Descrever a infraestrutura de gerenciamento do Azure

  • 7 minutos

A infraestrutura de gerenciamento inclui recursos do Azure e grupos de recursos, assinaturas e contas. Compreender a organização hierárquica irá ajudá-lo a planear os seus projetos e produtos no Azure.

Recursos e grupos de recursos do Azure

Um recurso é o bloco de construção básico do Azure. Qualquer coisa que você criar, provisionar, implantar, etc. é um recurso. Máquinas Virtuais (VMs), redes virtuais, bancos de dados, serviços cognitivos, etc. são todos considerados recursos dentro do Azure.

Diagrama mostrando uma caixa de grupo de recursos com uma função, VM, banco de dados e aplicativo incluídos.

Os grupos de recursos são simplesmente agrupamentos de recursos. Ao criar um recurso, é necessário colocá-lo em um grupo de recursos. Embora um grupo de recursos possa conter muitos recursos, um único recurso só pode estar em um grupo de recursos de cada vez. Alguns recursos podem ser movidos entre grupos de recursos, mas quando você move um recurso para um novo grupo, ele não será mais associado ao grupo anterior. Além disso, os grupos de recursos não podem ser aninhados, o que significa que você não pode colocar o grupo de recursos B dentro do grupo de recursos A.

Os grupos de recursos fornecem uma maneira conveniente de agrupar recursos. Quando você aplica uma ação a um grupo de recursos, essa ação será aplicada a todos os recursos dentro do grupo de recursos. Se você excluir um grupo de recursos, todos os recursos serão excluídos. Se você conceder ou negar acesso a um grupo de recursos, você concedeu ou negou acesso a todos os recursos dentro do grupo de recursos.

Quando você está provisionando recursos, é bom pensar na estrutura do grupo de recursos que melhor atende às suas necessidades.

Por exemplo, se você estiver configurando um ambiente de desenvolvimento temporário, agrupar todos os recursos significa que você pode desprovisionar todos os recursos associados de uma só vez excluindo o grupo de recursos. Se você estiver provisionando recursos de computação que precisarão de três esquemas de acesso diferentes, talvez seja melhor agrupar recursos com base no esquema de acesso e, em seguida, atribuir acesso no nível do grupo de recursos.

Não há regras rígidas sobre como você usa grupos de recursos, portanto, considere como configurar seus grupos de recursos para maximizar sua utilidade para você.

Subscrições do Azure

No Azure, as assinaturas são uma unidade de gerenciamento, cobrança e escala. Da mesma forma que os grupos de recursos são uma forma de organizar logicamente os recursos, as subscrições permitem-lhe organizar logicamente os seus grupos de recursos e facilitar a faturação.

Diagrama a mostrar as subscrições do Azure que utilizam autenticação e autorização para aceder a contas do Azure.

A utilização do Azure exige uma subscrição do Azure. Uma subscrição fornece-lhe acesso autenticado e autorizado aos produtos e serviços do Azure. Também lhe permite aprovisionar recursos. Uma assinatura do Azure vincula-se a uma conta do Azure, que é uma identidade na ID do Microsoft Entra ou em um diretório no qual a ID do Microsoft Entra confia.

Uma conta pode ter várias subscrições, mas só é necessário ter uma. Em uma conta com várias assinaturas, você pode usar as assinaturas para configurar diferentes modelos de cobrança e aplicar diferentes políticas de gerenciamento de acesso. Pode utilizar as subscrições do Azure para definir limites para produtos, serviços e recursos do Azure. Existem dois tipos de limites de subscrição que pode utilizar:

  • Limite de cobrança: esse tipo de assinatura determina como uma conta do Azure é cobrada pelo uso do Azure. Pode criar várias subscrições para diferentes tipos de requisitos de faturação. O Azure gera faturas e relatórios de faturação em separado para cada subscrição, que lhe permitem organizar e gerir os custos.
  • Limite de controle de acesso: o Azure aplica políticas de gerenciamento de acesso no nível de assinatura e você pode criar assinaturas separadas para refletir diferentes estruturas organizacionais. Por exemplo, numa empresa, pode ter vários departamentos aos quais aplica políticas de subscrição do Azure diferentes. Este modelo de faturação permite-lhe gerir e controlar o acesso aos recursos que os utilizadores aprovisionam em subscrições específicas.

