Förstå distributionsomfång

  • 6 minuter

Virtuella datorer, logiska Azure SQL-servrar och -databaser, lagringskonton, virtuella nätverk och de flesta andra Azure-resurser måste placeras i en resursgrupp. Vissa resurser kan dock distribueras på ett annat sätt. Dessa resurser används vanligtvis för att styra beteendet för din Azure-miljö.

I den här lektionen går du igenom Hierarkin för Azure-resursorganisation och tittar på hur vissa resurser kan distribueras i olika omfång.

Azure-resurshierarkin

Azure har en hierarkisk resursstruktur med flera hanteringsnivåer. Här är ett diagram som visar hur ditt leksaksföretag kan organisera sin Azure-miljö:

Diagram showing an Azure tenant, three management groups, three subscriptions, and four resource groups.

Din klientorganisation motsvarar din Microsoft Entra-instans. En organisation har vanligtvis bara en Microsoft Entra-instans. Den här instansen fungerar som roten i resurshierarkin.

Hanteringsgrupper är ett sätt att organisera Azure-prenumerationer. Varje klientorganisation har en enda rothanteringsgrupp och du kan upprätta en egen hierarki med hanteringsgrupper under den. Du kan skapa separata hanteringsgrupper för de olika delarna av din organisation eller för prenumerationer som har egna säkerhets- eller styrningskrav. Du kan tillämpa princip- och åtkomstkontrollbegränsningar på hanteringsgrupper och alla prenumerationer under den hanteringsgruppen i hierarkin ärver dessa begränsningar. Hanteringsgrupper distribueras inte till regioner och de påverkar inte resursernas platser.

Prenumerationer fungerar som faktureringskonton och innehåller resursgrupper och resurser. Precis som hanteringsgrupper har prenumerationer ingen plats och begränsar inte var dina resurser distribueras.

Resursgrupper är logiska containrar för dina resurser. Med resursgrupper kan du hantera och kontrollera relaterade resurser som en enda enhet. Resurser som virtuella datorer, Azure App Service-planer, lagringskonton och virtuella nätverk måste placeras i en resursgrupp. Resursgrupper skapas på en plats så att Azure kan spåra metadata för resurserna i gruppen, men resurser i gruppen kan distribueras till andra platser.

Det tidigare illustrerade exemplet är ett ganska grundläggande scenario som visar hur du kan använda hanteringsgrupper. Din organisation kan också överväga att implementera en landningszon, som är en uppsättning Azure-resurser och konfigurationer som du behöver för att komma igång med en Azure-produktionsmiljö. Landningszonen i företagsskala är en beprövad metod för att använda hanteringsgrupper och prenumerationer för att effektivt hantera dina Azure-resurser:

Diagram of an enterprise-scale landing-zone architecture, with four management groups and four subscriptions.

Oavsett vilken modell du följer kan du börja använda flexibla kontroller för hur din Azure-miljö används och hanteras genom att förstå de olika nivåerna i hierarkin. Genom att använda Bicep kan du hantera dessa kontroller med alla fördelar med infrastruktur som kod.

Kommentar

Det finns också några andra resurser som distribueras i specifika omfång. Tilläggsresurser distribueras i omfånget för en annan Azure-resurs. Ett resurslås är till exempel en tilläggsresurs som distribueras till en resurs, till exempel ett lagringskonto.

Du är redan bekant med att distribuera resurser till resursgrupper, så låt oss titta på de andra omfången för distribution.

Resurser med prenumerationsomfång

Du kan distribuera resurser till en prenumeration när:

  • Du måste skapa en ny resursgrupp. En resursgrupp är egentligen bara en resurs med prenumerationsomfång.
  • Du måste bevilja åtkomst till alla resurser i en prenumeration. Om din HR-avdelning till exempel har en Azure-prenumeration som innehåller alla avdelningens Azure-resurser kan du skapa rolltilldelningar så att alla på HR-avdelningen kan läsa innehållet i prenumerationen.
  • Du använder Azure Policy och vill definiera eller tillämpa en princip på alla resurser i prenumerationen. Till exempel har ditt leksaksföretags R&D-avdelning bett dig att distribuera en princip som begränsar listan över SKU:er för virtuella datorer som kan skapas i teamets prenumeration.

Resurser med gruppomfattning för hantering

Du kan distribuera resurser till en hanteringsgrupp när:

  • Du måste bevilja åtkomst till alla resurser i alla prenumerationer som ingår i hanteringsgruppshierarkin. Molndriftsteamet kan till exempel kräva åtkomst till alla prenumerationer i din organisation. Du kan skapa en rolltilldelning i rothanteringsgruppen, vilket ger molndriftsteamet åtkomst till allt i Azure.

