Informazioni su Azure Resource Manager

Articolo
02/06/2025

Azure Resource Manager è il servizio di distribuzione e gestione di Azure. Offre un livello di gestione che consente di creare, aggiornare ed eliminare risorse nell'account Azure. Si usano funzionalità di gestione quali controllo di accesso, blocchi e tag per proteggere e organizzare le risorse dopo la distribuzione.

Il video seguente illustra i concetti di base di Resource Manager:

Livello di gestione coerente

Quando si invia una richiesta tramite qualsiasi API, strumento o SDK di Azure, Resource Manager riceve la richiesta. Autentica e autorizza la richiesta prima di inoltrarla al servizio di Azure appropriato. Poiché tutte le richieste vengono gestite tramite la stessa API, i risultati e le funzionalità risultano coerenti in tutti i vari strumenti.

Il diagramma seguente illustra il ruolo svolto da Resource Manager durante le richieste di Azure:

Diagramma che mostra il ruolo di Resource Manager durante le richieste di Azure.

Tutte le funzionalità disponibili nel portale di Azure sono disponibili anche tramite PowerShell, l'interfaccia della riga di comando di Azure, le API REST e gli SDK client. Quando le API introducono nuove funzionalità, questo riflette nel portale entro 180 giorni dalla versione iniziale.

Importante

Resource Manager interromperà il supporto dei protocolli precedenti a TLS 1.2 il 1° marzo 2025. Per altre informazioni, vedere Migrazione a TLS 1.2 per Azure Resource Manager.

Terminologia

Se non si ha familiarità con Resource Manager, è possibile che non si abbia familiarità con i termini seguenti:

resource : elemento gestibile disponibile tramite Azure. Esempi di risorse includono macchine virtuali, account di archiviazione, app Web, database e reti virtuali. Anche i gruppi di risorse, le sottoscrizioni, i gruppi di gestione e i tag sono risorse.
gruppo di risorse : contenitore con risorse correlate per una soluzione Azure. Il gruppo di risorse include le risorse da gestire come gruppo. Si decide quali risorse appartengono a un gruppo di risorse in base alle esigenze dell'organizzazione. Vedere Che cos'è un gruppo di risorse?
Provider di risorse: un servizio che offre risorse di Azure. Un provider di risorse comune è ad esempio Microsoft.Compute, che fornisce la risorsa macchina virtuale. Microsoft.Storage è un altro provider di risorse comune. Vedere Provider e tipi di risorse di Azure.
sintassi dichiarativa: sintassi che consente di dichiarare "Ecco cosa intendo creare", senza dover scrivere la sequenza di comandi di programmazione per crearla. I modelli di ARM e i file Bicep sono esempi di sintassi dichiarativa. In questi file si definiscono le proprietà dell'infrastruttura da distribuire in Azure.
modello di ARM: file JSON (JavaScript Object Notation) che definisce una o più risorse da distribuire in un gruppo di risorse, una sottoscrizione, un gruppo di gestione o un tenant. Usare il modello per distribuire le risorse in modo coerente e ripetuto. Vedere Che cosa sono i modelli di Resource Manager? per una panoramica di come distribuire i modelli.
file Bicep: file per la distribuzione dichiarativa delle risorse di Azure. Bicep è un linguaggio progettato per offrire la migliore esperienza di creazione per soluzioni di infrastruttura come codice in Azure. Per altre informazioni su Bicep, vedere Che cos'è Bicep ?
risorsa di estensione: risorsa che aggiunge alle funzionalità di un'altra risorsa. Ad esempio, un'assegnazione di ruolo è una risorsa di estensione. Si applica un'assegnazione di ruolo a qualsiasi altra risorsa per specificare l'accesso. Vedere Risorse di estensione

Per altre definizioni di terminologia di Azure, vedere Concetti fondamentali di Azure.

Vantaggi dell'utilizzo di Gestione risorse

Con Resource Manager è possibile:

Gestire l'infrastruttura tramite modelli dichiarativi, invece che con script.
Distribuire, gestire e monitorare tutte le risorse per la soluzione come un gruppo, invece di gestire singolarmente tali risorse.
Distribuire ripetutamente la soluzione nel corso del ciclo di vita dello sviluppo con la certezza che le risorse vengano distribuite in uno stato coerente.
Definire le dipendenze tra risorse in modo che vengano distribuite nell'ordine corretto.
Applicare il controllo di accesso a tutti i servizi, perché il controllo degli accessi in base al ruolo di Azure è integrato in modo nativo nella piattaforma di gestione.
Applicare tag a tutte risorse per organizzarle in modo logico nella sottoscrizione.
Chiarire la fatturazione dell'organizzazione visualizzando i costi per un gruppo di risorse che condividono lo stesso tag.

