Gruppi di risorse di Microsoft Azure: introduzione e best practice

Un gruppo di risorse di Azure è un servizio di Microsoft Azure che richiede il raggruppamento per tutte le macchine virtuali di Azure. In questo post esamineremo il significato effettivo di questa struttura di gruppi e come è possibile usarla per una migliore governance e per gestire meglio le risorse di Azure per l'infrastruttura.

Innanzitutto, una breve panoramica su come gestire e fornire gruppi di risorse tramite Azure Resource Manager, che probabilmente conosci già, in quanto è il livello di gestione delle tue risorse. Con Azure Resource Manager, puoi gestire l'infrastruttura tramite modelli dichiarativi anziché tramite script, gestione dei tag, modelli di implementazione, mappatura delle dipendenze, controllo semplificato degli accessi in base al ruolo e gestione dei costi semplificata.

È possibile organizzare gruppi di risorse per la protezione, la gestione e il rilevamento dei costi correlati ai workflow e alle applicazioni.

I gruppi di risorse di Azure sono raccolte logiche di VM, account di storage, reti virtuali, app, database e server di database. È possibile utilizzarli per raggruppare le risorse correlate per un’applicazione e dividerle in gruppi per la produzione e la non produzione o in qualsiasi altra struttura organizzativa preferita.

Il modello di gestione dei gruppi di risorse di Azure offre quattro livelli, o “ambiti” di gestione , per organizzare le tue risorse:

• Gruppi di gestione: questi gruppi sono contenitori per gestire l’accesso, le politiche e la conformità per più abbonamenti. Tutte le sottoscrizioni in un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo di gestione. Sono spesso utilizzati per raggruppare gli abbonamenti per reparto interno o per regione geografica.
• Abbonamenti: un abbonamento associa gli account utente e le risorse da essi create. Ogni sottoscrizione ha limiti o quote sul numero di risorse che è possibile creare e utilizzare. Le organizzazioni possono utilizzare le sottoscrizioni per gestire i costi e le risorse create da utenti, team o progetti. In genere, un abbonamento equivale a un’applicazione. 
• Gruppi di risorse: un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure, come le app web, i database e gli account di storage.
• Risorse: le risorse sono istanze di servizi creati dall’utente, ad esempio macchine virtuali, storage o SQL Database.

Un fattore importante da tenere presente quando si gestiscono questi ambiti è che esiste una differenza tra una sottoscrizione di Azure e un gruppo di gestione. Un gruppo di gestione non può includere una risorsa di Azure. Può includere solo altri gruppi di gestione o sottoscrizioni. I gruppi di gestione di Azure forniscono un livello di organizzazione superiore alle sottoscrizioni di Azure, ad esempio, se una sottoscrizione rappresenta un’applicazione, un gruppo di gestione di Azure potrebbe contenere tutte le applicazioni gestite da tale reparto. Inoltre, in Azure non esiste una struttura per un gruppo di risorse “annidato”: per “annidare” i gruppi per le autorizzazioni, sarà necessario utilizzare una combinazione di autorizzazioni ai diversi livelli elencati in precedenza. Assicurati inoltre di distinguere il concetto di gruppo di risorse di Azure da quello di “set di disponibilità di Azure”. Un set di disponibilità in Azure è un raggruppamento logico di macchine virtuali per informare Azure su come viene compilata l’applicazione per proteggere la disponibilità dell’applicazione.

Esistono diversi modi per creare un gruppo di risorse di Azure:

• Il portale di Azure
• Script di Azure PowerShell
• La CLI di Azure
• Un modello ARM

Di seguito sono riportate alcune best practice per l’uso del gruppo di risorse di Azure:

• Le risorse di un gruppo devono avere lo stesso ciclo di vita. Ad esempio, se un’applicazione richiede diverse risorse che devono essere aggiornate insieme, ad esempio un database SQL, un’app o un’app, è opportuno raggrupparle nello stesso gruppo di risorse. Tuttavia, per DevTest, staging o produzione, è importante utilizzare gruppi diversi o un gruppo nuovo, poiché le risorse presenti in questi gruppi hanno cicli di vita diversi. 
• Le risorse possono essere aggiunte o eliminate da un gruppo di risorse di Azure. Tuttavia, ognuna di esse deve appartenere a un gruppo di risorse di Azure, quindi se vuoi spostarle da un gruppo a un altro, dovrai rimuoverle dal gruppo originale e quindi aggiungerle a quello nuovo.
• Non tutte le risorse possono essere spostatein diversi gruppi di risorse.
• Le risorse incluse in un gruppo possono trovarsi in aree di Azure diverse, anche in aree diverse rispetto al gruppo stesso. Tuttavia, a volte, è buona prassi mantenere tutte le risorse in un gruppo nella stessa regione per ridurre la latenza o il trasferimento di dati tra regioni. Indipendentemente da ciò, il gruppo ha bisogno di una posizione per specificare dove verranno memorizzati i metadati, il che è necessario per alcune politiche di conformità. 
• Concedi l’accesso con i gruppi di risorse. Utilizza i gruppi per controllare l’accesso alle tue risorse, come vedremo più avanti.
• Quando un gruppo di risorse viene eliminato, vengono eliminate tutte le risorse che contiene. 
• Puoi distribuire fino a 800 istanze di un tipo di risorsa per ogni gruppo di risorse, con alcune eccezioni .

