Estrutura de governação para várias equipasGovernance design for multiple teams

O objetivo desta orientação é ajudá-lo a aprender o processo de conceção de um modelo de governação de recursos em Azure para apoiar várias equipas, múltiplas cargas de trabalho e vários ambientes.The goal of this guidance is to help you learn the process for designing a resource governance model in Azure to support multiple teams, multiple workloads, and multiple environments. Primeiro, você vai olhar para um conjunto de requisitos hipotéticos de governação, em seguida, passar por vários exemplos implementações que satisfazem esses requisitos.First you'll look at a set of hypothetical governance requirements, then go through several example implementations that satisfy those requirements.

Os requisitos são:The requirements are:

  • A empresa planeia transitar novas funções e responsabilidades na nuvem para um conjunto de utilizadores e, portanto, requer uma gestão de identidade para várias equipas com diferentes necessidades de acesso a recursos em Azure.The enterprise plans to transition new cloud roles and responsibilities to a set of users and therefore requires identity management for multiple teams with different resource access needs in Azure. Este sistema de gestão de identidade é necessário para armazenar a identidade dos seguintes utilizadores:This identity management system is required to store the identity of the following users:
    • O indivíduo da sua organização responsável pela titularidade de subscrições.The individual in your organization responsible for ownership of subscriptions.
    • O indivíduo da sua organização responsável pelos recursos de infraestrutura partilhada usados para ligar a sua rede no local a uma rede virtual em Azure.The individual in your organization responsible for the shared infrastructure resources used to connect your on-premises network to a virtual network in Azure.
    • Dois indivíduos na sua organização responsáveis pela gestão de uma carga de trabalho.Two individuals in your organization responsible for managing a workload.
  • Suporte para vários ambientes.Support for multiple environments. Um ambiente é um agrupamento lógico de recursos, como máquinas virtuais, networking virtual e serviços de encaminhamento de tráfego de rede.An environment is a logical grouping of resources, such as virtual machines, virtual networking, and network traffic routing services. Estes grupos de recursos têm requisitos de gestão e segurança semelhantes e são normalmente utilizados para um fim específico, como testes ou produção.These groups of resources have similar management and security requirements and are typically used for a specific purpose such as testing or production. Neste exemplo, a exigência é de quatro ambientes:In this example, the requirement is for four environments:
    • Um ambiente de infraestrutura partilhada que inclui recursos partilhados por cargas de trabalho noutros ambientes.A shared infrastructure environment that includes resources shared by workloads in other environments. Por exemplo, uma rede virtual com uma sub-rede de gateway que fornece conectividade às instalações.For example, a virtual network with a gateway subnet that provides connectivity to on-premises.
    • Um ambiente de produção com as políticas de segurança mais restritivas.A production environment with the most restrictive security policies. Pode incluir cargas de trabalho internas ou externas.Could include internal or external facing workloads.
    • Um ambiente de não produção para o desenvolvimento e testes.A nonproduction environment for development and testing work. Este ambiente tem políticas de segurança, conformidade e custos que diferem das do ambiente de produção.This environment has security, compliance, and cost policies that differ from those in the production environment. Em Azure, isto assume a forma de uma subscrição Enterprise Dev/Test.In Azure, this takes the form of an Enterprise Dev/Test subscription.
    • Um ambiente de caixa de areia para provar propósitos de conceito e educação.A sandbox environment for proof of concept and education purposes. Este ambiente é tipicamente atribuído por colaborador que participa em atividades de desenvolvimento e dispõe de rigorosos controlos processuais e operacionais de segurança para impedir que os dados corporativos desembarquem aqui.This environment is typically assigned per employee participating in development activities and has strict procedural and operational security controls in place to prevent corporate data from landing here. Em Azure, estes assumem a forma de subscrições do Visual Studio.In Azure, these take the form of Visual Studio subscriptions. Estas subscrições também não devem estar ligadas à empresa Azure Ative Directory.These subscriptions should also not be tied to the enterprise Azure Active Directory.
  • Um modelo de permissões de menor privilégio em que os utilizadores não têm permissões por defeito.A permissions model of least privilege in which users have no permissions by default. O modelo deve apoiar o seguinte:The model must support the following:
    • Um único utilizador de confiança no âmbito de subscrição, tratado como uma conta de serviço e autorizado a atribuir direitos de acesso a recursos.A single trusted user at the subscription scope, treated like a service account and granted permission to assign resource access rights.
    • A cada dono da carga de trabalho é negado o acesso aos recursos por defeito.Each workload owner is denied access to resources by default. Os direitos de acesso aos recursos são concedidos explicitamente pelo único utilizador de confiança no âmbito do grupo de recursos.Resource access rights are granted explicitly by the single trusted user at the resource group scope.
    • Acesso à gestão dos recursos de infraestrutura partilhada, limitado aos proprietários de infraestruturas partilhadas.Management access for the shared infrastructure resources, limited to the shared infrastructure owners.
    • Acesso à gestão de cada carga de trabalho restrita ao proprietário da carga de trabalho na produção, e aumento dos níveis de controlo à medida que o desenvolvimento prossegue através dos vários ambientes de implantação (desenvolvimento, teste, encenação e produção).Management access for each workload restricted to the workload owner in production, and increasing levels of control as development proceeds through the various deployment environments (development, test, staging, and production).
    • A empresa não quer ter de gerir funções de forma independente em cada um dos três principais ambientes, pelo que requer a utilização de apenas funções incorporadas disponíveis no controlo de acesso baseado em funções (RBAC) da Azure.The enterprise does not want to have to manage roles independently in each of the three main environments, and therefore requires the use of only built-in roles available in Azure's role-based access control (RBAC). Se a empresa necessitar absolutamente de funções RBAC personalizadas, seriam necessários processos adicionais para sincronizar funções personalizadas nos três ambientes.If the enterprise absolutely requires custom RBAC roles, additional processes would be needed to synchronize custom roles across the three environments.
  • Rastreio de custos pelo nome do proprietário da carga de trabalho, ambiente ou ambos.Cost tracking by workload owner name, environment, or both.

Gestão de identidadesIdentity management

Antes de poder projetar a gestão de identidade para o seu modelo de governação, é importante compreender as quatro grandes áreas que engloba:Before you can design identity management for your governance model, it's important to understand the four major areas it encompasses:

  • Administração: Os processos e ferramentas para criar, editar e eliminar a identidade do utilizador.Administration: The processes and tools for creating, editing, and deleting user identity.
  • Autenticação: Verificar a identidade do utilizador através da validação de credenciais, como um nome de utilizador e uma palavra-passe.Authentication: Verifying user identity by validating credentials, such as a user name and password.
  • Autorização: Determinar quais os recursos a que um utilizador autenticado pode aceder ou quais as operações a que tem permissão para realizar.Authorization: Determining which resources an authenticated user is allowed to access or what operations they have permission to perform.
  • Auditoria: Rever periodicamente registos e outras informações para descobrir questões de segurança relacionadas com a identidade do utilizador.Auditing: Periodically reviewing logs and other information to discover security issues related to user identity. Isto inclui rever padrões de uso suspeitos, rever periodicamente permissões de utilizador para verificar se são precisas e outras funções.This includes reviewing suspicious usage patterns, periodically reviewing user permissions to verify they're accurate, and other functions.

