本文主要對(duì)如下內(nèi)容進(jìn)行講解：Azure云計(jì)算的核心體系結(jié)構(gòu)組件中的：資源、訂閱和資源組，以及了解 Azure 資源管理器 (ARM) 如何部署資源。

本系列已經(jīng)更新文章列表：

[ 云計(jì)算 | Azure ] Chapter 03 | 描述云計(jì)算運(yùn)營中的 CapEx 與 OpEx，如何區(qū)分 CapEx 與 OpEx
[ 云計(jì)算 | Azure ] Chapter 04 | Azure核心體系結(jié)構(gòu)組件之?dāng)?shù)據(jù)中心、區(qū)域與區(qū)域?qū)Α⒖捎脜^(qū)和地理區(qū)域
[ 云計(jì)算 | Azure ] Chapter 05 | 核心體系結(jié)構(gòu)之管理組、訂閱、資源和資源組以及層次關(guān)系

一、什么是 Azure 資源（Resources）

Azure 中的 “資源”（Resource）是指一種由 Azure 管理的計(jì)算資源、存儲(chǔ)資源或服務(wù)。Azure 資源可以是虛擬機(jī)、數(shù)據(jù)庫、存儲(chǔ)帳戶、應(yīng)用服務(wù)、虛擬網(wǎng)絡(luò)等等。每個(gè)資源都有一個(gè)唯一的標(biāo)識(shí)符，并由 Azure 資源管理器 (Azure Resource Manager) 管理。

當(dāng)用戶使用 Azure 時(shí)，你會(huì)購買的服務(wù)，比如數(shù)據(jù)庫，或者web托管，或者VM等，這些所有的服務(wù)都表示為資源，資源可以認(rèn)為是一個(gè)對(duì)象（Object），用來代表你的 Azure 的某個(gè)服務(wù)?；旧夏愕暮贤泊硪粋€(gè)服務(wù)的生命周期，因此，一旦你在 Azure 中購買了一個(gè)服務(wù)，會(huì)創(chuàng)建一個(gè)資源，一旦你結(jié)束了服務(wù)，這個(gè)資源就會(huì)被刪除，Azure 使用資源來保存所有的配置，幾乎所有的配置選項(xiàng)都表示為該資源上的屬性。Azure 的所有資源都可以表示為 json 模板，這種模板表示法是當(dāng)下最常用的標(biāo)準(zhǔn)之一，它描述了對(duì)象，對(duì)于這種 json 格式的細(xì)節(jié)，我們需要知道所有的資源都有四個(gè)通用屬性（類型、API版本信息、名稱、位置）和其他一些不同的非公共屬性。

json 中的數(shù)據(jù)格式類似于：

{
"TYPE" : "MICROSOFT.VIRTUAL MACHINE",
"APIVERSION" : "2022-08-08",
"NAME" : "VIRTUAL MACHINE",
"LOCATION" : "HONG KONG",
... OTHER ...
}

二、什么是 Azure 資源組（Resource Group）

Azure resource group（Azure 資源組）是 Azure 中用于邏輯分組和管理資源的容器。資源組可以包含一個(gè)或多個(gè) Azure 資源（例如虛擬機(jī)、存儲(chǔ)帳戶、網(wǎng)絡(luò)接口等）。它們可以被創(chuàng)建、更新、刪除，并且可以與其他 Azure 服務(wù)和功能（例如 Azure Policy、Azure Role-Based Access Control 和 Azure Resource Manager）進(jìn)行交互。

2.1 創(chuàng)建資源組的策略（了解）

如果你是工作實(shí)戰(zhàn)，那么這部分規(guī)劃為重要內(nèi)容，如果你是學(xué)習(xí)考試等，此部分了解即可。

通過將資源組中的所有資源作為一個(gè)單獨(dú)的邏輯單元進(jìn)行管理，可以輕松地跟蹤、部署、監(jiān)視和管理這些資源。另外，資源組還提供了一種方便的方式來應(yīng)用一組 Azure 策略、定義角色訪問控制以及跟蹤資源使用情況和成本。那么如何進(jìn)行將資源進(jìn)行劃分到資源組呢？

