Обзор управляемых приложений Azure

  • Статья

Управляемые приложения Azure позволяют реализовать облачные решения, которые клиенты могут легко развертывать и применять. Как издатель вы реализуете инфраструктуру и можете предоставлять постоянную поддержку. Чтобы предоставить управляемые приложения всем пользователям, опубликуйте их в Azure Marketplace. Чтобы сделать его доступным только для пользователей в организации, опубликуйте его во внутреннем каталоге служб.

Управляемое приложение похоже на шаблон решения Azure Marketplace, но с одним существенным отличием. В управляемом приложении ресурсы развертываются в управляемой группе ресурсов, управляемой издателем приложения или клиентом. Управляемая группа ресурсов присутствует в подписке клиента, но удостоверению в клиенте издателя можно предоставить доступ к управляемой группе ресурсов. Как издатель, если вы управляете приложением, вы указываете затраты на текущую поддержку решения.

Примечание

Документация по пользовательским поставщикам Azure ранее входила в комплект управляемых приложений. Эта документация перенесена в раздел Настраиваемые поставщики Azure.

Разрешения издателя и клиента

Для управляемой группы ресурсов доступ к управлению издателя и запрет назначения клиента являются необязательными. Существуют различные сценарии разрешений в зависимости от потребностей издателя и клиента для управляемого приложения.

  • Издатель управляется. Издатель имеет доступ управления к ресурсам в управляемой группе ресурсов в клиенте Azure клиента. Доступ клиентов к управляемой группе ресурсов ограничивается запретом назначения. Управляемый издателем сценарий разрешений управляемого приложения по умолчанию.
  • Доступ к издателю и клиенту. У издателя и клиента есть полный доступ к управляемой группе ресурсов. Назначение запрета удаляется.
  • Режим блокировки. Издатель не имеет доступа к развернутому клиентам управляемому приложению или управляемой группе ресурсов. Доступ клиента ограничивается запретом назначения.
  • Управляемый клиентом. Клиент имеет полный доступ к управляемой группе ресурсов, и доступ издателя удаляется. Запретить назначение не существует. Publisher разрабатывает приложение и публикует его в Azure Marketplace но не управляет приложением. Издатель лицензирует приложение для выставления счетов через Azure Marketplace.

Преимущества использования сценариев разрешений:

  • По соображениям безопасности издателям не нужен постоянный доступ управления к управляемой группе ресурсов, клиенту клиента или данным в управляемой группе ресурсов.
  • Издатели хотят удалить назначение запрета, чтобы клиенты управляли приложением. Издателю не нужно управлять назначением запрета, чтобы включить или отключить действия для клиента. Например, такое действие, как перезагрузка виртуальной машины в управляемом приложении.
  • Предоставьте клиентам полный доступ к управлению приложением, чтобы издатели не были поставщиками услуг для управления приложением.

Преимущества управляемых приложений

Управляемые приложения устраняют препятствия, с которыми сталкиваются клиенты ваших решений. Им не нужно быть экспертами в области облачной инфраструктуры, чтобы использовать ваше решение. В зависимости от разрешений, настроенных издателем, клиенты могут иметь ограниченный доступ к критически важным ресурсам и им не нужно беспокоиться об ошибке при управлении ими.

Управляемые приложения позволяют поддерживать связь с клиентами. Вы определяете условия для управления приложением, и все начисления обрабатываются с помощью системы выставления счетов Azure.

Хотя клиенты развертывают эти управляемые приложения в своих подписках, им не нужно поддерживать, обновлять и обслуживать их. Но есть разрешения, которые позволяют клиенту иметь полный доступ к ресурсам в управляемой группе ресурсов. Вы можете удостовериться, что все клиенты используют утвержденные версии. Клиентам не нужно обладать знаниями о конкретных приложениях, чтобы управлять ими. Клиенты автоматически получают обновления приложений, не заботясь об устранении неполадок и диагностике проблем в приложениях.

Для ИТ-команд управляемые приложения позволяют предлагать предварительно утвержденные решения пользователям в организации. Благодаря этому вы можете быть уверены, что такие решения соответствуют стандартам организации.

Управляемые приложения поддерживают управляемые удостоверения для ресурсов Azure.

Типы управляемых приложений

Управляемое приложение можно опубликовать внутри каталога услуг или за его пределами, в Azure Marketplace.

Схема, отображающая процесс публикации управляемого приложения в каталог услуг или в Azure Marketplace.

Каталог служб

Каталог служб — это внутренний каталог утвержденных решений для пользователей в организации. Каталог поможет вам обеспечивать соответствие корпоративным стандартам и предлагать решения внутри организации. Сотрудники используют каталог служб для поиска приложений, рекомендованных и утвержденных ИТ-отделами. Они могут получить доступ к управляемым приложениям, которыми совместно с ними поделились другие пользователи в своей организации.