Há apenas um serviço confiável pela Azure para a identidade, que é o Azure Ative Directory (Azure AD).There is only one service trusted by Azure for identity, and that is Azure Active Directory (Azure AD). Irá adicionar utilizadores ao Azure AD e usá-lo para todas as funções listadas acima.You'll be adding users to Azure AD and using it for all of the functions listed above. Antes de olhar para como configurar a Azure AD, é importante entender as contas privilegiadas que são usadas para gerir o acesso a estes serviços.Before looking at how to configure Azure AD, it's important to understand the privileged accounts that are used to manage access to these services.

Quando a sua organização se inscreveu para uma conta Azure, pelo menos um proprietário de conta Azure foi designado.When your organization signed up for an Azure account, at least one Azure account owner was assigned. Além disso, foi criado um inquilino Azure AD, a menos que um inquilino existente já estivesse associado ao uso da sua organização de outros serviços da Microsoft, como o Microsoft 365.Also, an Azure AD tenant was created, unless an existing tenant was already associated with your organization's use of other Microsoft services such as Microsoft 365. Um administrador global com permissões completas sobre o inquilino da Azure AD foi associado quando foi criado.A global administrator with full permissions on the Azure AD tenant was associated when it was created.

As identidades dos utilizadores tanto para o proprietário da conta Azure como para o administrador global Azure AD são armazenadas num sistema de identidade altamente seguro que é gerido pela Microsoft.The user identities for both the Azure account owner and the Azure AD global administrator are stored in a highly secure identity system that is managed by Microsoft. O proprietário da conta Azure está autorizado a criar, atualizar e apagar subscrições.The Azure account owner is authorized to create, update, and delete subscriptions. O administrador global da Azure AD está autorizado a realizar muitas ações em Azure AD, mas para este guia de design você vai se concentrar na criação e eliminação da identidade do utilizador.The Azure AD global administrator is authorized to perform many actions in Azure AD, but for this design guide you'll focus on the creation and deletion of user identity.

Nota

A sua organização pode já ter um inquilino AZure AD existente se houver uma licença Microsoft 365, Intune ou Dynamics 365 associada à sua conta.Your organization may already have an existing Azure AD tenant if there's an existing Microsoft 365, Intune, or Dynamics 365 license associated with your account.

O proprietário da conta Azure tem permissão para criar, atualizar e apagar subscrições:The Azure account owner has permission to create, update, and delete subscriptions:

Diagrama mostrando uma conta Azure com um proprietário de conta Azure e administrador global Azure AD. Figura 1: Uma conta Azure com um proprietário de conta Azure e administrador global da Azure AD.Diagram showing an Azure account with an Azure account owner and Azure AD global admin. Figure 1: An Azure account with an Azure account owner and Azure AD global administrator.

O administrador global da AZure AD tem permissão para criar contas de utilizador:The Azure AD global administrator has permission to create user accounts:

Diagrama que mostra que o administrador global da AZure AD cria as contas de utilizador necessárias no arrendatário. Figura 2: O administrador global da Azure AD cria as contas de utilizador necessárias no arrendatário.Diagram showing that the Azure AD global administrator creates the required user accounts in the tenant. Figure 2: The Azure AD global administrator creates the required user accounts in the tenant.

As duas primeiras contas, a app1 dona da carga de trabalho e a app2, estão associadas a um indivíduo da sua organização responsável pela gestão de uma carga de trabalho.The first two accounts, app1 workload owner and app2 workload owner, are each associated with an individual in your organization responsible for managing a workload. A conta de operações de rede é propriedade do indivíduo responsável pelos recursos de infraestrutura partilhada.The network operations account is owned by the individual that is responsible for the shared infrastructure resources. Finalmente, a conta do proprietário da subscrição está associada ao indivíduo responsável pela titularidade das subscrições.Finally, the subscription owner account is associated with the individual responsible for ownership of subscriptions.

Modelo de permissões de acesso a recursos de menor privilégioResource access permissions model of least privilege

Agora que o seu sistema de gestão de identidade e contas de utilizador foram criados, tem de decidir como aplicar funções de controlo de acesso (RBAC) baseadas em funções em cada conta para suportar um modelo de permissões de menor privilégio.Now that your identity management system and user accounts have been created, you have to decide how to apply role-based access control (RBAC) roles to each account to support a permissions model of least privilege.

Há outro requisito que indica que os recursos associados a cada carga de trabalho são isolados uns dos outros de modo a que nenhum dono de carga de trabalho tenha acesso à gestão de qualquer outra carga de trabalho que não possuam.There's another requirement stating the resources associated with each workload be isolated from one another such that no one workload owner has management access to any other workload they do not own. Há também a exigência de implementar este modelo usando apenas papéis incorporados para o controlo de acesso baseado em papéis Azure.There's also a requirement to implement this model using only built-in roles for Azure role-based access control.

Cada papel rbac é aplicado em um dos três âmbitos em Azure: subscrição, grupo de recursos, em seguida, um recurso individual .Each RBAC role is applied at one of three scopes in Azure: subscription, resource group, then an individual resource. As funções são herdadas em âmbitos mais baixos.Roles are inherited at lower scopes. Por exemplo, se um utilizador for atribuído à função de Proprietário incorporado ao nível da subscrição, essa função também é atribuída a esse utilizador no grupo de recursos e ao nível de recursos individuais, a menos que seja ultrapassado.For example, if a user is assigned the built-in Owner role at the subscription level, that role is also assigned to that user at the resource group and individual resource level unless overridden.

Portanto, para criar um modelo de acesso de menor privilégio tem de decidir as ações que um determinado tipo de utilizador pode tomar em cada um destes três âmbitos.Therefore, to create a model of least-privilege access you have to decide the actions a particular type of user is allowed to take at each of these three scopes. Por exemplo, a exigência é que um proprietário de carga de trabalho tenha permissão para gerir o acesso apenas aos recursos associados à sua carga de trabalho e a nenhum outro.For example, the requirement is for a workload owner to have permission to manage access to only the resources associated with their workload and no others. Se atribuísse o papel de Proprietário incorporado no âmbito de subscrição, cada proprietário da carga de trabalho teria acesso de gestão a todas as cargas de trabalho.If you were to assign the built-in Owner role at the subscription scope, each workload owner would have management access to all workloads.

Vamos dar uma olhada em dois modelos de permissão de exemplo para entender este conceito um pouco melhor.Let's take a look at two example permission models to understand this concept a little better. No primeiro exemplo, o modelo confia apenas no Administrador de Serviço para criar grupos de recursos.In the first example, the model trusts only the Service Administrator to create resource groups. No segundo exemplo, o modelo atribui a função de Proprietário incorporado a cada proprietário de carga de trabalho no âmbito de subscrição.In the second example, the model assigns the built-in Owner role to each workload owner at the subscription scope.

Em ambos os exemplos, existe um Administrador de Serviço de Subscrição que é atribuído a função de Proprietário incorporado no âmbito de subscrição.In both examples, there is a subscription Service Administrator that is assigned the built-in Owner role at the subscription scope. Recorde-se que a função de Proprietário incorporado concede todas as permissões, incluindo a gestão do acesso aos recursos.Recall that the built-in Owner role grants all permissions including the management of access to resources.

Administrador de serviço de subscrição com função de proprietário Figura 3: Uma subscrição com um Administrador de Serviço atribuiu a função de Proprietário incorporado.Subscription service administrator with owner role Figure 3: A subscription with a Service Administrator assigned the built-in Owner role.

