Multi-tenancy e Azure Resource Manager
Azure Resource Manager è il servizio di gestione delle risorse di base per Azure. Ogni risorsa in Azure viene creata, gestita e infine eliminata tramite Resource Manager. Quando si compila una soluzione multi-tenant, spesso si lavora con Resource Manager per effettuare il provisioning dinamico delle risorse per ogni tenant. In questa pagina vengono descritte alcune delle funzionalità di Resource Manager rilevanti per le soluzioni multi-tenant. Sono inoltre disponibili collegamenti a indicazioni utili per l'uso di Resource Manager.
Funzionalità di Resource Manager che supportano la multi-tenancy
Infrastruttura come codice
Resource Manager fornisce strumenti per supportare l'infrastruttura come codice, talvolta definita IaC. La definizione dell'infrastruttura come codice è una procedura consigliata per tutte le soluzioni nel cloud, ma quando si lavora con soluzioni multi-tenant diventa particolarmente importante. Una soluzione multi-tenant richiede spesso di ridimensionare le distribuzioni e di effettuare il provisioning di nuove risorse durante l'onboarding di nuovi tenant. Se si creano o si configurano manualmente le risorse, si introducono rischi e tempi aggiuntivi per il processo. Un approccio manuale comporta un processo di distribuzione meno affidabile nel complesso.
Quando si distribuisce l'infrastruttura come codice da una pipeline di distribuzione, è consigliabile usare Bicep, un linguaggio appositamente progettato per distribuire e gestire le risorse di Azure in modo dichiarativo. È anche possibile usare modelli di Azure Resource Manager JSON (modelli ARM), Terraform o altri prodotti di terze parti che accedono alle API di Resource Manager sottostanti.
Gli stack di distribuzione consentono di gestire un set di risorse come singola unità, anche se sono distribuiti tra gruppi di risorse o sottoscrizioni. Gli stack di distribuzione possono essere utili se si effettua il provisioning di più risorse specifiche del tenant in posizioni diverse e quindi è necessario gestire il ciclo di vita come un'unità logica.
Le specifiche di modello possono essere utili per il provisioning di nuove risorse, indicatori di distribuzione o ambienti da un singolo modello con parametri. Usando le specifiche di modello, è possibile creare un repository centrale dei modelli usati per distribuire l'infrastruttura specifica del tenant. I modelli vengono archiviati e gestiti all'interno di Azure stesso ed è possibile riutilizzare le specifiche del modello ogni volta che è necessario distribuirle.
In alcune soluzioni è possibile scegliere di scrivere codice personalizzato per effettuare il provisioning o configurare in modo dinamico le risorse oppure per avviare una distribuzione di modelli. Gli SDK di Azure possono essere usati dal proprio codice per gestire l'ambiente di Azure. Assicurarsi di seguire le procedure consigliate per gestire l'autenticazione dell'applicazione in Resource Manager e usare le identità gestite per evitare di archiviare e gestire le credenziali.
Controllo degli accessi in base al ruolo
Il controllo degli accessi in base al ruolo (Controllo degli accessi in base al ruolo di Azure) offre un approccio granulare per gestire l'accesso alle risorse di Azure. In una soluzione multi-tenant valutare se si dispone di risorse che devono avere criteri di controllo degli accessi in base al ruolo di Azure specifici applicati. Ad esempio, potrebbero essere presenti alcuni tenant con dati particolarmente sensibili e potrebbe essere necessario applicare il controllo degli accessi in base al ruolo per concedere l'accesso a determinati utenti, senza includere altre persone nell'organizzazione. Analogamente, i tenant potrebbero chiedere di accedere direttamente alle risorse di Azure, ad esempio durante un controllo. Se si sceglie di consentire questa operazione, le autorizzazioni di controllo degli accessi in base al ruolo con ambito fine possono consentire di concedere l'accesso ai dati di un tenant, senza fornire l'accesso ai dati di altri tenant.
Tag
I tag consentono di aggiungere metadati personalizzati alle risorse, ai gruppi di risorse e alle sottoscrizioni di Azure. Prendere in considerazione l'assegnazione di tag alle risorse specifiche del tenant con l'identificatore del tenant in modo che sia possibile tenere traccia e allocare facilmente i costi di Azure e semplificare la gestione delle risorse.
Quote di risorse di Azure
Resource Manager è uno dei punti di Azure che applica limiti e quote. Queste quote sono importanti da considerare durante il processo di progettazione. Tutte le risorse di Azure hanno limiti che devono essere rispettati e questi limiti includono il numero di richieste che possono essere effettuate su Resource Manager entro un determinato periodo di tempo. Se si supera questo limite, Resource Manager limita le richieste.
Quando si compila una soluzione multi-tenant che esegue distribuzioni automatizzate, è possibile raggiungere questi limiti più velocemente rispetto ad altri clienti. Analogamente, le soluzioni multi-tenant che effettuano il provisioning di grandi quantità di infrastruttura possono attivare i limiti.
Ogni servizio di Azure viene gestito da un provider di risorse, che può anche definire i propri limiti. Ad esempio, il provider di risorse di calcolo di Azure gestisce il provisioning delle macchine virtuali e definisce i limiti per il numero di richieste che possono essere effettuate in un breve periodo. Alcuni altri limiti del provider di risorse sono documentati in Limiti del provider di risorse.
Se si è a rischio di superare i limiti definiti da Resource Manager o da un provider di risorse, prendere in considerazione le mitigazioni seguenti:
- Partizionare il carico di lavoro tra più sottoscrizioni di Azure.
- Usare più gruppi di risorse all'interno delle sottoscrizioni.
- Inviare richieste da diverse entità di sicurezza di Microsoft Entra.
- Richiedere allocazioni di quote aggiuntive. In generale, le richieste di allocazione delle quote vengono inviate aprendo un caso di supporto, anche se alcuni servizi forniscono API per queste richieste, ad esempio per le istanze riservate della macchina virtuale.
Le mitigazioni selezionate devono essere appropriate per il limite specifico riscontrato.
Modelli di isolamento
In alcune soluzioni multi-tenant è possibile decidere di distribuire risorse separate o dedicate per ogni tenant. Resource Manager offre diversi modelli che è possibile usare per isolare le risorse, a seconda dei requisiti e del motivo per cui si sceglie di isolare le risorse. Per indicazioni su come isolare le risorse di Azure, vedere Organizzazione delle risorse di Azure in soluzioni multi-tenant.
Collaboratori
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.
Autore principale:
- John Downs | Principal Software Engineer
Altro collaboratore:
- Arsen Vladimirintune | Principal Customer Engineer, FastTrack per Azure
Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.
Passaggi successivi
Esaminare gli approcci di distribuzione e configurazione per la multi-tenancy.