Сведения о публикации управляемого приложения в каталоге услуг можно найти в статье Краткое руководство. Создание и публикация определения управляемого приложения.

Azure Marketplace

Чтобы выставлять счета за использование своих служб, поставщики могут предоставить доступ к своему управляемому приложению в Azure Marketplace. Когда поставщик публикует приложение, оно становится доступным для пользователей за пределами организации. Благодаря такому подходу поставщики управляемых служб, независимые поставщики программного обеспечения и системные интеграторы могут предлагать свои решения всем клиентам Azure.

Дополнительные сведения о публикации управляемого приложения в Azure Marketplace см. в статье Создание предложения приложения Azure.

Группы ресурсов в управляемых приложениях

Как правило, ресурсы управляемого приложения находятся в двух группах ресурсов. Одной группой ресурсов управляет клиент, а другой — издатель. При определении управляемого приложения издатель задает уровни доступа. Издатель может запросить либо постоянное назначение ролей, либо JIT-доступ для использования назначений с ограниченным сроком действия. Издатели также могут настроить управляемое приложение таким образом, чтобы у издателя не было доступа.

В Azure пока невозможно ограничить доступ для операций с данными для всех поставщиков данных.

На следующем рисунке показана связь между подпиской Azure клиента и подпиской Azure издателя, которая является управляемым разрешением издателя по умолчанию. Управляемое приложение и управляемая группа ресурсов находятся в подписке клиента. Издатель имеет доступ к управлению для управляемой группы ресурсов, чтобы обслуживать ресурсы управляемого приложения. Издатель помещает блокировку только для чтения (запрет назначения) в управляемой группе ресурсов, которая ограничивает доступ клиента к управлению ресурсами. Удостоверения издателей, которым предоставлен доступ к управляемой группе ресурсов, исключаются из блокировки.

Диаграмма: связь между подписками Azure клиента и издателя для управляемой группы ресурсов.

Доступ к управлению, как показано на изображении, можно изменить. Клиенту можно предоставить полный доступ к управляемой группе ресурсов. Кроме того, доступ издателя к управляемой группе ресурсов можно удалить.

Группа ресурсов приложения

Эта группа ресурсов содержит экземпляр управляемого приложения. Эта группа ресурсов может содержать только один ресурс. Тип ресурса управляемого приложения: Microsoft.Solutions/applications.

У клиента есть полный доступ к группе ресурсов, который он использует для управления жизненным циклом управляемого приложения.

Управляемая группа ресурсов

Эта группа ресурсов содержит все ресурсы, которые требуются управляемому приложению. Например, виртуальные машины приложения, учетные записи хранения и виртуальные сети. Клиент может иметь ограниченный доступ к этой группе ресурсов, так как если параметры разрешений не будут изменены, клиент не управляет отдельными ресурсами для управляемого приложения. Доступ издателя к группе ресурсов соответствует роли, указанной в определении управляемого приложения. Например, издатель может подать запрос на роль владельца или участника для этой группы ресурсов. Доступ постоянный или с ограниченным сроком действия. Издатель может не иметь доступа к управляемой группе ресурсов.

Когда управляемое приложение публикуется в Marketplace, издатель может предоставить клиентам возможность выполнять определенные действия с ресурсами в управляемой группе ресурсов или получить полный доступ. Например, он может разрешить клиентам перезапускать виртуальные машины. Все остальные действия, кроме операций чтения, будут все так же запрещены. Изменение ресурсов в управляемой группе ресурсов клиентом с предоставленными действиями управляется назначениями Политики Azure в арендаторе клиента, для которого включена управляемая группа ресурсов.

Когда клиент удаляет управляемое приложение, управляемый ресурс группы также удаляется.

Поставщик ресурсов

Управляемые приложения используют поставщик ресурсов Microsoft.Solutions с шаблоном ARM в формате JSON. Дополнительные сведения см. в описании типов ресурсов и версий API.

Политика Azure

Вы можете применить Политику Azure для аудита управляемого приложения. Определения политик применяются, чтобы обеспечить для развернутых экземпляров управляемого приложения соответствие требованиям к данным и защите. Если ваше приложение взаимодействует с конфиденциальными данными, следует оценить возможные варианты их защиты. Например, если ваше приложение взаимодействует с данными из Microsoft 365, примените определение политики, чтобы обеспечить включение шифрования данных.

Дальнейшие действия

В этой статье вы узнали о преимуществах использования управляемых приложений. Перейдите к следующей статье, чтобы создать определение управляемого приложения.

Краткое руководство. Создание и публикация определения управляемого приложения