Użycie usługi Azure Lighthouse w wielotenantowych scenariuszach stref docelowych platformy Azure
Azure Lighthouse umożliwia wielodostępne zarządzanie z skalowalnością, wyższą automatyzacją i ulepszonym nadzorem w różnych zasobach. Usługę Azure Lighthouse można zastosować w scenariuszach strefy docelowej platformy Azure w architekturach pojedynczych lub wielodostępnych.
Poniższe zagadnienia i zalecenia opisują typowe scenariusze wdrożenia usługi Azure Lighthouse w strefach docelowych platformy Azure.
Zagadnienia dotyczące
- Usługa Azure Lighthouse nie jest obsługiwana między różnymi chmurami platformy Azure, takimi jak chmura publiczna a chmura Azure Government. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące wielu regionów i chmury.
- Usługa Azure Lighthouse obsługuje delegowanie subskrypcji lub grup zasobów, a nie grup zarządzania ani dzierżaw. Aby uzyskać rozwiązanie do dołączania wielu subskrypcji w ramach grupy zarządzania, zobacz Dołączanie wszystkich subskrypcji w ramach grupy zarządzania. Te zasady są zgodne z zasadą projektowania stref docelowych platformy Azure opartej na zasadach.
- Aby uzyskać informacje o ograniczeniach obsługi ról w usłudze Azure Lighthouse, zobacz Obsługa ról dla usługi Azure Lighthouse.
Zalecenia
- Zobacz Azure Lighthouse w scenariuszach firmowych.
- Jeśli jesteś ISV, zobacz sekcję o Azure Lighthouse w scenariuszach ISV.
- Usługa Azure Lighthouse jest używana w obu kierunkach między dzierżawami firmy Microsoft Entra, aby uprościć działania związane z zarządzaniem i zmniejszyć złożone scenariusze uwierzytelniania i autoryzacji. Ta akcja usuwa zależność od kont Microsoft Entra B2B (Gościa) dla tożsamości użytkowników i obciążeń, i eliminuje konieczność posiadania oddzielnych kont dla niektórych działań.
- Użyj usługi Microsoft Entra Privileged Identity Management (PIM) w ramach delegowania usługi Azure Lighthouse. Aby uzyskać więcej informacji, zobacz Tworzenie kwalifikujących się autoryzacji.
- Ta funkcja wymaga licencjonowania microsoft Entra ID P2, ale tylko ze źródła lub zarządzania dzierżawą firmy Microsoft Entra.
Scenariusz stref docelowych platformy Azure — Usługa Azure Lighthouse i prywatna usługa DNS na dużą skalę
Na poniższym diagramie przedstawiono scenariusz strefy docelowej platformy Azure, w którym usługa Azure Lighthouse jest używana w wielu dzierżawach firmy Microsoft Entra, aby ułatwić integrację usługi Private Link i DNS.
W przypadku korzystania z usługi Azure Lighthouse usługa Azure Policy dla prywatnych punktów końcowych prywatna strefa DNS jest automatycznie połączona w szprych dzierżawach firmy Microsoft Entra ze scentralizowanymi prywatnymi strefami DNS w centrum dzierżawy firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Integracja usługi Private Link i DNS na dużą skalę.
W przypadku korzystania z tej architektury właściciele strefy docelowej aplikacji mają dostęp do wprowadzania zmian w prywatnej strefie DNS za pośrednictwem autoryzacji delegowania usługi Azure Lighthouse. Ten dostęp jest przydatny, jeśli do zarządzania konfiguracją DNS prywatnych punktów końcowych jest używana inna metoda, a nie usługa Azure Policy. Aby uzyskać więcej informacji, zobacz Integracja usługi Private Link i DNS na dużą skalę.