Grupos de recursos do Microsoft Azure: Introdução e melhores práticas

Um grupo de recursos do Azure é um serviço do Microsoft Azure que exige agrupamento para todas as suas VMs (máquinas virtuais) do Azure. Neste post, analisaremos o que essa estrutura de grupo realmente significa e como você pode usá-la para uma melhor governança e gerenciar melhor os recursos do Azure para sua infraestrutura.

Primeiro, uma breve visão geral de como é possível gerenciar e provisionar grupos de recursos por meio do Azure Resource Manager, com o qual vocês provavelmente já estão familiarizados, pois ele é a camada de gerenciamento de seus recursos. Com o Azure Resource Manager, você pode gerenciar sua infraestrutura por meio de modelos declarativos em vez de scripts, gerenciamento de marcação, modelos de implementação, mapeamento de dependência, controle de acesso simplificado baseado em funções e gerenciamento de custos claro.

Você pode organizar grupos de recursos para proteger, gerenciar e rastrear os custos relacionados aos seus fluxos de trabalho e aplicações.

Os grupos de recursos do Azure são coleções lógicas de VMs, contas de armazenamento, redes virtuais, aplicativos Web, bancos de dados e servidores de banco de dados. Você pode usá-los para agrupar recursos relacionados para uma aplicação e dividi-los em grupos para produção e não produção, ou qualquer outra estrutura organizacional de sua preferência.

O modelo de gerenciamento de grupos de recursos do Azure oferece quatro níveis, ou “escopos” de gerenciamento , para organizar seus recursos:

• Grupos de gerenciamento: esses grupos são contêineres para gerenciar o acesso, a política e a conformidade para várias assinaturas. Todas as assinaturas em um grupo de gerenciamento herdam automaticamente as condições aplicadas ao grupo de gerenciamento. Geralmente são usados para agrupar assinaturas por departamento interno ou região geográfica.
• Assinaturas: uma assinatura associa contas de usuário e os recursos que foram criados por essas contas de usuário. Cada assinatura tem limites ou cotas para o número de recursos que você pode criar e usar. As organizações podem usar assinaturas para gerenciar custos e recursos criados por usuários, equipes ou projetos. Normalmente, uma assinatura equivale a uma aplicação. 
• Grupos de recursos: um grupo de recursos é um contêiner lógico no qual os recursos do Azure, como aplicativos da web, bancos de dados e contas de armazenamento, são implementados e gerenciados.
• Recursos: recursos são instâncias de serviços que você cria, como VMs, armazenamento ou SQL Database.

Um fator importante a ter em mente ao gerenciar esses escopos é que há uma diferença entre uma assinatura do Azure e um grupo de gerenciamento. Um grupo de gerenciamento não pode incluir um recurso do Azure. Ele só pode incluir outros grupos de gerenciamento ou assinaturas. Os grupos de gerenciamento do Azure fornecem um nível de organização acima das assinaturas do Azure — por exemplo, se uma assinatura representa uma aplicação, um grupo de gerenciamento do Azure pode conter todas as aplicações gerenciadas por esse departamento. Além disso, não há estrutura para um grupo de recursos “aninhado” no Azure. Para “aninhar” grupos para permissões, você precisará usar uma combinação de permissões nos diferentes níveis listados anteriormente. Certifique-se também de diferenciar o conceito de um grupo de recursos do Azure de um “conjunto de disponibilidade do Azure”. Um conjunto de disponibilidade no Azure é um agrupamento lógico de VMs para informar ao Azure como sua aplicação é desenvolvida para proteger a disponibilidade de sua aplicação.

Há várias maneiras de criar um grupo de recursos do Azure:

• O portal do Azure
• Scripts do Azure PowerShell
• A CLI do Azure
• Um modelo ARM

Aqui estão algumas melhores práticas para usar o grupo de recursos do Azure:

• Os recursos em um grupo devem ter o mesmo ciclo de vida. Por exemplo, se uma aplicação exige recursos diferentes que precisam ser atualizados juntos, como ter um SQL database, um aplicativo da web ou um aplicativo móvel, então faz sentido agrupar esses recursos no mesmo grupo de recursos. No entanto, para DevTest, preparação ou produção, é importante usar diferentes grupos de recursos ou um novo grupo de recursos, pois os recursos desses grupos têm ciclos de vida diferentes. 
• Os recursos podem ser adicionados ou excluídos de um grupo de recursos do Azure. No entanto, cada um dos Recursos deve pertencer a um grupo de recursos do Azure, portanto, se você quiser migrar Recursos de um grupo de recursos para outro, deverá removê-los do grupo original e adicioná-los ao novo.
• Nem todos os recursos podem ser migrados  para diferentes grupos de recursos.
• Os recursos que você inclui em um grupo de recursos podem estar localizados em diferentes regiões do Azure, até mesmo em regiões diferentes do próprio grupo. No entanto, às vezes, é uma melhor prática manter todos os Recursos em um grupo de recursos na mesma região para reduzir a latência ou a transferência de dados entre regiões. De qualquer forma, o grupo precisa de um local para especificar onde os metadados serão armazenados, o que é necessário para algumas políticas de conformidade. 
• Conceda acesso com grupos de recursos. Você deve usar grupos de recursos para controlar o acesso aos seus recursos — falaremos mais sobre controle de acesso posteriormente.
• Quando um grupo de recursos é excluído, todos os recursos do grupo são excluídos. 
• Você pode implementar até 800 instâncias de um tipo de recurso em cada grupo de recursos, com algumas exceções .

