Infrastructuur en beheer van Mesh-cloudscripts
Overzicht
In dit artikel leert u meer over verschillende aspecten van de infrastructuur en het beheer van Mesh-clouding, waaronder de services die worden geïmplementeerd in uw Azure-abonnement wanneer u uw Cloud Scripting-project bouwt en publiceert.
Geïmplementeerde resources
Mesh Cloud Scripting Services zijn . NET-apps die worden uitgevoerd in de cloud. De CloudScripting-cloudinfrastructuur van Mesh die is geïmplementeerd in het Azure-abonnement van de klant, bevat de volgende Azure-resources:
App Service-abonnement: vertegenwoordigt een rekencluster waarin web-apps kunnen worden uitgevoerd. Er kunnen ook een of meer verschillende web-apps worden uitgevoerd.
Azure VNet: dit is de virtuele netwerkresource waarin de App Service-exemplaren worden geïmplementeerd en waarmee ze met elkaar kunnen communiceren.
Azure Web App-exemplaar: Vertegenwoordigt een exemplaar van de web-app die wordt uitgevoerd op een specifieke VM.
Azure Storage-account: bevat de gepubliceerde inhoud en informatie over de Azure-web-app-exemplaren. Het is onderverdeeld in twee onderdelen:
- De Mesh Cloud Scripting Service Blob Storage: bevat de Mesh Cloud Scripting Service-blob die is geüpload door de Mesh Uploader.
- De orleans lidmaatschapstabel: bevat informatie over de levendigheid van de Orleans Silo-exemplaren.
Log Analytics-werkruimte: bevat de logboeken die worden verzonden vanuit de Mesh Cloud Scripting Service die wordt uitgevoerd op App Service.
Application Insights: biedt functies voor het bewaken van de prestaties van toepassingen (APM). APM-hulpprogramma's zijn handig voor het bewaken van toepassingen vanaf ontwikkeling, via testen en in productie.
App Service-plan
Een App Service-plan definieert een set rekenresources waarmee een web-app kan worden uitgevoerd.
Wanneer u een App Service-plan maakt in een bepaalde regio (bijvoorbeeld Europa - west), wordt er een set rekenresources gemaakt voor dat plan in die regio. Welke apps u in dit App Service plan worden uitgevoerd op deze rekenresources, zoals gedefinieerd door uw App Service-abonnement. In elk App Service-plan wordt het volgende gedefinieerd:
- Besturingssysteem (Windows, Linux)
- Regio (VS - west, VS - oost, enzovoort)
- Aantal VM-exemplaren
- Grootte van VM-exemplaren (klein, normaal of groot)
- Prijscategorie (Free, Shared, Basic, Standard, Premium, PremiumV2, PremiumV3, Isolated, IsolatedV2)
Raadpleeg de App Service Plan Docs voor meer informatie.
Standaardresource-instellingen voor mesh-toolkit voor App Service-abonnement
- SKU-naam: P1v2
- SKU-laag: PremiumV2
- SKU-capaciteit: 1
- Soort: Linux
- Gereserveerd: Waar
In de context van Mesh Cloud Scripting Services is het App Service-plan het rekenonderdeel. Het kan automatisch schalen en afhandelen hoe de verschillende exemplaren met elkaar communiceren (netwerken). De CloudHost, de toepassing die Mesh Cloud Scripting Services uitvoert en beheert, wordt momenteel aangeboden als een Docker-installatiekopieën en daarom gebruiken we een Op Linux gebaseerd abonnement. De Premium-abonnementen zijn meer geschikt voor productieworkloads.
Raadpleeg de Bicep & ARM-sjabloonreferentie voor de resource App Service plannen voor meer informatie over de standaardinstellingen.
App Service
Azure App Service is een HTTP-service voor het hosten van webtoepassingen, REST API's en mobiele back-ends. App Service voegt de kracht van Microsoft Azure toe aan uw toepassing, zoals beveiliging, taakverdeling, automatisch schalen en geautomatiseerd beheer. Met App Service betaalt u voor de Azure-rekenresources die u gebruikt. De rekenresources die u gebruikt, zijn vastgesteld door het App Service-plan waarmee u uw apps uitvoert.
