wymagania dotyczące danych i zabezpieczeń. Jeśli aplikacja wchodzi w interakcje z danymi poufnymi, upewnij się, że oceniono sposoby ochrony tych danych. Jeśli na przykład aplikacja współdziała z danymi z platformy Microsoft 365, zastosuj definicję zasad, aby upewnić się, że szyfrowanie danych jest włączone.

Następne kroki

W tym artykule omówiono korzyści z używania aplikacji zarządzanych. Przejdź do następnego artykułu, aby utworzyć definicję aplikacji zarządzanej.

Szybki start: tworzenie i publikowanie definicji aplikacji zarządzanej platformy Azure