Microsoft Azure-Ressourcengruppen: Einführung und Best Practices

Eine Azure-Ressourcengruppe ist ein Microsoft Azure-Service, der eine Gruppierung für alle Ihre virtuelle Maschinen (VMs) erfordert. In diesem Beitrag erfahren Sie, was diese Gruppenstruktur tatsächlich bedeutet und wie Sie sie für eine bessere Governance und eine bessere Verwaltung der Azure-Ressourcen für Ihre Infrastruktur nutzen können.

Zunächst ein kurzer Überblick darüber, wie Sie Ressourcengruppen über den Azure Resource Manager verwalten und bereitstellen können – mit dem Sie wahrscheinlich bereits vertraut sind –, da er die Verwaltungsebene für Ihre Ressourcen darstellt. Mit dem Azure Resource Manager können Sie Ihre Infrastruktur über deklarative Vorlagen statt über Skripte, Tagging-Management, Bereitstellungen, Abhängigkeitszuordnung, vereinfachte rollenbasierte Zugriffskontrolle und ein klares Kostenmanagement verwalten.

Sie können Ressourcengruppen zur Sicherung, Verwaltung und Nachverfolgung der Kosten im Zusammenhang mit Ihren Workflows und Anwendungen organisieren.

Azure-Ressourcengruppen sind logische Sammlungen von VMs, Speicherkonten, virtuellen Netzwerken, Web-Apps, Datenbanken und Datenbankservern. Sie können sie verwenden, um verwandte Ressourcen für eine Anwendung zu gruppieren und sie in Gruppen für Produktion und Nichtproduktion zu unterteilen, oder eine andere Organisationsstruktur zu wählen, die Sie bevorzugen.

Das Azure-Ressourcengruppen-Verwaltungsmodell bietet vier Verwaltungsebenen oder „Bereiche“ der Verwaltung , um Ihre Ressourcen zu organisieren:

• Verwaltungsgruppen: Diese Gruppen sind Container zur Verwaltung von Zugriff, Richtlinien und Compliance für mehrere Abonnements. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die Bedingungen, die für die Verwaltungsgruppe gelten. Sie werden häufig zum Gruppieren von Abonnements nach interner Abteilung oder geografischer Region verwendet.
• Abonnements: Ein Abonnement ordnet Benutzerkonten und die Ressourcen zu, die von diesen Benutzerkonten erstellt wurden. Jedes Abonnement hat Beschränkungen oder Kontingente für die Anzahl der Ressourcen, die Sie erstellen und verwenden können. Unternehmen können Abonnements verwenden, um Kosten und Ressourcen zu verwalten, die von Benutzern, Teams oder Projekten erstellt werden. In der Regel entspricht ein Abonnement einer Anwendung. 
• Ressourcengruppen: Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen wie Web-Apps, Datenbanken und Speicher bereitgestellt und verwaltet werden.
• Ressourcen: Ressourcen sind Instanzen von Diensten, die Sie erstellen, wie VMs, Speicher oder SQL-Datenbanken.

Ein wichtiger Faktor, den Sie bei der Verwaltung dieser Bereiche beachten sollten, ist, dass es einen Unterschied zwischen einem Azure-Abonnement und einer Verwaltungsgruppe gibt. Eine Verwaltungsgruppe darf keine Azure-Ressource enthalten. Sie kann nur andere Verwaltungsgruppen oder Abonnements umfassen. Azure-Verwaltungsgruppen bieten eine Organisationsebene, die über Azure-Abonnements hinausgeht. Wenn ein Abonnement beispielsweise für eine Anwendung steht, kann eine Azure-Verwaltungsgruppe alle von dieser Abteilung verwalteten Anwendungen enthalten. Außerdem gibt es in Azure keine Struktur für eine „verschachtelte“ Ressourcengruppe. Um Gruppen für Berechtigungen zu „verschachteln“, müssen Sie eine Kombination von Berechtigungen auf den verschiedenen zuvor aufgeführten Ebenen verwenden. Achten Sie auch darauf, das Konzept einer Azure-Ressourcengruppe von einem „Azure-Verfügbarkeitsset“ zu unterscheiden. Ein Verfügbarkeitssatz in Azure ist eine logische Gruppierung von VMs, die Azure darüber informieren, wie Ihre Anwendung aufgebaut ist, um die Verfügbarkeit Ihrer Anwendung zu schützen.