  1. No primeiro exemplo, o proprietário da carga de trabalho A não tem permissões no âmbito de subscrição e nenhum direito de gestão de acesso a recursos por padrão.In the first example, workload owner A has no permissions at the subscription scope and no resource access management rights by default. Este utilizador quer implementar e gerir os recursos para a sua carga de trabalho.This user wants to deploy and manage the resources for their workload. Devem contactar o administrador de serviço para solicitar a criação de um grupo de recursos.They must contact the service administrator to request creation of a resource group. Dona da carga de trabalho pede criação do grupo de recursos AWorkload owner requests creation of resource group A
  2. O administrador de serviço revê o seu pedido e cria o grupo de recursos A. Neste momento, o dono da carga de trabalho A ainda não tem permissão para fazer nada.The service administrator reviews their request and creates resource group A. At this point, workload owner A still doesn't have permission to do anything. Administrador de serviço cria grupo de recursos AService administrator creates resource group A
  3. O administrador de serviço adiciona o proprietário da carga de trabalho A ao grupo de recursos A e atribui a função de Contribuinte incorporado.The service administrator adds workload owner A to resource group A and assigns the built-in Contributor role. A função Contribuinte concede todas as permissões no grupo de recursos A, exceto a gestão da permissão de acesso.The Contributor role grants all permissions on resource group A except managing access permission. Administrador de serviço adiciona a carga de trabalho do proprietário A ao grupo de recursos AService administrator adds workload owner A to resource group A
  4. Vamos assumir que o dono da carga de trabalho A tem um requisito para que um par de membros da equipa veja o CPU e os dados de monitorização do tráfego da rede como parte do planeamento da capacidade para a carga de trabalho.Let's assume that workload owner A has a requirement for a pair of team members to view the CPU and network traffic monitoring data as part of capacity planning for the workload. Uma vez que o proprietário da carga de trabalho A é atribuído à função Contribuinte, eles não têm permissão para adicionar um utilizador ao grupo de recursos A. Devem enviar este pedido ao administrador de serviço.Because workload owner A is assigned the Contributor role, they do not have permission to add a user to resource group A. They must send this request to the service administrator. Dono da carga de trabalho pede que contribuintes da carga de trabalho sejam adicionados ao grupo de recursosWorkload owner requests workload contributors be added to resource group
  5. O administrador de serviço revê o pedido e adiciona os dois utilizadores contribuintes da carga de trabalho ao grupo de recursos A. Nenhum destes dois utilizadores necessita de permissão para gerir recursos, pelo que lhes é atribuída a função de Leitor incorporado.The service administrator reviews the request, and adds the two workload contributor users to resource group A. Neither of these two users require permission to manage resources, so they're assigned the built-in Reader role. Administrador de serviço adiciona contribuintes de carga de trabalho ao grupo de recursos AService administrator adds workload contributors to resource group A
  6. Em seguida, o proprietário da carga de trabalho B também requer um grupo de recursos para conter os recursos para a sua carga de trabalho.Next, workload owner B also requires a resource group to contain the resources for their workload. Tal como acontece com o proprietário da carga de trabalho A, o proprietário b inicialmente não tem permissão para tomar qualquer medida no âmbito de subscrição, pelo que devem enviar um pedido ao administrador de serviço.As with workload owner A, workload owner B initially does not have permission to take any action at the subscription scope so they must send a request to the service administrator. Dona da carga de trabalho B solicita criação do grupo de recursos BWorkload owner B requests creation of resource group B
  7. O administrador de serviço revê o pedido e cria o grupo de recursos B. Administrador de serviço cria grupo de recursos BThe service administrator reviews the request and creates resource group B. Service administrator creates resource group B
  8. O administrador de serviço adiciona então o proprietário da carga de trabalho B ao grupo B de recursos e atribui a função de Contribuinte incorporado.The service administrator then adds workload owner B to resource group B and assigns the built-in Contributor role. Administrador de serviço adiciona a carga de trabalho do proprietário B ao grupo B de recursosService administrator adds workload owner B to resource group B

Neste momento, cada um dos proprietários de carga de trabalho está isolado no seu próprio grupo de recursos.At this point, each of the workload owners is isolated in their own resource group. Nenhum dos proprietários de carga de trabalho ou os seus membros da equipa têm acesso de gestão aos recursos em qualquer outro grupo de recursos.None of the workload owners or their team members have management access to the resources in any other resource group.

Um diagrama que mostra uma subscrição com os grupos de recursos A e B. GFIGURE 4: uma assinatura com dois proprietários de carga de trabalho isolados com o seu próprio recurso group.gfigure 4: a subscription with two workload owners isolated with their own resource group.

Este modelo é um modelo de menos privilégio.This model is a least-privilege model. A cada utilizador é atribuída a permissão correta no âmbito correto de gestão de recursos.Each user is assigned the correct permission at the correct resource management scope.

Considere que todas as tarefas neste exemplo foram executadas pelo administrador de serviço.Consider that every task in this example was performed by the service administrator. Embora este seja um exemplo simples e possa não parecer um problema porque havia apenas dois proprietários de carga de trabalho, é fácil imaginar os tipos de problemas que resultariam para uma grande organização.While this is a simple example and may not appear to be an issue because there were only two workload owners, it's easy to imagine the types of issues that would result for a large organization. Por exemplo, o administrador de serviço pode tornar-se um estrangulamento com um grande atraso de pedidos que resultam em atrasos.For example, the service administrator can become a bottleneck with a large backlog of requests that result in delays.

Vejamos o segundo exemplo que reduz o número de tarefas executadas pelo administrador de serviço.Let's take a look at second example that reduces the number of tasks performed by the service administrator.

  1. Neste modelo, o proprietário da carga de trabalho A é atribuído ao papel de Proprietário incorporado no âmbito de subscrição, permitindo-lhes criar o seu próprio grupo de recursos: grupo de recursos A. Administrador de serviço adiciona o proprietário da carga de trabalho A à subscriçãoIn this model, workload owner A is assigned the built-in Owner role at the subscription scope, enabling them to create their own resource group: resource group A. Service administrator adds workload owner A to subscription
  2. Quando o grupo de recursos A é criado, o proprietário da carga de trabalho A é adicionado por padrão e herda a função incorporada do Proprietário a partir do âmbito de subscrição.When resource group A is created, workload owner A is added by default and inherits the built-in Owner role from the subscription scope. Dona da carga de trabalho A cria grupo de recursos AWorkload owner A creates resource group A
  3. A função incorporada do Proprietário concede ao proprietário uma permissão para gerir o acesso ao grupo de recursos.The built-in Owner role grants workload owner A permission to manage access to the resource group. O proprietário da carga de trabalho A adiciona dois contribuintes de carga de trabalho e atribui o papel de Leitor incorporado a cada um deles.Workload owner A adds two workload contributors and assigns the built-in Reader role to each of them. Dono da carga de trabalho A adiciona contribuintes de carga de trabalhoWorkload owner A adds workload contributors
  4. O Administrador de Serviço adiciona agora o proprietário da carga de trabalho B à subscrição com a função de Proprietário incorporado.The Service Administrator now adds workload owner B to the subscription with the built-in Owner role. Administrador de Serviço adiciona o proprietário B à subscriçãoService Administrator adds workload owner B to subscription
  5. O proprietário da carga de trabalho B cria o grupo de recursos B e é adicionado por padrão.Workload owner B creates resource group B and is added by default. Mais uma vez, o proprietário da carga de trabalho B herda o papel do Proprietário incorporado a partir do âmbito de subscrição.Again, workload owner B inherits the built-in Owner role from the subscription scope. Dona da carga de trabalho B cria grupo de recursos BWorkload owner B creates resource group B

Note-se que neste modelo, o administrador de serviço realizou menos ações do que no primeiro exemplo devido à delegação de acesso de gestão a cada um dos proprietários individuais de carga de trabalho.Note that in this model, the service administrator performed fewer actions than they did in the first example due to the delegation of management access to each of the individual workload owners.