Sei pronto ad automatizzare l’ottimizzazione dei gruppi di risorse di Azure?

I gruppi di risorse di Azure sono un modo per rendere operativo il controllo degli accessi in base al ruolo. In genere, è consigliabile concedere l'accesso agli utenti a livello di gruppo di risorse: i gruppi semplificano la gestione e offrono una maggiore visibilità.

Una delle principali best practice per il cloud che consigliamo ai CIO è quella di dotare l'organizzazione di una struttura che supporti la strategia. Il modo in cui si organizzano le risorse di Azure segue quindi la struttura organizzativa, semplificando il principio del privilegio minimo e concedendo l'accesso solo alle autorizzazioni minime necessarie, che è possibile eseguire a livello di gruppo di risorse anziché a livello di gruppo di gestione o sottoscrizione. Ad esempio, una politica relativa alla gestione delle chiavi di crittografia può essere applicata a livello di gruppo di gestione, mentre una politica di sospensione programmata potrebbe essere applicata a livello di gruppo di risorse.

L'uso efficace dell'etichettatura consente di identificare le risorse per scopi tecnici, di automazione, di fatturazione e di sicurezza. I tag possono estendersi oltre i gruppi di risorse, il che ti consente di utilizzare i tag per associare gruppi e risorse che appartengono allo stesso progetto, applicazione o servizio. Assicurati di applicare le best practice per l'assegnazione di tag, ad esempio la richiesta di applicare un set standard di tag prima della distribuzione di una risorsa, per ottimizzare le risorse.

Esistono diversi modi comuni per organizzare le sottoscrizioni e i gruppi di risorse. Il primo modello, purtroppo comune, è il "caos". Se questa parola descrive il tuo ambiente, non abbatterti. Abbiamo visto molte organizzazioni affrontare questi problemi di crescita e rendere i loro ambienti funzionanti.

Poi, c'è l'organizzazione per applicazione. Ad esempio, un'applicazione di gestione paghe o fatturazione si allineerà a una singola sottoscrizione cloud di Azure, con gruppi di risorse per ogni ambiente (sviluppo, test, gestione temporanea e così via) raggruppati sotto tale sottoscrizione.

Spesso vediamo in atto una struttura organizzativa per ambiente. In questo caso, c'è un unico abbonamento per tutta la produzione, uno per lo sviluppo e uno per i test, con gruppi di risorse allineati a ciascuna applicazione sottostante. Il modo più maturo di organizzarsi è per unità di business o unità di servizio, il modello che attribuisce la proprietà delle risorse alle funzioni aziendali. Ad esempio, il reparto finanziario avrà un abbonamento e quello di marketing un altro. Al di sotto di tali abbonamenti sono presenti i gruppi di risorse corrispondenti a ogni applicazione.

I gruppi di risorse di Azure e altre strutture native dei provider di cloud consentono di organizzare e gestire le risorse cloud in modo efficace. Dopo aver creato le basi e usato il gruppo di risorse di Azure per fornire la segmentazione e l'allineamento necessari alla linea di business e alle applicazioni, il passaggio successivo consiste nell'iniziare a far corrispondere in modo efficace le risorse alla domanda delle applicazioni. In questo modo, sarai in grado di massimizzare le prestazioni delle applicazioni ottimizzando al contempo i costi delle risorse.

Garantire le prestazioni delle applicazioni e ottimizzare il cloud va oltre la scala umana, motivo per cui, in IBM, abbiamo dedicato la nostra missione alla gestione delle prestazioni, della conformità e dei costi di qualsiasi applicazione, su qualsiasi cloud, su qualsiasi scala.

Il software Turbonomic consente di visualizzare più facilmente la relazione padre-figlio tra abbonamenti e gruppi di risorse. Questa funzionalità consente di mappare visivamente il framework implementato dall'organizzazione, consentendo di visualizzare l'infrastruttura nei contesti applicativi già creati. Il software Turbonomic rileverà automaticamente tutti gli abbonamenti Azure associati, i relativi gruppi di risorse e le risorse all'interno di ciascuno, incluse le macchine virtuali di Azure, i dischi gestiti di Azure, i server SQL, nonché tutte le istanze riservate, le istanze riservate condivise o limitate a un abbonamento o a un gruppo di risorse. Il software Turbonomic analizzerà quindi l'utilizzo di ogni risorsa e inizierà a generare azioni di ottimizzazione. La seguente visualizzazione mostra una suddivisione di una singola sottoscrizione di Azure e di diversi gruppi di risorse di Azure sottostanti, le azioni di ottimizzazione in sospeso per ogni gruppo di risorse e i potenziali risparmi derivanti dalle azioni.

Inoltre, il software Turbonomic include un potente motore di modellazione dell'ottimizzazione progettato per consentire ai clienti di modellare diversi scenari rispetto all'ambiente cloud in modalità sandbox sicura. Per esempio, simulare l'impatto dell'utilizzo dell'inventario di Azure Reserved VM Instance dopo aver ottimizzato i workload in un gruppo di risorse rispetto a quello senza ottimizzare i workload.