Udostępnij za pośrednictwem


Omówienie usługi Azure Managed Applications

Aplikacje zarządzane platformy Azure umożliwiają oferowanie rozwiązań w chmurze, które są łatwe dla klientów w zakresie wdrażania i obsługi. Jako wydawca wdrażasz infrastrukturę i możesz zapewnić ciągłą pomoc techniczną. Aby udostępnić aplikację zarządzaną wszystkim klientom, opublikuj ją w witrynie Azure Marketplace. Aby udostępnić ją tylko użytkownikom w organizacji, opublikuj ją w wewnętrznym wykazie usług.

Aplikacja zarządzana jest podobna do szablonu rozwiązania w witrynie Azure Marketplace z jedną kluczową różnicą. W aplikacji zarządzanej zasoby są wdrażane w zarządzanej grupie zasobów zarządzanej przez wydawcę aplikacji lub przez klienta. Zarządzana grupa zasobów znajduje się w subskrypcji klienta, ale tożsamość w dzierżawie wydawcy może mieć dostęp do zarządzanej grupy zasobów. Jako wydawca, jeśli zarządzasz aplikacją, określisz koszt bieżącej pomocy technicznej rozwiązania.

Uwaga

Dokumentacja dostawców niestandardowych platformy Azure używana do dołączania do aplikacji zarządzanych. Ta dokumentacja została przeniesiona do dostawców niestandardowych platformy Azure.

Uprawnienia wydawcy i klienta

W przypadku zarządzanej grupy zasobów dostęp do zarządzania wydawcy i przypisanie odmowy klienta są opcjonalne. Istnieją różne scenariusze uprawnień dostępne na podstawie potrzeb wydawcy i klienta dla aplikacji zarządzanej.

  • Zarządzane przez wydawcę: program Publisher ma dostęp do zarządzania zasobami w zarządzanej grupie zasobów w dzierżawie platformy Azure klienta. Dostęp klienta do zarządzanej grupy zasobów jest ograniczony przez przypisanie odmowy. Program Publisher managed jest domyślnym scenariuszem uprawnień aplikacji zarządzanej.
  • Dostęp wydawcy i klienta: program Publisher i klient mają pełny dostęp do zarządzanej grupy zasobów. Przypisanie odmowy zostanie usunięte.
  • Tryb zablokowany: program Publisher nie ma dostępu do wdrożonej aplikacji zarządzanej ani zarządzanej grupy zasobów przez klientów. Dostęp klienta jest ograniczony przez przypisanie odmowy.
  • Zarządzane przez klienta: Klient ma pełny dostęp do zarządzanej grupy zasobów i dostęp wydawcy zostanie usunięty. Nie ma przypisania odmowy. Program Publisher opracowuje aplikację i publikuje w witrynie Azure Marketplace, ale nie zarządza aplikacją. Wydawca licencji aplikacji na potrzeby rozliczeń za pośrednictwem witryny Azure Marketplace.

Zalety korzystania ze scenariuszy uprawnień:

  • Ze względów bezpieczeństwa wydawcy nie chcą trwałego dostępu do zarządzania zarządzaną grupą zasobów, dzierżawą klienta ani danymi w zarządzanej grupie zasobów.
  • Wydawcy chcą usunąć przypisanie odmowy, aby klienci zarządzali aplikacją. Program Publisher nie musi zarządzać przypisaniem odmowy, aby włączyć lub wyłączyć akcje dla klienta. Na przykład akcja, na przykład ponowne uruchomienie maszyny wirtualnej w aplikacji zarządzanej.
  • Zapewnij klientom pełną kontrolę nad zarządzaniem aplikacją, aby wydawcy nie musieli być dostawcą usług do zarządzania aplikacją.

Zalety związane z używaniem aplikacji zarządzanych

Aplikacje zarządzane zmniejszają bariery dla klientów korzystających z Twoich rozwiązań. Nie muszą oni dysponować wiedzą na temat infrastruktury w chmurze. W zależności od uprawnień skonfigurowanych przez wydawcę klienci mogą mieć ograniczony dostęp do krytycznych zasobów i nie muszą martwić się o popełnienie błędu podczas zarządzania nim.