Um diagrama mostrando um administrador de serviço e dois proprietários de carga de trabalho para os grupos de recursos A e B. Figura 5: Uma subscrição com um Administrador de Serviço e dois proprietários de carga de trabalho, todos atribuídos à função de Proprietário incorporado.A diagram showing a Service Administrator and two workload owners for resource groups A and B. Figure 5: A subscription with a Service Administrator and two workload owners, all assigned the built-in Owner role.

Como tanto o proprietário da carga de trabalho A como o proprietário B são atribuídos ao papel de Proprietário incorporado no âmbito de subscrição, cada um herdou o papel de Proprietário incorporado para o grupo de recursos uns dos outros.Because both workload owner A and workload owner B are assigned the built-in Owner role at the subscription scope, they have each inherited the built-in Owner role for each other's resource group. Isto significa que não só têm acesso total aos recursos uns dos outros, como também podem delegar o acesso à gestão dos grupos de recursos uns dos outros.This means that not only do they have full access to each other's resources, they can also delegate management access to each other's resource groups. Por exemplo, o proprietário da carga de trabalho B tem o direito de adicionar qualquer outro utilizador ao grupo de recursos A e pode atribuir-lhes qualquer papel, incluindo a função de Proprietário incorporado.For example, workload owner B has rights to add any other user to resource group A and can assign any role to them, including the built-in Owner role.

Se comparar cada exemplo com os requisitos, verá que ambos os exemplos suportam um único utilizador de confiança no âmbito da subscrição com permissão para conceder direitos de acesso a recursos aos dois proprietários da carga de trabalho.If you compare each example to the requirements, you'll see that both examples support a single trusted user at the subscription scope with permission to grant resource access rights to the two workload owners. Cada um dos dois proprietários de carga de trabalho não tinha acesso à gestão de recursos por defeito e exigiu que o administrador de serviço lhes atribuisse explicitamente permissões.Each of the two workload owners did not have access to resource management by default and required the service administrator to explicitly assign permissions to them. Apenas o primeiro exemplo suporta a exigência de que os recursos associados a cada carga de trabalho sejam isolados uns dos outros de modo a que nenhum proprietário de carga de trabalho tenha acesso aos recursos de qualquer outra carga de trabalho.Only the first example supports the requirement that the resources associated with each workload are isolated from one another such that no workload owner has access to the resources of any other workload.

Modelo de gestão de recursosResource management model

Agora que desenhou um modelo de permissões de menor privilégio, vamos dar uma olhada em algumas aplicações práticas destes modelos de governação.Now that you've designed a permissions model of least privilege, let's move on to take a look at some practical applications of these governance models. Lembre-se dos requisitos que deve apoiar os seguintes três ambientes:Recall from the requirements that you must support the following three environments:

  1. Ambiente de infraestrutura partilhada: Um grupo de recursos partilhados por todas as cargas de trabalho.Shared infrastructure environment: A group of resources shared by all workloads. Estes são recursos como gateways de rede, firewalls e serviços de segurança.These are resources such as network gateways, firewalls, and security services.
  2. Ambiente de produção: Vários grupos de recursos que representam múltiplas cargas de trabalho de produção.Production environment: Multiple groups of resources representing multiple production workloads. Estes recursos são utilizados para acolher os artefactos de aplicação privados e públicos.These resources are used to host the private and public-facing application artifacts. Estes recursos normalmente têm os modelos de governação e segurança mais apertados para proteger os recursos, código de aplicação e dados de acesso não autorizado.These resources typically have the tightest governance and security models to protect the resources, application code, and data from unauthorized access.
  3. Ambiente de pré-produção: Vários grupos de recursos que representam múltiplas cargas de trabalho não prontas para a produção.Preproduction environment: Multiple groups of resources representing multiple non-production-ready workloads. Estes recursos são utilizados para o desenvolvimento e testes, e podem ter um modelo de governação mais descontraído para permitir uma maior agilidade do desenvolvedor.These resources are used for development and testing, and may have a more relaxed governance model to enable increased developer agility. A segurança nestes grupos deve aumentar à medida que o processo de desenvolvimento de aplicações se aproxima da produção.Security within these groups should increase as the application development process moves closer to production.

Para cada um destes três ambientes, existe a exigência de rastrear os dados de custos por parte do proprietário da carga de trabalho, ambiente, ou ambos.For each of these three environments, there is a requirement to track cost data by workload owner, environment, or both. Ou seja, você vai querer saber o custo contínuo da infraestrutura partilhada, os custos incorridos por indivíduos em ambientes de não produção e produção, e, finalmente, o custo global de ambientes de não produção e produção.That is, you'll want to know the ongoing cost of the shared infrastructure, the costs incurred by individuals in both the nonproduction and production environments, and finally the overall cost of nonproduction and production environments.

Já aprendeu que os recursos estão a dois níveis: grupo de subscrição e recursos.You have already learned that resources are scoped to two levels: subscription and resource group. Portanto, a primeira decisão é como organizar ambientes por subscrição.Therefore, the first decision is how to organize environments by subscription. Existem apenas duas possibilidades: uma subscrição única ou várias subscrições.There are only two possibilities: a single subscription or multiple subscriptions.

Antes de olhar para exemplos de cada um destes modelos, vamos rever a estrutura de gestão para subscrições em Azure.Before you look at examples of each of these models, let's review the management structure for subscriptions in Azure.

Lembre-se dos requisitos de que tem um indivíduo na organização responsável por subscrições, sendo este utilizador o proprietário da conta do proprietário da subscrição no inquilino AZURE AD.Recall from the requirements that you have an individual in the organization who is responsible for subscriptions, and this user owns the subscription owner account in the Azure AD tenant. Esta conta não tem permissão para criar subscrições.This account does not have permission to create subscriptions. Apenas o proprietário da conta Azure tem permissão para o fazer:Only the Azure account owner has permission to do this:

Um proprietário de conta Azure cria uma subscrição Figura 6: Um proprietário de conta Azure cria uma subscrição.An Azure account owner creates a subscription Figure 6: An Azure account owner creates a subscription.

Uma vez criada a subscrição, o proprietário da conta Azure pode adicionar a conta do proprietário da subscrição à subscrição com a função de proprietário:Once the subscription has been created, the Azure account owner can add the subscription owner account to the subscription with the owner role:

O proprietário da conta Azure adiciona a conta de utilizador do proprietário da subscrição à subscrição com a função de proprietário. Figura 7: O proprietário da conta Azure adiciona a conta de utilizador do proprietário da subscrição à subscrição com a função de proprietário.The Azure account owner adds the subscription owner user account to the subscription with the owner role. Figure 7: The Azure account owner adds the subscription owner user account to the subscription with the owner role.

A conta do proprietário da subscrição pode agora criar grupos de recursos e delegar a gestão do acesso a recursos.The subscription owner account can now create resource groups and delegate resource access management.

