Обзор управляемых приложений Azure

  • Статья
  • Чтение занимает 4 мин

Управляемые приложения Azure позволяют реализовать облачные решения, которые клиенты могут легко развертывать и применять. Вы реализуете инфраструктуру и обеспечиваете непрерывную поддержку. Чтобы предоставить управляемые приложения всем пользователям, опубликуйте их в Azure Marketplace. Чтобы приложение было доступно только для пользователей из вашей организации, опубликуйте его во внутреннем каталоге.

Управляемое приложение похоже на шаблон решения Azure Marketplace, но с одним существенным отличием. В управляемом приложении ресурсы развертываются в группе ресурсов, управляемой поставщиком приложения. Группа ресурсов расположена в подписке клиента, но идентификатор в арендаторе издателя имеет доступ к группе ресурсов. Как издатель, вы указываете стоимость текущей поддержки решения.

Примечание

Документация по пользовательским поставщикам Azure ранее входила в комплект управляемых приложений. Эта документация перенесена в раздел Настраиваемые поставщики Azure.

Преимущества управляемых приложений

Управляемые приложения устраняют препятствия, с которыми сталкиваются клиенты ваших решений. Им не нужно быть экспертами в области облачной инфраструктуры, чтобы использовать ваше решение. Доступ клиенты к критически важным ресурсам ограничен. Поэтому можно не беспокоиться об ошибках при управлении ими.

Управляемые приложения позволяют поддерживать связь с клиентами. Вы определяете условия для управления приложением, и все начисления обрабатываются с помощью системы выставления счетов Azure.

Хотя клиенты развертывают эти управляемые приложения в своих подписках, им не нужно поддерживать, обновлять и обслуживать их. Вы можете удостовериться, что все клиенты используют утвержденные версии. Клиентам не нужно обладать знаниями о конкретных приложениях, чтобы управлять ими. Клиенты автоматически получают обновления приложений, не заботясь об устранении неполадок и диагностике проблем в приложениях.

Управляемые приложения позволяют ИТ-отделам предлагать пользователям в организации предварительно утвержденные решения. Благодаря этому вы можете быть уверены, что такие решения соответствуют стандартам организации.

Управляемые приложения поддерживают управляемые удостоверения для ресурсов Azure.

Типы управляемых приложений

Управляемое приложение можно опубликовать внутри каталога услуг или за его пределами, в Azure Marketplace.

Схема, отображающая процесс публикации управляемого приложения в каталог услуг или в Azure Marketplace.

Каталог служб

Каталог служб — это внутренний каталог утвержденных решений для пользователей в организации. Каталог поможет вам обеспечивать соответствие корпоративным стандартам и предлагать решения внутри организации. Каталог поможет сотрудникам в организации без труда найти набор приложений, рекомендуемых и утвержденных ИТ-отделом. Кроме того, они могут просматривать управляемые приложения, предоставленные им другими пользователями в организации.

Сведения о публикации управляемого приложения в каталоге услуг можно найти в статье Краткое руководство. Создание и публикация определения управляемого приложения.

Azure Marketplace

Чтобы выставлять счета за использование своих служб, поставщики могут предоставить доступ к своему управляемому приложению в Azure Marketplace. Когда поставщик публикует приложение, оно становится доступным для пользователей за пределами организации. Благодаря такому подходу поставщики управляемых служб, независимые поставщики программного обеспечения и системные интеграторы могут предлагать свои решения всем клиентам Azure.

Дополнительные сведения о публикации управляемого приложения в Azure Marketplace см. в статье Создание предложения приложения Azure.

Группы ресурсов в управляемых приложениях

Как правило, ресурсы управляемого приложения находятся в двух группах ресурсов. Одной группой ресурсов управляет клиент, а другой — издатель. При определении управляемого приложения издатель задает уровни доступа. Издатель может запросить либо постоянное назначение ролей, либо JIT-доступ для использования назначений с ограниченным сроком действия.

В Azure пока невозможно ограничить доступ для операций с данными для всех поставщиков данных.

На следующем изображении показана связь между подпиской Azure клиента и подпиской Azure издателя. Управляемое приложение и управляемая группа ресурсов находятся в подписке клиента. Издатель имеет доступ к управлению для управляемой группы ресурсов, чтобы обслуживать ресурсы управляемого приложения. Издатель помещает блокировку только для чтения в управляемую группу ресурсов, которая ограничивает доступ клиента к управлению ресурсами. Удостоверения издателей, которым предоставлен доступ к управляемой группе ресурсов, исключаются из блокировки.

Диаграмма: связь между подписками Azure клиента и издателя для управляемой группы ресурсов.

Группа ресурсов приложения

Эта группа ресурсов содержит экземпляр управляемого приложения. Эта группа ресурсов может содержать только один ресурс. Тип ресурса управляемого приложения: Microsoft.Solutions/applications.

У клиента есть полный доступ к группе ресурсов, который он использует для управления жизненным циклом управляемого приложения.

Управляемая группа ресурсов

Эта группа ресурсов содержит все ресурсы, которые требуются управляемому приложению. Например, эта группа ресурсов содержит виртуальные машины, учетные записи хранения и виртуальные сети решения. У клиента ограниченный доступ к этой группе ресурсов, так как он не управляет отдельными ресурсами управляемого приложения. Доступ издателя к группе ресурсов соответствует роли, указанной в определении управляемого приложения. Например, издатель может подать запрос на роль владельца или участника для этой группы ресурсов. Доступ постоянный или с ограниченным сроком действия.

При публикации управляемого приложения в Marketplace издатель может разрешить клиентам выполнять определенные действия с ресурсами в управляемой группе ресурсов. Например, он может разрешить клиентам перезапускать виртуальные машины. Все остальные действия, кроме операций чтения, будут все так же запрещены. Изменение ресурсов в управляемой группе ресурсов клиентом с предоставленными действиями управляется назначениями Политики Azure в арендаторе клиента, для которого включена управляемая группа ресурсов.

Когда клиент удаляет управляемое приложение, управляемый ресурс группы также удаляется.

Поставщик ресурсов

Управляемые приложения используют поставщик ресурсов Microsoft.Solutions с шаблоном ARM в формате JSON. Дополнительные сведения см. в описании типов ресурсов и версий API.

Политика Azure

Вы можете применить Политику Azure для аудита управляемого приложения. Определения политик применяются, чтобы обеспечить для развернутых экземпляров управляемого приложения соответствие требованиям к данным и защите. Если ваше приложение взаимодействует с конфиденциальными данными, следует оценить возможные варианты их защиты. Например, если ваше приложение взаимодействует с данными из Microsoft 365, примените определение политики, чтобы обеспечить включение шифрования данных.

Дальнейшие действия

В этой статье вы узнали о преимуществах использования управляемых приложений. Перейдите к следующей статье, чтобы создать определение управляемого приложения.

Краткое руководство. Создание и публикация определения управляемого приложения