Share via

بنية Azure Lighthouse

  • مقالة

تساعد Azure Lighthouse مقدمي الخدمات على تبسيط تفاعل العملاء وتجارب الإعداد، مع إدارة الموارد المفوضة على نطاق واسع بخفة الحركة والدقة. يمكن للمستخدمين والمجموعات ومديري الخدمة المعتمدين العمل مباشرة في سياق اشتراك العميل دون الحاجة إلى حساب في مستأجر Microsoft Entra لهذا العميل أو كونه مالكا مشاركا لمستأجر العميل. تسمى الآلية المستخدمة لدعم هذا الوصول إدارة الموارد المفوضة من Azure.

Diagram illustrating Azure delegated resource management.

تلميح

يمكن أيضا استخدام Azure Lighthouse داخل مؤسسة لديها العديد من مستأجري Microsoft Entra من تلقاء نفسها لتبسيط الإدارة عبر المستأجرين.

يناقش هذا الموضوع العلاقة بين المستأجرين في Azure Lighthouse والموارد التي تم إنشاؤها في مستأجر العميل والتي تمكّن هذه العلاقة.

إشعار

يتطلب إلحاق عميل بـ Azure Lighthouse التوزيع بواسطة حساب غير ضيف في مستأجر العميل الذي لديه دور لديه Microsoft.Authorization/roleAssignments/write إذن، مثل المالك، للاشتراك الذي يتم إلحاقه (أو الذي يحتوي على مجموعات الموارد التي يتم إلحاقها).

موارد التفويض التي تم إنشاؤها في المستأجر العميل

عندما يتم إعداد اشتراك العميل أو مجموعة موارده في Azure Lighthouse، يتم إنشاء مصدرين: تعريف التسجيل وتعيين التسجيل. يمكنك استخدام واجهات برمجة التطبيقات وأدوات الإدارة للوصول إلى هذه الموارد، أو العمل معها في مدخل Microsoft Azure.

تعريف التسجيل

يحتوي تعريف التسجيل على تفاصيل عرض Azure Lighthouse (معرف المستأجر الإداري والتراخيص التي تعين أدواراً مضمنة لمستخدمين و/أو مجموعات و/أو كيانات خدمة محددة في المستأجر المسؤول.

يتم إنشاء تعريف تسجيل على مستوى الاشتراك لكل اشتراك مفوض، أو في كل اشتراك يحتوي على مجموعة موارد مفوَّضة. عند استخدام واجهات برمجة التطبيقات لإنشاء تعريف تسجيل، ستحتاج إلى العمل على مستوى الاشتراك. على سبيل المثال، باستخدام Azure PowerShell، ستحتاج إلى استخدام New-AzureRmDeployment قبل إنشاء تعريف تسجيل جديد (New-AzManagedServicesDefinition)، بدلاً من استخدام New-AzureRmResourceGroupDeployment.

مهمة التسجيل

يقوم تعيين التسجيل بتعيين تعريف التسجيل إلى نطاق محدد - أي الاشتراك (الاشتراكات) على متن الطائرة و/أو مجموعة (مجموعات) الموارد.

يتم إنشاء مهمة تسجيل في كل نطاق مفوض، لذلك سيكون إما على مستوى مجموعة الاشتراك أو مستوى مجموعة الموارد، اعتماداً على ما تم إعداده.

يجب أن يشير كل تخصيص تسجيل إلى تعريف تسجيل صالح على مستوى الاشتراك، وربط التخويلات الخاصة بموفر الخدمة هذا بالنطاق المفوض وبالتالي منح حق الوصول.

الإسقاط المنطقي

يُنشئ Azure Lighthouse إسقاطاً منطقياً للموارد من مستأجر واحد إلى مستأجر آخر. يتيح ذلك لمستخدمي مقدم الخدمة المعتمدين تسجيل الدخول إلى المستأجر الخاص بهم مع التفويض للعمل في اشتراكات العملاء المفوَّضين ومجموعات الموارد. يمكن للمستخدمين في مستأجر مزود الخدمة بعد ذلك إجراء عمليات الإدارة نيابة عن عملائهم، دون الحاجة إلى تسجيل الدخول إلى كل مستأجر عميل فردي.

عندما يصل مستخدم أو مجموعة أو مدير خدمة في مستأجر موفر الخدمة إلى الموارد في مستأجر العميل، يتلقى Azure Resource Manager طلباً. يقوم Resource Manager بمصادقة هذه الطلبات، تماماً كما يفعل مع الطلبات المقدمة من قِبَل المستخدمين داخل المستأجر الخاص بالعميل. بالنسبة إلى Azure Lighthouse، يقوم بذلك عن طريق تأكيد وجود مصدرين - تعريف التسجيل وتعيين التسجيل - في مستأجر العميل. إذا كان الأمر كذلك، فإن Resource Manager يصرح بالوصول وفقاً للمعلومات المحددة بواسطة تلك الموارد.

Diagram illustrating the logical projection in Azure Lighthouse.

يتم تتبع نشاط المستخدمين في مستأجر مزود الخدمة في سجل النشاط، والذي يتم تخزينه في مستأجر العميل. يتيح ذلك للعميل معرفة التغييرات التي تم إجراؤها ومن قام بها.

كيف تعمل Azure Lighthouse

على مستوى عالٍ، إليك كيفية عمل Azure Lighthouse للمستأجر الإداري:

  1. حدد roles التي سيحتاجها أيٌّ من مجموعاتك أو مديري الخدمة أو المستخدمين لإدارة موارد Azure الخاصة بالعميل.
  2. حدد هذا الوصول وأدخل العميل على Azure Lighthouse إما عن طريق توزيع عرض خدمة مُدارة إلى Azure Marketplace، أو عن طريق توزيع قالب Azure Resource Manager. تقوم عملية الإعداد هذه بإنشاء اثنين من الموارد الموصوفة أعلاه (تعريف التسجيل وتعيين التسجيل) في مستأجر العميل.
  3. بمجرد أن يتم تأهيل العميل، يقوم المستخدمون المفوضون بتسجيل الدخول إلى المستأجر المسؤول الخاص بك وتنفيذ المهام في نطاق العميل المحدد (الاشتراك أو مجموعة الموارد) لكل الوصول الذي حددته. يمكن للعملاء مراجعة جميع الإجراءات المتخذة، ويمكنهم إزالة الوصول في أي وقت.

بينما في معظم الحالات، سيقوم مزود خدمة واحد فقط بإدارة موارد محددة للعميل، فمن الممكن للعميل إنشاء تفويضات متعددة لنفس الاشتراك أو مجموعة الموارد، ما يسمح لمقدمي خدمة متعددين بالوصول. يتيح هذا السيناريو أيضاً سيناريوهات بائعي البرامج المستقلين (ISV) التي تعرض الموارد من مستأجر مزود الخدمة إلى عدة عملاء.

الخطوات التالية