Primeiro vamos olhar para um modelo de gestão de recursos exemplo usando uma única subscrição.First let's look at an example resource management model using a single subscription. A primeira decisão é como alinhar os grupos de recursos com os três ambientes.The first decision is how to align resource groups to the three environments. Tem duas opções:You have two options:

  1. Alinhe cada ambiente a um único grupo de recursos.Align each environment to a single resource group. Todos os recursos de infraestrutura partilhada são implantados num único grupo de recursos de infraestrutura partilhada.All shared infrastructure resources are deployed to a single shared infrastructure resource group. Todos os recursos associados às cargas de trabalho de desenvolvimento são implantados num único grupo de recursos de desenvolvimento.All resources associated with development workloads are deployed to a single development resource group. Todos os recursos associados à carga de trabalho de produção são implantados num único grupo de recursos de produção para o ambiente produtivo.All resources associated with production workloads are deployed into a single production resource group for the production environment.
  2. Crie grupos de recursos separados para cada carga de trabalho, utilizando uma convenção de nomeação e etiquetas para alinhar grupos de recursos com cada um dos três ambientes.Create separate resource groups for each workload, using a naming convention and tags to align resource groups with each of the three environments.

Vamos começar por avaliar a primeira opção.Let's begin by evaluating the first option. Você estará usando o modelo de permissões que foi discutido na secção anterior, com um único Administrador de Serviço de subscrição que cria grupos de recursos e adiciona aos utilizadores com o papel de contribuinte incorporado ou leitor.You'll be using the permissions model that was discussed in the previous section, with a single subscription Service Administrator who creates resource groups and adds users to them with either the built-in contributor or reader role.

  1. O primeiro grupo de recursos implantado representa o ambiente de infraestrutura partilhada.The first resource group deployed represents the shared infrastructure environment. A conta do proprietário da subscrição cria um grupo de recursos para os recursos de infraestrutura partilhada netops-shared-rg denominados .The subscription owner account creates a resource group for the shared infrastructure resources named netops-shared-rg. Criar um grupo de recursosCreating a resource group
  2. A conta do proprietário da subscrição adiciona a conta de utilizador de operações de rede ao grupo de recursos e atribui a função de contribuinte.The subscription owner account adds the network operations user account to the resource group and assigns the contributor role. Adicionar um utilizador de operações de redeAdding a network operations user
  3. O utilizador de operações de rede cria um gateway VPN e configura-o para ligar ao aparelho VPN no local.The network operations user creates a VPN gateway and configures it to connect to the on-premises VPN appliance. O utilizador de operações de rede também aplica um par de tags a cada um dos recursos: environment:shared e managedBy:netops .The network operations user also applies a pair of tags to each of the resources: environment:shared and managedBy:netops. Quando o administrador do serviço de subscrição exportar um relatório de custos, os custos serão alinhados com cada uma destas etiquetas.When the subscription service administrator exports a cost report, costs will be aligned with each of these tags. Isto permite ao administrador do serviço de subscrição dinamizar os custos utilizando a etiqueta e a environment managedBy etiqueta.This allows the subscription service administrator to pivot costs using the environment tag and the managedBy tag. Note o contador de limites de recursos no lado superior direito da figura.Notice the resource limits counter at the top right-hand side of the figure. Cada subscrição do Azure tem limitesde serviço , e para ajudá-lo a entender o efeito destes limites seguirá o limite de rede virtual para cada subscrição.Each Azure subscription has service limits, and to help you understand the effect of these limits you'll follow the virtual network limit for each subscription. Existe um limite de 1.000 redes virtuais por subscrição, e após a implementação da primeira rede virtual, existem agora 999 disponíveis.There is a limit of 1,000 virtual networks per subscription, and after the first virtual network is deployed there are now 999 available. Criação de uma porta de entrada VPNCreating a VPN gateway
  4. Mais dois grupos de recursos são implantados.Two more resource groups are deployed. O primeiro prod-rg chama-se.The first is named prod-rg. Este grupo de recursos está alinhado com o ambiente de produção.This resource group is aligned with the production environment. O segundo é nomeado dev-rg e está alinhado com o ambiente de desenvolvimento.The second is named dev-rg and is aligned with the development environment. Todos os recursos associados à carga de trabalho de produção são implantados no ambiente de produção e todos os recursos associados à carga de trabalho de desenvolvimento são implantados para o ambiente de desenvolvimento.All resources associated with production workloads are deployed to the production environment and all resources associated with development workloads are deployed to the development environment. Neste exemplo, só irás implementar duas cargas de trabalho para cada um destes dois ambientes, para que não encontres nenhum limite de serviço de subscrição Azure.In this example, you'll only deploy two workloads to each of these two environments, so you won't encounter any Azure subscription service limits. Considere que cada grupo de recursos tem um limite de 800 recursos por grupo de recursos.Consider that each resource group has a limit of 800 resources per resource group. Se continuar a adicionar cargas de trabalho a cada grupo de recursos, acabará por atingir este limite.If you continue to add workloads to each resource group, you'll eventually reach this limit. Criação de grupos de recursosCreating resource groups
  5. O primeiro proprietário da carga de trabalho envia um pedido ao administrador do serviço de subscrição e é adicionado a cada um dos grupos de recursos ambientais de desenvolvimento e produção com o papel de contribuinte.The first workload owner sends a request to the subscription service administrator and is added to each of the development and production environment resource groups with the contributor role. Como aprendeu anteriormente, a função do contribuinte permite ao utilizador executar qualquer operação que não seja atribuir uma função a outro utilizador.As you learned earlier, the contributor role allows the user to perform any operation other than assigning a role to another user. O primeiro proprietário da carga de trabalho pode agora criar os recursos associados à sua carga de trabalho.The first workload owner can now create the resources associated with their workload. Diagrama mostrando o primeiro proprietário de carga de trabalho criando redes virtuais e aplicando o ambiente e gerido por tags a todos os recursos.Diagram showing the first workload owner creating virtual networks and applying the environment and managed By tags to all resources.
  6. O primeiro proprietário de carga de trabalho cria uma rede virtual em cada um dos dois grupos de recursos com um par de máquinas virtuais em cada um.The first workload owner creates a virtual network in each of the two resource groups with a pair of virtual machines in each. O primeiro proprietário da carga de trabalho aplica as environment etiquetas e managedBy etiquetas a todos os recursos.The first workload owner applies the environment and managedBy tags to all resources. Note que o contador de limites de serviço Azure está agora em 997 redes virtuais restantes.Note that the Azure service limit counter is now at 997 virtual networks remaining. Criação de redes virtuaisCreating virtual networks
  7. Nenhuma das redes virtuais tem conectividade com as instalações quando criadas.None of the virtual networks has connectivity to on-premises when created. Neste tipo de arquitetura, cada rede virtual deve ser espreitada para hub-vnet o ambiente de infraestrutura partilhada.In this type of architecture, each virtual network must be peered to the hub-vnet in the shared infrastructure environment. O espreitamento de rede virtual cria uma ligação entre duas redes virtuais separadas e permite que o tráfego de rede viaje entre elas.Virtual network peering creates a connection between two separate virtual networks and allows network traffic to travel between them. Note que o espreitamento da rede virtual não é inerentemente transitório.Note that virtual network peering is not inherently transitive. Um espreitante deve ser especificado em cada uma das duas redes virtuais que estão ligadas, e se apenas uma das redes virtuais especificar um esprevamento, então a ligação está incompleta.A peering must be specified in each of the two virtual networks that are connected, and if only one of the virtual networks specifies a peering, then the connection is incomplete. Para ilustrar o efeito disto, o primeiro proprietário da carga de trabalho especifica um olhar entre e prod-vnet hub-vnet .To illustrate the effect of this, the first workload owner specifies a peering between prod-vnet and hub-vnet. O primeiro espreitamento é criado, mas nenhum fluxo de tráfego porque o olhar complementar de hub-vnet para o outro ainda não foi prod-vnet especificado.The first peering is created, but no traffic flows because the complementary peering from hub-vnet to prod-vnet has not yet been specified. O primeiro proprietário da carga de trabalho contacta o utilizador de operações de rede e solicita esta ligação complementar de observação.The first workload owner contacts the network operations user and requests this complementary peering connection. Diagrama que mostra a criação og uma ligação de espreitar.Diagram that shows the creation og a peering connection.
  8. O utilizador de operações de rede revê o pedido, aprova-o e especifica o espreitamento nas definições para o hub-vnet .The network operations user reviews the request, approves it, then specifies the peering in the settings for the hub-vnet. A ligação de pares está agora completa, e o tráfego de rede flui entre as duas redes virtuais.The peering connection is now complete, and network traffic flows between the two virtual networks. Diagrama que mostra a aprovação do pedido e a especificação das definições de espreitar.Diagram showing the approval of the request and the specifying of the peering settings.
  9. Agora, um segundo proprietário de carga de trabalho envia um pedido ao administrador do serviço de subscrição e é adicionado aos grupos de recursos ambientais de produção e desenvolvimento existentes com o papel de contribuinte.Now, a second workload owner sends a request to the subscription service administrator and is added to the existing production and development environment resource groups with the contributor role. O segundo proprietário da carga de trabalho tem as mesmas permissões em todos os recursos que o primeiro proprietário de carga de trabalho em cada grupo de recursos.The second workload owner has the same permissions on all resources as the first workload owner in each resource group. Diagrama mostrando a segunda carga de trabalho do proprietário a ser adicionada aos grupos de recursos.Diagram showing the second workload owner being added to teh resource groups.
  10. O segundo proprietário da carga de trabalho cria uma sub-rede na rede virtual e, em prod-vnet seguida, adiciona duas máquinas virtuais.The second workload owner creates a subnet in the prod-vnet virtual network, then adds two virtual machines. O segundo proprietário da carga de trabalho aplica as environment etiquetas e managedBy etiquetas a cada recurso.The second workload owner applies the environment and managedBy tags to each resource. Criação de sub-redesCreating subnets

