云原生清单意味着所有服务器都显示在一个合并视图中,并使用 Azure 的组织工具对它们进行排序和管理。 可以组织资源,将标记应用为标签,并使用更改跟踪和 Azure Resource Graph 等工具进行实时库存。 结果是 Azure 中“无处不在的服务器”的清晰视图,具有灵活的分组以满足组织的需求。
Azure 中的资源组织
在 Azure 中管理服务器清单首先了解 Azure 的资源层次结构及其与传统 Active Directory (AD) 组织的比较方式。 在域环境中,你可能有安全组、设备集合、林、域和 OU(组织单位)来对服务器进行分组,这通常反映业务结构或位置。 Azure 有自己的用于组织云资源的层次结构,包括本节中所述的概念。
Azure 租户
租户是通常包含组织的 Microsoft Entra ID 实体。 可以将租户视为所有 Azure 资源和标识的顶级容器,以某种方式类似于 AD 林。 它是订阅和用户所在的信任边界。 但是,Microsoft Entra 主要是标识存储,它不会按 OU 组织服务器。 相反,Azure 将订阅、管理组和资源组用于资源组织。
订阅和管理组
Azure 订阅 是租户中的计费和资源容器。 例如,可以将单独的订阅用于不同的环境或部门。
可以在 管理组 下对多个订阅进行分组,以应用治理,类似于 AD 中的多个域或站点如何一起进行监督。 使用管理组可以创建层次结构,以反映组织的结构,并跨订阅应用策略或访问控制。 可以将管理组视为更高级别的分组(例如整个公司或部门)和订阅作为主要部署单元。
资源组
在 Azure 中,资源组是与资源组织单位(OU)最近的概念。 它是订阅中的逻辑容器,可以保存相关的资源,例如虚拟机(VM)、已启用 Arc 的服务器和存储帐户。
系统管理员可以使用资源组按应用程序、环境或位置对服务器进行分组,然后在该组级别分配策略和用户角色。 例如,与具有委派管理员和某些 Active Directory 组策略对象(GPO)的“HQ-Servers”OU 一样,可能有具有特定角色分配和 Azure 策略的“HQ-Servers”资源组。 在 Azure 中,服务器一次只能属于一个资源组(类似于 OU 嵌套),但如果需要,可以在资源组之间移动。
标记
在 Active Directory 或 System Center Configuration Manager(SCCM)中,可以使用属性或创建动态集合(查询)将服务器组合在一起。 在 Azure 中,可以使用标记来实现此分类,这些 标记是附加到资源的自定义键值元数据。
使用标记可以灵活地跨资源组甚至订阅对资源进行分组和筛选。 可以使用 Azure Resource Graph 查询列出或报告具有特定标记的所有服务器上,类似于在 SCCM 中为集合运行查询。 此功能提供不由单个层次结构绑定的清单视图,这比静态 OU 分组的优势。
Azure Resource Graph
Azure Resource Graph 是一个功能强大的查询引擎,可用于使用 Kusto 查询语言查询所有 Azure 资源(包括已启用 Arc 的服务器)。 例如,可以运行查询来查找特定区域中已启用 Arc 的所有服务器,或者实时运行 Windows Server 2012 的所有 VM。
随着环境缩放,创建自定义查询的功能变得更加有用,有助于保持所有服务器的可见性。 由于 Azure Arc 将本地服务器视为 Azure 资源,因此这些服务器默认包含在这些查询中,无需单独的清单系统。