Azure Lighthouse mimarisi

Makale
10/18/2023

Azure Lighthouse, hizmet sağlayıcılarının müşteri katılımını ve ekleme deneyimlerini basitleştirmelerine yardımcı olurken, temsilci olarak atanan kaynakları çeviklik ve hassasiyetle büyük ölçekte yönetir. Yetkili kullanıcılar, gruplar ve hizmet sorumluları, müşterinin Microsoft Entra kiracısında bir hesaba sahip olmadan veya müşterinin kiracısının ortak sahibi olmadan doğrudan müşteri aboneliği bağlamında çalışabilir. Bu erişimi desteklemek için kullanılan mekanizmaya Azure temsilcili kaynak yönetimi adı verilir.

Diagram illustrating Azure delegated resource management.

Bahşiş

Azure Lighthouse, kiracılar arası yönetimi basitleştirmek için kendi başına birden çok Microsoft Entra kiracısına sahip olan bir kuruluşta da kullanılabilir.

Bu konu başlığında Azure Lighthouse'daki kiracılar ile müşterinin kiracısında oluşturulan ve bu ilişkiyi etkinleştiren kaynaklar arasındaki ilişki açıklanmaktadır.

Dekont

Bir müşteriyi Azure Lighthouse'a eklemek için, müşterinin kiracısında eklenen abonelik (veya eklenen kaynak gruplarını içeren) için Sahip gibi bir role Microsoft.Authorization/roleAssignments/write sahip olan konuk olmayan bir hesap tarafından dağıtım yapılması gerekir.

Müşteri kiracısında oluşturulan temsilci kaynakları

Müşterinin aboneliği veya kaynak grubu Azure Lighthouse'a eklendiğinde iki kaynak oluşturulur: kayıt tanımı ve kayıt ataması. Bu kaynaklara erişmek için API'leri ve yönetim araçlarını kullanabilir veya Azure portalında bunlarla çalışabilirsiniz.

Kayıt tanımı

Kayıt tanımı, Azure Lighthouse teklifinin ayrıntılarını (yönetici kiracı kimliği ve yönetici kiracıdaki belirli kullanıcılara, gruplara ve/veya hizmet sorumlularına yerleşik roller atayan yetkilendirmeler) içerir.

Bir kayıt tanımı, temsilci atanan her abonelik için abonelik düzeyinde veya bir temsilci kaynak grubu içeren her abonelikte oluşturulur. Kayıt tanımı oluşturmak için API'leri kullanırken abonelik düzeyinde çalışmanız gerekir. Örneğin, Azure PowerShell kullanarak New-AzureRmResourceGroupDeployment yerine yeni bir kayıt tanımı (New-AzManagedServicesDefinition) oluşturmadan önce New-AzureRmDeployment kullanmanız gerekir.

Kayıt ataması

Kayıt ataması, kayıt tanımını belirli bir kapsama (yani eklenen aboneliklere ve/veya kaynak gruplarına) atar.

Atanan her kapsamda bir kayıt ataması oluşturulur, bu nedenle abonelik grubu düzeyinde veya eklenenlere bağlı olarak kaynak grubu düzeyinde olur.

Her kayıt ataması abonelik düzeyinde geçerli bir kayıt tanımına başvurmalıdır ve bu sayede bu hizmet sağlayıcısının yetkilendirmelerini temsilci kapsamına bağlamalı ve bu nedenle erişim vermelidir.

Mantıksal projeksiyon

Azure Lighthouse, bir kiracıdan başka bir kiracıya kaynakların mantıksal bir projeksiyonu oluşturur. Bu, yetkili hizmet sağlayıcısı kullanıcılarının temsilci müşteri aboneliklerinde ve kaynak gruplarında çalışma yetkisiyle kendi kiracılarında oturum açmasına olanak tanır. Hizmet sağlayıcısının kiracısında bulunan kullanıcılar, her bir müşteri kiracısında oturum açmak zorunda kalmadan müşterileri adına yönetim işlemleri gerçekleştirebilir.

Hizmet sağlayıcısı kiracısında bir kullanıcı, grup veya hizmet sorumlusu müşterinin kiracısında bulunan kaynaklara her eriştiğinde Azure Resource Manager bir istek alır. Resource Manager, aynı müşterinin kendi kiracısı içindeki kullanıcılar tarafından yapılan isteklerde olduğu gibi bu isteklerin kimliğini doğrular. Azure Lighthouse için bunu, kayıt tanımı ve kayıt ataması olmak üzere iki kaynağın müşterinin kiracısında mevcut olduğunu onaylayarak yapar. Bu durumda Resource Manager, erişimi bu kaynaklar tarafından tanımlanan bilgilere göre yetkiler.

Diagram illustrating the logical projection in Azure Lighthouse.

Hizmet sağlayıcısının kiracısında bulunan kullanıcılardan gelen etkinlik, müşterinin kiracısında depolanan etkinlik günlüğünde izlenir. Bu, müşterinin hangi değişikliklerin ve kimin tarafından yapıldığını görmesine olanak tanır.

Azure Lighthouse nasıl çalışır?

Yüksek düzeyde, Azure Lighthouse'un yönetim kiracısı için nasıl çalıştığı aşağıda açıklanmaktadır:

Gruplarınızın, hizmet sorumlularınızın veya kullanıcılarınızın müşterinin Azure kaynaklarını yönetmesi için ihtiyaç duyacağı rolleri belirleyin.
Bu erişimi belirtin ve müşteriyi Azure Lighthouse'a eklemek için Azure Market bir Yönetilen Hizmet teklifi yayımlayıp azure resource manager şablonu dağıtın. Bu ekleme işlemi, müşterinin kiracısında yukarıda açıklanan iki kaynağı (kayıt tanımı ve kayıt ataması) oluşturur.
Müşteri eklendikten sonra, yetkili kullanıcılar yönetim kiracınızda oturum açar ve tanımladığınız erişime göre belirtilen müşteri kapsamında (abonelik veya kaynak grubu) görevler gerçekleştirir. Müşteriler yapılan tüm eylemleri gözden geçirebilir ve istedikleri zaman erişimi kaldırabilir.

Çoğu durumda yalnızca bir hizmet sağlayıcısı bir müşteri için belirli kaynakları yönetecek olsa da, müşterinin aynı abonelik veya kaynak grubu için birden çok temsilci oluşturması ve birden çok hizmet sağlayıcısının erişimine izin vermesi mümkündür. Bu senaryo, hizmet sağlayıcısının kiracısından kaynakları birden çok müşteriye yansıtan ISV senaryolarını da etkinleştirir.

Sonraki adımlar

Kayıt tanımları ve kayıt atamalarıyla çalışmak için Azure CLI ve Azure PowerShell komutlarını gözden geçirin.
Azure Lighthouse için gelişmiş hizmetler ve senaryolar hakkında bilgi edinin.
Kiracıların, kullanıcıların ve rollerin Azure Lighthouse ile nasıl çalıştığı hakkında daha fazla bilgi edinin.