Este modelo de gestão de recursos de exemplo permite-nos gerir recursos nos três ambientes necessários.This example resource management model enables us to manage resources in the three required environments. Os recursos de infraestrutura partilhada estão protegidos porque apenas um único utilizador na subscrição tem permissão para aceder a esses recursos.The shared infrastructure resources are protected because only a single user in the subscription has permission to access those resources. Cada um dos proprietários de carga de trabalho pode usar os recursos de infraestrutura partilhada sem ter quaisquer permissões sobre os próprios recursos partilhados.Each of the workload owners can use the shared infrastructure resources without having any permissions on the shared resources themselves. Este modelo de gestão falha na exigência de isolamento da carga de trabalho, porque ambos os proprietários de carga de trabalho podem aceder aos recursos da carga de trabalho uns dos outros.This management model fails the requirement for workload isolation, because both workload owners can access the resources of each other's workload.

Há outra consideração importante com este modelo que pode não ser imediatamente óbvia.There's another important consideration with this model that may not be immediately obvious. No exemplo, foi o proprietário da carga de trabalho da App1 que solicitou à rede de observação da ligação com a rede para fornecer conectividade à rede de hub-vnet instalações.In the example, it was app1 workload owner that requested the network peering connection with the hub-vnet to provide connectivity to the on-premises network. O utilizador de operações de rede avaliou esse pedido com base nos recursos utilizados com essa carga de trabalho.The network operations user evaluated that request based on the resources deployed with that workload. Quando a conta do proprietário da subscrição adicionou o dono da carga de trabalho da App2 com a função de contribuinte, esse utilizador tinha direitos de acesso à gestão de todos os recursos do prod-rg grupo de recursos.When the subscription owner account added app2 workload owner with the contributor role, that user had management access rights to all resources in the prod-rg resource group.

Diagrama mostrando direitos de acesso à gestão

Isto significa que o proprietário da carga de trabalho da app2 tinha permissão para implementar a sua própria sub-rede com máquinas virtuais na rede prod-vnet virtual.This means app2 workload owner had permission to deploy their own subnet with virtual machines in the prod-vnet virtual network. Por padrão, estas máquinas virtuais têm acesso à rede no local.By default, those virtual machines have access to the on-premises network. O utilizador das operações da rede não tem conhecimento dessas máquinas e não aprovou a sua conectividade com as instalações.The network operations user is not aware of those machines and did not approve their connectivity to on-premises.

Em seguida, vamos olhar para uma única subscrição com múltiplos grupos de recursos para diferentes ambientes e cargas de trabalho.Next, let's look at a single subscription with multiple resource groups for different environments and workloads. Note-se que, no exemplo anterior, os recursos para cada ambiente eram facilmente identificáveis porque estavam no mesmo grupo de recursos.Note that in the previous example, the resources for each environment were easily identifiable because they were in the same resource group. Agora que já não tem esse agrupamento, terá de contar com uma convenção de nomeação de grupos de recursos para fornecer essa funcionalidade.Now that you no longer have that grouping, you will have to rely on a resource group naming convention to provide that functionality.

