Beskriva Azure-hanteringsinfrastrukturen

  • 7 minuter

Hanteringsinfrastrukturen omfattar Azure-resurser och resursgrupper, prenumerationer och konton. Genom att förstå den hierarkiska organisationen kan du planera dina projekt och produkter i Azure.

Azure-resurser och resursgrupper

En resurs är det grundläggande byggblocket i Azure. Allt du skapar, etablerar, distribuerar osv. är en resurs. Virtuella datorer (VM), virtuella nätverk, databaser, kognitiva tjänster osv. betraktas alla som resurser i Azure.

Diagram showing a resource group box with a function, VM, database, and app included.

Resursgrupper är bara grupper av resurser. När du skapar en resurs måste du placera den i en resursgrupp. Även om en resursgrupp kan innehålla många resurser kan en enskild resurs bara finnas i en resursgrupp i taget. Vissa resurser kan flyttas mellan resursgrupper, men när du flyttar en resurs till en ny grupp associeras den inte längre med den tidigare gruppen. Dessutom kan resursgrupper inte kapslas, vilket innebär att du inte kan placera resursgrupp B i resursgrupp A.

Resursgrupper är ett praktiskt sätt att gruppera resurser tillsammans. När du tillämpar en åtgärd på en resursgrupp gäller den åtgärden för alla resurser i resursgruppen. Om du tar bort en resursgrupp tas alla resurser bort. Om du beviljar eller nekar åtkomst till en resursgrupp har du beviljat eller nekat åtkomst till alla resurser i resursgruppen.

När du etablerar resurser är det bra att tänka på den resursgruppsstruktur som bäst passar dina behov.

Om du till exempel konfigurerar en tillfällig utvecklingsmiljö innebär gruppering av alla resurser tillsammans att du kan avetablera alla associerade resurser samtidigt genom att ta bort resursgruppen. Om du etablerar beräkningsresurser som behöver tre olika åtkomstscheman kan det vara bäst att gruppera resurser baserat på åtkomstschemat och sedan tilldela åtkomst på resursgruppsnivå.

Det finns inga hårda regler för hur du använder resursgrupper, så fundera på hur du konfigurerar dina resursgrupper för att maximera deras användbarhet för dig.

Azure-prenumerationer

I Azure är prenumerationer en enhet för hantering, fakturering och skalning. På samma sätt som resursgrupper är ett sätt att logiskt organisera resurser kan du med prenumerationer logiskt organisera dina resursgrupper och underlätta faktureringen.

Diagram showing Azure subscriptions using authentication and authorization to access Azure accounts.

En Azure-prenumeration krävs för att använda Azure. En prenumeration ger autentiserad och auktoriserad åtkomst till produkter och tjänster i Azure. Du kan också etablera resurser i prenumerationen. En Azure-prenumeration länkar till ett Azure-konto, som är en identitet i Microsoft Entra-ID eller i en katalog som Microsoft Entra-ID litar på.

Ett konto kan ha flera prenumerationer, men det krävs bara en. I ett konto med flera prenumerationer kan du använda prenumerationerna för att konfigurera olika faktureringsmodeller och tillämpa olika principer för åtkomsthantering. Du kan använda Azure-prenumerationer till att definiera gränser kring olika produkter, tjänster och resurser i Azure. Det finns två typer av prenumerationsgränser du kan använda:

  • Faktureringsgräns: Den här prenumerationstypen avgör hur ett Azure-konto debiteras för användning av Azure. Du kan skapa flera prenumerationer för olika typer av faktureringsbehov. Azure genererar separata faktureringsrapporter och fakturor för varje prenumeration så att du kan organisera och hantera kostnaderna.
  • Gräns för åtkomstkontroll: Azure tillämpar principer för åtkomsthantering på prenumerationsnivå och du kan skapa separata prenumerationer för att återspegla olika organisationsstrukturer. Ett exempel är att det kan finnas olika avdelningar på företaget med olika policyer för Azure-användningen. Den här faktureringsmodellen gör att du kan hantera och styra åtkomsten till de resurser som användarna etablerar inom respektive prenumeration.

