Planowanie aplikacji zarządzanej systemu Azure dla oferty aplikacji systemu Azure
Plan aplikacji zarządzanych platformy Azure to jeden ze sposobów publikowania oferty aplikacji platformy Azure w komercyjnej witrynie Marketplace. Jeśli jeszcze tego nie zrobiono, zapoznaj się z tematem Planowanie oferty aplikacja systemu Azure dla platformy handlowej. Aplikacje zarządzane to oferty transakcyjne, które są wdrażane i rozliczane za pośrednictwem witryny Marketplace. Użyj planów aplikacji zarządzanych, aby udostępniać i zarabiać na usługach zarządzanych.
Wymagania dotyczące oferty aplikacji zarządzanej
| Wymagania | Szczegóły |
|---|---|
| Rozliczenia i pomiary | Zasoby są udostępniane w subskrypcji platformy Azure klienta. Maszyny wirtualne korzystające z modelu płatności zgodnie z rzeczywistym użyciem są transakcyjne z klientem za pośrednictwem firmy Microsoft i rozliczane za pośrednictwem subskrypcji platformy Azure klienta. W przypadku maszyn wirtualnych z licencją typu "bring your own-own", firma Microsoft rozlicza wszelkie koszty infrastruktury, które są naliczane w ramach subskrypcji klienta, ale bezpośrednio wykonujesz transakcje za licencjonowanie oprogramowania z klientem. |
| Udział w zakresie użycia przez klienta | Aby uzyskać więcej informacji na temat przypisywania użycia klienta i sposobu jej włączania, zobacz Przypisywanie użycia przez klienta partnera platformy Azure. |
| Pakiet wdrożeniowy | Potrzebny będzie pakiet wdrożeniowy, który umożliwi klientom wdrożenie planu. Jeśli tworzysz wiele planów, które wymagają tej samej konfiguracji technicznej, możesz użyć tego samego pakietu. Aby uzyskać szczegółowe informacje, zobacz następną sekcję: Pakiet wdrożeniowy. |
Uwaga
Aplikacje zarządzane muszą być wdrażalne za pośrednictwem witryny Azure Marketplace. Jeśli komunikacja z klientem jest problemem, skontaktuj się z zainteresowanymi klientami po włączeniu udostępniania potencjalnych klientów.
Pakiet wdrożeniowy
Pakiet wdrożeniowy zawiera wszystkie pliki szablonów potrzebne do tego planu, a także wszelkie dodatkowe zasoby spakowane jako plik .zip.
Wszystkie aplikacje platformy Azure muszą zawierać te dwa pliki w folderze głównym archiwum .zip:
- Plik szablonu usługi Resource Manager o nazwie mainTemplate.json. Ten szablon definiuje zasoby do wdrożenia w subskrypcji platformy Azure klienta. Przykłady szablonów usługi Resource Manager można znaleźć w galerii szablonów szybkiego startu platformy Azure lub odpowiedniego repozytorium GitHub: Szablony szybkiego startu usługi Azure Resource Manager.
- Definicja interfejsu użytkownika środowiska tworzenia aplikacji platformy Azure o nazwie createUiDefinition.json. W interfejsie użytkownika należy określić elementy, które umożliwiają klientom podanie wartości parametrów.
Uwaga
Pakiet wdrożeniowy nie może zawierać plików binarnych, takich jak obrazy maszyn wirtualnych. Wszystkie obrazy wdrożone przez aplikacja systemu Azure muszą być obrazami przywoływane z witryny Marketplace. Przed opublikowaniem aplikacja systemu Azure upewnij się, że twoja oferta jest zgodna z naszymi zalecanymi rozwiązaniami.
Regiony platformy Azure
Plan można opublikować w regionie publicznym platformy Azure, regionie usługi Azure Government lub obu tych regionach. Przed opublikowaniem w usłudze Azure Government przetestuj i zweryfikuj swój plan w środowisku, ponieważ niektóre punkty końcowe mogą się różnić. Aby skonfigurować i przetestować plan, poproś o konto próbne z wersji próbnej platformy Microsoft Azure Government.