Es gibt mehrere Möglichkeiten, eine Azure-Ressourcengruppe zu erstellen:

• Das Azure-Portal
• Azure PowerShell-Skripts
• Die Azure CLI
• Eine ARM-Vorlage

Hier sind einige Best Practices für die Verwendung der Azure-Ressourcengruppe:

• Ressourcen in einer Gruppe sollten den gleichen Lebenszyklus haben. Wenn beispielsweise eine Anwendung unterschiedliche Ressourcen benötigt, die gemeinsam aktualisiert werden müssen, wie z. B. eine SQL database, eine Web-App oder eine mobile app, ist es sinnvoll, diese Ressourcen in derselben Ressourcengruppe zusammenzufassen. Für DevTest, Staging oder Produktion ist es jedoch wichtig, verschiedene Ressourcengruppen oder eine neue Ressourcengruppe zu verwenden, da die Ressourcen in diesen Gruppen unterschiedliche Lebenszyklen haben. 
• Ressourcen können zu einer Azure-Ressourcengruppe hinzugefügt oder aus ihr gelöscht werden. Jede Ihrer Ressourcen muss jedoch zu einer Azure-Ressourcengruppe gehören. Wenn Sie also Ressourcen von einer Ressourcengruppe in eine andere verschieben möchten, müssen Sie sie aus der ursprünglichen Gruppe entfernen und dann zur neuen Gruppe hinzufügen.
• Nicht alle Ressourcen können in verschiedene Ressourcengruppen verschoben werden 
• Die Ressourcen, die Sie in eine Ressourcengruppe aufnehmen, können sich in verschiedenen Azure-Regionen befinden, sogar in anderen Regionen als die Gruppe selbst. Manchmal ist es jedoch am besten, alle Ressourcen in einer Ressourcengruppe in derselben Region zu belassen, um die Latenz oder die regionsübergreifende Datenübertragung zu reduzieren. Unabhängig davon benötigt die Gruppe einen Speicherort, um anzugeben, wo die Metadaten speichern werden, was für einige Compliance-Richtlinien erforderlich ist. 
• Zugriff mit Ressourcengruppen. Sie sollten Ressourcengruppen verwenden, um den Zugriff auf Ihre Ressourcen zu steuern – zur Zugriffskontrolle später mehr.
• Wenn eine Ressourcengruppe gelöscht wird, werden alle Ressourcen in der Gruppe gelöscht. 
• Sie können bis zu 800 Instanzen eines Ressourcentyps in jeder Ressourcengruppe bereitstellen – mit einigen Ausnahmen .

Sind Sie bereit, die Optimierung von Azure-Ressourcengruppen zu automatisieren?

Azure-Ressourcengruppen sind eine Möglichkeit, die rollenbasierte Zugriffskontrolle (RBAC) zu operationalisieren. In der Regel werden Sie den Benutzerzugriff auf der Ebene der Ressourcengruppe gewähren wollen – Gruppen vereinfachen die Verwaltung und bieten mehr Transparenz.

Eine der wichtigsten Cloud Best Practices, die wir CIOs empfehlen, ist es, Ihrem Unternehmen eine Struktur zu geben, die Ihre Strategie unterstützt. Die Art und Weise, wie Sie Ihre Azure-Ressourcen organisieren, folgt dann Ihrer Organisationsstruktur, so dass es einfach ist, das Prinzip der geringsten Berechtigung zu befolgen und nur die minimal erforderlichen Zugriffsrechte zu gewähren – was Sie auf der Ebene der Ressourcengruppe und nicht auf der Ebene der Verwaltungsgruppe oder des Abonnements tun können. So kann beispielsweise eine Richtlinie für die Verwaltung von Verschlüsselungsschlüsseln auf Verwaltungsgruppenebene angewendet werden, während eine geplante Suspendierungsrichtlinie auf Ressourcengruppenebene angewendet werden könnte.

Der effektive Einsatz von Tagging ermöglicht es Ihnen, Ressourcen für technische, Automatisierung, Abrechnungs- und Sicherheitszwecke zu identifizieren. Tags können über Ressourcengruppen hinausgehen, sodass Sie Tags verwenden können, um Gruppen und Ressourcen zuzuordnen, die zum selben Projekt, derselben Anwendung oder demselben Service gehören. Stellen Sie sicher, dass Sie Best Practices für die Kennzeichnung anwenden, wie z. B. die Anwendung eines Standardsatzes von Tags, bevor eine Ressource bereitgestellt wird, um sicherzustellen, dass Sie Ihre Ressourcen optimieren.

