Opis infrastruktury zarządzania platformy Azure

  • 7 min

Infrastruktura zarządzania obejmuje zasoby i grupy zasobów platformy Azure, subskrypcje i konta. Zrozumienie organizacji hierarchicznej pomoże Ci zaplanować projekty i produkty na platformie Azure.

Zasoby i grupy zasobów platformy Azure

Zasób to podstawowy blok konstrukcyjny platformy Azure. Wszystko, co tworzysz, aprowizujesz, wdrażasz itp., to zasób. Maszyny wirtualne, sieci wirtualne, bazy danych, usługi Cognitive Services itp. są traktowane jako zasoby na platformie Azure.

Diagram showing a resource group box with a function, VM, database, and app included.

Grupy zasobów to po prostu grupy zasobów. Podczas tworzenia zasobu musisz umieścić go w grupie zasobów. Chociaż grupa zasobów może zawierać wiele zasobów, pojedynczy zasób może znajdować się tylko w jednej grupie zasobów jednocześnie. Niektóre zasoby mogą być przenoszone między grupami zasobów, ale przeniesienie zasobu do nowej grupy nie będzie już skojarzone z poprzednią grupą. Ponadto nie można zagnieżdżać grup zasobów, co oznacza, że nie można umieścić grupy zasobów B wewnątrz grupy zasobów A.

Grupy zasobów zapewniają wygodny sposób grupowania zasobów. Po zastosowaniu akcji do grupy zasobów ta akcja zostanie zastosowana do wszystkich zasobów w grupie zasobów. Jeśli usuniesz grupę zasobów, wszystkie zasoby zostaną usunięte. Jeśli udzielasz lub odmawiasz dostępu do grupy zasobów, udzielono ci lub odmówiono dostępu do wszystkich zasobów w grupie zasobów.

Podczas aprowizowania zasobów warto zastanowić się nad strukturą grupy zasobów, która najlepiej odpowiada Twoim potrzebom.

Jeśli na przykład konfigurujesz tymczasowe środowisko deweloperskie, grupowanie wszystkich zasobów razem oznacza, że można usunąć aprowizowanie wszystkich skojarzonych zasobów jednocześnie, usuwając grupę zasobów. Jeśli aprowizujesz zasoby obliczeniowe, które będą potrzebować trzech różnych schematów dostępu, najlepszym rozwiązaniem może być grupowanie zasobów na podstawie schematu dostępu, a następnie przypisywanie dostępu na poziomie grupy zasobów.

Nie ma twardych reguł dotyczących sposobu używania grup zasobów, dlatego należy rozważyć sposób konfigurowania grup zasobów w celu zmaksymalizowania ich użyteczności.

Subskrypcje platformy Azure

Subskrypcje na platformie Azure to jednostka zarządzania, rozliczeń i skalowania. Podobnie jak w przypadku logicznego organizowania zasobów, subskrypcje umożliwiają logiczne organizowanie grup zasobów i ułatwianie rozliczeń.

Diagram showing Azure subscriptions using authentication and authorization to access Azure accounts.

Korzystanie z platformy Azure wymaga subskrypcji. Subskrypcja zapewnia uwierzytelniony i autoryzowany dostęp do produktów i usług platformy Azure. Umożliwia też aprowizowanie zasobów. Subskrypcja platformy Azure łączy się z kontem platformy Azure, które jest tożsamością w usłudze Microsoft Entra ID lub w katalogu zaufanym przez identyfikator entra firmy Microsoft.

Konto może mieć wiele subskrypcji, ale jest wymagane tylko do jej posiadania. Na koncie z wieloma subskrypcjami można użyć subskrypcji, aby skonfigurować różne modele rozliczeń i zastosować różne zasady zarządzania dostępem. Za pomocą subskrypcji platformy Azure można definiować granice dotyczące produktów, usług i zasobów platformy Azure. Istnieją dwa typy granic subskrypcji, których można użyć:

  • Granica rozliczeń: ten typ subskrypcji określa, w jaki sposób konto platformy Azure jest rozliczane za korzystanie z platformy Azure. Można utworzyć wiele subskrypcji dla różnych typów wymagań dotyczących rozliczeń. Platforma Azure generuje oddzielne raporty dotyczące rozliczeń i faktury dla każdej subskrypcji, dzięki czemu można organizować koszty i zarządzać nimi.
  • Granica kontroli dostępu: platforma Azure stosuje zasady zarządzania dostępem na poziomie subskrypcji i można tworzyć oddzielne subskrypcje w celu odzwierciedlenia różnych struktur organizacyjnych. Przykładem są różne działy w firmie, do których stosujesz odrębne zasady subskrypcji Azure. Dzięki temu modelowi rozliczeń możesz kontrolować dostęp do zasobów aprowizowanych przez użytkowników w określonych subskrypcjach i zarządzać tym dostępem.

