描述 Azure 管理基礎結構

  • 7 分鐘

管理基礎結構包括 Azure 資源與資源群組、訂用帳戶和帳戶。 了解階層式組織可協助您規劃 Azure 中的專案和產品。

Azure 資源和資源群組

資源是 Azure 的基本建置組塊。 您所建立、佈建、部署等的任何項目都是資源。 虛擬機器 (VM)、虛擬網路、資料庫、認知服務等都會視為 Azure 內的資源。

Diagram showing a resource group box with a function, VM, database, and app included.

資源群組只是資源的群組。 當您建立資源時,必須將其放入資源群組中。 雖然資源群組可以包含許多資源,但單一資源一次只能位於一個資源群組中。 某些資源可能會在資源群組之間移動,但當您將資源移至新的群組時,其將不再與先前的群組相關聯。 此外,資源群組無法巢狀化,這表示您無法將資源群組 B 放在資源群組 A 內。

資源群組提供一個方便的方式,可讓您將資源分組在一起。 當您將動作套用至資源群組時,該動作會套用至資源群組內的所有資源。 如果您刪除資源群組,則會刪除所有資源。 如果您授與或拒絕資源群組的存取權,則表示您已授與或拒絕資源群組內所有資源的存取權。

當您佈建資源時,最好考慮最適合您需求的資源群組結構。

例如,如果您要設定暫時開發環境,則將所有資源分組在一起,表示您可以刪除資源群組,來一次取消佈建所有相關聯的資源。 如果您要佈建需要三個不同存取結構描述的計算資源,最好根據存取結構描述將資源分組,然後在資源群組層級指派存取權。

沒有關於如何使用資源群組的硬式規則,因此請考慮如何設定您的資源群組,以盡可能為您發揮其最大效用。

Azure 訂用帳戶

在 Azure 中,訂用帳戶是管理、計費和擴縮的單位。 訂用帳戶類似於資源群組是以邏輯方式組織資源的方式,可讓您以邏輯方式組織資源群組,並加速計費。

Diagram showing Azure subscriptions using authentication and authorization to access Azure accounts.

必須有 Azure 訂用帳戶才能使用 Azure。 訂用帳戶可提供 Azure 產品與服務經驗證和授權的存取權。 其也可供佈建資源。 Azure 訂用帳戶會連結至 Azure 帳戶,這是 Microsoft Entra ID 或 Microsoft Entra ID 所信任目錄中的身分識別。

帳戶可以有多個訂用帳戶,但其只需要有一個訂用帳戶。 在多訂用帳戶的帳戶中,您可以使用訂用帳戶來設定不同的計費模型,並套用不同的存取管理原則。 您可使用 Azure 訂用帳戶來定義 Azure 產品、服務與資源的界限。 您可使用兩種訂用帳戶界限類型:

  • 計費界限:此訂用帳戶類型會判斷 Azure 帳戶使用 Azure 時如何計費。 您可為不同的計費需求類型建立多個訂用帳戶。 Azure 會為每個訂用帳戶分別產生帳單報告和發票,讓您可組織及管理成本。
  • 存取控制界限:Azure 會在訂用帳戶層級套用存取管理原則,讓您可建立個別的訂用帳戶以反映不同組織結構。 例如在企業中,您會有套用相異 Azure 訂用帳戶原則的不同部門。 這種計費模型可讓您管理及控制使用者使用特定訂用帳戶所佈建資源的存取權。

建立額外的 Azure 訂用帳戶

類似於使用資源群組依函式或存取權來區分資源,您可能需要針對資源或計費管理目的建立其他訂用帳戶。 例如,您可能會想要建立額外的訂用帳戶,以區分:

  • 環境:您可以選擇建立訂用帳戶來設定個別環境以用於開發、測試及安全性,或是基於合規性因素用來隔離資料。 這項設計特別實用,因為資源存取控制會在訂用帳戶層級發生。
  • 組織結構:您可以建立訂用帳戶以反映不同的組織結構。 例如,您可以限制一個小組只能使用較低成本的資源,同時允許 IT 部門使用完整範圍的資源。 此設計可讓您針對使用者在每個訂用帳戶內佈建的資源,管理和控制其存取。
  • 計費:基於計費目的,您可以建立額外的訂用帳戶。 由於成本會先在訂用帳戶層級彙總,因此您可能需要建立訂用帳戶,以根據您的需求管理及追蹤成本。 例如,您可能需要為生產工作負載建立訂用帳戶,並為開發及測試工作負載建立另一個訂用帳戶。

Azure 管理群組

最後一個部分是管理群組。 資源會聚縮到資源群組中,而資源群組則會聚縮到訂用帳戶中。 如果您剛開始使用 Azure,則看起來可能已有足夠的階層可保持井然有序。 但假設如果您在多個地理位置處理多個應用程式和多個開發小組。

如果您有許多訂用帳戶,則可能需要有效管理這些訂用帳戶的存取權、原則與合規性方法。 Azure 管理群組提供了訂用帳戶之上的範圍層級。 您可將訂用帳戶組織成稱為「管理群組」的容器,並將治理條件套用到管理群組。 管理群組內的所有訂用帳戶都會自動繼承套用至管理群組的條件,與資源群組繼承訂用帳戶設定的方式,以及從資源群組繼承資源的方式相同。 無論您具有何種類型的訂用帳戶,管理群組都可為您提供企業級的大規模管理功能。 可以對管理群組進行巢狀處理。

管理群組、訂用帳戶以及資源群組階層

您可以建置管理群組和訂用帳戶的彈性結構,以將您的資源組織到階層內,從而獲得統一的原則和存取管理。 下圖顯示使用管理群組建立治理階層的範例。

Diagram showing an example of a management group hierarchy tree.

以下範例說明您可以使用管理群組的方式:

  • 建立套用原則的階層。 您可在稱為「生產」的群組內,將 VM 位置限制在美國西部區域。 此原則將會同時由該管理群組底下的所有訂用帳戶繼承,並會套用至這些訂用帳戶底下的所有 VM。 為了提供更好的治理,資源或訂用帳戶擁有者無法改變這項安全性原則。
  • 提供使用者對多個訂用帳戶的存取權。 您可以在管理群組底下移動多個訂用帳戶,藉此在管理群組上建立一個 Azure 角色型存取控制 (Azure RBAC) 指派。 在管理群組層級指派 Azure RBAC,表示該管理群組下的所有子管理群組、訂用帳戶、資源群組和資源也會繼承這些權限。 只需對管理群組進行一個指派,便能夠讓使用者存取其所需的一切項目,而無須為不同訂用帳戶撰寫 Azure RBAC 指令碼。

關於管理群組的重要資訊:

  • 單一目錄中可支援 10,000 個管理群組。
  • 管理群組樹狀結構最多可支援六個層級的深度。 這項限制不包含根層級或訂用帳戶層級。
  • 每個管理群組和訂用帳戶僅能支援一個父系。