Es gibt mehrere gängige Methoden zum Organisieren von Abonnements und Ressourcengruppen. Das erste, leider übliche, Modell ist „Chaos“. Wenn dieses Wort Ihre Umgebung beschreibt, geben Sie nicht auf. Wir wissen, dass viele Unternehmen diese Wachstumsschwierigkeiten durchgemacht haben und ihre Umgebung wieder funktionsfähig gemacht haben.

Dann gibt es noch die Organisation nach Anwendung. Eine Anwendung für Gehaltsabrechnungen oder Fakturierung würde sich beispielsweise an einem einzigen Azure-Cloud-Abonnement orientieren, wobei Ressourcengruppen für jede Umgebung (Entwicklung, Tests, Staging usw.) unter diesem Abonnement zusammengefasst sind.

Wir sehen häufig eine nach Umgebungen geordnete Organisationsstruktur. In diesem Fall gibt es ein einziges Abonnement für die gesamte Produktion, eines für die Entwicklung und eines für Tests, wobei die Ressourcengruppen auf die einzelnen Anwendungen darunter abgestimmt sind. Die ausgereifteste Art der Organisation ist nach Geschäftsbereich oder Serviceeinheit – das Modell, das den Unternehmensfunktionen Eigentum an Ressourcen überträgt. Zum Beispiel hätte die Finanzabteilung ein Abonnement und die Marketingabteilung ein anderes. Unterhalb dieser Abonnements befanden sich die Ressourcengruppen, die jeder Anwendung entsprechen.

Azure-Ressourcengruppen und andere Strukturen native zu Cloud-Providern ermöglichen es Ihnen, Cloud-Ressourcen effektiv zu organisieren und zu steuern. Nachdem Sie die Grundlage geschaffen und die Azure-Ressourcengruppe genutzt haben, um die erforderliche Segmentierung und Ausrichtung auf Ihren Geschäftsbereich und die darin ausgeführten Anwendungen zu gewährleisten, müssen Sie im nächsten Schritt damit beginnen, Ihre Ressourcen effektiv auf den Anwendungsbedarf abzustimmen. Auf diese Weise können Sie die Leistung der Anwendung maximieren und gleichzeitig Ihre Ressourcenkosten optimieren.

Die Sicherstellung der Anwendungsleistung und die Optimierung Ihrer Cloud übersteigen die menschlichen Kapazitäten. Deshalb haben wir uns bei IBM der Aufgabe verschrieben, die Leistung, Konformität und Kosten jeder Anwendung in jeder Cloud und in jeder Größenordnung zu verwalten.

Mit der Turbonomic-Software können Sie die über- und untergeordnete Beziehung zwischen Abonnements und Ressourcengruppen einfacher visualisieren. Diese Möglichkeit hilft Ihnen, das in Ihrem Unternehmen implementierte Framework visuell abzubilden und Ihre Infrastruktur in den Anwendungskontexten zu betrachten, die Sie bereits erstellt haben. Die Turbonomic-Software erkennt automatisch alle zugehörigen Azure-Abonnements, deren Ressourcengruppen und die Ressourcen innerhalb jeder Gruppe, einschließlich Azure-VMs, Azure-Managed-Datenträger, Azure SQL Server sowie alle Reservierte Instanzen (RI), entweder gemeinsam genutzte Reservierte Instanzen oder auf ein Abonnement oder eine Ressourcengruppe beschränkt. Die Turbonomic-Software analysiert dann die Nutzung jeder Ressource und beginnt, Optimierungsmaßnahmen zu entwickeln. Die folgende Ansicht zeigt eine Aufschlüsselung eines einzelnen Azure-Abonnements und mehrerer darunter liegender Azure-Ressourcengruppen, die ausstehenden Optimierungsaktionen pro Ressourcengruppe und potenzielle Einsparungen durch die Aktionen.

Darüber hinaus enthält die Turbonomic-Software eine leistungsstarke Optimierungsmodellierungs-Engine, mit der Kunden verschiedene Szenarien für die Cloud-Umgebung in einem sicheren Sandbox-Modus modellieren können. Beispielsweise simulieren Sie die Auswirkungen der Nutzung von Azure Reserved VM Instance im Bestand nach der Anpassung der Workloads in einer Ressourcengruppe im Vergleich zur Nutzung ohne Anpassung der Workloads.