Criar subscrições adicionais do Azure

Semelhante ao uso de grupos de recursos para separar recursos por função ou acesso, convém criar assinaturas adicionais para fins de gerenciamento de recursos ou cobrança. Por exemplo, pode optar por criar subscrições adicionais para situações separadas:

  • Ambientes: você pode optar por criar assinaturas para configurar ambientes separados para desenvolvimento e teste, segurança ou isolar dados por motivos de conformidade. Este design é particularmente útil porque o controlo de acesso a recursos ocorre ao nível da subscrição.
  • Estruturas organizacionais: Você pode criar assinaturas para refletir diferentes estruturas organizacionais. Por exemplo, você pode limitar uma equipe a recursos de baixo custo, permitindo ao departamento de TI uma gama completa. Esta estrutura permite-lhe gerir e controlar o acesso aos recursos que os utilizadores aprovisionam em cada subscrição.
  • Faturação: pode criar subscrições adicionais para efeitos de faturação. Como os custos são agregados ao nível da subscrição, é recomendável criar subscrições para gerir e controlar os custos com base nas suas necessidades. Por exemplo, pode criar uma subscrição para as suas cargas de trabalho de produção e outra subscrição para as suas cargas de trabalho de programação e teste.

Grupos de gestão do Azure

A peça final é o grupo de gestão. Os recursos são reunidos em grupos de recursos e os grupos de recursos são reunidos em assinaturas. Se você está apenas começando no Azure, isso pode parecer hierarquia suficiente para manter as coisas organizadas. Mas imagine se você estiver lidando com vários aplicativos, várias equipes de desenvolvimento, em várias geografias.

Se você tiver muitas assinaturas, talvez precise de uma maneira eficiente de gerenciar o acesso, as políticas e a conformidade dessas assinaturas. Os grupos de gestão do Azure fornecem um nível de âmbito acima das subscrições. Você organiza assinaturas em contêineres chamados grupos de gerenciamento e aplica condições de governança aos grupos de gerenciamento. Todas as subscrições dentro de um grupo de gestão herdam automaticamente as condições aplicadas ao grupo de gestão, da mesma forma que os grupos de recursos herdam definições de subscrições e os recursos herdam de grupos de recursos. Os grupos de gerenciamento oferecem gerenciamento de nível empresarial em grande escala, independentemente do tipo de assinatura que você possa ter. Os grupos de gerenciamento podem ser aninhados.

Grupo de gerenciamento, assinaturas e hierarquia do grupo de recursos

Pode criar uma estrutura flexível de grupos de gestão e de subscrições para organizar os seus recursos numa hierarquia para assegurar uma gestão unificada de acesso e política. O seguinte diagrama mostra um exemplo de criação de uma hierarquia de governação com grupos de gestão.

Diagrama a mostrar um exemplo de uma árvore hierárquica de um grupo de gestão.

Alguns exemplos de como você pode usar grupos de gerenciamento podem ser:

  • Crie uma hierarquia que aplique uma política. Você pode limitar os locais de VM para a região oeste dos EUA em um grupo chamado Produção. Essa política herdará todas as assinaturas que são descendentes desse grupo de gerenciamento e se aplicará a todas as VMs sob essas assinaturas. Esta política de segurança não pode ser alterada pelo proprietário do recurso ou da subscrição, o que permite uma melhor governação.
  • Forneça acesso de usuário a várias assinaturas. Ao mover várias assinaturas em um grupo de gerenciamento, você pode criar uma atribuição de controle de acesso baseado em função do Azure (Azure RBAC) no grupo de gerenciamento. Atribuir o RBAC do Azure no nível do grupo de gerenciamento significa que todos os grupos de subgerenciamento, assinaturas, grupos de recursos e recursos abaixo desse grupo de gerenciamento também herdariam essas permissões. Uma atribuição no grupo de gerenciamento pode permitir que os usuários tenham acesso a tudo o que precisam, em vez de criar scripts do RBAC do Azure em assinaturas diferentes.

Factos importantes sobre os grupos de gestão:

  • Um único diretório suporta 10 000 grupos de gestão.
  • Uma árvore de grupo de gestão pode suportar até seis níveis de profundidade. Este limite não inclui o nível de raiz ou o nível de subscrição.
  • Cada grupo de gestão e subscrição pode suportar apenas um elemento principal.