Raadpleeg de App Service Docs voor meer informatie.
Standaardresource-instellingen voor Mesh-toolkit - App Service
- httpsOnly: waar
- alwaysOn: Waar
- Aantal vnetPrivatePorts: 2
- vnetRouteAllEnabled: Waar
- vnetName: Standaardnaam Virtual Network
Raadpleeg de Bicep & ARM-sjabloon voor de resource App Service Plan voor meer informatie over de standaardinstellingen.
Virtual Network
Azure Virtual Network is de fundamentele bouwsteen voor uw privénetwerk in Azure. Met een virtueel netwerk kunnen veel typen Azure-resources, zoals Azure Virtual Machines (VM), veilig met elkaar, internet en on-premises netwerken communiceren. Een virtueel netwerk is vergelijkbaar met een traditioneel netwerk dat u in uw eigen datacenter zou uitvoeren. Een Azure Virtual Network biedt extra voordelen van de infrastructuur van Azure, zoals schaal, beschikbaarheid en isolatie.
Raadpleeg de Virtual Network Docs voor meer informatie.
Standaardresource-instellingen voor Mesh-toolkit - Virtual Network
- AddressSpace addressPrefixes: 10.0.0.0/16
- SubnetadresVoorvoegsel: 10.0.0.0/24
- Naam van subnetdelegaties: delegatie
- SubnetdelegatieserviceNaam: Microsoft.Web/serverFarms
Raadpleeg de Bicep & ARM-sjabloonverwijzing voor de Virtual Network resource voor meer informatie over de standaardinstellingen.
Opslagaccount
Een Azure Storage-account bevat al uw Azure Storage-gegevensobjecten: blobs, bestanden, wachtrijen en tabellen. Het opslagaccount biedt een unieke naamruimte voor uw Azure Storage-gegevens die overal ter wereld toegankelijk zijn via HTTP of HTTPS. Gegevens in uw opslagaccount zijn duurzaam en maximaal beschikbaar, veilig en zeer schaalbaar.
Raadpleeg de Documentatie voor opslagaccounts voor meer informatie.
Standaardresource-instellingen mesh-toolkit - opslagaccount
- SKU-naam: Standard_LRS
- Soort: StorageV2
Raadpleeg voor meer informatie over de standaardinstellingen de Bicep & ARM-sjabloonreferentie voor de opslagaccountresource.
Log Analytics-werkruimte
Een Log Analytics-werkruimte is een unieke omgeving voor logboekgegevens van Azure Monitor en andere Azure-services, zoals Microsoft Sentinel en Microsoft Defender for Cloud. Het is een hulpprogramma in de Azure Portal dat wordt gebruikt om logboekquery's te bewerken en uit te voeren op gegevens in het logboekarchief van Azure Monitor.
Raadpleeg de Log Analytics-werkruimtedocumenten voor meer informatie.
Standaardresource-instellingen voor Mesh-toolkit - Log Analytics-werkruimte
- forceCmkForQuery: false
- retentionInDays: 30
- SKU-naam: PerGB2018
- dailyQuotaGb: 2 GB
Raadpleeg de Bicep & ARM-sjabloonverwijzing voor de werkruimteresource voor meer informatie over de standaardinstellingen.
Application Insights
Application Insights is een uitbreiding van Azure Monitor en biedt APM-functies (Application Performance Monitoring). APM-hulpprogramma's zijn handig voor het bewaken van toepassingen vanaf ontwikkeling, via testen en in productie op de volgende manieren:
Proactief begrijpen hoe een toepassing presteert. Controleer de uitvoeringsgegevens van de toepassing reactief om de oorzaak van een incident te bepalen. Naast het verzamelen van metrische gegevens en toepassingstelemetriegegevens, die toepassingsactiviteiten en -status beschrijven, kunt u Application Insights gebruiken om logboekregistratiegegevens voor toepassingstracering te verzamelen en op te slaan.
