Multilocação e Azure Resource Manager
O Azure Resource Manager é o principal serviço de gerenciamento de recursos do Azure. Todos os recursos no Azure são criados, geridos e, eventualmente, eliminados através do Gestor de Recursos. Quando você cria uma solução multilocatário, geralmente trabalha com o Gerenciador de Recursos para provisionar recursos dinamicamente para cada locatário. Nesta página, descrevemos alguns dos recursos do Resource Manager que são relevantes para soluções multilocatário. Também forneceremos links para orientações que podem ajudá-lo quando você planeja usar o Gerenciador de Recursos.
Recursos do Resource Manager que suportam multilocação
Infraestrutura como código
O Resource Manager fornece ferramentas para dar suporte à infraestrutura como código, às vezes chamado de IaC. A infraestrutura como código é importante para todas as soluções na nuvem, mas ao trabalhar com soluções multilocatário, torna-se particularmente importante. Uma solução multilocatária geralmente exige que você dimensione implantações e provisione novos recursos à medida que integra novos locatários. Se você criar ou configurar recursos manualmente, introduzirá risco e tempo extras no processo. Isso resulta em um processo de implantação menos confiável em geral.
Ao implantar sua infraestrutura como código de um pipeline de implantação, recomendamos que você use o Bicep, que é uma linguagem projetada especificamente para implantar e gerenciar recursos do Azure de forma declarativa. Você também pode usar modelos JSON Azure Resource Manager (modelos ARM), Terraform ou outros produtos de terceiros que acessam as APIs subjacentes do Resource Manager.
As especificações de modelo podem ser úteis para provisionar novos recursos, carimbos de implantação ou ambientes a partir de um modelo único e bem parametrizado. Usando especificações de modelo, você pode criar um repositório central dos modelos que você usa para implantar sua infraestrutura específica do locatário. Os modelos são armazenados e gerenciados no próprio Azure e você pode reutilizar as especificações de modelo sempre que precisar implantar a partir deles.
Em algumas soluções, você pode optar por escrever código personalizado para provisionar ou configurar recursos dinamicamente ou iniciar uma implantação de modelo. Os SDKs do Azure podem ser usados a partir do seu próprio código para gerenciar seu ambiente do Azure. Certifique-se de seguir as boas práticas de gerenciamento da autenticação de seu aplicativo no Gerenciador de Recursos e use identidades gerenciadas para evitar armazenar e gerenciar credenciais.
Controlo de acesso baseado em funções
O controle de acesso baseado em função (RBAC do Azure) fornece uma abordagem refinada para gerenciar o acesso aos recursos do Azure. Em uma solução multilocatário, considere se você tem recursos que devem ter políticas específicas do RBAC do Azure aplicadas. Por exemplo, você pode ter alguns locatários com dados particularmente confidenciais e talvez seja necessário aplicar o RBAC para conceder acesso a determinados indivíduos, sem incluir outras pessoas em sua organização. Da mesma forma, os locatários podem pedir para acessar seus recursos do Azure diretamente, como durante uma auditoria. Se você optar por permitir isso, as permissões RBAC com escopo preciso podem permitir que você conceda acesso aos dados de um locatário, sem fornecer acesso aos dados de outros locatários.
Etiquetas
As tags permitem que você adicione metadados personalizados aos seus recursos, grupos de recursos e assinaturas do Azure. Considere marcar seus recursos específicos do locatário com o identificador do locatário para que você possa rastrear e alocar facilmente seus custos do Azure e simplificar o gerenciamento de recursos.
Cotas de recursos do Azure
O Resource Manager é um dos pontos no Azure que impõe limites e quotas. Essas cotas são importantes a serem consideradas durante todo o processo de design. Todos os recursos do Azure têm limites que precisam ser respeitados, e esses limites incluem o número de solicitações que podem ser feitas contra o Gerenciador de Recursos dentro de um determinado período de tempo. Se você exceder esse limite, o Gerenciador de Recursos limitará as solicitações.
Ao criar uma solução multilocatária que executa implantações automatizadas, você pode atingir esses limites mais rapidamente do que outros clientes. Da mesma forma, soluções multilocatárias que fornecem grandes quantidades de infraestrutura podem acionar os limites.
Cada serviço do Azure é gerenciado por um provedor de recursos, que também pode definir seus próprios limites. Por exemplo, o Provedor de Recursos de Computação do Azure gerencia o provisionamento de máquinas virtuais e define limites para o número de solicitações que podem ser feitas em um curto período. Alguns outros limites do provedor de recursos estão documentados em Limites do provedor de recursos.
Se você estiver em risco de exceder os limites definidos pelo Gerenciador de Recursos ou por um provedor de recursos, considere as seguintes atenuações:
- Fragmente sua carga de trabalho em várias assinaturas do Azure.
- Use vários grupos de recursos em assinaturas.
- Envie solicitações de diferentes entidades do Microsoft Entra.
- Solicite alocações de cotas adicionais. Em geral, as solicitações de alocação de cota são enviadas abrindo um caso de suporte, embora alguns serviços forneçam APIs para essas solicitações, como para instâncias reservadas de máquina virtual.
As atenuações selecionadas precisam ser apropriadas para o limite específico encontrado.
Modelos de isolamento
Em algumas soluções multilocatário, você pode decidir implantar recursos separados ou dedicados para cada locatário. O Resource Manager fornece vários modelos que você pode usar para isolar recursos, dependendo de seus requisitos e do motivo pelo qual você escolhe isolar os recursos. Consulte Organização de recursos do Azure em soluções multilocatárias para obter orientação sobre como isolar seus recursos do Azure.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- John Downs - Brasil | Engenheiro de Clientes Principal, FastTrack for Azure
Outros contribuidores:
- Arsen Vladimirskiy - Brasil | Engenheiro de Clientes Principal, FastTrack for Azure
Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.
Próximos passos
Analise as abordagens de implantação e configuração para multilocação.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários