Beschreiben der Verwaltungsinfrastruktur von Azure

Abgeschlossen

Die Verwaltungsinfrastruktur umfasst Azure-Ressourcen sowie Ressourcengruppen, Abonnements und Konten. Das Verständnis der hierarchischen Struktur hilft Ihnen dabei, Ihre Projekte und Produkte in Azure zu planen.

Azure-Ressourcen und -Ressourcengruppen

Eine Ressource ist der grundlegende Baustein in Azure. Alles, was Sie erstellen, bereitstellen usw., ist eine Ressource. VMs, virtuelle Netzwerke, Datenbanken, Cognitive Services usw. gelten in Azure als Ressourcen.

Diagramm eines Ressourcengruppenfelds mit einer Funktion, VM, Datenbank und App

Ressourcengruppen sind einfach nur Gruppierungen von Ressourcen. Wenn Sie eine Ressource erstellen, müssen Sie diese in einer Ressourcengruppe platzieren. Eine Ressourcengruppe kann viele Ressourcen enthalten, aber eine einzelne Ressource kann jeweils nur in einer Ressourcengruppe enthalten sein. Einige Ressourcen werden möglicherweise zwischen Ressourcengruppen verschoben. Wenn Sie eine Ressource in eine neue Gruppe verschieben, ist sie anschließend aber nicht mehr der ehemaligen Gruppe zugeordnet. Darüber hinaus können Ressourcengruppen nicht geschachtelt werden, d. h., Sie können Ressourcengruppe B nicht in die Ressourcengruppe A einschließen.

Ressourcengruppen bieten eine bequeme Möglichkeit, Ressourcen zu gruppieren. Wenn Sie eine Aktion auf eine Ressourcengruppe anwenden, wird diese Aktion für alle Ressourcen innerhalb der Ressourcengruppe ausgeführt. Wenn Sie eine Ressourcengruppe löschen, werden alle in ihr enthaltenen Ressourcen gelöscht. Wenn Sie Zugriff auf eine Ressourcengruppe erteilen oder verweigern, steuern Sie damit den Zugriff auf alle Ressourcen innerhalb der Ressourcengruppe.

Wenn Sie Ressourcen bereitstellen, sollten Sie eine Ressourcengruppenstruktur auswählen, die Ihren Anforderungen am besten entspricht.

Wenn Sie z. B. eine temporäre Entwicklungsumgebung einrichten und dabei alle Ressourcen zusammen gruppieren, können Sie die Bereitstellung aller zugeordneten Ressourcen gleichzeitig aufheben, indem Sie die Ressourcengruppe löschen. Wenn Sie Computeressourcen bereitstellen, die drei unterschiedliche Zugriffsschemas erfordern, empfiehlt es sich möglicherweise, die Ressourcen basierend auf dem Zugriffsschema zu gruppieren und den Zugriff dann auf Ressourcengruppenebene zuzuweisen.

Es gibt keine allgemeingültigen Regeln dafür, wie Sie Ressourcengruppen verwenden. Wägen Sie daher ab, wie Sie Ihre Ressourcengruppen so einrichten können, dass Sie maximalen Nutzen daraus ziehen.

Azure-Abonnements

Abonnements sind in Azure eine Einheit für die Verwaltung, Abrechnung und Skalierung. Ähnlich wie Ressourcengruppen bieten sie eine Möglichkeit, Ressourcen logisch zu organisieren. Außerdem können Sie mit Abonnements Ihre Ressourcengruppen logisch organisieren, um die Abrechnung zu vereinfachen.

Diagramm mit Azure-Abonnements, die mit Authentifizierung und Autorisierung auf Azure-Konten zugreifen

Für Azure ist ein Azure-Abonnement erforderlich. Ein Abonnement bietet authentifizierten und autorisierten Zugriff auf Azure-Produkte und -Dienste. Darüber hinaus ermöglicht es Ihnen die Bereitstellung von Ressourcen. Ein Azure-Abonnement verweist auf ein Azure-Konto, bei dem es sich um eine Identität in Microsoft Entra ID oder einem Verzeichnis handelt, dem Microsoft Entra ID vertraut.

Ein Konto kann mehrere Abonnements umfassen, es ist jedoch nur ein Konto erforderlich. In einem Konto mit mehreren Abonnements können Sie über die Abonnements verschiedene Abrechnungsmodelle konfigurieren und unterschiedliche Zugriffsverwaltungsrichtlinien anwenden. Über Azure-Abonnements können Sie Grenzen für Azure-Produkte, -Dienste und -Ressourcen definieren. Dabei stehen Ihnen zwei Arten von Abonnementgrenzen zur Verfügung:

  • Abrechnungsgrenzen: Mit diesem Abonnementtyp wird bestimmt, wie die Nutzung von Azure einem Azure-Konto in Rechnung gestellt wird. Sie können mehrere Abonnements für verschiedene Arten von Abrechnungsanforderungen erstellen. Azure generiert für die einzelnen Abonnements separate Abrechnungsberichte und Rechnungen, die eine Organisation und Verwaltung der Kosten ermöglichen.
  • Zugriffssteuerungsgrenzen: Azure wendet Zugriffsverwaltungsrichtlinien auf Abonnementebene an. So können Sie separate Abonnements für verschiedene Organisationsstrukturen erstellen. Sie können beispielsweise innerhalb des Unternehmens unterschiedlichen Abteilungen bestimmte Abonnementrichtlinien zuweisen. Mit diesem Abrechnungsmodell können Sie den Zugriff auf die Ressourcen, die Benutzer bereitstellen, mit spezifischen Abonnements verwalten und steuern.

Erstellen zusätzlicher Azure-Abonnements

Ähnlich wie bei der Verwendung von Ressourcengruppen zum Aufteilen von Ressourcen nach Funktion oder Zugriff können Sie auch zusätzliche Abonnements für Ressourcen oder Abrechnungsverwaltungszwecke erstellen. Sie können beispielsweise zusätzliche Abonnements erstellen, um Folgendes auseinanderzuhalten:

  • Umgebungen: Sie können Abonnements erstellen, um separate Umgebungen für Entwicklung und Tests einzurichten und so die Sicherheit zu erhöhen oder Daten aus Compliancegründen zu isolieren. Diese Struktur ist besonders nützlich, da die Ressourcenzugriffssteuerung auf Abonnementebene erfolgt.
  • Organisationsstrukturen: Sie können Abonnements für unterschiedliche Unternehmensabteilungen erstellen. Sie können z. B. ein Team auf Ressourcen mit geringeren Kosten einschränken, während die IT Zugriff auf alle Ressourcen hat. Durch diese Aufteilung können Sie festlegen, wer auf die Ressourcen zugreifen kann, die Benutzer in den jeweiligen Abonnements bereitstellen.
  • Abrechnung: Sie können zusätzliche Abonnements zu Abrechnungszwecken erstellen. Da die Kosten zuerst auf Abonnementebene aggregiert werden, können Sie Abonnements erstellen, um die Kosten basierend auf Ihren Anforderungen zu verwalten und nachzuverfolgen. Beispielsweise können Sie ein Abonnement für Ihre Produktionsworkloads und ein anderes Abonnement für Ihre Entwicklungs- und Testworkloads erstellen.

Azure-Verwaltungsgruppen

Der letzte Aspekt ist die Verwaltungsgruppe. Ressourcen werden in Ressourcengruppen zusammengefasst, und Ressourcengruppen werden in Abonnements zusammengefasst. Wenn Sie gerade erst mit Azure beginnen, erscheint Ihnen diese Hierarchie möglicherweise ausreichend, um alles zu organisieren. Stellen Sie sich aber vor, Sie arbeiten mit mehreren Anwendungen und mehreren Entwicklungsteams in mehreren Regionen.

Wenn Sie über viele Abonnements verfügen, benötigen Sie möglicherweise eine Strategie zur effizienten Verwaltung von Zugriff, Richtlinien und Compliance für diese Abonnements. Azure-Verwaltungsgruppen stellen einen abonnementübergreifenden Bereich dar. Sie organisieren Abonnements in Containern, die als Verwaltungsgruppen bezeichnet werden, und wenden Ihre Governancebedingungen auf die Verwaltungsgruppen an. Alle Abonnements innerhalb einer Verwaltungsgruppe erben automatisch die Bedingungen, die auf die Verwaltungsgruppe angewandt wurden, ebenso erben Ressourcengruppen die Einstellungen von Abonnements und Ressourcen die von Ressourcengruppen. Verwaltungsgruppen ermöglichen Ihnen – unabhängig vom Typ Ihrer Abonnements – die unternehmenstaugliche Verwaltung im großen Stil. Verwaltungsgruppen können geschachtelt werden.

Hierarchie aus Verwaltungsgruppen, Abonnements und Ressourcengruppen

Sie können eine flexible Struktur von Verwaltungsgruppen und Abonnements aufbauen, um Ihre Ressourcen für die einheitliche Richtlinien- und Zugriffsverwaltung in einer Hierarchie zu organisieren. Das folgende Diagramm zeigt anhand eines Beispiels das Erstellen einer Hierarchie für die Governance unter Verwendung von Verwaltungsgruppen:

Diagramm mit einem Beispiel für eine Hierarchiestruktur einer Verwaltungsgruppe

Einige Beispiele für die Verwendung von Verwaltungsgruppen:

  • Erstellen einer Hierarchie zum Anwenden einer Richtlinie: Sie können VM-Standorte in der Gruppe namens „Produktion“ auf die Region „USA, Westen“ beschränken. Diese Richtlinie wird an alle Abonnements vererbt, die dieser Verwaltungsgruppe untergeordnet sind, und sie gilt für alle VMs dieser Abonnements. Diese Sicherheitsrichtlinie kann nicht vom Besitzer der Ressource oder des Abonnements geändert werden und ermöglicht damit eine verbesserte Governance.
  • Gewähren von Benutzerzugriff auf mehrere Abonnements: Indem Sie mehrere Abonnements in eine Verwaltungsgruppe einfügen, haben Sie die Möglichkeit, eine Azure RBAC-Zuweisung (Role-Based Access Control, rollenbasierte Zugriffssteuerung) in der Verwaltungsgruppe zu erstellen. Das Zuweisen von Azure RBAC auf Ebene der Verwaltungsgruppe bedeutet, dass alle Unterverwaltungsgruppen, Abonnements, Ressourcengruppen und Ressourcen in dieser Verwaltungsgruppe ebenfalls diese Berechtigungen erben. Eine Zuweisung in der Verwaltungsgruppe kann Benutzern den Zugriff auf alles ermöglichen, was sie benötigen, ohne dass in einem Skript Azure RBAC für verschiedene Abonnements eingerichtet werden muss.

Wichtige Fakten zu Verwaltungsgruppen:

  • 10.000 Verwaltungsgruppen können in einem einzigen Verzeichnis unterstützt werden.
  • Eine Verwaltungsgruppenstruktur kann bis zu sechs Ebenen unterstützen. Hierbei werden die Stammebene und die Abonnementebene nicht mitgezählt.
  • Jede Verwaltungsgruppe und jedes Abonnement kann nur über ein übergeordnetes Element verfügen.