Aplikacje zarządzane umożliwiają nawiązanie ciągłej relacji z klientami. Definiujesz terminy dotyczące zarządzania aplikacją, a wszystkie opłaty są obsługiwane za pośrednictwem rozliczeń platformy Azure.

Mimo że klienci wdrażają aplikacje zarządzane w swoich subskrypcjach, nie muszą ich obsługiwać, aktualizować ani obsługiwać. Istnieją jednak uprawnienia, które umożliwiają klientowi pełny dostęp do zasobów w zarządzanej grupie zasobów. Można zagwarantować, że wszyscy klienci używają zatwierdzonych wersji. Klienci nie zarządzają aplikacjami, więc nie wymaga się od nich znajomości domeny specyficznej dla aplikacji. Automatycznie otrzymują oni aktualizacje aplikacji i nie muszą rozwiązywać problemów ani diagnozować usterek związanych z aplikacjami.

W przypadku zespołów IT aplikacje zarządzane umożliwiają oferowanie wstępnie zatwierdzonych rozwiązań użytkownikom w organizacji. Wiesz, że te rozwiązania są zgodne ze standardami używanymi w organizacji.

Aplikacje zarządzane obsługują tożsamości zarządzane dla zasobów platformy Azure.

Typy aplikacji zarządzanych

Aplikację zarządzaną można opublikować wewnętrznie w katalogu usług lub zewnętrznie w witrynie Azure Marketplace.

Diagram przedstawiający sposób publikowania aplikacji zarządzanej w katalogu usług lub w witrynie Azure Marketplace.

Wykaz usług

Wykaz usług to wewnętrzny katalog zatwierdzonych rozwiązań, przeznaczonych dla użytkowników w organizacji. Wykaz jest używany do spełnienia standardów organizacyjnych i oferowania rozwiązań dla organizacji. Pracownicy korzystają z katalogu usług, aby znaleźć aplikacje, które są zalecane i zatwierdzone przez ich działy IT. Mogą oni uzyskiwać dostęp do zarządzanych aplikacji udostępnianych przez inne osoby w organizacji.

Aby uzyskać informacje na temat publikowania aplikacji zarządzanej w katalogu usług, zobacz Szybki start: tworzenie i publikowanie definicji aplikacji zarządzanej.

Azure Marketplace

Dostawcy, którzy chcą rozliczać swoje usługi, mogą udostępnić aplikację zarządzaną za pośrednictwem witryny Azure Marketplace. Po opublikowaniu aplikacji przez dostawcę jest ona dostępna dla użytkowników spoza organizacji. Dzięki temu dostawca usług zarządzanych (MSP), niezależny dostawca oprogramowania (ISV) lub integrator systemu (SI) może oferować swoje rozwiązania wszystkim klientom platformy Azure.

Aby uzyskać informacje na temat publikowania aplikacji zarządzanej w witrynie Azure Marketplace, zobacz Tworzenie oferty aplikacji platformy Azure.

Grupy zasobów aplikacji zarządzanych

Zazwyczaj zasoby aplikacji zarządzanej znajdują się w dwóch grupach zasobów. Klient zarządza jedną grupą zasobów, a wydawca zarządza drugą grupą zasobów. Po zdefiniowaniu aplikacji zarządzanej wydawca określa poziomy dostępu. Wydawca może zażądać stałego przypisania roli lub dostępu just in time dla przydziału ograniczonego do okresu. Wydawcy mogą również skonfigurować aplikację zarządzaną, aby nie było dostępu wydawcy.

Ograniczanie dostępu do operacji na danych nie jest obecnie obsługiwane dla wszystkich dostawców danych na platformie Azure.