Pronto para automatizar a otimização de grupos de recursos do Azure?

Os grupos de recursos do Azure são uma maneira de operacionalizar o controle de acesso baseado em função (RBAC). Normalmente, você deseja conceder acesso ao usuário no nível do grupo de recursos — os grupos tornam isso mais simples de gerenciar e fornecem maior visibilidade.

Uma das principais melhores práticas na nuvem que recomendamos aos CIOs é dar à sua organização uma estrutura que viabilize a sua estratégia. A organização dos recursos do Azure segue a sua estrutura organizacional, tornando simples seguir o princípio do privilégio mínimo e conceder acesso apenas às permissões mínimas necessárias, o que você pode fazer no nível do grupo de recursos, em vez de no grupo de gerenciamento ou nível de assinatura. Por exemplo, uma política relacionada ao gerenciamento de chaves de criptografia pode ser aplicada no nível do grupo de gerenciamento, enquanto uma política de suspensão programada pode ser aplicada no nível do grupo de recursos.

O uso eficaz da marcação permite identificar recursos para fins técnicos, de automação, cobrança e segurança. As tags podem se estender para além dos grupos de recursos, o que permite que você as use para associar grupos e recursos que pertencem ao mesmo projeto, aplicação ou serviço. Certifique-se de aplicar as melhores práticas de marcação, como exigir que um conjunto padrão de tags seja aplicado antes que um recurso seja implementado, para garantir que você esteja otimizando seus recursos.

Há várias maneiras comuns de organizar assinaturas e grupos de recursos. O primeiro modelo, infelizmente comum, é o "caos". Se essa palavra descreve seu ambiente, não desista. Vimos muitas organizações passarem por essas dores crescentes e colocar seus ambientes em condições de funcionamento.

Depois, há a organização por aplicação. Por exemplo, uma aplicação de pagamento ou faturamento seria alinhada a uma única assinatura de nuvem do Azure, com grupos de recursos para cada ambiente—desenvolvimento, teste, preparação e assim por diante—reunidos abaixo dessa assinatura.

Frequentemente vemos uma estrutura organizacional por ambiente em vigor. Nesse caso, há uma única assinatura para toda a produção, uma para desenvolvimento e outra para testes com grupos de recursos alinhados a cada aplicação abaixo dela. A forma mais madura de organização é por unidade de negócios ou unidade de serviço — o modelo que dá a propriedade dos recursos para as funções corporativas. Por exemplo, o departamento financeiro teria uma assinatura e o departamento de marketing outra. Abaixo dessas assinaturas estariam os grupos de recursos correspondentes a cada aplicação.

Os grupos de recursos do Azure e outras estruturas nativas dos provedores de nuvem permitem que você organize e controle os recursos de nuvem de forma eficaz. Depois de criar a base e usar o grupo de recursos do Azure para fornecer a segmentação e o alinhamento necessários com sua linha de negócios e as aplicações que elas executam, a próxima etapa é começar a corresponder efetivamente os recursos à demanda da aplicação. Com isso, você maximizará o desempenho da aplicação e, ao mesmo tempo, otimizará os custos dos recursos.

Garantir o desempenho das aplicações e otimizar sua nuvem está além da escala humana - que é por que nós dedicamos nossa missão na IBM para gerenciar o desempenho, a conformidade e o custo de qualquer aplicação, em qualquer nuvem e em qualquer escala.

O software Turbonomic permite visualizar a relação pai e filho entre assinaturas e grupos de recursos com mais facilidade. Essa capacidade ajuda a mapear visualmente o framework implementado pela sua organização, possibilitando que você visualize sua infraestrutura nos contextos de aplicação que você já desenvolveu. O software Turbonomic descobrirá automaticamente todas as assinaturas do Azure associadas, os grupos de recursos e os Recursos dentro de cada grupo, incluindo as VMs do Azure, os discos gerenciados do Azure e os servidores SQL Server, bem como quaisquer instâncias reservadas, sejam elas compartilhadas ou com escopo definido para uma assinatura ou um grupo de recursos. Então, o software Turbonomic analisará a utilização de cada recurso e começará a gerar ações de otimização. A exibição mostra um detalhamento de uma única assinatura do Azure e vários grupos de recursos do Azure sob ela, as ações de otimização pendentes por grupo de recursos e as possíveis economias das ações.

Além disso, o software Turbonomic inclui um poderoso mecanismo de modelagem de otimização projetado para permitir que os clientes modelem diferentes cenários em relação ao ambiente de nuvem em um modo de área de testes seguro. Por exemplo, simule o impacto da utilização do inventário de VM Reserved Instance após adequação das cargas de trabalho em um grupo de recursos versus sem adequação das cargas de trabalho.