Informazioni sull'ambito

Azure offre quattro livelli relativi all'ambito di gestione: gruppi di gestione, sottoscrizioni, gruppi di risorse e risorse. Il diagramma seguente visualizza questi livelli:

Diagramma che illustra i quattro livelli di ambito in Azure: gruppi di gestione, sottoscrizioni, gruppi di risorse e risorse.

Le impostazioni di gestione vengono applicate a uno qualsiasi di questi livelli di ambito. Il livello selezionato determina la portata dell'applicazione dell'impostazione. I livelli inferiori ereditano le impostazioni da quelli superiori. Ad esempio, quando si applicano criteri alla sottoscrizione, tali criteri vengono applicati a tutti i gruppi di risorse e le risorse nella sottoscrizione. Quando si applicano criteri al gruppo di risorse, questi criteri vengono applicati al gruppo di risorse e a tutte le risorse che contiene. Il criterio non viene invece applicato a un altro gruppo di risorse.

Per altre informazioni sulla gestione delle identità e dell'accesso in Azure, vedere Che cos'è Microsoft Entra ID?

È possibile distribuire modelli a tenant, gruppi di gestione, sottoscrizioni o gruppi di risorse.

Che cos'è un gruppo di risorse?

Un gruppo di risorse è un contenitore usato per gestire le risorse correlate per una soluzione di Azure. L'uso di un gruppo di risorse consente di coordinare le modifiche tra le risorse correlate. Ad esempio, è possibile distribuire un aggiornamento al gruppo di risorse e assicurare che le risorse vengano aggiornate in un'operazione coordinata. Oppure, una volta terminato l'uso della soluzione, è possibile eliminare il gruppo di risorse e assicurare che tutte le risorse vengano eliminate.

Quando si definisce il gruppo di risorse, tenere presenti alcune considerazioni importanti:

Tutte le risorse nel gruppo di risorse devono condividere lo stesso ciclo di vita. Le risorse vengono distribuite, aggiornate ed eliminate insieme. Ad esempio, un server è una risorsa. Se deve esistere in un ciclo di distribuzione diverso, deve trovarsi in un altro gruppo di risorse.
Ogni risorsa può appartenere a un solo gruppo di risorse.
È possibile aggiungere o rimuovere una risorsa in un gruppo di risorse in qualsiasi momento.
È possibile spostare una risorsa da un gruppo di risorse a un altro. Per altre informazioni, vedere Spostare le risorse di Azure in un nuovo gruppo di risorse o in una nuova sottoscrizione.
Le risorse in un gruppo di risorse possono trovarsi in aree diverse rispetto al gruppo di risorse, ma è consigliabile usare la stessa posizione. Vedere Quale località usare per il gruppo di risorse?
Un gruppo di risorse consente di definire l'ambito di controllo di accesso per operazioni amministrative. È possibile usare criteri, ruoli o blocchi delle risorse di Azure per gestire un gruppo di risorse.
È possibile applicare tag a un gruppo di risorse. Le risorse nel gruppo di risorse non ereditano tali tag.
Una risorsa può connettersi a risorse in altri gruppi di risorse. Questo scenario è comune quando le due risorse sono correlate ma non condividono lo stesso ciclo di vita. Ad esempio, è possibile avere un'app Web che si connette a un database in un gruppo di risorse diverso.
Quando si elimina un gruppo di risorse, verranno eliminate anche tutte le risorse presenti nel gruppo. Per informazioni su come Resource Manager orchestra tali eliminazioni, vedere Gruppo di risorse e eliminazione di risorse di Azure Resource Manager.
In ogni gruppo di risorse è possibile distribuire fino a 800 istanze di un tipo di risorsa. Alcuni tipi di risorse non sono soggetti al limite di 800 istanze. Per altre informazioni, vedere Limiti relativi ai gruppi di risorse.
Alcune risorse possono esistere all'esterno di un gruppo di risorse. Queste risorse vengono distribuite nella sottoscrizione, nel gruppo di gestione o nel tenant. In questi ambiti sono supportati solo tipi di risorse specifici.
Per creare un gruppo di risorse, usare il portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure o un modello di Resource Manager.

Quale località è necessario usare per il gruppo di risorse?

Quando si crea un gruppo di risorse è necessario specificarne il percorso.

Ci si potrebbe chiedere perché un gruppo di risorse necessita di una posizione e perché la posizione del gruppo di risorse è importante se le risorse possono avere posizioni esterne a un gruppo di risorse.

Il gruppo di risorse archivia i metadati relativi alle risorse. Quando si specifica un percorso per il gruppo di risorse, si specifica anche dove vengono archiviati i metadati. Per motivi di conformità potrebbe essere necessario assicurarsi che i dati siano archiviati in un'area specifica.

Il routing di tutte le operazioni del piano di controllo attraverso la posizione del gruppo di risorse può aiutare il gruppo di risorse a rimanere in uno stato coerente. Quando si seleziona una posizione del gruppo di risorse, è consigliabile selezionare una posizione vicina alla posizione in cui hanno origine le operazioni di controllo. In genere, questa posizione è quella più vicina all'utente. Questo requisito di routing si applica solo alle operazioni del piano di controllo per il gruppo di risorse. Non influisce sulle richieste inviate alle applicazioni.

Se l'area di un gruppo di risorse non è disponibile temporaneamente, potrebbe non essere possibile aggiornare le risorse nel gruppo di risorse perché i metadati non sono disponibili. Le risorse in altre aree funzioneranno comunque come previsto, ma potrebbe non essere possibile aggiornarle. Questa condizione può essere applicata anche alle risorse globali, ad esempio DNS di Azure, zone di azure DNS privato, Gestione traffico di Azure e Frontdoor di Azure. Vedere l'elenco di riferimento tabella e tipo di risorsa di Azure Resource Graph per visualizzare le risorse e i metadati gestiti da Resource Manager.

Quando l'area di un gruppo di risorse non è disponibile, Resource Manager non può aggiornare i metadati della risorsa e blocca le chiamate di scrittura. Per ridurre l'impatto delle interruzioni a livello di area, è consigliabile individuare le risorse e il gruppo di risorse nella stessa area. In questo modo si riduce la probabilità che un'area non sia disponibile perché le risorse e i metadati esistono in un'area anziché in più aree.

Per altre informazioni sulla creazione di applicazioni affidabili, vedere l'elenco di controllo per la resilienza per servizi di Azure specifici.

Resilienza di Resource Manager

Resource Manager è progettato per la resilienza e la disponibilità continua. Gestione risorse e operazioni del piano di controllo (richieste inviate a management.azure.com) nell'API REST:

Distribuire tra aree. Resource Manager ha un'istanza separata in ogni area di Azure, ovvero se un'istanza di Resource Manager ha esito negativo in un'area, ciò non influisce sulla disponibilità del servizio in un'altra area. lo stesso vale per altri servizi di Azure. Anche se Resource Manager è distribuito tra aree, alcuni servizi sono a livello di area. Questa distinzione significa che, mentre la gestione iniziale dell'operazione del piano di controllo è resiliente, la richiesta potrebbe essere soggetta a interruzioni a livello di area quando inoltrate al servizio.
Distribuire tra zone di disponibilità (e aree) in località con più zone di disponibilità. Questa distribuzione garantisce che quando un'area perde una o più zone, Resource Manager può eseguire il failover in un'altra zona o area. Continua a fornire funzionalità del piano di controllo per le risorse.
Non dipendere da un data center logico.
Non vengono disattivate per le attività di manutenzione.

Questa resilienza si applica ai servizi che ricevono le richieste tramite Resource Manager. Azure Key Vault è un servizio che trae vantaggio da questa coerenza.

Risolvere le operazioni simultanee

Gli aggiornamenti simultanei delle risorse possono causare risultati imprevisti. Quando due o più operazioni tentano di aggiornare contemporaneamente la stessa risorsa, Resource Manager rileva il conflitto, consente di completare correttamente una sola operazione, blocca le altre operazioni e restituisce un errore. Questa risoluzione garantisce che gli aggiornamenti siano conclusivi e affidabili; si conosce lo stato delle risorse ed evitare eventuali incoerenze o perdite di dati.

Ad esempio, se si hanno due richieste (A e B) che tentano di aggiornare la stessa risorsa contemporaneamente e la richiesta A termina prima della richiesta B, la richiesta A ha esito positivo e la richiesta B ha esito negativo. La richiesta B restituisce l'errore 409. Dopo aver ottenuto il codice di errore, è possibile ottenere lo stato aggiornato della risorsa e determinare se si vuole inviare nuovamente la richiesta B.

Passaggi successivi

Per informazioni sui limiti applicati nei servizi di Azure, vedere Sottoscrizione di Azure e limiti, quote e vincoli dei servizi.
Per informazioni sullo spostamento di risorse, vedere Spostare le risorse in un gruppo di risorse o una sottoscrizione nuovi.
Per informazioni sull'assegnazione di tag alle risorse, vedere Usare i tag per organizzare le risorse di Azure e la gerarchia di gestione.
Per informazioni sul blocco delle risorse, vedere Bloccare le risorse di Azure per proteggere l'infrastruttura.

Condividi tramite