Planejar um aplicativo gerenciado do Azure para uma oferta de Aplicativo Azure
Um plano de aplicativo gerenciado do Azure é uma maneira de publicar uma oferta de aplicativo do Azure no Marketplace Comercial. Caso ainda não tenha feito isso, leia Planejar uma oferta de Aplicativo Azure para o marketplace comercial. Aplicativos gerenciados são ofertas transacionáveis que são implantadas e cobradas por meio do Marketplace. Use planos de aplicativos gerenciados para fornecer e monetizar serviços gerenciados.
Requisitos da oferta de aplicativo gerenciado
Requisitos | Detalhes |
---|---|
Cobrança e medição | Os recursos são fornecidos na assinatura do Azure de um cliente. As VMs que usam o modelo de pagamento pago conforme o uso são operadas pelo cliente por meio da Microsoft e cobradas por meio da assinatura do Azure do cliente. Para VMs do tipo Traga sua própria licença, a Microsoft cobra os custos de infraestrutura incorridos na assinatura do cliente, mas você opera os valores de licenciamento de software diretamente com o cliente. |
Atribuição de uso do cliente | Para obter mais informações sobre a atribuição de uso do cliente e como habilitá-la, confira Atribuição de uso do cliente do parceiro do Azure. |
Pacote de implantação | Você precisará de um pacote de implantação que permitirá aos clientes implantarem o seu plano. Se criar vários planos que exigem a mesma configuração técnica, você poderá usar o mesmo pacote. Para obter mais detalhes, confira a seção seguinte: pacote de implantação. |
Observação
Os aplicativos gerenciados devem poder ser implantados por meio do Azure Marketplace. Se a comunicação com o cliente for uma preocupação, entre em contato com os clientes interessados após habilitar o compartilhamento de clientes potenciais.
Pacote de implantação
O pacote de implantação contém todos os arquivos de modelo necessários para esse plano, bem como todos os recursos adicionais aplicáveis, empacotados como um arquivo zip.
Todos os Aplicativos Azure devem incluir esses dois arquivos na pasta raiz de um arquivo .zip:
- Um arquivo de modelo do Resource Manager chamado mainTemplate.json. Este modelo define os recursos a serem implantados na assinatura do Azure do cliente. Para obter exemplos de modelos do Resource Manager, confira a Galeria de modelos de início rápido do Azure ou o repositório correspondente GitHub: modelos de Início Rápido do Azure Resource Manager.
- Uma definição de interface do usuário para a experiência de criação do aplicativo do Azure denominada createUiDefinition.json. Na interface do usuário, você especifica os elementos que permitem aos consumidores fornecer valores de parâmetro.
Observação
O pacote de implantação não deve incluir binários, como imagens de Máquina Virtual. Todas as imagens implantadas pelo Aplicativo do Azure devem ser imagens referenciadas do marketplace. Verifique se sua oferta está em conformidade com nossas práticas recomendadas usando o Kit de ferramentas de teste de modelo do ARM antes de publicar seu Aplicativo Azure.
Regiões do Azure
Você pode publicar seu plano na região pública do Azure, na região do Azure Governamental ou em ambos. Antes de publicar no Azure Governamental, teste e valide seu plano no ambiente, pois determinados pontos de extremidade podem ser diferentes. Para configurar e testar seu plano, solicite uma conta de avaliação do Microsoft Azure Government.
Você, como editor, é responsável por eventuais controles de conformidade, medidas de segurança e melhores práticas. O Azure Government usa datacenters isolados fisicamente e redes (localizadas apenas nos EUA).
Para obter uma lista de países e regiões com suporte no Marketplace comercial, confira Disponibilidade geográfica e suporte a moeda.
Os serviços do Azure Government manipulam os dados que estão sujeitos a determinadas normas e requisitos governamentais. Por exemplo, FedRAMP, NIST 800.171 (DIB), ITAR, IRS 1075, DoD L4 e CJIS. Para oferecer reconhecimento das suas certificações para esses programas, você pode fornecer até 100 links que as descrevem. Eles podem ser links para sua listagem diretamente no programa ou links para descrições de sua conformidade com eles em seus próprios sites. Esses links são visíveis somente para clientes do Azure Government.
