Flera klientorganisationer och Azure Resource Manager
Azure Resource Manager är den viktigaste resurshanteringstjänsten för Azure. Varje resurs i Azure skapas, hanteras och tas så småningom bort via Resource Manager. När du skapar en lösning för flera klienter arbetar du ofta med Resource Manager för att dynamiskt etablera resurser för varje klientorganisation. På den här sidan beskriver vi några av funktionerna i Resource Manager som är relevanta för lösningar för flera klientorganisationer. Vi tillhandahåller även länkar till vägledning som kan hjälpa dig när du planerar att använda Resource Manager.
Funktioner i Resource Manager som stöder flera klientorganisationer
Infrastruktur som kod
Resource Manager tillhandahåller verktyg för att stödja infrastruktur som kod, som ibland kallas IaC. Att definiera infrastruktur som kod är en bra idé för alla lösningar i molnet, men när du arbetar med lösningar för flera klientorganisationer blir det särskilt viktigt. En lösning med flera klienter kräver ofta att du skalar distributioner och etablerar nya resurser när du registrerar nya klienter. Om du skapar eller konfigurerar resurser manuellt medför du extra risk och tid för processen. En manuell metod resulterar i en mindre tillförlitlig distributionsprocess överlag.
När du distribuerar infrastrukturen som kod från en distributionspipeline rekommenderar vi att du använder Bicep, som är ett språk som är särskilt utformat för att distribuera och hantera Azure-resurser på ett deklarativt sätt. Du kan också använda JSON Azure Resource Manager-mallar (ARM-mallar), Terraform eller andra produkter från tredje part som har åtkomst till underliggande Resource Manager-API:er.
Distributionsstackar ger möjlighet att hantera en uppsättning resurser som en enda enhet, även om de är spridda över resursgrupper eller prenumerationer. Distributionsstackar kan vara användbara om du etablerar flera klientspecifika resurser på olika platser och sedan behöver hantera deras livscykel som en logisk enhet.
Mallspecifikationer kan vara användbara för att etablera nya resurser, distributionsstämplar eller miljöer från en enda och välparameteriserad mall. Genom att använda mallspecifikationer kan du skapa en central lagringsplats för de mallar som du använder för att distribuera din klientspecifika infrastruktur. Mallarna lagras och hanteras i själva Azure och du kan återanvända mallspecifikationerna när du behöver distribuera från dem.
I vissa lösningar kan du välja att skriva anpassad kod för att dynamiskt etablera eller konfigurera resurser eller initiera en malldistribution. Azure SDK:er kan användas från din egen kod för att hantera din Azure-miljö. Se till att du följer god praxis för att hantera autentiseringen av ditt program till Resource Manager och använd hanterade identiteter för att undvika att lagra och hantera autentiseringsuppgifter.
Rollbaserad åtkomstkontroll
Rollbaserad åtkomstkontroll (Azure RBAC) ger dig en detaljerad metod för att hantera åtkomst till dina Azure-resurser. I en lösning med flera klientorganisationer bör du överväga om du har resurser som ska ha specifika Azure RBAC-principer tillämpade. Du kan till exempel ha vissa klienter med särskilt känsliga data, och du kan behöva tillämpa RBAC för att bevilja åtkomst till vissa personer, utan att inkludera andra personer i din organisation. På samma sätt kan klientorganisationer be att få åtkomst till sina Azure-resurser direkt, till exempel under en granskning. Om du väljer att tillåta detta kan du med fin omfångsbegränsade RBAC-behörigheter ge åtkomst till en klientorganisations data, utan att ge åtkomst till andra klientorganisationers data.
Taggar
Med taggar kan du lägga till anpassade metadata till dina Azure-resurser, resursgrupper och prenumerationer. Överväg att tagga dina klientspecifika resurser med klientorganisationens identifierare så att du enkelt kan spåra och allokera dina Azure-kostnader och förenkla resurshanteringen.
Azure-resurskvoter
Resource Manager är en av de punkter i Azure som tillämpar gränser och kvoter. Dessa kvoter är viktiga att tänka på under hela designprocessen. Alla Azure-resurser har gränser som måste följas, och dessa gränser omfattar antalet begäranden som kan göras mot Resource Manager inom en viss tidsperiod. Om du överskrider den här gränsen begränsar Resource Manager begäranden.
När du skapar en lösning med flera klientorganisationer som utför automatiserade distributioner kan du nå dessa gränser snabbare än andra kunder. På samma sätt kan lösningar med flera klientorganisationer som etablerar stora mängder infrastruktur utlösa gränserna.
Varje Azure-tjänst hanteras av en resursprovider, som också kan definiera sina egna gränser. Azure Compute Resource Provider hanterar till exempel etableringen av virtuella datorer och definierar gränser för hur många begäranden som kan göras på kort tid. Vissa andra begränsningar för resursprovidern dokumenteras i resursproviderns gränser.
Om du riskerar att överskrida de gränser som definierats av Resource Manager eller en resursprovider bör du överväga följande åtgärder:
- Dela upp din arbetsbelastning i flera Azure-prenumerationer.
- Använd flera resursgrupper i prenumerationer.
- Skicka begäranden från olika Microsoft Entra-huvudnamn.
- Begär ytterligare kvotallokeringar. I allmänhet skickas begäranden om kvotallokering genom att ett supportärende öppnas, även om vissa tjänster tillhandahåller API:er för dessa begäranden, till exempel för reserverade instanser för virtuella datorer.
De åtgärder du väljer måste vara lämpliga för den specifika gräns du stöter på.
Isoleringsmodeller
I vissa lösningar för flera klienter kan du välja att distribuera separata eller dedikerade resurser för varje klientorganisation. Resource Manager innehåller flera modeller som du kan använda för att isolera resurser, beroende på dina krav och orsaken till att du väljer att isolera resurserna. Mer information om hur du isolerar dina Azure-resurser finns i Azure-resursorganisationen i lösningar med flera klientorganisationer.
Deltagare
Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.
Huvudförfattare:
- John Downs | Huvudprogramtekniker
Annan deltagare:
- Arsen Vladimirskiy | Huvudkundtekniker, FastTrack för Azure
Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.
Nästa steg
Granska distributions- och konfigurationsmetoder för flera klientorganisationer.