Microsoft Azure — многопользовательская архитектура и целевые зоны

По моему опыту, терминология, касающаяся арендаторов и посадочных зон, не везде используется последовательно. Что я нашел полезным, так это понять термины и использовать их таким образом.

1. На каком уровне создаются посадочные зоны? Например, они создаются на уровне группы ресурсов, на уровне подписки, на уровне арендатора или на любом другом уровне.

Целевая зона определяет настройку среды для команды разработчиков. Подход «один размер подходит всем» не очень хорошо работает, особенно когда команды предъявляют очень разные требования к своим облачным средам. Например, команда, занимающаяся подъемом и смещением IaaS, может быть очень довольна группой ресурсов, которая предоставляет им подсеть (похоже на локальную), в то время как команде, разрабатывающей бессерверные приложения, нужна собственная подписка. Таким образом, вы должны подготовить своего клиента AAD для размещения нескольких целевых зон, разделенных структурой группы управления.

2. Кроме того, в мультитенантной архитектуре разные арендаторы используют одну и ту же зону приземления?

Арендатор определяет единицу изоляции в многопользовательской инфраструктуре. Применительно к лазури всегда следует уточнять, о каком арендаторе идет речь. «Атенант AAD» — это единица изоляции в глобальной службе AAD (все клиенты Microsoft), а «арендатор целевой зоны» — это клиент вашей целевой зоны.

В приведенном выше примере целевой зоны подъема и сдвига IaaS вашей целевой зоной может быть подписка с виртуальной сетью (общая инфраструктура). Затем каждый из ваших клиентов получает арендатора в этой целевой зоне в виде группы ресурсов с подсетью. В примере с бессерверной целевой зоной общей инфраструктурой является клиент AAD, группа управления, политики и т. д.

Таким образом, целевая зона всегда состоит из некоторой общей инфраструктуры, которая устанавливает барьеры в отношении того, как ее арендаторы могут использовать и потреблять облачные сервисы, а также механизм предоставления/деинициализации арендаторов в этой целевой зоне.

На это нет однозначного ответа. Я вижу, что в большинстве случаев посадочные зоны создаются для каждого арендатора . Арендатор — это граница удостоверения, поэтому обычно вы выбираете отдельного арендатора, потому что вам нужен определенный уровень разделения (например, рабочий арендатор и арендатор разработки). Арендатор Azure AD — это конкретный экземпляр Azure AD, содержащий учетные записи и группы.

Я не вижу много экземпляров с несколькими арендаторами, совместно использующих целевую зону, но я видел, как они совместно используют службы через Azure Lighthouse. Microsoft Sentinel является хорошим примером этого. Родительская организация или основной отдел ИТ-безопасности включит Azure Lighthouse, чтобы у них могли быть политики, охватывающие несколько арендаторов, и они будут поддерживать «основной» экземпляр Sentinel, который используется для выполнения запросов поиска между арендаторами .