  1. Os recursos de infraestrutura partilhada continuarão a ter um grupo de recursos separado neste modelo, o que se mantém o mesmo.The shared infrastructure resources will still have a separate resource group in this model, so that remains the same. Cada carga de trabalho requer dois grupos de recursos, um para cada um dos ambientes de desenvolvimento e produção.Each workload requires two resource groups, one for each of the development and production environments. Para a primeira carga de trabalho, a conta do proprietário da subscrição cria dois grupos de recursos.For the first workload, the subscription owner account creates two resource groups. O primeiro tem o nome app1-prod-rg e o segundo chama-se. app1-dev-rgThe first is named app1-prod-rg and the second is named app1-dev-rg. Como discutido anteriormente, esta convenção de nomeação identifica os recursos como estando associados à primeira carga de app1 trabalho, e quer ao desenvolvimento quer ao ambiente produtivo.As discussed earlier, this naming convention identifies the resources as being associated with the first workload, app1, and either the development or production environment. Mais uma vez, a conta do proprietário da subscrição adiciona o proprietário da carga de trabalho da App1 ao grupo de recursos com a função de contribuinte.Again, the subscription owner account adds app1 workload owner to the resource group with the contributor role. Um diagrama que mostra a adição dos grupos de recursos da app 1 prod r g e app 1 dev r g.A diagram showing the addition of the app 1 prod r g and app 1 dev r g resource groups.
  2. À semelhança do primeiro exemplo, o dono da carga de trabalho da App1 implementa uma rede virtual nomeada para o ambiente de app1-prod-vnet produção, e outra nomeada app1-dev-vnet para o ambiente de desenvolvimento.Similar to the first example, app1 workload owner deploys a virtual network named app1-prod-vnet to the production environment, and another named app1-dev-vnet to the development environment. Mais uma vez, o proprietário da carga de trabalho da app1 envia um pedido ao utilizador de operações de rede para criar uma ligação de espreitar.Again, app1 workload owner sends a request to the network operations user to create a peering connection. Note que o proprietário da carga de trabalho da app1 adiciona as mesmas etiquetas que no primeiro exemplo, e o contador de limites foi decrementado para 997 redes virtuais restantes na subscrição.Note that app1 workload owner adds the same tags as in the first example, and the limit counter has been decremented to 997 virtual networks remaining in the subscription. Um diagrama que mostra a implementação da app 1 prod v net e app 1 dev v redes virtuais líquidas.A diagram showing the deployment of the app 1 prod v net and app 1 dev v net virtual networks.
  3. A conta do proprietário da subscrição cria agora dois grupos de recursos para o proprietário da carga de trabalho da app2.The subscription owner account now creates two resource groups for app2 workload owner. Seguindo as mesmas convenções que para o proprietário da carga de trabalho da app1, os grupos de recursos são nomeados e app2-prod-rg app2-dev-rg .Following the same conventions as for app1 workload owner, the resource groups are named app2-prod-rg and app2-dev-rg. A conta do proprietário da subscrição adiciona o proprietário da carga de trabalho app2 a cada um dos grupos de recursos com a função de contribuinte.The subscription owner account adds app2 workload owner to each of the resource groups with the contributor role. Um diagrama que mostra a adição dos grupos de recursos da app 2 prod r g e app 2 dev r g.A diagram showing the addition of the app 2 prod r g and app 2 dev r g resource groups.
  4. A conta do proprietário da app2 implementa redes virtuais e máquinas virtuais para os grupos de recursos com as mesmas convenções de nomeação.The app2 workload owner account deploys virtual networks and virtual machines to the resource groups with the same naming conventions. As etiquetas são adicionadas e o contador de limites foi decrementedo para 995 redes virtuais restantes na subscrição.Tags are added and the limit counter has been decremented to 995 virtual networks remaining in the subscription. Implantação de redes virtuais e VMsDeploying virtual networks and VMs
  5. A conta do proprietário da carga de trabalho da app2 envia um pedido ao utilizador de operações de rede para espreitar app2-prod-vnet o hub-vnet .The app2 workload owner account sends a request to the network operations user to peer the app2-prod-vnet with the hub-vnet. O utilizador de operações de rede cria a ligação de observação.The network operations user creates the peering connection. Um diagrama que mostra o espreguitamento da app 2 prod v net com o hub v net.A diagram showing the peering of app 2 prod v net with the hub v net.

O modelo de gestão resultante é semelhante ao primeiro exemplo, com várias diferenças fundamentais:The resulting management model is similar to the first example, with several key differences:

  • Cada uma das duas cargas de trabalho é isolada pela carga de trabalho e pelo ambiente.Each of the two workloads is isolated by workload and by environment.
  • Este modelo exigia mais duas redes virtuais do que o primeiro modelo de exemplo.This model required two more virtual networks than the first example model. Embora esta não seja uma distinção importante com apenas duas cargas de trabalho, o limite teórico do número de cargas de trabalho para este modelo é de 24.While this is not an important distinction with only two workloads, the theoretical limit on the number of workloads for this model is 24.
  • Os recursos já não estão agrupados num único grupo de recursos para cada ambiente.Resources are no longer grouped in a single resource group for each environment. O agrupamento de recursos requer uma compreensão das convenções de nomeação utilizadas para cada ambiente.Grouping resources requires an understanding of the naming conventions used for each environment.
  • Cada uma das ligações de rede virtual espreitadas foi revista e aprovada pelo utilizador de operações de rede.Each of the peered virtual network connections was reviewed and approved by the network operations user.

Agora vamos olhar para um modelo de gestão de recursos usando várias subscrições.Now let's look at a resource management model using multiple subscriptions. Neste modelo, irá alinhar cada um dos três ambientes com uma subscrição separada: uma subscrição de serviços partilhados, subscrição de produção e, finalmente, uma subscrição de desenvolvimento.In this model, you'll align each of the three environments to a separate subscription: a shared services subscription, production subscription, and finally a development subscription. As considerações para este modelo são semelhantes a um modelo que usa uma única subscrição na medida em que tem de decidir como alinhar grupos de recursos com cargas de trabalho.The considerations for this model are similar to a model using a single subscription in that you have to decide how to align resource groups to workloads. Já determinado é que a criação de um grupo de recursos para cada carga de trabalho satisfaz o requisito de isolamento da carga de trabalho, por isso vais manter esse modelo neste exemplo.Already determined is that creating a resource group for each workload satisfies the workload isolation requirement, so you'll stick with that model in this example.

  1. Neste modelo, existem três subscrições: infraestrutura partilhada, produção e desenvolvimento.In this model, there are three subscriptions: shared infrastructure, production, and development. Cada uma destas três subscrições requer um proprietário de subscrição, e no exemplo simples você usará a mesma conta de utilizador para as três.Each of these three subscriptions requires a subscription owner, and in the simple example you'll use the same user account for all three. Os recursos de infraestrutura partilhada são geridos da mesma forma que os dois primeiros exemplos acima referidos, e a primeira carga de trabalho está associada ao app1-rg grupo de recursos no ambiente de produção e ao grupo de recursos com o mesmo nome no ambiente de desenvolvimento.The shared infrastructure resources are managed similarly to the first two examples above, and the first workload is associated with the app1-rg resource group in the production environment and the same-named resource group in the development environment. A conta do proprietário da carga de trabalho da app1 é adicionada a cada um dos grupos de recursos com a função de contribuinte.The app1 workload owner account is added to each of the resource group with the contributor role.

    Diagrama mostrando como os recursos de infraestrutura partilhada são geridos.

  2. Tal como acontece com os exemplos anteriores, o dono da carga de trabalho da App1 cria os recursos e solicita a ligação de espreitar com a rede virtual de infraestrutura partilhada.As with the earlier examples, app1 workload owner creates the resources and requests the peering connection with the shared infrastructure virtual network. A conta do proprietário da carga de trabalho da app1 adiciona apenas a etiqueta porque já não há necessidade da managedBy environment etiqueta.The app1 workload owner account adds only the managedBy tag because there is no longer a need for the environment tag. Ou seja, os recursos são para cada ambiente que estão agora agrupados na mesma subscrição e a environment etiqueta é redundante.That is, resources are for each environment are now grouped in the same subscription and the environment tag is redundant. O contador-limite é decrementedo para 999 redes virtuais restantes.The limit counter is decremented to 999 virtual networks remaining.

    Um diagrama que mostra que os recursos para cada ambiente estão agora agrupados na mesma subscrição.

  3. Por fim, a conta do proprietário da subscrição repete o processo para a segunda carga de trabalho, adicionando os grupos de recursos com o dono da carga de trabalho da app2 na função de contribuinte.Finally, the subscription owner account repeats the process for the second workload, adding the resource groups with app2 workload owner in the contributor role. O contador-limite para cada uma das subscrições ambientais é decrementedo para 998 redes virtuais restantes.The limit counter for each of the environment subscriptions is decremented to 998 virtual networks remaining.

Este modelo de gestão tem os benefícios do segundo exemplo acima.This management model has the benefits of the second example above. A principal diferença é que os limites são menos um problema devido ao facto de estarem distribuídos por duas subscrições.The key difference is that limits are less of an issue due to the fact that they're spread over two subscriptions. O inconveniente é que os dados de custos rastreados por tags devem ser agregados em todas as três subscrições.The drawback is that the cost data tracked by tags must be aggregated across all three subscriptions.

