Azure-beheerinfrastructuur beschrijven

  • 7 minuten

De beheerinfrastructuur omvat Azure-resources en resourcegroepen, abonnementen en accounts. Inzicht in de hiërarchische organisatie helpt u bij het plannen van uw projecten en producten in Azure.

Azure-resources en -resourcegroepen

Een resource is de basisbouwsteen van Azure. Alles wat u maakt, inricht, implementeert, enzovoort, is een resource. Virtuele machines (VM's), virtuele netwerken, databases, cognitieve services, enzovoort, worden allemaal beschouwd als resources in Azure.

Diagram showing a resource group box with a function, VM, database, and app included.

Resourcegroepen zijn gewoon groeperingen van resources. Wanneer u een resource maakt, moet u deze in een resourcegroep plaatsen. Hoewel een resourcegroep veel resources kan bevatten, kan één resource slechts in één resourcegroep tegelijk zijn. Sommige resources kunnen worden verplaatst tussen resourcegroepen, maar wanneer u een resource naar een nieuwe groep verplaatst, wordt deze niet meer gekoppeld aan de voormalige groep. Daarnaast kunnen resourcegroepen niet worden genest, wat betekent dat u resourcegroep B niet in resourcegroep A kunt plaatsen.

Resourcegroepen bieden een handige manier om resources samen te groeperen. Wanneer u een actie toepast op een resourcegroep, is die actie van toepassing op alle resources in de resourcegroep. Als u een resourcegroep verwijdert, worden alle resources verwijderd. Als u toegang tot een resourcegroep verleent of weigert, hebt u toegang verleend of geweigerd tot alle resources binnen de resourcegroep.

Wanneer u resources inricht, is het goed om na te denken over de structuur van de resourcegroep die het beste bij uw behoeften past.

Als u bijvoorbeeld een tijdelijke ontwikkelomgeving instelt, betekent het groeperen van alle resources dat u de inrichting van alle gekoppelde resources tegelijk ongedaan kunt maken door de resourcegroep te verwijderen. Als u rekenresources inricht waarvoor drie verschillende toegangsschema's nodig zijn, kunt u het beste resources groeperen op basis van het toegangsschema en vervolgens toegang toewijzen op het niveau van de resourcegroep.

Er zijn geen vaste regels voor het gebruik van resourcegroepen, dus overweeg hoe u uw resourcegroepen instelt om hun bruikbaarheid voor u te maximaliseren.

Azure-abonnementen

In Azure zijn abonnementen een beheereenheid, facturering en schaal. Net zoals resourcegroepen een manier zijn om resources logisch te organiseren, kunt u met abonnementen uw resourcegroepen logisch organiseren en facturering vergemakkelijken.

Diagram showing Azure subscriptions using authentication and authorization to access Azure accounts.

Voor het gebruik van Azure is een Azure-abonnement vereist. Een abonnement biedt geverifieerde en geautoriseerde toegang tot Azure-producten en -services. U kunt hiermee ook resources inrichten. Een Azure-abonnement is gekoppeld aan een Azure-account, een identiteit in Microsoft Entra-id of in een map die door Microsoft Entra ID wordt vertrouwd.

Een account kan meerdere abonnementen hebben, maar het is alleen nodig om er een te hebben. In een account met meerdere abonnementen kunt u de abonnementen gebruiken om verschillende factureringsmodellen te configureren en verschillende beleidsregels voor toegangsbeheer toe te passen. U kunt Azure-abonnementen gebruiken om grenzen te definiëren rond Azure-producten, -services en -resources. Er zijn twee soorten abonnementsgrenzen die u kunt gebruiken:

  • Factureringsgrens: Dit abonnementstype bepaalt hoe een Azure-account wordt gefactureerd voor het gebruik van Azure. U kunt meerdere abonnementen maken voor verschillende typen factureringsvereisten. Azure genereert afzonderlijke factureringsrapporten en facturen voor elk abonnement zodat u de kosten kunt ordenen en beheren.
  • Toegangsbeheergrens: Azure past toegangsbeheerbeleid toe op abonnementsniveau en u kunt afzonderlijke abonnementen maken om verschillende organisatiestructuren weer te geven. Een voorbeeld hiervan is dat u binnen een bedrijf verschillende afdelingen hebt waarop u een uniek Azure-abonnementsbeleid toepast. Door dit factureringsmodel kunt u de toegang beheren en controleren tot de resources die gebruikers binnen een bepaald abonnement inrichten.