Raadpleeg de Application Insights-documenten voor meer informatie.
Standaardresource-instellingen voor Mesh-toolkit - Application Insights
- Soort: web
- Request_Source: rust
- WorkspaceResourceId: standaard Log Analytics-werkruimte-id.
Raadpleeg de Bicep & ARM-sjabloonverwijzing voor de Virtual Network resource voor meer informatie over de standaardinstellingen.
Mesh Cloud Scripting Services-cloudinfrastructuurdiagram
Registraties van resourceproviders
De te registreren services zijn:
- Microsoft.Web
- Microsoft.Storage
- Microsoft.Network
- Microsoft.Insights
- Microsoft.OperationalInsights
Opmerkingen
Als u hulp nodig hebt bij fouten, raadpleegt u Registratiefouten van resourceproviders.
Zoals uitgelegd in de Azure-documentatie, wordt het registreren van services uitgevoerd op abonnementsniveau. Met andere woorden, het is niet nodig om de services voor verschillende resourcegroepen te registreren.
Toegangsbeheer voor de implementatie van Mesh Cloud Scripting Service
Ontwikkelaars moeten een e-mailtoegang hebben die kan worden gebruikt voor de implementatie. Dit kan een nieuw of bestaand account zijn.
Als u toegangsbeheer beheert via een Azure-beveiligingsgroep, maakt u deze groep (bijvoorbeeld 'Mesh Cloud Scripting Services-ontwikkelaars'). Zie Meer informatie over groepen en groepslidmaatschap voor meer informatie over Azure-beveiligingsgroepen in vergelijking met Microsoft 365-groepstypen.
Bepaal hoe u wilt dat ontwikkelaars toegang krijgen tot uw Azure-abonnement. Dit wordt bepaald door of de ontwikkelaar een systeemeigen lid van de directory of een gastgebruiker is.
- U kunt systeemeigen leden toevoegen aan de Azure-beveiligingsgroep die u in stap 2 hierboven hebt gemaakt, als u eenvoudig toegangsbeheer wilt beheren.
- U kunt gastgebruikers toevoegen aan uw Azure-abonnement of toevoegen aan de Azure-beveiligingsgroep (zie stap 2 hierboven).
Zie Gebruikers van B2B-samenwerking toevoegen in de Azure Portal voor meer informatie over gastgebruikers.
Onze aanbevelingen voor toegangsbeheer
Hier volgen enkele aanbevelingen voor het verlenen van toegang aan ontwikkelaars voor het inrichten van de Mesh Cloud Scripting Services-cloudinfrastructuur in Azure. Deze variëren, afhankelijk van hoe beperkend u wilt dat uw beleid voor toegangsbeheer is.
Verdeel ontwikkelaars de rol Inzender voor het volledige abonnement dat is ingericht voor uw Mesh Cloud Scripting Services.
Maak een toegewezen resourcegroep voor de implementatie van de cloudinfrastructuur van Mesh Cloud Scripting Services en ververleent ontwikkelaars de rol Inzender in deze resourcegroep. U kunt dit doen via de Azure-beveiligingsgroep die u hebt gemaakt in de tweede vereiste, met andere woorden'Mesh Cloud Scripting Services-ontwikkelaars'. Hiermee hebben ze volledige toegang om alle resources te beheren, maar kunnen ze geen rollen toewijzen in Azure RBAC, toewijzingen beheren in Azure Blueprints of afbeeldingsgalerieën delen.
Maak een aangepaste rol in Azure met de minste machtigingen die nodig zijn om de Cloud Scripting Services-cloudinfrastructuur van Mesh te maken en te beheren.
U kunt deze rol rechtstreeks toewijzen aan de Azure-beveiligingsgroep die u hebt gemaakt in de tweede vereiste, namelijk 'Mesh Cloud Scripting Services-ontwikkelaars'.