    Varning

    Var mycket försiktig när du beviljar åtkomst till resurser med hjälp av hanteringsgrupper, särskilt rothanteringsgruppen. Kom ihåg att varje resurs under hanteringsgruppen i hierarkin ärver rolltilldelningen. Se till att din organisation följer metodtipsen för identitetshantering och autentisering och att den följer principen om lägsta behörighet. Bevilja inte åtkomst som inte krävs.

  • Du måste tillämpa principer i hela organisationen. Din organisation kan till exempel ha en princip om att resurser inte kan skapas i vissa geografiska regioner, under några omständigheter. Du kan använda en princip för rothanteringsgruppen som blockerar skapandet av resurser i den regionen.

Kommentar

Innan du använder hanteringsgrupper för första gången konfigurerar du dem för din Azure-miljö.

Resurser med klientomfattning

Du kan distribuera resurser till din klientorganisation när:

  • Du måste skapa Azure-prenumerationer. När du använder hanteringsgrupper finns prenumerationer under hanteringsgrupper i resurshierarkin, men en prenumeration distribueras som en klientomfattande resurs.

    Kommentar

    Alla Azure-kunder kan inte skapa prenumerationer med hjälp av infrastruktur som kod. Beroende på din faktureringsrelation med Microsoft kanske detta inte är möjligt. Du kan läsa mer i Skapa Azure-prenumerationer programmatiskt.

  • Du skapar eller konfigurerar hanteringsgrupper. Azure skapar en enda rothanteringsgrupp när du aktiverar hanteringsgrupper för din klientorganisation och du kan skapa flera nivåer av hanteringsgrupper under den. Du kan använda Bicep för att definiera hela hanteringsgruppshierarkin. Du kan också tilldela prenumerationer till hanteringsgrupper.

    Med Bicep kan du skicka distributioner till klientomfånget. Distributioner med klientomfattning kräver särskild behörighet. I praktiken behöver du dock inte skicka klientomfattande distributioner. Det är enklare att i stället distribuera klientomfattande resurser med hjälp av en mall i ett annat omfång. Du får se hur du gör det senare i den här modulen.

    Dricks

    Du kan inte skapa principer eller rolltilldelningar i klientomfånget. Men om du behöver bevilja åtkomst eller tillämpa principer i hela organisationen kan du distribuera dessa resurser till rothanteringsgruppen.

Resurs-ID:t

Nu är du bekant med resurs-ID:t för resurser som finns i prenumerationer. Här är till exempel ett resurs-ID som representerar en resursgrupp, som är en resurs med prenumerationsomfång:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ToyDevelopment

Här är en visuell representation av samma information:

Screenshot of a Resource ID for a resource group.

Prenumerationer själva har egna ID:n, så här:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e

Kommentar

Även om prenumerationer betraktas som underordnade till hanteringsgrupper innehåller deras resurs-ID inte något hanteringsgrupps-ID. Azure spårar relationen mellan prenumerationer och hanteringsgrupper på ett sätt som skiljer sig från andra resursrelationer. Detta ger dig flexibiliteten att flytta prenumerationer mellan hanteringsgrupper utan att behöva ändra alla resurs-ID:t.

När du arbetar med resurser i en hanteringsgrupp eller klientorganisationsomfång kan resurs-ID:t se lite annorlunda ut än normalt. De följer oftast standardmönstret för att interfoliera resurstypen med information om dina specifika resurser. Det specifika formatet beror dock på vilken resurs du arbetar med.

Här är ett exempel på ett resurs-ID för en hanteringsgrupp:

/providers/Microsoft.Management/managementGroups/ProductionMG

Så här ser det ut:

Screenshot of a Resource ID for a management group.

Kommentar

Hanteringsgrupper har både en identifierare och ett visningsnamn. Visningsnamnet är en läsbar beskrivning av hanteringsgruppen. Du kan ändra visningsnamnet utan att påverka hanteringsgruppens ID.

När en resurs distribueras i ett hanteringsgruppsomfång innehåller dess resurs-ID hanteringsgrupps-ID. Här är ett exempel på ett resurs-ID för en rolldefinition som har skapats i ett hanteringsgruppsomfång:

/providers/Microsoft.Management/managementGroups/ProductionMG/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000

Här är en visuell representation av samma ID:

Screenshot of a Resource ID for a role definition that's deployed at a management group scope.

En annan rolldefinition kan definieras i ett prenumerationsomfång, så dess resurs-ID ser lite annorlunda ut:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000

Här är en visuell representation av samma ID:

Screenshot of a Resource ID for a role definition that's deployed at a subscription scope.

Nu när du förstår Azure-resurshierarkin och de typer av resurser som du kan distribuera i varje omfång kan du fatta beslut om de omfång där du vill distribuera dina resurser. Du kan till exempel göra ett välgrundat val om du vill skapa en principdefinition i omfånget för en resursgrupp, prenumeration eller hanteringsgrupp. I nästa lektion får du lära dig hur du skapar Bicep-filer som riktar sig mot vart och ett av dessa omfång.