Na poniższej ilustracji przedstawiono relację między subskrypcją platformy Azure klienta a subskrypcją platformy Azure wydawcy, która jest domyślnym uprawnieniem zarządzanym przez wydawcę. Zarządzana aplikacja i zarządzana grupa zasobów znajdują się w subskrypcji klienta. Wydawca ma dostęp do zarządzanej grupy zasobów w celu utrzymania zasobów aplikacji zarządzanej. Wydawca umieszcza blokadę tylko do odczytu (przypisanie odmowy) w zarządzanej grupie zasobów, która ogranicza dostęp klienta do zarządzania zasobami. Tożsamości wydawcy, które mają dostęp do zarządzanej grupy zasobów, są wykluczone z blokady.

Diagram przedstawiający relację między subskrypcjami klienta i wydawcy platformy Azure dla zarządzanej grupy zasobów.

Dostęp do zarządzania, jak pokazano na obrazie, można zmienić. Klient może mieć pełny dostęp do zarządzanej grupy zasobów. Dostęp wydawcy do zarządzanej grupy zasobów można usunąć.

Grupa zasobów aplikacji

Ta grupa zasobów zawiera wystąpienie aplikacji zarządzanej. Ta grupa zasobów może zawierać tylko jeden zasób. Typ zasobu aplikacji zarządzanej to Microsoft.Solutions/applications.

Klient ma pełny dostęp do grupy zasobów i używa go do zarządzania cyklem życia aplikacji zarządzanej.

Zarządzana grupa zasobów

Ta grupa zasobów zawiera wszystkie zasoby wymagane przez aplikację zarządzaną. Na przykład maszyny wirtualne aplikacji, konta magazynu i sieci wirtualne. Klient może mieć ograniczony dostęp do tej grupy zasobów, ponieważ jeśli nie zostaną zmienione opcje uprawnień, klient nie zarządza poszczególnymi zasobami dla aplikacji zarządzanej. Dostęp wydawcy do grupy zasobów odpowiada roli określonej w definicji aplikacji zarządzanej. Na przykład wydawca może zażądać roli właściciela lub współautora dla tej grupy zasobów. Dostęp jest stały lub ograniczony do określonego czasu. Wydawca może nie mieć dostępu do zarządzanej grupy zasobów.

Po opublikowaniu aplikacji zarządzanej na platformie handlowej wydawca może przyznać klientom możliwość wykonywania określonych akcji dotyczących zasobów w zarządzanej grupie zasobów lub uzyskiwania pełnego dostępu. Na przykład wydawca może określić, że klienci mogą ponownie uruchamiać maszyny wirtualne. Wszystkie inne akcje poza akcjami odczytu są nadal odrzucane. Zmiany zasobów w zarządzanej grupie zasobów przez klienta z udzielonymi akcjami podlegają przypisaniom usługi Azure Policy w ramach dzierżawy klienta w celu uwzględnienia zarządzanej grupy zasobów.

Gdy klient usunie aplikację zarządzaną, zarządzana grupa zasobów zostanie również usunięta.

Dostawca zasobów

Aplikacje zarządzane używają dostawcy Microsoft.Solutions zasobów z plikiem JSON szablonu usługi ARM. Aby uzyskać więcej informacji, zobacz typy zasobów i wersje interfejsu API.

Azure Policy

Możesz zastosować usługę Azure Policy do inspekcji aplikacji zarządzanej. Stosujesz definicje zasad, aby upewnić się, że wdrożone wystąpienia aplikacji zarządzanej spełniają wymagania dotyczące danych i zabezpieczeń. Jeśli aplikacja wchodzi w interakcje z danymi poufnymi, upewnij się, że oceniono sposoby ochrony tych danych. Jeśli na przykład aplikacja wchodzi w interakcję z danymi z platformy Microsoft 365, zastosuj definicję zasad, aby upewnić się, że szyfrowanie danych jest włączone.

Następne kroki

W tym artykule omówiono korzyści z używania aplikacji zarządzanych. Przejdź do następnego artykułu, aby utworzyć definicję aplikacji zarządzanej.