Jako wydawca odpowiadasz za wszelkie mechanizmy kontroli zgodności, środki zabezpieczeń i najlepsze rozwiązania. Platforma Azure Government używa fizycznie izolowanych centrów danych i sieci (znajdujących się tylko w Stanach Zjednoczonych).
Aby uzyskać listę krajów i regionów obsługiwanych przez platformę handlową, zobacz Dostępność geograficzna i obsługa walut.
Usługi platformy Azure Government obsługują dane, które podlegają określonym przepisom i wymaganiom rządowym. Na przykład FedRAMP, NIST 800.171 (DIB), ITAR, IRS 1075, DoD L4 i CJIS. Aby zapewnić świadomość certyfikatów dla tych programów, możesz udostępnić maksymalnie 100 linków, które je opisują. Mogą to być linki do twojej listy bezpośrednio w programie lub linki do opisów zgodności z nimi we własnych witrynach internetowych. Te linki są widoczne tylko dla klientów platformy Azure Government.
Wybierz, kto może zobaczyć swój plan
Każdy plan można skonfigurować tak, aby był widoczny dla wszystkich (publicznych) lub tylko do określonych odbiorców (prywatnych). Można utworzyć maksymalnie 100 planów i maksymalnie 45 z nich może być prywatnych. Możesz utworzyć plan prywatny, aby oferować różne opcje cenowe lub konfiguracje techniczne określonym klientom.
Udzielasz dostępu do planu prywatnego przy użyciu identyfikatorów subskrypcji platformy Azure z opcją dołączenia opisu każdego przypisanego identyfikatora subskrypcji. Możesz ręcznie dodać maksymalnie 10 identyfikatorów subskrypcji lub maksymalnie 10 000 identyfikatorów subskrypcji przy użyciu elementu . Plik CSV. Identyfikatory subskrypcji platformy Azure są reprezentowane jako identyfikatory GUID, a litery muszą mieć małe litery.
Plany prywatne nie są obsługiwane w przypadku subskrypcji platformy Azure ustanowionych za pośrednictwem odsprzedawcy programu Dostawca rozwiązań w chmurze (CSP). Aby uzyskać więcej informacji, zobacz Oferty prywatne na platformie handlowej firmy Microsoft.
Uwaga
Jeśli opublikujesz plan prywatny, możesz później zmienić jego widoczność na publiczną. Jednak po opublikowaniu planu publicznego nie można zmienić jego widoczności na prywatną.
Definiowanie cen
Uwaga
Ceny aplikacji zarządzanej przy użyciu miesięcznej i taryfowej ceny rozliczeniowej muszą uwzględniać tylko opłatę za zarządzanie i mogą nie być używane w przypadku kosztów adresów IP/oprogramowania, infrastruktury platformy Azure lub dodatków. Użyj bazowej oferty maszyny wirtualnej lub kontenera, aby przeprowadzić transakcję kosztów adresów IP/oprogramowania. Musisz podać cenę za miesiąc dla każdego planu. Ta cena jest dodatkiem do wszelkich kosztów infrastruktury platformy Azure lub oprogramowania z płatnością zgodnie z rzeczywistym użyciem, które są naliczane przez zasoby wdrożone przez to rozwiązanie. Oprócz ceny miesięcznej można również ustawić ceny użycia jednostek innych niż standardowe przy użyciu rozliczeń taryfowych. Możesz ustawić cenę za miesiąc na zero i opłata wyłącznie przy użyciu rozliczeń taryfowych.
Ceny są ustawiane w USD (USD = Stany Zjednoczone Dollar) i są konwertowane na walutę lokalną wszystkich wybranych rynków przy użyciu bieżących kursów wymiany po zapisaniu. Ceny są publikowane w walucie lokalnej i nie są aktualizowane w miarę wahań kursów wymiany. Aby określić ceny klientów dla każdego rynku, wyeksportuj ceny ze strony cennika i dostępności, zaktualizuj odpowiedni rynek i walutę, zapisz i zaimportuj plik. Aby uzyskać więcej informacji, zobacz Jak konwertować waluty.
