Azure Lighthouse mimarisi

Azure Lighthouse, hizmet sağlayıcılarının müşteri etkileşimi ve ekleme deneyimlerini basitleştirmelerine yardımcı olurken, temsilci atanan kaynakları çeviklik ve hassasiyetle büyük ölçekte yönetir. Yetkili kullanıcılar, gruplar ve hizmet sorumluları, müşterinin Azure Active Directory (Azure AD) kiracısında bir hesaba sahip olmadan veya müşterinin kiracısının ortak sahibi olmadan doğrudan müşteri aboneliği bağlamında çalışabilir. Bu erişimi desteklemek için kullanılan mekanizma, Azure temsilcili kaynak yönetimi olarak adlandırılır.

Azure temsilcili kaynak yönetimini gösteren diyagram.

İpucu

Azure Lighthouse, kiracılar arası yönetimi basitleştirmek için birden çok Azure AD kiracısı olan bir kuruluşta da kullanılabilir.

Bu konuda, Azure Lighthouse'daki kiracılar arasındaki ilişki ve müşterinin kiracısında oluşturulan ve bu ilişkiyi etkinleştiren kaynaklar açıklanmaktadır.

Not

Bir müşteriyi Azure Lighthouse'a eklemek için, müşterinin kiracısında eklenen abonelik (veya eklenen kaynak gruplarını içeren) için Sahip gibi bir role Microsoft.Authorization/roleAssignments/write sahip olan konuk olmayan bir hesabın dağıtımı gerekir.

Müşteri kiracısında oluşturulan temsilci kaynakları

Müşterinin aboneliği veya kaynak grubu Azure Lighthouse'a eklendiğinde iki kaynak oluşturulur: kayıt tanımı ve kayıt ataması. Bu kaynaklara erişmek için API'leri ve yönetim araçlarını kullanabilir veya Azure portal bunlarla çalışabilirsiniz.

Kayıt tanımı

Kayıt tanımı, Azure Lighthouse teklifinin ayrıntılarını (yönetici kiracı kimliği ve yönetici kiracıdaki belirli kullanıcılara, gruplara ve/veya hizmet sorumlularına yerleşik roller atayan yetkilendirmeler) içerir.

Kayıt tanımı, temsilci atanan her abonelik için abonelik düzeyinde veya temsilci olarak atanan bir kaynak grubu içeren her abonelikte oluşturulur. Kayıt tanımı oluşturmak için API'leri kullanırken abonelik düzeyinde çalışmanız gerekir. Örneğin, Azure PowerShell kullanarak New-AzureRmResourceGroupDeployment yerine yeni bir kayıt tanımı (New-AzManagedServicesDefinition) oluşturmadan önce New-AzureRmDeployment kullanmanız gerekir.

Kayıt ataması

Kayıt ataması, kayıt tanımını belirli bir kapsama, yani eklenen aboneliklere ve/veya kaynak gruplarına atar.

Temsilci atanan her kapsamda bir kayıt ataması oluşturulur, bu nedenle nelerin eklendiğine bağlı olarak abonelik grubu düzeyinde veya kaynak grubu düzeyinde olur.

Her kayıt atamasının abonelik düzeyinde geçerli bir kayıt tanımına başvurması, bu hizmet sağlayıcısının yetkilendirmelerini temsilci kapsamına bağlaması ve bu nedenle erişim vermesi gerekir.

Mantıksal yansıtma

Azure Lighthouse, bir kiracıdan başka bir kiracıya kaynakların mantıksal bir projeksiyonunu oluşturur. Bu, yetkili hizmet sağlayıcısı kullanıcılarının temsilci müşteri aboneliklerinde ve kaynak gruplarında çalışma yetkisiyle kendi kiracılarında oturum açmasına olanak tanır. Hizmet sağlayıcısının kiracısında bulunan kullanıcılar, her bir müşteri kiracısında oturum açmak zorunda kalmadan müşterileri adına yönetim işlemleri gerçekleştirebilir.

Hizmet sağlayıcısı kiracısında bir kullanıcı, grup veya hizmet sorumlusu müşterinin kiracısında bulunan kaynaklara her eriştiğinde Azure Resource Manager bir istek alır. Resource Manager, aynı müşterinin kendi kiracısı içindeki kullanıcılar tarafından yapılan isteklerde olduğu gibi bu isteklerin kimliğini doğrular. Azure Lighthouse için bunu, iki kaynağın (kayıt tanımı ve kayıt ataması) müşterinin kiracısında mevcut olduğunu onaylayarak yapar. Bu durumda, Resource Manager erişimi bu kaynaklar tarafından tanımlanan bilgilere göre yetkiler.

Azure Lighthouse'daki mantıksal projeksiyonu gösteren diyagram.

Hizmet sağlayıcısının kiracısında kullanıcılardan gelen etkinlik, müşterinin kiracısında depolanan etkinlik günlüğünde izlenir. Bu, müşterinin hangi değişikliklerin ve kimin tarafından yapıldığını görmesine olanak tanır.

Azure Lighthouse nasıl çalışır?

Yüksek düzeyde, Azure Lighthouse'un yönetim kiracısı için nasıl çalıştığı aşağıda açıklanmaktadır:

  1. Gruplarınızın, hizmet sorumlularınızın veya kullanıcılarınızın müşterinin Azure kaynaklarını yönetmek için ihtiyaç duyacağı rolleri belirleyin.
  2. Bu erişimi belirtin ve Azure Market yönetilen hizmet teklifi yayımlayarak veya birAzure Resource Manager şablonu dağıtarak müşteriyi Azure Lighthouse'a ekleyin. Bu ekleme işlemi, müşterinin kiracısında yukarıda açıklanan iki kaynağı (kayıt tanımı ve kayıt ataması) oluşturur.
  3. Müşteri eklendikten sonra, yetkili kullanıcılar yönetim kiracınızda oturum açar ve tanımladığınız erişime göre belirtilen müşteri kapsamında (abonelik veya kaynak grubu) görevler gerçekleştirir. Müşteriler yapılan tüm eylemleri gözden geçirebilir ve istedikleri zaman erişimi kaldırabilir.

Çoğu durumda bir müşteri için belirli kaynakları yalnızca bir hizmet sağlayıcısı yönetecek olsa da, müşterinin aynı abonelik veya kaynak grubu için birden çok temsilci oluşturması ve birden çok hizmet sağlayıcısının erişimine izin vermesi mümkündür. Bu senaryo, hizmet sağlayıcısının kiracısından birden çok müşteriye kaynak yansıtan ISV senaryolarını da etkinleştirir.

Sonraki adımlar