为 Azure 应用程序产品/服务规划 Azure 托管应用程序

  • 项目

Azure 托管应用程序 计划是在商业市场中发布 Azure 应用程序产品/服务的方法之一。 如果尚未执行此操作,请参阅为商业市场创建 Azure 应用程序产品/服务计划。 托管应用程序是通过市场部署和计费的可交易产品/服务。 面向客户的一览选项是“立即获取”。 使用托管应用程序计划通过市场交易 Azure 应用程序产品/服务。

托管应用程序产品/服务要求

要求 详细信息
Azure 订阅 托管应用程序必须部署到客户的订阅
计费和计量 在客户的 Azure 订阅中提供资源。 使用即用即付付款模型的 VM 通过 Microsoft 与客户交易并通过客户的 Azure 订阅计费。

对于自带许可的 VM,Microsoft 会对客户订阅产生的任何基础结构成本计费,但由你直接参与客户的软件许可证费用交易。
客户使用情况归因 有关客户使用情况属性及其启用方式,请参阅 Azure 合作伙伴客户使用情况属性
部署包 你将需要部署包供客户部署计划。 如果创建的多个计划需要采用相同技术配置,则可以使用相同的包。 有关详细信息,请参阅下一部分:部署包。

注意

托管应用程序必须可以通过 Azure 市场来部署。 如果担心客户沟通方面的问题,请在启用潜在客户分享后与感兴趣的客户联系。

部署包

部署包涵盖该计划所需的所有模板文件和任何其他资源,打包为 .zip 文件。

所有 Azure 应用程序的 .zip 存档根文件夹必须涵盖这两个文件:

支持的最大文件大小为:

  • 压缩 .zip 存档大小最大为 1 Gb
  • .zip 存档中任何单个解压缩文件最大为 1 Gb

提示

在发布 Azure 应用程序之前,请使用 ARM 模板测试工具包,确保你的产品/服务符合建议的做法。

Azure 区域

可以将计划发布到 Azure 公共区域和、Azure 政府区域或两者。 在发布到Azure 政府之前,请在环境中测试和验证计划,因为某些终结点可能有所不同。 若要设置和测试计划,请从 Microsoft Azure 政府试用版中请求试用帐户。

作为发布者,你负责任何符合性控制、安全措施和最佳做法。 Azure 政府使用物理隔离的数据中心和网络(仅位于美国)。

有关商业市场支持的国家和地区列表,请参阅地理可用性和货币支持

Azure 政府服务处理受特定政府法规和要求约束的数据。 例如,FedRAMP、NIST 800.171 (DIB)、ITAR、IRS 1075、DoD L4 和 CJIS。 若要了解这些计划的认证,可以提供多达 100 个链接来描述它们。 这些链接可以直接链接到计划上的列表,也可以是你自己网站上关于这些认证的符合性说明的链接。 这些链接仅对 Azure 政府客户可见。

选择计划开放对象

可以将每个计划设为对所有人可见(公用)或仅特定受众可见(专用)。 最多可以创建 100 个计划,其中最多可以有 45 个设为专用。 你可能想要创建专用计划,以便向特定客户提供不同的定价选项或技术配置。

你可以使用 Azure 订阅 ID 授予专用计划的访问权限,可选择包括分配的每个订阅 ID 的相关说明。 最多可以手动添加 10 个订阅 ID,使用 .CSV 文件最多添加 10,000 个订阅 ID。 Azure 订阅 ID 表示为 GUID,字母必须为小写。

通过云解决方案提供商计划(CSP)的经销商建立的 Azure 订阅不支持专用计划。 有关详细信息,请参阅 Microsoft 商用市场中的专用产品/服务

注意

如果发布专用计划,以后仍可将其设为公用。 但是,发布公共计划后,无法将其可见性更改为专用计划。

定义定价

注意

使用按月价格和按流量计费的Azure 应用定价只能考虑管理费用(例如,不能用于 IP/软件成本、Azure 基础结构或加载项)。 使用基础虚拟机或容器产品/服务来交易 IP/软件成本。 你必须提供每个计划的每月价格。 此价格不包括在此解决方案部署的资源所产生的任何 Azure 基础结构或即用即付软件成本中。