Zarządzanie wydawcą
Włączenie dostępu do zarządzania zapewnia wydawcy dostęp do zarządzanej grupy zasobów, która hostuje aplikację w dzierżawie klienta. Jeśli zdecydujesz się włączyć dostęp do zarządzania wydawcą, musisz określić dzierżawę platformy Azure i identyfikator podmiotu zabezpieczeń, który będzie zarządzać aplikacją.
Uwaga
Zarządzanie wydawcą nie może być modyfikowane po opublikowaniu planu na żywo w witrynie Marketplace.
Dostęp just in time (JIT)
Dostęp JIT umożliwia zażądanie podwyższonego poziomu dostępu do zasobów aplikacji zarządzanej na potrzeby rozwiązywania problemów lub konserwacji. Zawsze masz dostęp tylko do odczytu do zasobów, ale w określonym przedziale czasu możesz mieć większy dostęp. Aby uzyskać więcej informacji, zobacz Włączanie i żądanie dostępu just in time dla aplikacji zarządzanych platformy Azure.
Uwaga
Pamiętaj, aby zaktualizować createUiDefinition.json plik w celu obsługi tej funkcji.
Wybierz, kto może zarządzać aplikacją
Ta opcja jest dostępna tylko wtedy, gdy zarządzanie wydawcą jest włączone.
Po włączeniu zarządzania wydawcą musisz wskazać, kto może zarządzać aplikacją zarządzaną w każdej z wybranych chmur: publiczna platforma Azure i chmura Azure Government. Zbierz wymienione poniżej informacje.
- Identyfikator dzierżawy entra firmy Microsoft — identyfikator dzierżawy firmy Microsoft (znany również jako identyfikator katalogu) zawierający tożsamości użytkowników, grup lub aplikacji, do których chcesz udzielić uprawnień. Identyfikator dzierżawy entra firmy Microsoft można znaleźć w witrynie Azure Portal w obszarze Właściwości identyfikatora entra firmy Microsoft.
- Autoryzacje — dodaj identyfikator obiektu Entra firmy Microsoft dla każdego użytkownika, grupy lub aplikacji, której chcesz udzielić uprawnienia do zarządzanej grupy zasobów. Zidentyfikuj użytkownika według identyfikatora podmiotu zabezpieczeń, który można znaleźć w bloku użytkownicy usługi Microsoft Entra w witrynie Azure Portal.
Dla każdego identyfikatora podmiotu zabezpieczeń skojarzysz jedną z wbudowanych ról firmy Microsoft (właściciel lub współautor). Wybrana rola opisuje uprawnienia, które podmiot zabezpieczeń będzie miał w zasobach w subskrypcji klienta. Aby uzyskać więcej informacji, zobacz Role wbudowane platformy Azure. Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach (RBAC), zobacz Wprowadzenie do kontroli dostępu opartej na rolach w witrynie Azure Portal.
Uwaga
Mimo że można dodać do 100 autoryzacji na region świadczenia usługi Azure, zalecamy utworzenie grupy użytkowników usługi Active Directory i określenie jej identyfikatora w polu "Identyfikator podmiotu zabezpieczeń". Dzięki temu można dodać kolejnych użytkowników do grupy zarządzania po wdrożeniu planu i zmniejszyć konieczność zaktualizowania planu tylko w celu dodania kolejnych autoryzacji.
Dostęp klienta
Włączenie dostępu klienta zapewnia klientom pełny dostęp do zarządzanej grupy zasobów wdrożonej w dzierżawie platformy Azure. Ograniczanie dostępu przy użyciu przypisań odmowy powoduje wyłączenie dostępu klienta do zarządzanej grupy zasobów w dzierżawie platformy Azure. Należy pamiętać, że wyłączenie dostępu klienta z przypisaniem odmowy spowoduje usunięcie dostępu klienta, ale umożliwia wydawcom dostosowywanie dozwolonych akcji klienta.