Portanto, pode selecionar qualquer um destes dois modelos de gestão de recursos, dependendo da prioridade dos seus requisitos.Therefore, you can select any of these two examples resource management models depending on the priority of your requirements. Se antecipar que a sua organização não atingirá os limites de serviço para uma única subscrição, pode utilizar uma única subscrição com vários grupos de recursos.If you anticipate that your organization will not reach the service limits for a single subscription, you can use a single subscription with multiple resource groups. Inversamente, se a sua organização antecipar muitas cargas de trabalho, várias subscrições para cada ambiente podem ser melhores.Conversely, if your organization anticipates many workloads, multiple subscriptions for each environment may be better.

Implementar o modelo de gestão de recursosImplement the resource management model

Aprendeste sobre vários modelos diferentes para governar o acesso aos recursos do Azure.You've learned about several different models for governing access to Azure resources. Agora vai percorrer os passos necessários para implementar o modelo de gestão de recursos com uma subscrição para cada uma das infraestruturas partilhadas, produção e ambientes de desenvolvimento do guia de design.Now you'll walk through the steps necessary to implement the resource management model with one subscription for each of the shared infrastructure, production, and development environments from the design guide. Terá uma conta de um proprietário de assinatura para os três ambientes.You'll have one subscription owner account for all three environments. Cada carga de trabalho será isolada num grupo de recursos com um proprietário de carga de trabalho adicionado com a função de contribuinte.Each workload will be isolated in a resource group with a workload owner added with the contributor role.

Nota

Para saber mais sobre a relação entre contas Azure e subscrições, consulte o acesso a recursos da Compreensão no Azure.To learn more about the relationship between Azure accounts and subscriptions, see Understanding resource access in Azure.

Siga estes passos:Follow these steps:

  1. Crie uma conta Azure se a sua organização ainda não tiver uma.Create an Azure account if your organization doesn't already have one. A pessoa que se inscreve na conta Azure torna-se administradora da conta Azure, e a liderança da sua organização deve escolher um indivíduo para assumir este papel.The person who signs up for the Azure account becomes the Azure account administrator, and your organization's leadership must select an individual to assume this role. Este indivíduo será responsável por:This individual will be responsible for:
  2. A equipa de liderança da sua organização decide quem é o responsável por:Your organization's leadership team decides who is responsible for:
    • Gestão da identidade do utilizador; um inquilino Azure AD é criado por padrão quando a conta Azure da sua organização é criada, e o administrador de conta é adicionado como administrador global Azure AD por padrão.Management of user identity; an Azure AD tenant is created by default when your organization's Azure account is created, and the account administrator is added as the Azure AD global administrator by default. A sua organização pode escolher outro utilizador para gerir a identidade do utilizador atribuindo a função de administrador global Azure AD a esse utilizador.Your organization can choose another user to manage user identity by assigning the Azure AD global administrator role to that user.
    • Subscrições, o que significa que estes utilizadores:Subscriptions, which means these users:
      • Gerir os custos associados à utilização de recursos nessa subscrição.Manage costs associated with resource usage in that subscription.
      • Implementar e manter o modelo de permissão menos para acesso a recursos.Implement and maintain least permission model for resource access.
      • Mantenha-se atento aos limites de serviço.Keep track of service limits.
    • Serviços de infraestrutura partilhada (se a sua organização decidir utilizar este modelo), o que significa que este utilizador é responsável por:Shared infrastructure services (if your organization decides to use this model), which means this user is responsible for:
      • No local da conectividade da rede Azure.On-premises to Azure network connectivity.
      • Propriedade da conectividade da rede dentro do Azure através do persimento de rede virtual.Ownership of network connectivity within Azure through virtual network peering.
    • Donos de carga de trabalho.Workload owners.
  3. O administrador global da AD AZure cria as novas contas de utilizador para:The Azure AD global administrator creates the new user accounts for:
    • A pessoa que será a proprietária de subscrição por cada subscrição associada a cada ambiente.The person who will be the subscription owner for each subscription associated with each environment. Note que isso só é necessário se o administrador do serviço de subscrição não for encarregado de gerir o acesso de recursos para cada subscrição/ambiente.Note that this is necessary only if the subscription service administrator will not be tasked with managing resource access for each subscription/environment.
    • A pessoa que será o utilizador de operações de rede.The person who will be the network operations user.
    • As pessoas que são proprietários de carga de trabalho.The people who are workload owners.
  4. O administrador da conta Azure cria três subscrições da Azure:The Azure account administrator creates three Azure subscriptions:
    • Uma subscrição para o ambiente de infraestrutura partilhada.A subscription for the shared infrastructure environment.
    • Uma subscrição para o ambiente de produção.A subscription for the production environment.
    • Uma subscrição para o ambiente de desenvolvimento.A subscription for the development environment.
  5. O administrador da conta Azure adiciona o titular do serviço de subscrição a cada subscrição.The Azure account administrator adds the subscription service owner to each subscription.
  6. Crie um processo de aprovação para os proprietários de carga de trabalho solicitar a criação de grupos de recursos.Create an approval process for workload owners to request the creation of resource groups. O processo de aprovação pode ser implementado de várias formas, como por e-mail, ou pode utilizar uma ferramenta de gestão de processos como fluxos de trabalho SharePoint.The approval process can be implemented in many ways, such as over email, or you can using a process management tool such as SharePoint workflows. O processo de aprovação pode seguir estes passos:The approval process can follow these steps:
    • O proprietário da carga de trabalho prepara uma fatura de materiais para os recursos Azure necessários, quer no ambiente de desenvolvimento, quer no ambiente de produção, quer em ambos, e submete-o ao proprietário da subscrição.The workload owner prepares a bill of materials for required Azure resources in either the development environment, production environment, or both, and submits it to the subscription owner.
    • O proprietário da subscrição revê a fatura de materiais e valida os recursos solicitados para garantir que os recursos solicitados são adequados para a sua utilização planeada, tais como verificar se os tamanhos das máquinas virtuais solicitadas estão corretos.The subscription owner reviews the bill of materials and validates the requested resources to ensure that the requested resources are appropriate for their planned use, such as checking that the requested virtual machine sizes are correct.
    • Se o pedido não for aprovado, o proprietário da carga de trabalho é notificado.If the request is not approved, the workload owner is notified. Se o pedido for aprovado, o proprietário da subscrição cria o grupo de recursos solicitado na sequência das convenções de nomeaçãoda sua organização, adiciona o proprietário da carga de trabalho com a função de contribuinte e envia a notificação ao proprietário da carga de trabalho de que o grupo de recursos foi criado.If the request is approved, the subscription owner creates the requested resource group following your organization's naming conventions, adds the workload owner with the contributor role and sends notification to the workload owner that the resource group has been created.
  7. Crie um processo de aprovação para os proprietários de carga de trabalho solicitarem uma ligação de observação de rede virtual do proprietário da infraestrutura partilhada.Create an approval process for workload owners to request a virtual network peering connection from the shared infrastructure owner. Tal como no passo anterior, este processo de aprovação pode ser implementado através de e-mail ou de uma ferramenta de gestão de processos.As with the previous step, this approval process can be implemented using email or a process management tool.

Agora que implementou o seu modelo de governação, pode implementar os seus serviços de infraestrutura partilhada.Now that you've implemented your governance model, you can deploy your shared infrastructure services.

Built-in roles for Azure resources (Funções incorporadas para recursos do Azure)Built-in roles for Azure resources