Tworzenie dodatkowych subskrypcji platformy Azure

Podobnie jak w przypadku używania grup zasobów do oddzielania zasobów według funkcji lub dostępu, możesz utworzyć dodatkowe subskrypcje na potrzeby zarządzania zasobami lub rozliczeniami. Można na przykład utworzyć dodatkowe subskrypcje, aby oddzielić:

  • Środowiska: możesz utworzyć subskrypcje, aby skonfigurować oddzielne środowiska na potrzeby programowania i testowania, zabezpieczeń lub izolowania danych ze względów zgodności. Jest to szczególnie przydatne, ponieważ kontrola dostępu do zasobów odbywa się na poziomie subskrypcji.
  • Struktury organizacyjne: możesz tworzyć subskrypcje odzwierciedlające różne struktury organizacyjne. Można na przykład ograniczyć jeden zespół do zasobów o niższych kosztach, umożliwiając działowi IT pełny zakres. Dzięki temu możesz kontrolować dostęp do zasobów aprowizowanych przez użytkowników w każdej z subskrypcji i zarządzać tym dostępem.
  • Rozliczenia: możesz utworzyć dodatkowe subskrypcje na potrzeby rozliczeń. Ponieważ koszty są w pierwszej kolejności agregowane na poziomie subskrypcji, możesz potrzebować dodatkowych subskrypcji, aby zarządzać kosztami i monitorować je stosownie do potrzeb. Na przykład możesz utworzyć jedną subskrypcję na potrzeby obciążeń produkcyjnych, a drugą na potrzeby obciążeń związanych z programowaniem i testowaniem.

Grupy zarządzania platformy Azure

Ostatnim elementem jest grupa zarządzania. Zasoby są zbierane w grupach zasobów, a grupy zasobów są zbierane w subskrypcjach. Jeśli dopiero zaczynasz pracować na platformie Azure, może to wydawać się wystarczającą hierarchią, aby zachować elementy zorganizowane. Wyobraź sobie jednak, że masz do czynienia z wieloma aplikacjami, wieloma zespołami deweloperów w wielu lokalizacjach geograficznych.

Jeśli masz wiele subskrypcji, może być konieczne efektywne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania platformy Azure zapewniają poziom zakresu powyżej subskrypcji. Subskrypcje można organizować w kontenerach nazywanych grupami zarządzania i stosować warunki ładu do grup zarządzania. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą warunki stosowane do grupy zarządzania, tak samo jak grupy zasobów dziedziczą ustawienia z subskrypcji i zasobów dziedziczą po grupach zasobów. Grupy zarządzania zapewniają zarządzanie klasy korporacyjnej na dużą skalę, niezależnie od typu subskrypcji, które mogą istnieć. Grupy zarządzania można zagnieżdżać.

Grupa zarządzania, subskrypcje i hierarchia grup zasobów

Można utworzyć elastyczną strukturę grup zarządzania i subskrypcji w celu organizowania zasobów w hierarchię na potrzeby ujednoliconego zarządzania zasadami i dostępem. Na poniższym diagramie przedstawiono przykład tworzenia hierarchii dla nadzoru przy użyciu grup zarządzania.

Diagram showing an example of a management group hierarchy tree.

Oto kilka przykładów użycia grup zarządzania:

  • Utwórz hierarchię, która stosuje zasady. Lokalizacje maszyn wirtualnych można ograniczyć do regionu Zachodnie stany USA w grupie o nazwie Produkcja. Te zasady będą dziedziczone na wszystkich subskrypcjach będących elementami podrzędnymi tej grupy zarządzania i będą stosowane do wszystkich maszyn wirtualnych w ramach tych subskrypcji. Te zasady zabezpieczeń nie mogą zostać zmienione przez właściciela zasobu lub subskrypcji, co zapewnia ulepszony nadzór.
  • Zapewnij użytkownikowi dostęp do wielu subskrypcji. Przeniesienie wielu subskrypcji w grupie zarządzania umożliwia utworzenie jednego przypisania kontroli dostępu na podstawie ról (RBAC) platformy Azure w grupie zarządzania. Przypisanie kontroli dostępu opartej na rolach platformy Azure na poziomie grupy zarządzania oznacza, że wszystkie grupy zarządzania podrzędnego, subskrypcje, grupy zasobów i zasoby poniżej tej grupy zarządzania również dziedziczą te uprawnienia. Jedno przypisanie w grupie zarządzania może umożliwić użytkownikom dostęp do wszystkiego, czego potrzebują, zamiast wykonywać skrypty kontroli dostępu opartej na rolach platformy Azure w różnych subskrypcjach.

Ważne fakty dotyczące grup zarządzania:

  • W jednym katalogu może być obsługiwane 10000 grup zarządzania.
  • Drzewo grupy zarządzania może obsługiwać maksymalnie sześć poziomów głębokości. Ten limit nie obejmuje poziomu głównego lub poziomu subskrypcji.
  • Każda grupa zarządzania i subskrypcja może obsługiwać tylko jeden element nadrzędny.