Описание инфраструктуры управления Azure
Инфраструктура управления включает ресурсы Azure и группы ресурсов, подписки и учетные записи. Понимание иерархической организации поможет спланировать проекты и продукты в Azure.
Ресурсы Azure и группы ресурсов
Ресурс — это базовый стандартный блок Azure. Все, что вы создаете, подготавливаете, развертываете и т. д. — это ресурс. Виртуальные машины, виртуальные сети, базы данных, когнитивные службы и т. д. — все они являются ресурсами в Azure.
Группы ресурсов — это просто ресурсы, объединенные в группы. При создании ресурса его необходимо поместить в группу ресурсов. Несмотря на то что группа ресурсов может содержать множество ресурсов, одновременно один ресурс может находиться только в одной группе ресурсов. Некоторые ресурсы можно перемещать между группами ресурсов, но при перемещении ресурса в новую группу она больше не будет связана с прежней группой. Кроме того, группы ресурсов не могут быть вложенными. Это означает, что невозможно поместить группу ресурсов Б в группу ресурсов А.
Группы ресурсов — это удобный способ группирования ресурсов. При применении действия к группе ресурсов оно применяется ко всем ресурсам в группе ресурсов. При удалении группы ресурсов все ресурсы в ней будут удалены. Если вы предоставляете или запрещаете доступ к группе ресурсов, вы тем самым предоставляете или отклоняете доступ ко всем ресурсам в группе.
При подготовке ресурсов рекомендуется продумать структуру группы ресурсов, которая лучше всего подходит для ваших потребностей.
Например, если вы настраиваете временную среду разработки, группирование всех ресурсов означает, что можно отменить подготовку всех связанных ресурсов одновременно, удалив группу ресурсов. Если вы подготавливаете вычислительные ресурсы, которым потребуются три разных схемы доступа, лучше всего сгруппировать ресурсы на основе схемы доступа, а затем назначить доступ на уровне группы ресурсов.
Существуют несложные правила использования групп ресурсов, поэтому рассмотрите возможность настройки групп ресурсов, чтобы максимально повысить их полезность.
Подписки Azure
Подписка — это единица управления, выставления счетов и масштабирования в Azure. Аналогично тому, как группы ресурсов являются способом логического упорядочения ресурсов, подписки позволяют логически упорядочивать группы ресурсов и упростить выставление счетов.
Для использования Azure требуется подписка Azure. Подписка предоставляет авторизованным и прошедшим проверку подлинности пользователям доступ к продуктам и службам Azure. Она также позволяет подготавливать ресурсы. Подписка Azure ссылается на учетную запись Azure, которая является удостоверением в идентификаторе Microsoft Entra или в каталоге, которому доверяет идентификатор Microsoft Entra.
У учетной записи может быть несколько подписок, но требуется только одна. В учетной записи с несколькими подписками можно использовать подписки для настройки различных моделей выставления счетов и применения различных политик управления доступом. Подписки Azure можно использовать для определения границ для продуктов, служб и ресурсов Azure. Границы подписки бывают двух типов:
- Граница выставления счетов. Этот тип подписки определяет, как счет за счет учетной записи Azure взимается с помощью Azure. Можно создать несколько подписок для различных типов требований к выставлению счетов. Azure создает отдельные отчеты о выставлении счетов и счета для каждой подписки, чтобы можно было организовывать затраты и управлять ими.
- Граница управления доступом: Azure применяет политики управления доступом на уровне подписки, и вы можете создавать отдельные подписки для отражения различных организационных структур. Например, в компании можно выделить отделы, к которым будут применяться особые политики по подпискам Azure. Эта модель выставления счетов позволит вам контролировать доступ к ресурсам, применяемым пользователями в соответствующих подписках.
Создание дополнительной подписки Azure
Как и при использовании групп ресурсов для разделения ресурсов по функциям или доступу, может потребоваться создать дополнительные подписки для управления ресурсами или выставлением счетов. Например, вы можете создать дополнительные подписки для разделения по следующим категориям:
- Среды. Вы можете создать подписки, чтобы настроить отдельные среды для разработки и тестирования, обеспечения безопасности или для изоляции данных по соображениям соответствия. Такая схема особенно полезна, поскольку управление доступом к ресурсам осуществляется на уровне подписки.
- Организационные структуры: вы можете создавать подписки для отражения различных организационных структур. Например, можно ограничить какой-нибудь отдел низкозатратными ресурсами, а ИТ-отделу предоставить полный доступ. Такой подход позволяет вам контролировать доступ к ресурсам, которые пользователи используют в каждой подписке.
- Выставление счетов. Вы также можете создать дополнительные подписки для выставления счетов. Так как затраты сначала суммируются на уровне подписки, вы можете создавать подписки для контроля и отслеживания затрат в зависимости от ваших потребностей. Например, вы можете создать одну подписку для производственных рабочих нагрузок и еще одну подписку для рабочих нагрузок разработки и тестирования.
Группы управления Azure
Последним элементом является группа управления. Ресурсы объединяются в группы ресурсов, а группы ресурсов объединяются в подписки. Если вы только начинаете работать с Azure, это может показаться достаточной иерархией для упорядочения вещей. Но представьте, что вы работаете с несколькими приложениями, несколькими командами разработки в нескольких географических регионах.
Если у вас много подписок, для эффективного управления доступом к ним, их политиками и соответствием требуется особый подход. Группы управления Azure представляют область действия уровнем выше, чем подписки. Вы объединяете подписки в контейнеры, которые называются группами управления, и применяете к ним условия системы управления. Все подписки в группе управления автоматически наследуют условия, применяемые к группе управления, так же, как группы ресурсов наследуют параметры от подписок, а ресурсы — от групп ресурсов. Группы управления обеспечивают управление корпоративного уровня в больших масштабах независимо от типа подписки. Группы ресурсов могут быть вложенными.
Иерархия групп управления, подписок и групп ресурсов
Вы можете создать гибкую структуру групп управления и подписок для упорядочивания своих ресурсов в иерархию для унифицированного управления политикой и доступом. На следующей схеме показано, как создать иерархию управления с использованием групп управления.
Ниже приведены некоторые примеры использования групп управления:
- Создание иерархии, которая применяет политику. Можно ограничить расположения виртуальных машин западной частью США в группе с именем Production. Эта политика будет наследоваться во всех подписках, которые наследуются от этой группы управления, и применяться ко всем виртуальным машинам в этих подписках. Владелец ресурса или подписки не может изменить эту политику безопасности, что улучшает систему управления.
- Предоставление доступа пользователей к нескольким подпискам. Перемещая несколько подписок в пределах одной группы управления, вы можете создать одно назначение RBAC (управление доступом на основе ролей) в этой группе управления. Назначение Azure RBAC на уровне группы управления означает, что все вложенные группы управления, подписки, группы ресурсов и ресурсы в этой группе управления также наследуют эти разрешения. Не нужно создавать скрипты назначений Azure RBAC для разных подписок. Вместо этого вы можете разрешить пользователям доступ к необходимым ресурсам с помощью одного назначения в группе управления.
Важные факты о группах управления:
- Один каталог может поддерживать 10 000 групп управления.
- Дерево групп управления может поддерживать до шести уровней вложенности. Данное ограничение не включает корневой уровень или уровень подписки.
- Каждая группа управления и подписка могут поддерживать только один родительский элемент.