Skapa ytterligare Azure-prenumerationen

På samma sätt som när du använder resursgrupper för att separera resurser efter funktion eller åtkomst kanske du vill skapa ytterligare prenumerationer för resurs- eller faktureringshanteringsändamål. Du kan till exempel välja att skapa fler prenumerationer för att separera:

  • Miljöer: Du kan välja att skapa prenumerationer för att konfigurera separata miljöer för utveckling och testning, säkerhet eller för att isolera data av efterlevnadsskäl. Den här designen är särskilt användbar eftersom åtkomstkontrollen till resurser sker på prenumerationsnivå.
  • Organisationsstrukturer: Du kan skapa prenumerationer för att återspegla olika organisationsstrukturer. Du kan till exempel begränsa ett team till resurser med lägre kostnad, samtidigt som IT-avdelningen får ett fullständigt intervall. På så vis kan du hantera och styra åtkomsten till de resurser som användarna etablerar inom varje prenumeration.
  • Fakturering: Du kan skapa ytterligare prenumerationer i faktureringssyfte. Eftersom kostnader först aggregeras på prenumerationsnivå, kanske du vill skapa prenumerationer för att hantera och spåra kostnader utifrån dina behov. Du kanske till exempel vill skapa en prenumeration för dina produktionsarbetsbelastningar och en annan prenumeration för dina arbetsbelastningar för utveckling och testning.

Azure-hanteringsgrupper

Den sista delen är hanteringsgruppen. Resurser samlas in i resursgrupper och resursgrupper samlas in i prenumerationer. Om du precis har börjat i Azure kan det verka som tillräckligt med hierarki för att hålla ordning på saker och ting. Tänk dig dock om du har att göra med flera program, flera utvecklingsteam, i flera geografiska områden.

Om du har många prenumerationer kan du behöva ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer. Azure-hanteringsgrupper ger en omgångsnivå som omfattar prenumerationer. Du organiserar prenumerationer i containrar som kallas hanteringsgrupper och tillämpar styrningsvillkor på hanteringsgrupperna. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas på hanteringsgruppen, på samma sätt som resursgrupper ärver inställningar från prenumerationer och resurser ärver från resursgrupper. Hanteringsgrupper ger dig hantering i företagsklass i stor skala, oavsett vilken typ av prenumerationer du kan ha. Hanteringsgrupper kan kapslas.

Hanteringsgrupp, prenumerationer och resursgruppshierarki

Du kan skapa en flexibel struktur för hanteringsgrupper och prenumerationer för att organisera dina resurser i en hierarki för enhetlig princip- och åtkomsthantering. Följande diagram visar ett exempel på hur du skapar en styrningshierarki med hjälp av hanteringsgrupper.

Diagram showing an example of a management group hierarchy tree.

Några exempel på hur du kan använda hanteringsgrupper kan vara:

  • Skapa en hierarki som tillämpar en princip. Du kan begränsa virtuella datorplatser till regionen USA, västra i en grupp med namnet Produktion. Den här principen ärver till alla prenumerationer som är underordnade till den hanteringsgruppen och gäller för alla virtuella datorer under dessa prenumerationer. Resurs- eller prenumerationsägaren kan inte ändra den här säkerhetspolicyn vilket ger bättre styrning.
  • Ge användaren åtkomst till flera prenumerationer. Genom att flytta flera prenumerationer under en hanteringsgrupp kan du skapa en Rollbaserad åtkomstkontroll för Azure (Azure RBAC) i hanteringsgruppen. Att tilldela Azure RBAC på hanteringsgruppsnivå innebär att alla underhanteringsgrupper, prenumerationer, resursgrupper och resurser under hanteringsgruppen också ärver dessa behörigheter. En tilldelning i hanteringsgruppen kan göra det möjligt för användare att ha åtkomst till allt de behöver i stället för att skripta Azure RBAC över olika prenumerationer.

Viktiga fakta om hanteringsgrupper:

  • 10 000 hanteringsgrupper kan användas i en enskild katalog.
  • Ett träd för hanteringsgruppen har stöd för upp till sex nivåer. I den här gränsen ingår inte rotnivån eller prenumerationsnivån.
  • Varje hanteringsgrupp och prenumeration kan bara ha ett överordnat objekt.