Laden...
myCSharp Logo myCSharp Logo
Light
Dark
System
Login
Entwicklungs- und Laufzeitumgebung (Infrastruktur)

Microsoft Azure Berechtigungen

Erstellt von Campy vor einem Jahr Letzter Beitrag vor einem Jahr 627 Views
C
Campy Themenstarter:in
439 Beiträge seit 2008
Dabei seit: 02.04.2008
Wohnort/Region:
Beiträge (439)
Private Nachricht schreiben
vor einem Jahr
Melden
Permalink
Microsoft Azure Berechtigungen

Hallo zusammen,

wir haben unsere eigene IT-Infrastruktur (Services, AD, etc.) in Microsoft Azure gehostet.
Nun benötigen wir für verschiedene unserer Produkte jeweils eine produktiv- und Stagingumgebung.

Wie bildet ihr dies in Microsoft Azure ab?
Habt ihr einen Microsoft Azure Mandanten und legt verschiedene Ressourcen-Gruppen an
oder erstellt ihr pro Produkt einen Mandanten?

Kann man die einzelnen Ressourcen-Gruppen mit Berechtigungen trennen?

EDIT: Habs gefunden: Abonnements

Vielen Dank!

A programmer is just a tool, which converts coffeine into code! 🙂

Abt
16.841 Beiträge seit 2008
Dabei seit: 20.07.2008
Beiträge (16.841)
Private Nachricht schreiben
vor einem Jahr
Melden
Permalink

Vorweg: mach die Azure Fundamentals Prüfung, die behandelt vor allem solche Strukturthemen.
Ohne das Wissen aus diesen Fundamentals (ob Du jetz die Zertifizierung abschließt oder nicht, sei mal dahin gestellt) kannst Du mit Azure kaum sicher umgehen. Man muss wirklich wissen was Resource Groups sind, was diese können und wozu sie da sind.

Es gibt nicht den einen Weg, wie man Produkte und deren Stages trennt.
Der pauschal einfachste Weg ist immer die Trennung auf Resource Groups. Aber es gibt auch berechtigte Gründe, dass ein Projekt aus mehreren Resource Groups besteht, dass Elemente aus den Stages auf Resourcen in einer gemeinsamen Resource Group zugreifen.
Oder eben auch die Trennung auf Subscription- oder Tenant Ebene.

Beispiele:

  • Mini-Webapplikationen betreiben einige pro Stage als eigene Web App aber ein gemeinsamer App Service, um die Kosten pro Stage zu sparen. Das bedeutet jedoch, dass i.d.R. alle Stages in einer Resource Group liegen.
  • Es gibt Services wie App Configuration, die als zentrale Services gedacht sind - nicht pro Stage. So kannst Du hier Konfigurationen an zentraler Stelle hinterlegen, die über Labels an die Stage zugewiesen werden
  • Externe Produktivumgebungen Projekte trennen viele aus Sicherheitsgründen in eigene Tenants, also ein eigener Tenant (getrennt vom internen Tenant oder von Dev/Test Tenant).
  • Es gibt gewisse Szenarien, die eine dedizierte Resource Group erfordern, zB wenn man Deployment Identities benötigt (zB um SQL DB Schemas automatisch zu deployen).

Das Forum hier hat für jede Stage seine eigene Resource Group, aber es gibt zusätzliche Resource Group, in der dann eben so zentrale Service liegen wie App Configuration, Key Vault (wobei jede Stage nochmals ein Key Vault hat)..

Kann man die einzelnen Ressourcen-Gruppen mit Berechtigungen trennen?

Natürlich. Jedes Element in Azure hat sein eigenes IAM. Es ist daher relativ wichtig, schnell mit Groups und automatischen Deployments zu arbeiten, um das sauber zu automatisieren.

- performance is a feature -

Microsoft MVP - @Website - @AzureStuttgart - github.com/BenjaminAbt - Sustainable Code

2003-2024 © myCSharp.de - Alle Rechte vorbehalten. Benutzerinhalte unterliegen cc-by-sa 4.0
Made with ♥ and ASP.NET Core - 2.1.146+a1519aa290