Vysvětlení rozsahů nasazení

  • 6 min

Virtuální počítače, logické servery a databáze Azure SQL, účty úložiště, virtuální sítě a většinu dalších prostředků Azure je potřeba umístit do skupiny prostředků. Některé prostředky ale můžou být nebo musí být nasazeny jiným způsobem. Tyto prostředky se obvykle používají k řízení chování prostředí Azure.

V této lekci si projdete hierarchii organizace prostředků Azure a podíváte se, jak se můžou určité prostředky nasazovat v různých oborech.

Hierarchie prostředků Azure

Azure má hierarchickou strukturu prostředků s několika úrovněmi správy. Tady je diagram znázorňující, jak může vaše společnost hraček uspořádat své prostředí Azure:

diagram znázorňující tenanta Azure, tři skupiny pro správu, tři předplatná a čtyři skupiny prostředků

váš tenant odpovídá vaší instanci služby Microsoft Entra. Organizace má obvykle pouze jednu instanci Microsoft Entra. Tato instance funguje jako kořen hierarchie prostředků.

skupiny pro správu poskytují způsob, jak uspořádat předplatná Azure. Každý tenant má jednu kořenovou skupinu pro správu a v ní můžete vytvořit vlastní hierarchii skupin pro správu. Můžete vytvořit samostatné skupiny pro správu pro různé části vaší organizace nebo pro předplatná, která mají vlastní požadavky na zabezpečení nebo zásady správného řízení. Omezení týkající se zásad a řízení přístupu můžete použít pro skupiny pro správu, a všechna předplatná pod danou skupinou pro správu v hierarchii tato omezení dědí. Skupiny pro správu se nenasazují do oblastí a nemají žádný vliv na umístění vašich prostředků.

Předplatná fungují jako fakturační účty a obsahují skupiny prostředků a zdroje. Podobně jako skupiny pro správu nemají předplatná žádné umístění a neomezují, kde jsou nasazovány vaše prostředky.

skupiny prostředků jsou logické kontejnery vašich prostředků. Pomocí skupin prostředků můžete spravovat a řídit související prostředky jako jednu jednotku. Prostředky, jako jsou virtuální počítače, plány služby Azure App Service, účty úložiště a virtuální sítě, musí být vložené do skupiny prostředků. Skupiny prostředků se vytvářejí v umístění, aby Azure mohl sledovat metadata prostředků ve skupině, ale prostředky uvnitř skupiny je možné nasadit do jiných umístění.

Dříve ilustrovaný příklad je poměrně základní scénář, který ukazuje, jak můžete používat skupiny pro správu. Vaše organizace může také zvážit implementaci landing zóny , což je sada zdrojů a konfigurací Azure, které potřebujete k zahájení produkčního prostředí Azure. cílové zóny na podnikové úrovni je osvědčeným přístupem k efektivní správě prostředků Azure pomocí skupin pro správu a předplatných:

diagram architektury cílové zóny na podnikové úrovni se čtyřmi skupinami pro správu a čtyřmi předplatnými.

Bez ohledu na to, jaký model sledujete, když pochopíte různé úrovně hierarchie, můžete začít používat flexibilní ovládací prvky, jak se vaše prostředí Azure používá a spravuje. Pomocí Bicep můžete tyto ovládací prvky spravovat se všemi výhodami infrastruktury jako kódu.

Poznámka

Existují také některé další prostředky, které se nasazují v konkrétních oborech. Prostředky rozšíření jsou nasazeny v rámci jiného prostředku Azure. Zámek prostředku je například prostředek rozšíření, který se nasadí do prostředku, jako je účet úložiště.

Už víte, jak nasazovat prostředky do skupin prostředků, takže se podíváme na další obory nasazení.

Prostředky v rámci předplatného

Prostředky můžete nasadit do předplatného, když:

  • Potřebujete vytvořit novou skupinu prostředků. Skupina prostředků je ve skutečnosti pouze prostředek s vymezeným předplatným.
  • Potřebujete udělit přístup ke všem prostředkům v rámci předplatného. Pokud má například vaše personální oddělení předplatné Azure, které obsahuje všechny prostředky Azure oddělení, můžete vytvořit přiřazení rolí, aby všichni členové personálního oddělení mohli číst obsah předplatného.
  • Používáte Azure Policy a chcete definovat nebo použít zásadu pro všechny prostředky v rámci předplatného. Například oddělení R&D vaší společnosti vás požádalo o nasazení zásady, které omezují seznam skladových položek virtuálních počítačů, které je možné vytvořit v rámci předplatného týmu.

Prostředky specifické pro skupiny správy

Prostředky můžete nasadit do skupiny pro správu v případech, kdy:

  • Je třeba udělit přístup ke všem prostředkům ve všech předplatných, která spadají pod hierarchii skupin pro správu. Váš tým cloudového provozu může například vyžadovat přístup ke všem předplatným ve vaší organizaci. Přiřazení role můžete vytvořit v kořenové skupině pro správu, která týmu cloudového provozu uděluje přístup ke všemu v Azure.