Dit zijn onze aanbevolen machtigingen voor de aangepaste rollen die u maakt:
Het JSON-bestand dat u wilt uploaden, moet er ongeveer als volgt uitzien**:
{ "id": "88888-8888-8888-888-8888888", "properties": { "roleName": "MeshCloudScriptingServiceDeployer", "description": "Grants access to Mesh Cloud Scripting Services resources", "assignableScopes": [ "/subscriptions/{subscriptionID}" ], "permissions": [ { "actions": [ "*/read", "Microsoft.Authorization/*/read", "Microsoft.ClassicCompute/virtualMachines/extensions/*", "Microsoft.ClassicStorage/storageAccounts/listKeys/action", "Microsoft.Compute/virtualMachines/extensions/*", "Microsoft.HybridCompute/machines/extensions/write", "Microsoft.Insights/alertRules/*", "Microsoft.Insights/autoscalesettings/*", "Microsoft.Insights/components/*", "Microsoft.Insights/diagnosticSettings/*", "Microsoft.Insights/generateLiveToken/read", "Microsoft.Insights/metricAlerts/*", "Microsoft.Insights/scheduledqueryrules/*", "Microsoft.Insights/topology/read", "Microsoft.Insights/transactions/read", "Microsoft.Insights/webtests/*", "Microsoft.Network/*", "Microsoft.OperationalInsights/*", "Microsoft.OperationsManagement/*", "Microsoft.ResourceHealth/availabilityStatuses/read", "Microsoft.Resources/deployments/*", "Microsoft.Resources/subscriptions/resourcegroups/deployments/*", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Storage/storageAccounts/*", "Microsoft.Support/*", "Microsoft.Web/certificates/*", "Microsoft.Web/hostingEnvironments/Join/Action", "Microsoft.Web/listSitesAssignedToHostName/read", "Microsoft.Web/serverFarms/join/action", "Microsoft.Web/serverFarms/*", "Microsoft.Web/sites/*" ], "notActions": [], "dataActions": [], "notDataActions": [] } ] } }Notitie
Met de aangepaste rol MeshCloudScriptingServiceDeployer kunnen gebruikers geen resourcegroepen maken. Als we willen dat gebruikers een resourcegroep maken, hebben ze ook de machtigingen Microsoft.Resources/subscriptions/resourcegroups/write nodig.
Quotumbeperkingen voor Mesh Cloud Scripting Services
De Mesh Cloud Scripting Services-infrastructuur maakt gebruik van het Premium App Service Linux-abonnement (P1V2). Dit zijn de App Service limieten die u kunt tegenkomen tijdens het implementeren van Mesh Cloud Scripting Service:
| Resource | Premium (P1V2) |
|---|---|
| Web-, mobiele of API-apps per Azure App Service-abonnement | Onbeperkt |
| App Service-plan | 100 per resourcegroep |
Notitie
Apps en opslagquota gelden per App Service abonnement, tenzij anders vermeld.
Notitie
Het werkelijke aantal apps dat u op deze machines kunt hosten, is afhankelijk van de activiteit van de apps, de grootte van de machine-exemplaren en het bijbehorende resourcegebruik.
Als u de volgende fout ontvangt: 'Deze regio heeft een quotum van 0 PremiumV2-exemplaren voor uw abonnement. Selecteer een andere regio of SKU', zie Limieten en quota voor Azure-abonnementen.
Verouderde Mesh Cloud Scripting-services opschonen
Als u verouderde of ongebruikte Mesh Cloud Scripting-services hebt, volgt u deze stappen om uw Mesh Cloud Scripting-resources te vinden en te verwijderen.
Meld u aan bij Azure Portal.
Ga naar het tabblad Alle resources.
Op de pagina Alle resources:
a. Selecteer het juiste abonnement.
b. Voeg een filter toe met de tag EnvironmentName.
c. Zoek de resources die overeenkomen met de omgevingen die u wilt verwijderen.
Schoon de verouderde Mesh Cloud Scripting-services op door te klikken op het beletselteken naast de naam van elke resource in stap 3C en vervolgens op Verwijderen te klikken in de vervolgkeuzelijst. U kunt ook de Azure CLI gebruiken zoals beschreven in dit artikel Resource verwijderen om de resources op naam te verwijderen.