除了每月价格之外,还可以使用按流量计费为非标准单位的消耗设置价格。 如果需要,可以将每月价格设置为零,并使用按流量计费进行独占收费。

价格以美元(美元 = 美国美元)设置,并在保存时使用当前汇率转换为所有选定市场的本地货币。 定价以本地货币发布,不会随着汇率波动而更新。 若要为每个市场指定客户价格,请从定价和可用性页面导出价格,更新相应的市场和货币、保存和导入文件。 有关详细信息,请参阅 如何转换货币

发布者管理

启用管理访问权限可让发布者访问托管客户租户中的应用程序的托管资源组。 如果选择启用发布者管理访问权限,则需要指定将管理应用程序的 Azure 租户和主体 ID。 禁用管理访问权限会完全删除对托管资源组及其资源的管理和读取访问权限。

注意

发布者管理在计划发布到市场后无法修改。

实时 (JIT) 访问

通过 JIT 访问可以对托管应用程序的资源请求提升的访问权限,以便进行故障排除或维护。 你始终对资源拥有只读访问权限,但在特定时间段内,可以获得更高访问权限。 有关详细信息,请参阅对 Azure 托管应用程序启用和请求实时访问

注意

请确保更新 createUiDefinition.json 文件,以便支持此功能。

选择哪些用户可以管理应用程序

仅当启用发布服务器管理时,此选项才可用。

启用发布服务器管理后,必须指示谁可以管理每个所选云中的托管应用程序:公共 AzureAzure 政府云。 收集以下信息:

对于每个主体 ID,你将关联其中一个 Microsoft Entra 内置角色(所有者或参与者)。 选定角色描述主体对客户订阅中的资源拥有的权限。 有关详细信息,请参阅 Azure 内置角色。 有关基于角色的访问控制 (RBAC) 的详细信息,请参阅 Azure 门户中的 RBAC 入门

注意

尽管每个 Azure 区域最多可添加 100 个授权,但建议创建 Active Directory 用户组并在“主体 ID”中指定其 ID。这样,便可以在部署计划后将更多用户添加到管理组,并减少更新计划所需的权限,只需添加更多授权即可。

客户访问权限

启用客户访问权限可让客户完全访问部署到其 Azure 租户的托管资源组。 使用拒绝分配限制访问会禁用客户对其 Azure 租户中托管资源组的访问权限。 请注意,禁用具有拒绝分配的客户访问权限会删除客户访问权限,但允许发布者自定义允许的客户操作。

注意

产品/服务在市场中推出后,无法修改客户访问。

部署模式

可以将托管应用程序计划配置为使用“完整”或“增量”部署模式。 在完整模式下,如果资源未在mainTemplate.json中定义,则客户重新部署应用程序会导致删除托管资源组中的资源。 在“增量模式”下,重新部署应用程序会使现有资源保持不变。 若要了解更多信息,请参阅 Azure 资源管理器部署模式

通知终结点 URL

可提供 HTTPS Webhook 终结点,用以接收有关此计划托管应用程序实例上的所有 CRUD 操作通知。

在调用 /resource 之前,Azure 会将它附加到 Webhook URI 的结尾。 因此,Webhook URL 必须以 /resource 结尾,但不应包含在合作伙伴中心的“通知终结点 URL”框中输入的 URI 中。 例如,输入 https://contoso.com 作为通知终结点 URI 会导致对 https://contoso.com/resource 进行调用。

侦听来自托管应用通知中的事件时,请确保只侦听 https://<url>/resource 而不是设置 URL。 有关示例通知,请参阅通知架构

自定义允许的客户操作(可选)

除了默认可用的*/read操作外,还可指定客户可以对托管资源执行的操作。

如果选择此选项,则需要提供控制操作和/或允许的数据操作。 有关详细信息,请参阅了解 Azure 资源的拒绝分配。 有关可用操作,请参阅 Azure 资源管理器资源提供程序操作。 例如,若要允许使用者重启虚拟机,请将 Microsoft.Compute/virtualMachines/restart/action 添加到允许的操作。

策略设置

Azure 策略用于托管应用程序,以便指定已部署解决方案的合规性要求。 有关策略定义和参数值的格式,请参阅 Azure Policy 示例

最多可以配置五个策略,每个策略类型仅有一个实例。 某些策略类型需要附加参数。

策略类型 必需策略参数
Azure SQL 数据库加密
Azure SQL Server 审核设置
Azure Data Lake Store 加密
审核诊断设置
审核资源位置合规性

添加的每个策略类型必须关联标准或免费策略 SKU。 审核策略需选择标准 SKU。 策略名称限定为 50 个字符。

后续步骤

视频教程