• 按類型（網(wǎng)絡(luò)，虛擬機(jī)，數(shù)據(jù)庫等）
• 按環(huán)境（dev，prod，qa）
• 按部門（市場，金融，HR）
• 組合策略，例如環(huán)境與部門
• 按照權(quán)限
  • 由誰需要管理它們
  • RBAC控制
  • 例如數(shù)據(jù)庫管理員可以在數(shù)據(jù)庫管理組中訪問數(shù)據(jù)庫。
• 按照生命周期
  • 允許使用但實(shí)驗(yàn)后刪除。
• 按照賬單
  • 一種過濾和排序數(shù)據(jù)以更好地了解成本分配位置的方法。

TBD: 以后會(huì)寫一個(gè)文章來專門說明 Azure 中的最佳實(shí)踐，包括各資源的命名規(guī)范，此處不是本文重點(diǎn)（挖坑001 03/19/2023 2:04）

2.2 Azure 資源組知識(shí)點(diǎn)匯總（重要）

• Azure資源組本身也是Azure資源，因此可以具有鎖定，標(biāo)簽，RBAC 權(quán)限等。
  • Azure 資源組是免費(fèi)的。
• Azure 資源組是邏輯容器，用于在 Azure 上部署資源。
• Azure 資源組與區(qū)域和訂閱本身綁定。
  • 但可以包含不同區(qū)域的資源。
    • 如果 Azure 資源組所在的區(qū)域停止運(yùn)行， Azure 資源組的管理將無法正常工作。
• Azure 資源組主要作用是幫助你組織資源。
  • 你可以將類似的使用、類型或位置的資源放在同一組中。
• 如果你刪除 Azure 資源組，則其中包含的所有資源也將被刪除。
• 關(guān)于 Azure 資源組授權(quán)。
  • 應(yīng)用基于角色的訪問控制（RBAC）權(quán)限的范圍。
  • Azure 資源組中的所有資源都繼承了權(quán)限。
• 所有資源必須在資源組中，資源只能是單個(gè)資源組的成員。
  • 在部署任何資源之前，你需要一個(gè)資源組。
• 有些服務(wù)有特定的限制或要求從一個(gè)資源組移動(dòng)到另一個(gè)資源組。
• Azure 資源組不能嵌套。
• 可以查看部署到資源組的歷史記錄。

三、什么是 Azure 訂閱？

Azure 訂閱是使用 Azure 云服務(wù)的一種方式，Azure 訂閱類似于資源組，它是一個(gè)邏輯容器，用于管理和跟蹤在 Azure中使用的資源。當(dāng)你注冊(cè) Azure 時(shí)，你需要?jiǎng)?chuàng)建一個(gè)訂閱，以便可以開始使用 Azure 服務(wù)。

Azure 訂閱允許你選擇你需要的服務(wù)，如虛擬機(jī)、存儲(chǔ)、數(shù)據(jù)庫和其他服務(wù)，并控制使用這些服務(wù)的費(fèi)用和帶寬。你可以擁有多個(gè) Azure 訂閱，并將其用于不同的團(tuán)隊(duì)或項(xiàng)目，或者以不同的方式組織你的資源。訂閱可以根據(jù)所需功能的不同進(jìn)行分類，以及根據(jù)消費(fèi)模型（例如預(yù)付費(fèi)或后付費(fèi)）和區(qū)域（例如全球、國家或地理區(qū)域）進(jìn)行管理。

個(gè)人最直白的理解就是，Azure 訂閱可以認(rèn)為是一個(gè)公司的機(jī)房。

3.1 多訂閱架構(gòu)

Multiple Azure Subscriptions 指的是一個(gè) Azure 用戶可以創(chuàng)建并擁有多個(gè) Azure 訂閱。每個(gè)訂閱可以與不同的 Azure 租戶相關(guān)聯(lián)，這使得用戶可以在不同的租戶中創(chuàng)建獨(dú)立的資源，而不會(huì)對(duì)其他租戶或訂閱產(chǎn)生影響。這種方式可以提供更大的靈活性，使用戶能夠更好地組織和管理其 Azure 資源，同時(shí)也可以幫助用戶更好地控制成本和安全性。

