Обзор управляемых приложений Azure
Управляемые приложения Azure позволяют реализовать облачные решения, которые клиенты могут легко развертывать и применять. В качестве издателя вы реализуете инфраструктуру и можете обеспечить постоянную поддержку. Чтобы предоставить управляемые приложения всем пользователям, опубликуйте их в Azure Marketplace. Чтобы сделать его доступным только пользователям в организации, опубликуйте его во внутреннем каталоге служб.
Управляемое приложение похоже на шаблон решения Azure Marketplace, но с одним существенным отличием. В управляемом приложении ресурсы развертываются в управляемой группе ресурсов, управляемой издателем приложения или клиентом. Управляемая группа ресурсов присутствует в подписке клиента, но удостоверение в клиенте издателя может быть предоставлено доступ к управляемой группе ресурсов. В качестве издателя, если вы управляете приложением, укажите затраты на постоянную поддержку решения.
Примечание.
Документация по пользовательским поставщикам Azure ранее входила в комплект управляемых приложений. Эта документация перенесена в раздел Настраиваемые поставщики Azure.
Разрешения издателя и клиента
Для управляемой группы ресурсов доступ к управлению издателем и назначение запрета клиента являются необязательными. Существуют различные сценарии разрешений, основанные на требованиях издателя и клиента для управляемого приложения.
- Управляемый издателем: издатель имеет доступ к ресурсам в управляемой группе ресурсов в клиенте Azure клиента. Доступ клиента к управляемой группе ресурсов ограничен назначением запрета. Управляемый издателем сценарий разрешения управляемого приложения по умолчанию.
- Доступ издателя и клиента: издатель и клиент имеют полный доступ к управляемой группе ресурсов. Назначение запрета удаляется.
- Режим блокировки. У издателя нет доступа к развернутому управляемому приложению или управляемой группе ресурсов. Доступ к клиенту ограничен запретом назначения.
- Управление клиентом: клиент имеет полный доступ к управляемой группе ресурсов, а доступ издателя удаляется. Нет запрета назначения. Издатель разрабатывает приложение и публикует его в Azure Marketplace, но не управляет приложением. Издатель лицензирует приложение для выставления счетов через Azure Marketplace.
Преимущества использования сценариев разрешений:
- По соображениям безопасности издатели не хотят постоянного управления доступом к управляемой группе ресурсов, клиенту клиента или данным в управляемой группе ресурсов.
- Издатели хотят удалить назначение запрета, чтобы клиенты управляли приложением. Издателю не нужно управлять назначением запрета, чтобы включить или отключить действия для клиента. Например, действие, например перезагрузка виртуальной машины в управляемом приложении.
- Предоставьте клиентам полный контроль для управления приложением, чтобы издатели не должны быть поставщиком услуг для управления приложением.
Преимущества управляемых приложений
Управляемые приложения устраняют препятствия, с которыми сталкиваются клиенты ваших решений. Им не нужно быть экспертами в области облачной инфраструктуры, чтобы использовать ваше решение. В зависимости от разрешений, настроенных издателем, клиенты могут иметь ограниченный доступ к критически важным ресурсам и не должны беспокоиться о том, чтобы сделать ошибку при управлении ею.
Управляемые приложения позволяют поддерживать связь с клиентами. Вы определяете условия для управления приложением, и все начисления обрабатываются с помощью системы выставления счетов Azure.
Хотя клиенты развертывают эти управляемые приложения в своих подписках, им не нужно поддерживать, обновлять и обслуживать их. Но есть разрешения, позволяющие клиенту иметь полный доступ к ресурсам в управляемой группе ресурсов. Вы можете удостовериться, что все клиенты используют утвержденные версии. Клиентам не нужно обладать знаниями о конкретных приложениях, чтобы управлять ими. Клиенты автоматически получают обновления приложений, не заботясь об устранении неполадок и диагностике проблем в приложениях.
Для ИТ-команд управляемые приложения позволяют предлагать предварительно подготовленные решения пользователям в организации. Благодаря этому вы можете быть уверены, что такие решения соответствуют стандартам организации.
Управляемые приложения поддерживают управляемые удостоверения для ресурсов Azure.
Типы управляемых приложений
Управляемое приложение можно опубликовать внутри каталога услуг или за его пределами, в Azure Marketplace.
Каталог служб
Каталог служб — это внутренний каталог утвержденных решений для пользователей в организации. Каталог поможет вам обеспечивать соответствие корпоративным стандартам и предлагать решения внутри организации. Сотрудники используют каталог служб для поиска приложений, рекомендуемых и утвержденных ИТ-отделами. Они могут получить доступ к управляемым приложениям, к которым совместно используются другие пользователи в организации.
