Dağıtım kapsamlarını anlama

Tamamlandı

Sanal makineler, Azure SQL mantıksal sunucuları ve veritabanları, depolama hesapları, sanal ağlar ve diğer Çoğu Azure kaynağının bir kaynak grubuna yerleştirilmesi gerekir. Ancak, bazı kaynaklar farklı bir şekilde dağıtılabilir veya dağıtılmalıdır. Bu kaynaklar normalde Azure ortamınızın davranışını denetlemek için kullanılır.

Bu ünitede Azure resource-organization hiyerarşisini gözden geçirecek ve belirli kaynakların çeşitli kapsamlarda nasıl dağıtılabileceğini inceleyeceksiniz.

Azure kaynak hiyerarşisi

Azure,birden çok yönetim düzeyine sahip hiyerarşik bir kaynak yapısına sahiptir. Oyuncak şirketinizin Azure ortamını nasıl düzenleyebileceğini gösteren bir diyagram aşağıdadır:

Diagram showing an Azure tenant, three management groups, three subscriptions, and four resource groups.

Kiracınız Microsoft Entra örneğine karşılık gelir. Bir kuruluşun normalde yalnızca bir Microsoft Entra örneği vardır. Bu örnek, kaynak hiyerarşisinin kökü olarak görev yapar.

Yönetim grupları , Azure aboneliklerini düzenlemek için bir yol sağlar. Her kiracının tek bir kök yönetim grubu vardır ve bunun altında kendi yönetim grupları hiyerarşinizi oluşturabilirsiniz. Kuruluşunuzun çeşitli bölümleri veya kendi güvenlik veya idare gereksinimlerine sahip abonelikler için ayrı yönetim grupları oluşturabilirsiniz. Yönetim gruplarına ilke ve erişim denetimi kısıtlamaları uygulayabilirsiniz ve hiyerarşideki bu yönetim grubunun altındaki tüm abonelikler bu kısıtlamaları devralır. Yönetim grupları bölgelere dağıtılmaz ve kaynaklarınızın konumlarını etkilemez.

Abonelikler faturalama hesabı görevi görür ve kaynak grupları ve kaynaklar içerir. Yönetim grupları gibi aboneliklerin de konumu yoktur ve kaynaklarınızın dağıtıldığı yeri kısıtlamaz.

Kaynak grupları , kaynaklarınız için mantıksal kapsayıcılardır. Kaynak gruplarıyla, ilgili kaynakları tek bir birim olarak yönetebilir ve denetleyebilirsiniz. Sanal makineler, Azure Uygulaması Hizmet planları, depolama hesapları ve sanal ağlar gibi kaynaklar bir kaynak grubuna yerleştirilmelidir. Kaynak grupları, Azure'ın gruptaki kaynakların meta verilerini izleyebilmesi için bir konumda oluşturulur, ancak grubun içindeki kaynaklar diğer konumlara dağıtılabilir.

Daha önce gösterilen örnek, yönetim gruplarını nasıl kullanabileceğinizi gösteren oldukça temel bir senaryodur. Kuruluşunuz, üretim Azure ortamına başlamak için ihtiyacınız olan bir dizi Azure kaynağı ve yapılandırması olan bir giriş bölgesi uygulamayı da göz önünde bulundurabilir. Kurumsal ölçekli giriş bölgesi, Azure kaynaklarınızı etkili bir şekilde yönetmek için yönetim gruplarını ve abonelikleri kullanma konusunda kanıtlanmış bir yaklaşımdır:

Diagram of an enterprise-scale landing-zone architecture, with four management groups and four subscriptions.

Hangi modeli izlerseniz izleyin, hiyerarşinin çeşitli düzeylerini anlayarak Azure ortamınızın nasıl kullanıldığı ve yönetildiğine ilişkin esnek denetimler uygulamaya başlayabilirsiniz. Bicep'i kullanarak bu denetimleri kod olarak altyapının tüm avantajlarıyla yönetebilirsiniz.

Dekont

Belirli kapsamlarda dağıtılan başka kaynaklar da vardır. Uzantı kaynakları başka bir Azure kaynağı kapsamında dağıtılır. Örneğin kaynak kilidi, depolama hesabı gibi bir kaynağa dağıtılan bir uzantı kaynağıdır.

Kaynakları kaynak gruplarına dağıtmayı zaten biliyorsunuz, bu nedenle dağıtım için diğer kapsamlara bakalım.

Abonelik kapsamlı kaynaklar

Aşağıdaki durumlarda kaynakları aboneliğe dağıtabilirsiniz:

  • Yeni bir kaynak grubu oluşturmanız gerekir. Kaynak grubu aslında yalnızca abonelik kapsamlı bir kaynaktır.
  • Abonelik içindeki tüm kaynaklara erişim vermeniz gerekir. Örneğin, İk departmanınızın tüm Azure kaynaklarını içeren bir Azure aboneliği varsa, İk departmanındaki herkesin aboneliğin içeriğini okumasına izin vermek için rol atamaları oluşturabilirsiniz.
  • Azure İlkesi kullanıyorsunuz ve abonelik içindeki tüm kaynaklara ilke tanımlamak veya uygulamak istiyorsunuz. Örneğin, oyuncak şirketinizin Ar-Ge departmanı, ekibin aboneliğinde oluşturulabilecek sanal makine SKU'larının listesini kısıtlayan bir ilke dağıtmanızı istedi.

Yönetim grubu kapsamlı kaynaklar

Aşağıdaki durumlarda kaynakları bir yönetim grubuna dağıtabilirsiniz:

  • Yönetim grubu hiyerarşisi altında yer alan aboneliklerdeki tüm kaynaklara erişim vermeniz gerekir. Örneğin, bulut operasyonları ekibiniz kuruluşunuzdaki her aboneliğe erişim gerektirebilir. Kök yönetim grubunuzda, bulut operasyonları ekibinize Azure'daki her şeye erişim izni veren bir rol ataması oluşturabilirsiniz.

    Dikkat

    Yönetim gruplarını ve özellikle kök yönetim grubunu kullanarak kaynaklara erişim sağlarken son derece dikkatli olun. Hiyerarşideki yönetim grubu altındaki her kaynağın rol atamasını devraldığını unutmayın. Kuruluşunuzun kimlik yönetimi ve kimlik doğrulaması için en iyi yöntemleri izlediğinden ve en az ayrıcalık ilkesine uydığından emin olun; başka bir ifadeyle, gerekli olmayan hiçbir erişime izin verme.

  • İlkeleri kuruluşunuzun tamamına uygulamanız gerekir. Örneğin, kuruluşunuzun herhangi bir koşulda belirli coğrafi bölgelerde kaynakların oluşturulamayacağı bir ilkesi olabilir. Kök yönetim grubunuz için bu bölgede kaynak oluşturulmasını engelleyecek bir ilke uygulayabilirsiniz.

Dekont

Yönetim gruplarını ilk kez kullanmadan önce, bunları Azure ortamınız için ayarlayın.

Kiracı kapsamlı kaynaklar

Aşağıdaki durumlarda kaynakları kiracınıza dağıtabilirsiniz:

  • Azure abonelikleri oluşturmanız gerekir. Yönetim gruplarını kullandığınızda abonelikler kaynak hiyerarşisindeki yönetim gruplarının altında yer alır, ancak abonelik kiracı kapsamlı bir kaynak olarak dağıtılır.

    Dekont

    Tüm Azure müşterileri, kod olarak altyapıyı kullanarak abonelik oluşturamıyor. Microsoft'la olan faturalama ilişkinize bağlı olarak bu mümkün olmayabilir. Daha fazla bilgi için bkz. Program aracılığıyla Azure abonelikleri oluşturma.

  • Yönetim grupları oluşturuyor veya yapılandırıyorsunuz. Kiracınız için yönetim gruplarını etkinleştirdiğinizde Azure tek kök yönetim grubu oluşturur ve bunun altında birden çok yönetim grubu düzeyi oluşturabilirsiniz. Tüm yönetim grubu hiyerarşinizi tanımlamak için Bicep'i kullanabilirsiniz. Abonelikleri yönetim gruplarına da atayabilirsiniz.

    Bicep ile dağıtımları kiracı kapsamına gönderebilirsiniz. Kiracı kapsamlı dağıtımlar özel izin gerektirir. Ancak uygulamada kiracı kapsamlı dağıtımlar göndermeniz gerekmez. Bunun yerine farklı bir kapsamda bir şablon kullanarak kiracı kapsamlı kaynakları dağıtmak daha kolaydır. Bunun nasıl yapılacağını bu modülün ilerleyen bölümlerinde göreceksiniz.

    Bahşiş

    Kiracı kapsamında ilkeler veya rol atamaları oluşturamazsınız. Ancak, kuruluşunuz genelinde erişim vermeniz veya ilke uygulamanız gerekiyorsa, bu kaynakları kök yönetim grubuna dağıtabilirsiniz.

Kaynak Kimlikleri

Artık aboneliklerin içinde yaşayan kaynaklar için kaynak kimliklerini biliyorsunuz. Örneğin, aşağıda abonelik kapsamlı bir kaynak olan kaynak grubunu temsil eden bir kaynak kimliği verilmiştir:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ToyDevelopment

Aynı bilgilerin görsel bir gösterimi aşağıdadır:

Screenshot of a Resource ID for a resource group.

Aboneliklerin kendi kimlikleri vardır, örneğin:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e

Dekont

Abonelikler yönetim gruplarının alt öğeleri olarak kabul edilse de, kaynak kimlikleri bir yönetim grubu kimliği içermez. Azure, abonelikler ve yönetim grupları arasındaki ilişkiyi diğer kaynak ilişkilerinden farklı bir şekilde izler. Bu, tüm kaynak kimliklerini değiştirmek zorunda kalmadan abonelikleri yönetim grupları arasında taşıma esnekliği sağlar.

Bir yönetim grubu veya kiracı kapsamındaki kaynaklarla çalışırken, kaynak kimlikleri normalden biraz farklı görünebilir. Bunlar çoğunlukla kaynak türünü belirli kaynaklarınız hakkındaki bilgilerle birlikte araya eklemenin standart desenini izler. Ancak, belirli biçim üzerinde çalıştığınız kaynağa bağlıdır.

Bir yönetim grubu için örnek kaynak kimliği aşağıda verilmişti:

/providers/Microsoft.Management/managementGroups/ProductionMG

Şöyle görünür:

Screenshot of a Resource ID for a management group.

Dekont

Yönetim gruplarının hem tanımlayıcısı hem de görünen adı vardır. Görünen ad, yönetim grubunun okunabilir bir açıklamasıdır. Görünen adı, yönetim grubunun kimliğini etkilemeden değiştirebilirsiniz.

Bir kaynak bir yönetim grubu kapsamında dağıtıldığında, kaynak kimliği yönetim grubu kimliğini içerir. Aşağıda, bir yönetim grubu kapsamında oluşturulmuş rol tanımı için örnek bir kaynak kimliği verilmiştır:

/providers/Microsoft.Management/managementGroups/ProductionMG/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000

Aynı kimliğin görsel bir gösterimi aşağıdadır:

Screenshot of a Resource ID for a role definition that's deployed at a management group scope.

Abonelik kapsamında başka bir rol tanımı tanımlanabilir, bu nedenle kaynak kimliği biraz farklı görünür:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000

Aynı kimliğin görsel bir gösterimi aşağıdadır:

Screenshot of a Resource ID for a role definition that's deployed at a subscription scope.

Artık Azure kaynak hiyerarşisini ve her kapsamda dağıtabileceğiniz kaynak türlerini anladığınıza göre, kaynaklarınızın dağıtılacağı kapsamlar hakkında kararlar alabilirsiniz. Örneğin, kaynak grubu, abonelik veya yönetim grubu kapsamında ilke tanımı oluşturmanız gerekip gerekmediği konusunda bilinçli bir seçim yapabilirsiniz. Sonraki ünitede, bu kapsamların her birini hedefleyen Bicep dosyaları oluşturmayı öğreneceksiniz.