Escolha quem pode ver seu plano
Você pode configurar cada plano para ser visível para todos (público) ou apenas para um público-alvo específico (particular). Você pode criar até 100 planos e até 45 deles podem ser particulares. Você pode querer criar um plano privado para oferecer diferentes opções de preços ou configurações técnicas para clientes específicos.
Você permite acesso a um plano particular usando IDs da assinatura do Azure com a opção de incluir uma descrição de cada ID da assinatura atribuída. Você pode adicionar no máximo 10 IDs de assinatura manualmente ou até 10.000 IDs de assinatura usando um. arquivo CSV. As IDs de assinatura do Azure são representadas como GUIDs e todas as letras precisam estar em minúsculas.
Não há suporte para planos privados com assinaturas do Azure estabelecidas por meio de um revendedor do CSP (programa Provedor de Soluções na Nuvem). Para obter mais informações, confira Ofertas particulares no Marketplace comercial da Microsoft.
Observação
Se publicar um plano particular, você poderá alterar posteriormente a visibilidade dele para pública. No entanto, depois de publicar um plano público, você não poderá alterar sua visibilidade para privado.
Definir preços
Observação
Os preços do Aplicativo Gerenciado usando o preço de cobrança mensal e medido devem levar em conta apenas a taxa de gerenciamento e não podem ser usados para custos de IP/software, infraestrutura do Azure ou complementos. Use a Máquina Virtual subjacente ou a Oferta de Contêiner para negociar os custos de IP/software. Você deve fornecer o preço mensal de cada plano. Esse preço é além de qualquer infraestrutura do Azure ou custos de software pago conforme o uso incorridos pelos recursos implantados por essa solução. Além do preço por mês, você também pode definir preços para consumo de unidades não padrão usando cobrança limitada. Você pode definir o preço por mês como zero e cobrar exclusivamente usando o faturamento limitado.
Os preços são definidos em USD (USD = dólar dos Estados Unidos) e são convertidos para a moeda local de todos os mercados selecionados usando as taxas de câmbio atuais quando salvos. Os preços são publicados na moeda local e não são atualizados à medida que as taxas de câmbio flutuam. Para especificar os preços do cliente para cada mercado, exporte os preços da página de preços e disponibilidade, atualize o respectivo mercado e moeda, salve e importe o arquivo. Para obter mais informações, consulte Como convertemos moedas.
Gerenciamento de editores
Habilitar o acesso de gerenciamento fornece ao editor acesso ao grupo de recursos gerenciados que hospeda seu aplicativo no locatário do cliente. Se você optar por habilitar o acesso de gerenciamento do editor, precisará especificar o locatário do Azure e a ID da entidade de segurança que gerenciará o aplicativo.
Observação
O gerenciamento do editor não pode ser modificado depois que o plano é publicado para residir no marketplace.
Acesso JIT (just-in-time)
O acesso JIT permite que você solicite acesso elevado a recursos de um aplicativo gerenciado para solução de problemas ou manutenção. Você sempre tem acesso somente leitura aos recursos, mas, para um período de tempo específico, você pode ter mais acesso. Para obter mais informações, consulte Habilitar e solicitar o acesso just-in-time para aplicativos gerenciados do Azure.
Observação
Certifique-se de atualizar o arquivo de createUiDefinition.json
para dar suporte a esse recurso.
Escolha quem pode gerenciar o aplicativo
Essa opção só está disponível quando o Gerenciamento de editores está ativado.
Quando o Gerenciamento de Editores está habilitado, você deve indicar quem pode gerenciar um aplicativo gerenciado em cada uma das nuvens selecionadas: Azure Público e Nuvem do Azure Governamental. Colete as seguintes informações:
- ID de locatário do Microsoft Entra – a ID de locatário do Microsoft Entra (também conhecida como ID de diretório) que contém as identidades dos usuários, grupos ou aplicativos aos quais você deseja conceder permissões. Você pode encontrar sua ID de locatário do Microsoft Entra no portal do Azure, em Propriedades da ID do Microsoft Entra.
- Autorizações – adicione a ID de objeto do Microsoft Entra de cada usuário, grupo ou aplicativo que você deseja que receba permissão para o grupo de recursos gerenciados. Identifique o usuário por sua ID de Entidade de Segurança, que pode ser encontrada na folha de usuários do Microsoft Entra no portal do Azure.