Сведения о публикации управляемого приложения в каталоге услуг можно найти в статье Краткое руководство. Создание и публикация определения управляемого приложения.
Azure Marketplace
Чтобы выставлять счета за использование своих служб, поставщики могут предоставить доступ к своему управляемому приложению в Azure Marketplace. Когда поставщик публикует приложение, оно становится доступным для пользователей за пределами организации. Благодаря такому подходу поставщики управляемых служб, независимые поставщики программного обеспечения и системные интеграторы могут предлагать свои решения всем клиентам Azure.
Дополнительные сведения о публикации управляемого приложения в Azure Marketplace см. в статье Создание предложения приложения Azure.
Группы ресурсов в управляемых приложениях
Как правило, ресурсы управляемого приложения находятся в двух группах ресурсов. Одной группой ресурсов управляет клиент, а другой — издатель. При определении управляемого приложения издатель задает уровни доступа. Издатель может запросить либо постоянное назначение ролей, либо JIT-доступ для использования назначений с ограниченным сроком действия. Издатели также могут настроить управляемое приложение, чтобы не было доступа к издателю.
В Azure пока невозможно ограничить доступ для операций с данными для всех поставщиков данных.
На следующем рисунке показана связь между подпиской Azure клиента и подпиской Azure издателя, которая является разрешением на управляемое издателем по умолчанию. Управляемое приложение и управляемая группа ресурсов находятся в подписке клиента. Издатель имеет доступ к управлению для управляемой группы ресурсов, чтобы обслуживать ресурсы управляемого приложения. Издатель помещает блокировку только для чтения (запретить назначение) в управляемой группе ресурсов, которая ограничивает доступ клиента для управления ресурсами. Удостоверения издателей, которым предоставлен доступ к управляемой группе ресурсов, исключаются из блокировки.
Доступ к управлению, как показано на изображении, можно изменить. Клиент может получить полный доступ к управляемой группе ресурсов. И доступ издателя к управляемой группе ресурсов можно удалить.
Группа ресурсов приложения
Эта группа ресурсов содержит экземпляр управляемого приложения. Эта группа ресурсов может содержать только один ресурс. Тип ресурса управляемого приложения: Microsoft.Solutions/applications.
У клиента есть полный доступ к группе ресурсов, который он использует для управления жизненным циклом управляемого приложения.
Управляемая группа ресурсов
Эта группа ресурсов содержит все ресурсы, необходимые управляемому приложению. Например, виртуальные машины приложения, учетные записи хранения и виртуальные сети. Клиент может иметь ограниченный доступ к этой группе ресурсов, так как если параметры разрешения не изменены, клиент не управляет отдельными ресурсами для управляемого приложения. Доступ издателя к группе ресурсов соответствует роли, указанной в определении управляемого приложения. Например, издатель может подать запрос на роль владельца или участника для этой группы ресурсов. Доступ постоянный или с ограниченным сроком действия. Издатель может не иметь доступа к управляемой группе ресурсов.
Когда управляемое приложение публикуется в Marketplace, издатель может предоставить клиентам возможность выполнять определенные действия по ресурсам в управляемой группе ресурсов или предоставлять полный доступ. Например, он может разрешить клиентам перезапускать виртуальные машины. Все остальные действия, кроме операций чтения, будут все так же запрещены. Изменение ресурсов в управляемой группе ресурсов клиентом с предоставленными действиями управляется назначениями Политики Azure в арендаторе клиента, для которого включена управляемая группа ресурсов.
Когда клиент удаляет управляемое приложение, управляемый ресурс группы также удаляется.
Поставщик ресурсов
Управляемые приложения используют поставщик ресурсов Microsoft.Solutions
с шаблоном ARM в формате JSON. Дополнительные сведения см. в описании типов ресурсов и версий API.
- Microsoft.Solutions/applicationDefinitions
- Microsoft.Solutions/applications
- Microsoft.Solutions/jitRequests
Политика Azure
Вы можете применить Политику Azure для аудита управляемого приложения. Определения политик применяются, чтобы обеспечить для развернутых экземпляров управляемого приложения соответствие требованиям к данным и защите. Если ваше приложение взаимодействует с конфиденциальными данными, следует оценить возможные варианты их защиты. Например, если ваше приложение взаимодействует с данными из Microsoft 365, примените определение политики, чтобы обеспечить включение шифрования данных.
Следующие шаги
В этой статье вы узнали о преимуществах использования управляемых приложений. Перейдите к следующей статье, чтобы создать определение управляемого приложения.