Azure Hiyerarşisi
Azure Resource Manager (ARM), Azure için dağıtım ve yönetim hizmetidir. Azure aboneliğinizde kaynak oluşturmanıza, güncellemenize ve silmenize olanak tanıyan tutarlı bir yönetim katmanı sağlar. Dağıtımdan sonra kaynaklarınızı korumaya ve düzenlemeye yardımcı olması için erişim kontrolü, denetleme ve etiketleme özelliklerini kullanabilirsiniz.
Portal, Azure PowerShell, Azure CLI, REST API’ler veya istemci yazılım geliştirme kitleri (SDK’ler) aracılığıyla eylem gerçekleştirdiğinizde, Resource Manager API isteğinizi işler. Aynı API tüm istekleri işlediğinden, tüm farklı araçlardan tutarlı sonuçlar ve yetenekler alırsınız. Başlangıçta API’ler aracılığıyla yayınlanan işlevsellik, ilk sürümden sonraki 180 gün içinde portalda temsil edilmelidir.
Azure Resource Manager, kaynaklara erişime izin vermek için API’leri ve kimlik doğrulamayı kullanır.
Kapsam
Azure dört kapsam düzeyi sağlar: yönetim grupları, abonelikler, kaynak grupları ve kaynaklar. Aşağıdaki resimde bu katmanların bir örneği gösterilmektedir. Bu şekilde etiketlenmemiş olsalar da, mavi küpler kaynaklardır.
Yönetim ayarlarını bu kapsam düzeylerinin herhangi birinde uygularsınız. Seçtiğiniz düzey, ayarın ne kadar yaygın olarak uygulanacağını belirler. Düşük düzeyler, ayarları daha yüksek düzeylerden devralır. Örneğin, aboneliğe bir ilke uyguladığınızda, ilke aboneliğinizdeki tüm kaynak gruplarına ve kaynaklara uygulanır. Kaynak grubuna bir ilke uyguladığınızda, bu ilke kaynak grubuna ve tüm kaynaklarına uygulanır. Ancak, başka bir kaynak grubunda bu ilke ataması yoktur.
Şablonları yönetim gruplarına, aboneliklere veya kaynak gruplarına dağıtabilirsiniz.
Kaynak Grupları ( Resource Groups)
Kaynak grubunuzu tanımlarken göz önünde bulundurulması gereken bazı önemli faktörler vardır:
- Grubunuzdaki tüm kaynaklar aynı yaşam döngüsünü paylaşmalıdır. Bunları birlikte dağıtır, güncelleştirir ve silersiniz. Veritabanı sunucusu gibi bir kaynağın farklı bir dağıtım döngüsünde bulunması gerekiyorsa, başka bir kaynak grubunda olmalıdır.
- Her kaynak yalnızca bir kaynak grubunda bulunabilir.
- İstediğiniz zaman bir kaynak grubuna kaynak ekleyebilir veya kaynak kaldırabilirsiniz.
- Bir kaynağı bir kaynak grubundan başka bir gruba taşıyabilirsiniz.
- Bir kaynak grubu, farklı bölgelerde bulunan kaynakları içerebilir.
- Bir kaynak grubu, yönetim eylemleri için erişim denetiminin kapsamını belirlemek üzere kullanılabilir.
- Bir kaynak, diğer kaynak gruplarındaki kaynaklarla etkileşim kurabilir. Bu etkileşim, iki kaynak ilişkili olduğunda ancak aynı yaşam döngüsünü paylaşmadığında (örneğin, bir veritabanına bağlanan web uygulamaları) yaygındır.
Bir kaynak grubu oluştururken, bu kaynak grubu için bir konum sağlamanız gerekir. “Bir kaynak grubunun neden bir konuma ihtiyacı var? Ayrıca, kaynaklar kaynak grubundan farklı konumlara sahip olabiliyorsa, kaynak grubu konumu neden hiç önemli değil?” Kaynak grubu, kaynaklarla ilgili meta verileri depolar. Bu nedenle, kaynak grubu için bir konum belirttiğinizde, bu meta verilerin depolandığı yeri belirtmiş olursunuz. Uyumluluk nedenleriyle, verilerinizin belirli bir bölgede depolandığından emin olmanız gerekebilir.
Kaynak grubunun bölgesi geçici olarak kullanılamıyorsa, meta veriler kullanılamadığından kaynak grubundaki kaynakları güncelleştiremezsiniz. Diğer bölgelerdeki kaynaklar beklendiği gibi çalışmaya devam eder, ancak bunları güncelleştiremezsiniz.
Yönetim Grupları (Management Groups)
Yönetim grupları, ortamınızın yapısı içinde esnek ve çok bakımı yapılabilir hiyerarşiler oluşturmak için kullanılan bir Azure kaynağıdır. Yönetim grupları abonelik düzeyinin üzerinde bulunur, böylece aboneliklerin birlikte gruplandırılmasına izin verir. Bu gruplandırma, bu yönetim gruplarına ilkelerin ve RBAC izinlerinin uygulanmasını kolaylaştırır. İlkeler ve RBAC izinleri, yönetim grubundaki tüm kaynaklara devralınır. Yönetim grupları, ne tür abonelikleriniz olursa olsun size büyük ölçekte kurumsal düzeyde yönetim sağlar. Tek bir yönetim grubundaki tüm abonelikler aynı Azure Active Directory kiracısına güvenmelidir.
Yönetim grubu hiyerarşileri en fazla altı düzey derinliğinde olabilir. Bu, kuruluş gereksinimlerinizi karşılamak için bu stratejilerden birkaçını birleştiren bir hiyerarşi oluşturma esnekliği sağlar. Örneğin, aşağıdaki diyagramda bir departman stratejisini coğrafi stratejiyle birleştiren bir kuruluş hiyerarşisi gösterilmektedir.
Yönetim gruplarının değeri:
Abonelikleri gruplama
- Birden çok aboneliğe kullanıcı erişimi sağlama
- Yeni organizasyon modellerine ve kaynakların mantıksal olarak gruplandırılmasına izin verir.
- Tüm abonelikler için geçerli olan denetimlerin tek bir şekilde atanmasına izin verir.
- Abonelik düzeyinin üzerinde toplu görünümler sağlar.
Kuruluşunuzun yapısını yansıtma
- Hızlı bir şekilde güncelleştirilebilen esnek bir hiyerarşi oluşturabilirsiniz.
- Hiyerarşinin, kuruluşun faturalama hiyerarşisini modellemesi gerekmez.
- Yapı, ihtiyaçlarınıza bağlı olarak kolayca büyütülebilir veya küçültülebilir.
Herhangi bir hizmete politika veya erişim denetimleri uygulama
- Yönetim grubunda, tüm aboneliklere erişimi devralacak bir RBAC ataması oluşturun
- Diğer Azure hizmetleriyle entegrasyona izin veren Azure Resource Manager (ARM) entegrasyonlarını kullanın: Azure Maliyet Yönetimi, Privleged Identity Management ve Azure Güvenlik Merkezi.
Yönetim gruplarını kullanarak iş yükünüzü azaltabilir ve yinelenen atamalardan kaçınarak hata riskini azaltabilirsiniz. Çok sayıda kaynak ve abonelikte birden çok atama uygulamak yerine, bir atamayı hedef kaynakları içeren tek bir yönetim grubuna uygulayabilirsiniz. Bu, atamaların uygulanmasında zaman kazandıracak, bakım için bir nokta oluşturacak ve atamayı kimin kontrol edebileceği konusunda daha iyi kontrollere izin verecektir.