Para cada ID de entidade de segurança, você associará uma das funções internas do Microsoft Entra (Proprietário ou Colaborador). A função selecionada descreverá as permissões que a entidade de segurança terá sobre os recursos na assinatura do cliente. Para obter mais informações, veja Funções internas do Azure. Para obter mais informações sobre controle de acesso baseado em função (RBAC), consulte Introdução ao RBAC no portal do Azure.
Observação
Embora você possa adicionar até 100 autorizações por região do Azure, recomendamos que você crie um grupo de usuários do Active Directory e especifique sua ID na "ID da Entidade de Segurança". Isso permite adicionar mais usuários ao grupo de gerenciamento após a implantação do plano e reduz a necessidade de atualizar o plano apenas para adicionar mais autorizações.
Acesso do cliente
Habilitar o acesso do cliente fornece aos clientes acesso total ao grupo de recursos gerenciado implantado em seu locatário do Azure. Restringir o acesso com atribuições de negação desabilita o acesso do cliente ao grupo de recursos gerenciados em seu locatário do Azure. Observe que desabilitar o acesso do cliente com atribuição de negação remove o acesso do cliente, mas permite que os editores personalizem as ações permitidas do cliente.
Observação
O Acesso do Cliente não pode ser modificado depois que a oferta estiver ativa no marketplace.
Modo de implantação
Você pode configurar um plano de aplicativo gerenciado para usar o modo de implantação Completo ou Incremental. No modo completo, uma reimplantação do aplicativo pelo cliente resultará na remoção de recursos no grupo de recursos gerenciados se os recursos não estiverem definidos no mainTemplate.json. Em modo incremental, uma reimplantação do aplicativo deixa os recursos existentes inalterados. Para obter mais informações, confira Modos de implantação do Azure Resource Manager.
URL do ponto de extremidade de notificação
Você pode especificar opcionalmente um ponto de extremidade de Webhook HTTPS opcional para receber notificações sobre todas as operações de CRUD nas instâncias de aplicativo gerenciado de um plano.
O Azure acrescenta /resource
ao final do URI do webhook antes de chamá-lo. Portanto, a URL do webhook deve terminar em /resource
, embora não deva ser incluída no URI inserido na caixa URL do Ponto de Extremidade de Notificação no Partner Center. Por exemplo, inserir https://contoso.com
como o URI do Ponto de Extremidade de Notificação resulta em uma chamada para https://contoso.com/resource
.
Ao escutar eventos de suas notificações de aplicativo gerenciado, certifique-se de escutar https://<url>/resource
e não a URL definida sozinha. Para obter uma notificação de exemplo, confira Esquema de notificação.
Personalizar as ações permitidas do cliente (opcional)
Você pode opcionalmente especificar quais ações os clientes podem executar nos recursos gerenciados, além das ações */read
que estão disponíveis por padrão.
Se você escolher essa opção, precisará fornecer as ações de controle, as ações de dados permitidas ou ambas. Para obter mais informações, confira Compreender atribuições de negação de recursos do Azure. Para as ações disponíveis, confira Operações do provedor de recursos do Azure Resource Manager. Por exemplo, para permitir que os consumidores reiniciem as máquinas virtuais, adicione Microsoft.Compute/virtualMachines/restart/action
às ações permitidas.
Configurações de política
Você pode aplicar Políticas do Azure ao aplicativo gerenciado a fim de especificar os requisitos de conformidade para as soluções implantadas. Para definições de política e o formato dos valores de parâmetro, veja Exemplos de Azure Policy.
Você pode configurar um máximo de cinco políticas e apenas uma instância de cada tipo de política. Alguns tipos de política requerem parâmetros adicionais.
Tipo de política | Parâmetros de política obrigatórios |
---|---|
Criptografia do Banco de Dados SQL do Azure | Não |
Configurações de auditoria do SQL Server do Azure | Sim |
Criptografia do Azure Data Lake Storage | Não |
Configuração de diagnóstico de auditoria | Sim |
Conformidade do local do recurso de auditoria | Não |
Para cada tipo de política que você adicionar, você deverá associar a SKU de política Standard ou Gratuita. A SKU Standard é necessária para as políticas de auditoria. Os nomes das políticas devem respeitar o limite de 50 caracteres de tamanho.
Conteúdo relacionado
Tutorial em vídeo