描述 Azure 管理基础结构

已完成

管理基础结构包括 Azure 资源和资源组、订阅和帐户。 了解层次结构组织将有助于你规划 Azure 中的项目和产品。

Azure 资源和资源组

资源是 Azure 的基本构建基块。 创建、预配、部署等操作生成的任何内容都是资源。 虚拟机 (VM)、虚拟网络、数据库、认知服务等都被视为 Azure 中的资源。

显示一个包含函数、VM、数据库和应用的资源组框的示意图。

资源组只是对资源进行分组。 创建资源时,需要将其置于资源组中。 虽然资源组可以包含多个资源,但一个资源一次只能位于一个资源组中。 某些资源可以在资源组之间移动,但在将资源移动到新组时,它将不再与之前的组关联。 此外,资源组不能嵌套,这意味着不能将资源组 B 置于资源组 A 中。

利用资源组可以轻松将将资源组合在一起。 对某个资源组应用操作时,该操作将应用于该资源组中的所有资源。 删除资源组时将删除所有资源。 如果授予或拒绝对资源组的访问权限,则表示已授予或拒绝对资源组中所有资源的访问权限。

预配资源时,最好考虑使用最符合需求的资源组结构。

例如,如果要设置临时开发环境,将所有资源组合在一起意味着可以通过删除资源组来取消预配所有关联的资源。 如果要预配的计算资源需要三种不同的访问架构,最好基于访问架构对资源进行分组,然后在资源组级别分配访问权限。

关于如何使用资源组没有严格的规定,因此请考虑如何设置资源组才能最大程度地发挥资源组的用处。

Azure 订阅

订阅是 Azure 中管理、计费和缩放的一个单位。 资源组是按逻辑组织资源的方法,订阅与之类似,利用订阅可以按逻辑组织资源组并方便计费。

显示 Azure 订阅使用身份验证和授权来访问 Azure 帐户的关系图。

要使用 Azure,需要 Azure 订阅。 订阅提供针对 Azure 产品和服务的经过身份验证和授权的访问。 订阅支持预配资源。 Azure 订阅链接到 Azure 帐户,该帐户是 Microsoft Entra ID 中的标识或 Microsoft Entra ID 信任的目录中的标识。

一个帐户可以有多个订阅,但只需要一个订阅。 在多订阅帐户中,可使用订阅配置不同计费模型并应用不同的访问管理策略。 可以使用 Azure 订阅来定义 Azure 产品、服务和资源的边界。 可以使用两种类型的订阅边界:

  • 计费边界:此订阅类型确定如何对使用 Azure 的 Azure 帐户计费。 可以为不同类型的计费要求创建多个订阅。 Azure 为每个订阅生成单独的计费报告和发票,以便你组织和管理成本。
  • 访问控制边界:Azure 会在订阅级别应用访问管理策略,你可以创建单独的订阅来反映不同的组织结构。 例如在企业中,你可对不同的部门应用不同的 Azure 订阅策略。 通过这种计费模型,可以管理和控制对特定订阅中用户预配的资源的访问。

创建额外的 Azure 订阅

与使用资源组按功能或访问权限分隔资源类似,出于资源或计费管理目的,你可能需要创建额外的订阅。 例如,你可以选择创建额外的订阅来区分以下内容:

  • 环境:可以选择创建多个订阅,以便为开发和测试设置单独的环境、实现安全性或为合规性而隔离数据。 这种设计特别有用,因为资源访问控制发生在订阅级别。
  • 组织结构:可以创建多个订阅以反映不同的组织结构。 例如,可以将某个团队限制于使用低成本资源,同时允许 IT 部门使用所有资源。 此设计允许管理和控制对每个订阅中用户预配的资源的访问。
  • 计费:还可能由于计费管理目的创建额外的订阅。 由于成本首先在订阅级别汇总,可以根据需要创建多个订阅以管理和跟踪成本。 例如,可为生产工作负载创建一个订阅,为开发和测试工作负载创建另一个订阅。

Azure 管理组

最后一部分是管理组。 资源会被收集到资源组中,而资源组会被收集到订阅中。 如果你刚开始使用 Azure,这样的层次结构似乎足以让所有内容保持有序。 但想象一下,如果你要处理涉及多个应用程序、多个开发团队、多个地区的问题。

如果有多个订阅,则可能需要通过某种方式来高效管理这些订阅的访问权限、策略和合规性。 Azure 管理组提供高于订阅的范围级别。 可将订阅整理到名为“管理组”的容器中,并将治理条件应用到管理组。 管理组中的所有订阅都将自动继承应用于管理组的条件,就像资源组从订阅中继承设置、资源从资源组中继承一样。 不管使用什么类型的订阅,管理组都能提供大规模的企业级管理。 管理组可以嵌套。

管理组、订阅和资源组层次结构

可以生成管理组和订阅的灵活层次结构,以便将资源组织成用于统一策略和访问管理的层次结构。 下图显示了使用管理组创建用于治理的层次结构的示例。

显示管理组层次结构树的示例的关系图。

有关如何使用管理组的一些示例包括:

  • 创建应用策略的层次结构。 可以将 VM 位置限制为名为“生产”的组中的“美国西部”区域。 此策略将继承到该管理组下的所有订阅,并应用到这些订阅下的所有 VM。 此安全策略不能由资源或订阅所有者更改,这实现了治理的改进。
  • 提供对多个订阅的用户访问权限。 通过移动该管理组下的多个订阅,可对该管理组创建一个 Azure 基于角色的访问控制 (Azure RBAC) 分配。 在管理组级别分配 Azure RBAC 意味着该管理组下的所有子管理组、订阅、资源组和资源也将继承这些权限。 管理组的一个分配就能让用户访问所需的一切内容,而无需基于不同订阅编写 Azure RBAC 的脚本。

有关管理组的重要事项:

  • 在单个目录中可以支持 10,000 个管理组。
  • 一个管理组树最多可支持六个级别的深度。 此限制不包括根级别或订阅级别。
  • 每个管理组和订阅只能支持一个父项。