什么情況下會(huì)創(chuàng)建多訂閱：

1. 隔離環(huán)境
   • 例如測試、安全性，或?yàn)榱俗袷睾弦?guī)性要求而隔離數(shù)據(jù)。
   • 這非常有用，因?yàn)橘Y源訪問控制發(fā)生在訂閱級(jí)別。
2. 隔離組織結(jié)構(gòu)
   • 例如，限制團(tuán)隊(duì)使用低成本資源，同時(shí)允許IT部門使用全套資源。
   • 允許你管理和控制用戶在每個(gè)訂閱中提供的資源的訪問。
3. 隔離計(jì)費(fèi)
   • 成本首先在訂閱級(jí)別聚合。
     • 根據(jù)你的需求管理和跟蹤成本。例如針對(duì)生產(chǎn)、開發(fā)、測試或由于訂閱限制而產(chǎn)生的成本。
4. 為了訂閱限制
   • 訂閱受到一些硬性限制的約束。
     • 例如，每個(gè)訂閱的 Express Route 電路最大數(shù)量為10。

雖然我畫的圖里面是按照生產(chǎn)測試開發(fā)來做了三個(gè)訂閱，只是為了文章和知識(shí)點(diǎn)演示用，實(shí)際工作或者做架構(gòu)，非常不建議這么做。

3.2 Azure 訂閱知識(shí)點(diǎn)匯總

• Azure 訂閱用于創(chuàng)建和使用Azure服務(wù)。
• Azure 訂閱在你注冊(cè)時(shí)候創(chuàng)建。
• Azure 訂閱是邏輯容器，用于在Azure中配置資源，如虛擬機(jī)、數(shù)據(jù)庫等。
• 一個(gè)帳戶可以有多個(gè)訂閱。
• 當(dāng)你創(chuàng)建Azure資源（如虛擬機(jī)）時(shí)，你需要指定它所屬的訂閱。
• 隨著你使用虛擬機(jī)，虛擬機(jī)的使用量將被匯總并按月計(jì)費(fèi)。
• 每個(gè)訂閱都是一個(gè)獨(dú)立的實(shí)體，無法合并。
• 可以使用 Azure 訂閱來定義 Azure 產(chǎn)品、服務(wù)和資源的邊界。訂閱邊界有兩種：
  • 計(jì)費(fèi)邊界：此訂閱類型確定如何對(duì)使用 Azure 的 Azure 帳戶計(jì)費(fèi)。 可以為不同類型的計(jì)費(fèi)要求創(chuàng)建多個(gè)訂閱。
  • 訪問控制邊界：Azure 會(huì)在訂閱級(jí)別應(yīng)用訪問管理策略，你可以創(chuàng)建單獨(dú)的訂閱來反映不同的組織結(jié)構(gòu)。

四、什么是 Azure 管理組（Management Groups）

Azure 管理組是一種管理 Azure 訂閱和資源的層級(jí)結(jié)構(gòu)，可以幫助組織更好地組織和管理其 Azure 環(huán)境。Azure 管理組可以將多個(gè) Azure 訂閱和資源組織在一起，并提供一致的訪問控制、策略和合規(guī)性管理。管理組可以幫助組織實(shí)現(xiàn)以下目標(biāo)：

1. 簡化管理：通過將多個(gè) Azure 訂閱和資源組織在一起，可以更輕松地管理這些資源。例如，你可以在管理組中定義共享的策略，然后將其應(yīng)用到管理組中的所有訂閱和資源（可以對(duì)訂閱進(jìn)行分組）。

2. 控制訪問：管理組提供了一種將訪問控制策略應(yīng)用于多個(gè) Azure 訂閱和資源的方法。通過定義角色分配和權(quán)限，你可以控制誰可以對(duì)管理組中的資源進(jìn)行操作（可以有 RBAC 分配和策略）。

3. 管理合規(guī)性：管理組可以幫助組織實(shí)現(xiàn)合規(guī)性目標(biāo)，例如確保符合特定的安全標(biāo)準(zhǔn)或數(shù)據(jù)保護(hù)法規(guī)。通過定義一致的策略和標(biāo)準(zhǔn)，可以更輕松地確保所有資源符合這些要求。

總之，Azure 管理組是一種強(qiáng)大的工具，可以幫助組織更好地管理其 Azure 環(huán)境，并實(shí)現(xiàn)更高的安全性、合規(guī)性和效率。

（大型企業(yè)的資源組織，圖片來源于：微軟官方）

五、參考文獻(xiàn)

https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/get-started/how-azure-resource-manager-works#what-is-an-azure-subscription
https://learn.microsoft.com/zh-cn/training/modules/describe-core-architectural-components-of-azure/6-describe-azure-management-infrastructure
https://www.pragimtech.com/blog/azure/azure-resource-groups/