你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 基础概念
在本文中,了解基本概念、Microsoft Azure 中使用的术语,以及概念彼此之间的关系。
Azure 术语
在开始 Azure 云采用旅程时,了解以下定义很有帮助:
- 资源:由 Azure 管理的实体。 例如,Azure 虚拟机、虚拟网络和存储帐户。
- 订阅:资源的逻辑容器。 每个 Azure 资源仅与一个订阅关联。 创建订阅是采用 Azure 的第一步。
- Azure 帐户:创建 Azure 订阅时提供的电子邮件地址是订阅的 Azure 帐户。 与电子邮件帐户关联的参与方负责订阅中资源产生的每月成本。 创建 Azure 帐户时,将提供联系人信息和计费详细信息,如信用卡。 可以为多个订阅使用同一个 Azure 帐户。 每个订阅仅与一个 Azure 帐户相关联。
- 帐户管理员:与用于创建 Azure 订阅的电子邮件地址相关联的一方。 帐户管理员负责支付订阅资源产生的所有费用。
- Microsoft Entra ID: Microsoft基于云的标识和访问管理服务。 Microsoft Entra ID 允许员工登录和访问资源。
- Microsoft Entra 租户: Microsoft Entra ID 的专用受信任实例。 当组织注册Microsoft云服务订阅时,它会自动创建Microsoft Entra 租户。 例如,Microsoft Azure、Intune 或 Microsoft 365。 一个 Azure 租户表示一个组织。
- Microsoft Entra 目录: 每个Microsoft Entra 租户都有一个专用和受信任的目录。 该目录包含租户的用户、组和应用程序。 使用该目录管理针对租户资源的标识和访问管理功能。 可以将目录与多个订阅相关联,但每个订阅仅与一个目录相关联。
- 资源组:用于对订阅中的相关资源进行分组的逻辑容器。 每个资源只能存在于一个资源组中。 资源组允许在订阅中进行更精细的分组。 它们通常用于表示支持订阅中的工作负载、应用程序或特定功能所需的资产集合。
- 管理组:用于一个或多个订阅的逻辑容器。 可以定义管理组,订阅,资源组和资源的层次结构,以便通过继承有效地管理访问、策略和符合性。
- 区域: 一组在延迟定义的外围内部署的 Azure 数据中心。 数据中心通过专用、区域、低延迟的网络进行连接。 大部分 Azure 资源在特定的 Azure 区域中运行。
Azure 订阅目的
Azure 订阅有多种用途,例如:
- 法律协议。 每个订阅都与一个 Azure 产品/服务(例如免费试用或即用即付)相关联。 每个产品/服务都提供特定的费率计划、权益和相关条款和条件。 创建订阅时,请选择 Azure 产品/服务。
- 支付协议。 创建订阅时,需要提供该订阅的付款信息,如信用卡号。 每个月,将计算部署到订阅的资源产生的费用并将其计费给该付款方式。
- 规模的边界。 为订阅定义的缩放限制。 订阅的资源不能超过设定的规模限制。 例如,可以在单个订阅中创建的虚拟机数量存在限制。
- 管理边界。 订阅可以充当管理、安全和策略的边界。 Azure 还提供了满足这些需求的其他机制,例如管理组、资源组和 Azure 基于角色的访问控制。
Azure 订阅注意事项
在创建 Azure 订阅时,可以对订阅做出几个关键选择:
- 谁负责支付订阅费用? 默认情况下,帐户管理员是与创建订阅时提供的电子邮件地址关联的人员。 此人负责支付订阅资源产生的所有费用。
- 我对哪个 Azure 产品/服务感兴趣? 每个订阅都与特定的 Azure 产品/服务相关联。 可以选择最符合需求的 Azure 产品/服务。 例如,如果打算使用订阅来运行非生产工作负载,可以选择即用即付开发/测试产品/服务或 Enterprise 开发/测试产品/服务。
注意
注册 Azure 时,可能会看到短语 “创建 Azure 帐户”。 创建 Azure 订阅时,创建一个 Azure 帐户。 可以将订阅与电子邮件帐户关联。
Azure 管理角色
Azure 定义了三种类型的角色来管理订阅、标识和资源:
- 经典订阅管理员角色
- Azure 角色
- Microsoft Entra 角色
帐户管理员角色分配给用于创建 Azure 订阅的电子邮件帐户。 帐户管理员是订阅的帐单所有者。 帐户管理员可以管理 Azure 门户中的订阅管理员。
默认情况下,订阅的服务管理员角色也会分配给用于创建 Azure 订阅的电子邮件帐户。 服务管理员具有与 Azure 基于角色的访问控制所有者角色等效的订阅的权限。 服务管理员还具有 Azure 门户的完全访问权限。 帐户管理员可以将服务管理员更改为其他电子邮件帐户。
创建 Azure 订阅时,可以将它与现有 Microsoft Entra 租户相关联。 你提供一个电子邮件帐户,可以将该电子邮件帐户与多个 Azure 订阅相关联。 帐户管理员可以将订阅转移到另一个帐户。 有关详细信息,请参阅经典订阅管理员角色、Azure 角色和 Microsoft Entra 角色。
订阅和区域
每个 Azure 资源在逻辑上与一个订阅关联。 创建资源时,需要选择要将该资源部署到的 Azure 订阅。 稍后可以将资源移到其他订阅。
订阅不绑定到特定的 Azure 区域,但每个 Azure 资源仅部署到一个区域。 可以在多个区域中拥有与同一订阅关联的资源。
注意
大多数 Azure 资源部署到特定区域。 某些资源类型被视为全局资源,例如你使用 Azure Policy 服务设置的策略。
相关资源
以下资源详细说明了本文中讨论的概念:
- Azure 的工作原理
- Azure 中的资源访问管理
- Azure Resource Manager 概述
- Azure 基于角色的访问控制 (Azure RBAC)
- 什么是 Microsoft Entra ID?
- 将 Azure 订阅关联或添加到 Microsoft Entra 租户
- Microsoft Entra Connect 的拓扑
- Microsoft 云产品/服务的订阅、许可证、帐户和租户
后续步骤
现在你已了解基本的 Azure 概念,可以了解如何使用多个 Azure 订阅进行缩放。