    Opatrnost

    Při udělování přístupu k prostředkům pomocí skupin pro správu buďte velmi opatrní, zejména pak v případě kořenové skupiny pro správu. Nezapomeňte, že každý prostředek pod skupinou pro správu v hierarchii dědí přiřazení role. Ujistěte se, že vaše organizace dodržuje osvědčené postupy pro správu a ověřování identit a že se řídí principem nejnižších oprávnění; to znamená, že neudělujte žádný přístup, který není nutný.

  • Musíte použít zásady v celé organizaci. Vaše organizace může mít například zásadu, která za žádných okolností nemůže vytvářet prostředky v určitých geografických oblastech. Můžete aplikovat zásady na tu kořenovou skupinu pro správu, která bude blokovat vytváření prostředků v dané oblasti.

Poznámka

Než skupiny pro správu použijete poprvé, je nastavit pro vaše prostředí Azure.

Prostředky v oboru tenanta

Prostředky můžete nasadit svému nájemci, když:

  • Potřebujete vytvořit předplatná Azure. Když používáte skupiny správy, předplatná jsou umístěna v hierarchii prostředků pod těmito skupinami, ale předplatné je nasazeno jako prostředek v oboru tenanta.

    Poznámka

    Ne všichni zákazníci Azure můžou vytvářet předplatná pomocí infrastruktury jako kódu. V závislosti na vašem fakturačním vztahu s Microsoftem to nemusí být možné. Další informace najdete v tématu programové vytváření předplatných Azure.

  • Vytváříte nebo konfigurujete skupiny pro správu. Když pro svého tenanta povolíte skupiny pro správu, Azure vytvoří jednu kořenovou skupinu pro správu a v ní můžete vytvořit více úrovní skupin pro správu. Pomocí Bicep můžete definovat celou hierarchii skupin pro správu. Můžete také přiřadit předplatná ke skupinám pro správu.

    Pomocí Bicep můžete odesílat nasazení do oboru tenanta. Nasazení ve vyhrazené oblasti nájemníka vyžadují speciální oprávnění. V praxi ale nemusíte odesílat nasazení s vymezeným tenantem. Nasazení prostředků s vymezeným tenantem je jednodušší pomocí šablony v jiném oboru. Dozvíte se, jak to udělat později v tomto modulu.

    Spropitné

    Na úrovni tenanta nemůžete vytvářet zásady ani přiřazení rolí. Pokud ale potřebujete udělit přístup nebo použít zásady v celé organizaci, můžete tyto prostředky nasadit do kořenové skupiny pro správu.

ID prostředků

Nyní již znáte ID prostředků pro prostředky, které existují v předplatných. Tady je například ID prostředku, které představuje skupinu prostředků, což je prostředek s vymezeným předplatným:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ToyDevelopment

Tady je vizuální znázornění stejných informací:

snímek obrazovky s ID prostředku pro skupinu prostředků

Předplatná mají vlastní ID, například takto:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e

Poznámka

I když se předplatná považují za podřízené položky skupin pro správu, JEJICH ID prostředků nezahrnují ID skupiny pro správu. Azure sleduje vztah mezi předplatnými a skupinami pro správu způsobem, který se liší od jiných vztahů prostředků. Díky tomu můžete flexibilně přesouvat předplatná mezi skupinami pro správu, aniž byste museli měnit všechna ID prostředků.

Při práci se zdroji v rámci skupiny pro správu nebo tenanta mohou ID zdrojů vypadat trochu jinak než obvykle. Většinou se řídí standardním vzorem prokládání typu prostředku s informacemi o konkrétních prostředcích. Konkrétní formát ale závisí na prostředku, se kterým pracujete.

Zde je příklad ID prostředku pro skupinu pro správu:

/providers/Microsoft.Management/managementGroups/ProductionMG

Vypadá to takto:

Snímek obrazovky ID prostředku pro skupinu správy.

Poznámka

Skupiny pro správu mají identifikátor i zobrazovaný název. Zobrazený název je popis řídicí skupiny, který je srozumitelný lidsky. Zobrazovaný název můžete změnit, aniž by to mělo vliv na ID skupiny pro správu.

Když je prostředek nasazen v oboru skupiny pro správu, jeho ID prostředku zahrnuje ID skupiny pro správu. Tady je příklad ID prostředku pro definici role, která byla vytvořena na úrovni skupiny pro správu:

/providers/Microsoft.Management/managementGroups/ProductionMG/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000

Tady je vizuální znázornění stejného ID:

snímek obrazovky s ID prostředku pro definici role nasazenou v oboru skupiny pro správu

Na úrovni předplatného může být definována jiná definice role, takže ID prostředku má odlišný vzhled.

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000

Tady je vizuální znázornění stejného ID:

snímek obrazovky s ID prostředku pro definici role nasazenou v oboru předplatného

Teď, když rozumíte hierarchii prostředků Azure a typům prostředků, které můžete nasadit v každém oboru, můžete rozhodovat o oborech, ve kterých se mají prostředky nasadit. Můžete například nastavit informovanou volbu o tom, jestli byste měli vytvořit definici zásad v oboru skupiny prostředků, předplatného nebo skupiny pro správu. V další lekci se dozvíte, jak vytvořit soubory Bicep, které cílí na každý z těchto oborů.