Uwaga
Nie można zmodyfikować dostępu klienta po tym, jak oferta jest aktywna na platformie handlowej.
Tryb wdrożenia
Możesz skonfigurować plan aplikacji zarządzanej tak, aby korzystał z trybu wdrażania kompletnego lub przyrostowego. W trybie pełnym ponowne wdrożenie aplikacji przez klienta powoduje usunięcie zasobów w zarządzanej grupie zasobów, jeśli zasoby nie są zdefiniowane w mainTemplate.json. W trybie przyrostowym ponowne wdrożenie aplikacji pozostawia istniejące zasoby bez zmian. Aby dowiedzieć się więcej, zobacz Tryby wdrażania usługi Azure Resource Manager.
Adres URL punktu końcowego powiadomień
Opcjonalnie możesz podać punkt końcowy elementu webhook HTTPS, aby otrzymywać powiadomienia o wszystkich operacjach CRUD w wystąpieniach aplikacji zarządzanych planu.
Platforma Azure dołącza /resource do końca identyfikatora URI elementu webhook przed wywołaniem go. Dlatego adres URL elementu webhook musi kończyć się ciągiem /resource, chociaż nie powinien być uwzględniony w identyfikatorze URI wprowadzonym w polu Adres URL punktu końcowego powiadomień w Centrum partnerskim. Na przykład wprowadzenie jako identyfikator URI punktu końcowego powiadomień powoduje wywołanie https://contoso.com metody https://contoso.com/resource.
Podczas nasłuchiwania zdarzeń z powiadomień aplikacji zarządzanych upewnij się, że nasłuchujesz https://<url>/resource , a nie ustawisz samego adresu URL. Aby uzyskać przykładowe powiadomienie, zobacz Schemat powiadomień.
Dostosowywanie dozwolonych akcji klienta (opcjonalnie)
Opcjonalnie można określić akcje, które klienci mogą wykonywać na zarządzanych zasobach oprócz */read dostępnych domyślnie akcji.
Jeśli wybierzesz tę opcję, musisz podać akcje sterujące lub dozwolone akcje danych lub obie te akcje. Aby uzyskać więcej informacji, zobacz Opis przypisań odmowy dla zasobów platformy Azure. Aby uzyskać dostępne akcje, zobacz Operacje dostawcy zasobów usługi Azure Resource Manager. Aby na przykład umożliwić użytkownikom ponowne uruchamianie maszyn wirtualnych, dodaj Microsoft.Compute/virtualMachines/restart/action do dozwolonych akcji.
Ustawienia zasad
Zasady platformy Azure można zastosować do aplikacji zarządzanej, aby określić wymagania dotyczące zgodności dla wdrożonego rozwiązania. Definicje zasad i format wartości parametrów podano w artykule Przykłady dla usługi Azure Policy.
Można skonfigurować maksymalnie pięć zasad i tylko jedno wystąpienie każdego typu zasad. Niektóre typy zasad wymagają dodatkowych parametrów.
| Typ zasad | Wymagane parametry zasad |
|---|---|
| Szyfrowanie usługi Azure SQL Database | Nie. |
| Ustawienia inspekcji programu Azure SQL Server | Tak |
| Szyfrowanie usługi Azure Data Lake Store | Nie. |
| Przeprowadź inspekcję ustawienia diagnostycznego | Tak |
| Inspekcja zgodności lokalizacji zasobów | Nie. |
Dla każdego dodawanego typu zasad należy skojarzyć jednostkę SKU zasad w warstwie Standardowa lub Bezpłatna. Jednostka SKU w warstwie Standardowa jest wymagana dla zasad inspekcji. Nazwy zasad są ograniczone do 50 znaków.
Powiązana zawartość
Samouczek wideo