Azure Lighthouse e aplicativos gerenciados do Azure
Os aplicativos gerenciados do Azure e o Azure Lighthouse funcionam habilitando um provedor de serviços para acessar recursos que residem no locatário do cliente. Pode ser útil entender as diferenças na forma como funcionam, os cenários que eles ajudam a habilitar, e como eles podem ser usados juntos.
Dica
Embora estejamos nos referindo a provedores de serviços e clientes neste tópico, as empresas que gerenciam vários locatários podem usar os mesmos processos e ferramentas.
Comparação entre o Azure Lighthouse e aplicativos gerenciados do Azure
Esta tabela ilustra algumas diferenças de alto nível que podem afetar sua decisão quanto a usar o Azure Lighthouse ou os aplicativos gerenciados do Azure. Em alguns casos, talvez você queira criar uma solução que as use em conjunto.
| Consideração | Azure Lighthouse | Aplicativos gerenciados do Azure |
|---|---|---|
| Usuário típico | Provedores de serviços ou empresas que gerenciam vários locatários | ISVs (fornecedores de software independentes) |
| Escopo do acesso entre locatários | Assinatura(s) ou grupo(s) de recursos | Grupo de recursos (com escopo para um único aplicativo) |
| Pode ser comprado no Azure Marketplace | Não (as ofertas podem ser publicadas no Azure Marketplace, mas os clientes são cobrados separadamente) | Sim |
| Proteção de IP | Sim (o IP pode permanecer no locatário do provedor de serviços) | Sim (se o ISV optar por restringir o acesso do cliente com atribuições de negação, o grupo de recursos gerenciados será bloqueado aos clientes) |
| Negar atribuições | Não | Sim |
Azure Lighthouse
Com o Azure Lighthouse, um provedor de serviços pode executar uma ampla variedade de tarefas de gerenciamento diretamente na assinatura de um cliente (ou no grupo de recursos). Esse acesso é obtido por meio de uma projeção lógica, permitindo que os provedores de serviço entrem em seus próprios locatários e acessem os recursos que pertencem ao locatário do cliente. O cliente pode determinar quais assinaturas ou grupos de recursos delegar ao provedor de serviços e o cliente mantém acesso completo a esses recursos. Ele também pode remover o acesso do provedor de serviços a qualquer momento.
Para usar o Azure Lighthouse, os clientes são integrados implantando modelos do ARM ou por meio de uma oferta de Serviço Gerenciado no Azure Marketplace. Você pode controlar seu impacto na participação do cliente vinculando sua ID de parceiro.
O Azure Lighthouse normalmente é usado quando um provedor de serviços executa tarefas de gerenciamento para um cliente de maneira contínua. Para saber mais sobre como o Azure Lighthouse funciona em um nível técnico, confira arquitetura do Azure Lighthouse.
Aplicativos gerenciados do Azure
Os Aplicativos gerenciados do Azure permitem que um ISV/editor ofereça soluções de nuvem fáceis para os clientes implantarem e usarem nas suas próprias assinaturas.
Em um aplicativo gerenciado, os recursos usados pelo aplicativo são agrupados e implantados em um grupo de recursos que pode ser gerenciado pelo ISV/editor. Esse "grupo de recursos gerenciados" está presente na assinatura do cliente, mas as identidades no locatário do editor podem ter acesso a ele. Ao publicar uma oferta na Central de Parceiros do Microsoft, o editor pode escolher por habilitar ou desabilitar o acesso de gerenciamento pelo próprio editor. Além disso, o editor pode restringir o acesso do cliente (usando atribuições de negação) ou conceder acesso total ao cliente.
Os aplicativos gerenciados dão suporte a experiências personalizadas do portal do Azure e integração com provedores personalizados. Essas opções podem ser usadas para proporcionar uma experiência mais personalizada e integrada, facilitando para os clientes a execução de algumas tarefas de gerenciamento.
Os aplicativos gerenciados podem ser publicados no Azure Marketplace, seja como uma oferta privada para uso específico do cliente ou como ofertas públicas que vários clientes podem comprar. Eles também podem ser entregues aos usuários em sua organização publicando aplicativos gerenciados em seu catálogo de serviços. Você pode implantar instâncias do catálogo de serviços e do Marketplace usando modelos do ARM, que podem incluir um identificador exclusivo do parceiro do Marketplace Comercial para controlar a atribuição de uso do cliente.
Os aplicativos gerenciados do Azure normalmente são usados para uma necessidade específica do cliente, que pode ser obtida por meio de uma solução pronta totalmente gerenciada pelo provedor de serviços.
Usar o Azure Lighthouse junto com os aplicativos gerenciados do Azure
Embora o Azure Lighthouse e os aplicativos gerenciados do Azure usem diferentes mecanismos de acesso para alcançar metas diferentes, pode haver situações em que faz sentido um provedor de serviços usar ambos com o mesmo cliente.
Por exemplo, um cliente pode querer serviços gerenciados entregues por um provedor de serviços por meio do Azure Lighthouse, para que eles tenham visibilidade das ações do parceiro junto com o controle contínuo de sua assinatura delegada. No entanto, o provedor de serviços pode não querer que o cliente acesse determinados recursos que serão armazenados no locatário do cliente nem permitir qualquer ação personalizada nesses recursos. Para alcançar essas metas, o provedor de serviços pode publicar uma oferta privada como um aplicativo gerenciado. O aplicativo gerenciado pode incluir um grupo de recursos que é implantado no locatário do cliente, mas que não pode ser acessado diretamente pelo cliente.
Os clientes também podem estar interessados em aplicativos gerenciados de vários provedores de serviços, que também usem ou não serviços gerenciados por meio do Azure Lighthouse de qualquer um desses provedores de serviços. Além disso, os parceiros no programa CSP (Provedor de Soluções na Nuvem) podem revender determinados aplicativos gerenciados publicados por outros ISVs para clientes que eles dão suporte por meio do Azure Lighthouse. Com uma ampla variedade de opções, os provedores de serviços podem escolher o equilíbrio certo para atender às necessidades dos clientes e restringir o acesso aos recursos quando apropriado.
Próximas etapas
- Saiba mais sobre os Aplicativos gerenciados do Azure.
- Saiba como integrar uma assinatura ao Azure Lighthouse.
- Saiba mais sobre cenários de ISV com o Azure Lighthouse.