Extra Azure-abonnementen maken

Net als bij het gebruik van resourcegroepen om resources te scheiden op functie of toegang, wilt u mogelijk extra abonnementen maken voor resource- of factureringsbeheer. U kunt er bijvoorbeeld voor kiezen om extra abonnementen te maken om het volgende te scheiden:

  • Omgevingen: U kunt ervoor kiezen om abonnementen te maken om afzonderlijke omgevingen in te stellen voor ontwikkeling en testen, beveiliging of om gegevens te isoleren om nalevingsredenen. Dit ontwerp is met name handig omdat de toegangscontrole van resources plaatsvindt op abonnementsniveau.
  • Organisatiestructuren: U kunt abonnementen maken om verschillende organisatiestructuren weer te geven. U kunt bijvoorbeeld één team beperken tot goedkopere resources, terwijl de IT-afdeling een volledig bereik heeft. Met dit ontwerp kunt u de toegang beheren en controleren tot de resources die gebruikers binnen elk abonnement inrichten.
  • Facturering: U kunt extra abonnementen maken voor factureringsdoeleinden. Omdat kosten eerst worden gecombineerd op abonnementsniveau, wilt u misschien abonnementen maken om kosten te beheren en bij te houden op basis van uw behoeften. Mogelijk wilt u één abonnement maken voor uw productieworkloads en een ander abonnement voor uw ontwikkel- en testworkloads.

Azure-beheergroepen

Het laatste stuk is de beheergroep. Resources worden verzameld in resourcegroepen en resourcegroepen worden verzameld in abonnementen. Als u net begint in Azure, lijkt dit misschien voldoende hiërarchie om de zaken georganiseerd te houden. Maar stel dat u te maken hebt met meerdere toepassingen, meerdere ontwikkelteams, in meerdere geografische gebieden.

Als u veel abonnementen hebt, hebt u mogelijk een manier nodig om de toegang, beleidsregels en naleving voor deze abonnementen efficiënt te beheren. Azure-beheergroepen bieden een bereikniveau dat hoger is dan abonnementen. U ordent abonnementen in containers die beheergroepen worden genoemd en past governancevoorwaarden toe op de beheergroepen. Alle abonnementen binnen een beheergroep nemen automatisch de voorwaarden over die zijn toegepast op de beheergroep, op dezelfde manier als resourcegroepen instellingen overnemen van abonnementen en resources die van resourcegroepen worden overgenomen. Beheergroepen bieden u bedrijfsbeheer op grote schaal, ongeacht het type abonnementen dat u hebt. Beheergroepen kunnen worden genest.

Beheergroep, abonnementen en resourcegroephiërarchie

U kunt een flexibele structuur van managementgroepen en abonnementen bouwen om uw resources in een hiërarchie te ordenen voor uniform beleid en toegangsbeheer. Het volgende diagram laat een voorbeeld zien van hoe een hiërarchie voor governance kan worden gemaakt met behulp van beheergroepen.

Diagram showing an example of a management group hierarchy tree.

Enkele voorbeelden van hoe u beheergroepen kunt gebruiken, kan het volgende zijn:

  • Maak een hiërarchie die een beleid toepast. U kunt VM-locaties beperken tot de regio US - west in een groep met de naam Productie. Dit beleid neemt over aan alle abonnementen die afstammelingen van die beheergroep zijn en is van toepassing op alle VM's onder deze abonnementen. Dit beveiligingsbeleid kan niet worden gewijzigd door de eigenaar van de resource of het abonnement, wat zorgt voor betere governance.
  • Gebruikerstoegang bieden tot meerdere abonnementen. Door meerdere abonnementen onder een beheergroep te verplaatsen, kunt u één Azure RBAC-toewijzing (op rollen gebaseerd toegangsbeheer) in de beheergroep maken. Als u Azure RBAC toewijst op het niveau van de beheergroep, betekent dit dat alle subbeheergroepen, abonnementen, resourcegroepen en resources onder die beheergroep ook deze machtigingen overnemen. Eén toewijzing in de beheergroep kan gebruikers toegang geven tot alles wat ze nodig hebben. Er hoeven dan geen scripts te worden geschreven voor Azure RBAC-toewijzingen in meerdere abonnementen.

Belangrijke feiten over beheergroepen:

  • In één map kunnen 10.000 beheergroepen worden ondersteund.
  • Een beheergroepstructuur ondersteunt tot wel zes niveaus. Deze limiet omvat niet het hoofdniveau of het abonnementsniveau.
  • Elke beheergroep en elk abonnement kan slechts één bovenliggende groep ondersteunen.