Основные понятия Azure
В этой статье вы узнаете о основных понятиях, терминах, используемых в Microsoft Azure, и о том, как эти понятия связаны друг с другом.
Терминология Azure
Начиная работу по внедрению облачных технологий Azure, полезно знать следующие определения.
- Ресурс. Сущность, управляемая Azure. Примеры включают виртуальные машины Azure, виртуальные сети и учетные записи хранения.
- Подписка. Логический контейнер для ресурсов. Каждый ресурс Azure связан только с одной подпиской. Создание подписки является первым шагом при внедрении Azure.
- Учетная запись Azure. Адрес электронной почты, который вы задаете при создании подписки Azure, — это учетная запись Azure для подписки. Сторона, связанная с учетной записью электронной почты, несет ответственность за ежемесячные расходы, связанные с ресурсами в подписке. При создании учетной записи Azure вы предоставляете контактные данные и сведения о выставлении счетов, например кредитную карту. Для нескольких подписок можно использовать одну и ту же учетную запись Azure. Каждая подписка связана только с одной учетной записью Azure.
- Администратор учетной записи. Сторона, связанная с адресом электронной почты, который используется для создания подписки Azure. Администратор учетной записи несет ответственность за оплату всех расходов, которые несут ресурсы подписки.
- Идентификатор Microsoft Entra: облачная служба управления удостоверениями и доступом Майкрософт. Идентификатор Microsoft Entra позволяет сотрудникам входить и получать доступ к ресурсам.
- Клиент Microsoft Entra: выделенный и доверенный экземпляр идентификатора Microsoft Entra. Когда ваша организация регистрирует подписку на облачную службу Майкрософт, она автоматически создает клиент Microsoft Entra. Например, Microsoft Azure, Intune или Microsoft 365. Клиент Azure представляет одну организацию.
- Каталог Microsoft Entra: каждый клиент Microsoft Entra имеет один, выделенный и доверенный каталог. Каталог включает пользователей, группы и приложения клиента. Каталог используется для выполнения функций идентификации и управления доступом к ресурсам клиента. Каталог можно связать с несколькими подписками, но каждая подписка связана только с одним каталогом.
- Группы ресурсов. Логические контейнеры, используемые для группировки связанных ресурсов в подписке. Каждый ресурс может существовать только в одной группе ресурсов. Группы ресурсов обеспечивают более детальное группирование в рамках подписки. Они обычно используются для представления коллекции ресурсов, необходимых для поддержки рабочей нагрузки, приложения или конкретной функции в рамках подписки.
- Группы управления. Логические контейнеры, которые вы используете для одной или нескольких подписок. Можно определить иерархию групп управления, подписок, групп ресурсов и ресурсов для эффективного управления доступом, политиками и соответствием с помощью наследования.
- Регион: набор центров обработки данных Azure, которые развертываются внутри периметра, определяемого задержкой. Центры обработки данных подключаются через выделенную, региональную, низкую задержку сети. Большинство ресурсов Azure выполняются в определенном регионе Azure.
Цели подписки Azure
Подписка Azure служит для нескольких целей.
- Юридическое соглашение. Каждая подписка связана с предложением Azure, таким как бесплатная пробная версия или оплата по мере использования. Каждое предложение предоставляет определенный тарифный план, преимущества и связанные условия. При создании подписки выберите предложение Azure.
- Соглашение об оплате. При создании подписки вы предоставляете сведения о платеже для этой подписки, такие как номер кредитной карты. Каждый месяц расходы, которые несут ресурсы, развернутые в подписке, вычисляются и выставляются в этом методе оплаты.
- Граница масштабирования. Ограничения масштабирования, определенные для подписки. Ресурсы подписки не могут превышать установленные ограничения масштабирования. Например, существует ограничение на количество виртуальных машин, которые можно создать в одной подписке.
- Административная граница. Подписка может действовать в качестве границы для администрирования, безопасности и политики. Azure также предоставляет другие механизмы для удовлетворения этих потребностей, такие как группы управления, группы ресурсов и управление доступом на основе ролей Azure.
Рекомендации по подписке Azure
При создании подписки Azure делаются несколько ключевых вариантов подписки:
- Кто отвечает за оплату подписки? Сторона, связанная с адресом электронной почты, указанная при создании подписки по умолчанию, является администратором учетной записи подписки. Этот человек несет ответственность за оплату всех расходов, связанных с ресурсами подписки.
- Какое предложение Azure мне интересно? Каждая подписка связана с определенным предложением Azure. Вы можете выбрать предложение Azure, которое наилучшим образом соответствует вашим потребностям. Например, если вы планируете использовать подписку для выполнения подготовительных рабочих нагрузок, можно выбрать предложение по разработке и тестированию с оплатой по мере использования или предложение Enterprise для разработки и тестирования.
Примечание.
При регистрации в Azure может появиться фраза "Создать учетную запись Azure". Учетная запись Azure создается при создании подписки Azure и связывании подписки с учетной записью электронной почты.
Административные роли Azure
Azure определяет три типа ролей для администрирования подписок, удостоверений и ресурсов:
- Роли классического администратора подписки
- Роли в Azure
- Роли Microsoft Entra
Роль администратора учетной записи назначается учетной записью электронной почты. Администратор учетной записи является полноправным владельцем подписки. Администратор учетной записи может управлять администраторами подписки на портале Azure.
По умолчанию роль администратора службы для подписки учетной записи Azure назначается учетной записью электронной почты. Администратор службы имеет разрешения на подписку, эквивалентную роли владельца управления доступом на основе ролей Azure. Администратор служб имеет полный доступ к порталу Azure. Администратор учетной записи может сменить администратора службы на другую учетную запись электронной почты.
При создании подписки Azure его можно связать с существующим клиентом Microsoft Entra. Вы предоставляете учетную запись электронной почты и можете связать эту учетную запись электронной почты с несколькими подписками Azure. Администратор учетной записи может перенести подписку в другую учетную запись. Дополнительные сведения см. в статье Классические роли администратора подписки, роли Azure и роли Microsoft Entra.
Подписки и регионы
Каждый ресурс Azure логически связан с одной подпиской. При создании ресурса необходимо выбирать, на какую подписку Azure будет развернут этот ресурс. Позже можно переместить ресурс в другую подписку.
Хотя подписка не привязана к определенному региону Azure, каждый ресурс Azure развертывается только в одном регионе. Ресурсы могут находиться в нескольких регионах, связанных с одной подпиской.
Примечание.
Большинство ресурсов Azure развертываются в определенном регионе. Определенные типы ресурсов считаются глобальными ресурсами, такими как политики, заданные с помощью служб политик Azure.
Связанные ресурсы
Следующие ресурсы предоставляют подробную информацию о понятиях, обсуждаемых в этой статье:
- Принцип работы Azure
- Управление доступом к ресурсам в Azure
- Общие сведения об Azure Resource Manager
- Управление доступом на основе ролей в Azure (Azure RBAC).
- Что такое идентификатор Microsoft Entra?
- Связывание или добавление подписки Azure в клиент Microsoft Entra
- Топологии для Microsoft Entra Connect
- Подписки, лицензии, учетные записи и клиенты для облачных предложений Майкрософт
Следующие шаги
Теперь, когда вы принимаете фундаментальные концепции Azure, узнайте, как масштабировать с несколькими подписками Azure.