Azure Management Groups und Blueprints – Überblick und Einrichtung – Teil 1

Der Weg in die Cloud ist eigentlich simpel, ein Konto im Azure Portal angelegt, die Kreditkartendaten hinterlegt und schon können alle verfügbaren Azure Ressourcen ausgerollt werden. Dies mag für Testumgebungen durchaus ein möglicher (wenn auch nicht empfohlener) weg sein. Für Produktiv Workloads, unabhängig ob Cloud only oder Hybrid-Szenario, sind Regeln erforderlich und sinnvoll. Um die Umgebung zu Strukturieren, um Kostenexplosionen zu vermeiden und um die Umgebung abzusichern.

Solche Richtlinien und Regeln lassen sich mit einem Governance Konzept erstellen und festlegen. So können bereits simple Fragen, wie ein zentrales Namensschema für Azure Services, das Design der Netzwerke oder die maximal erlaubten VM-Größen, geklärt werden. Ein Governance Konzept ist für den gesamten Tenant gedacht und damit Subscriptions übergreifend gültig. Die Subscriptions wiederrum eignen sich um unterschiedliche Kostenstellen zu erfassen oder Projektgrenzen zu definieren.

Bisher war es nicht einfach möglich, zentrale Einstellungen für neue Subscriptions vorzugeben. Dies hat sich mit der Einführung von Azure Blueprints geändert. Mit Azure Blueprints lassen sich zentrale Einstellungen vorgeben, die beim Rollout einer neuen Subscription auf diese angewandt werden. Um Azure Blueprints einsetzen zu können sind Management Groups notwendig. Management Groups geben die Möglichkeit den Azure Tenant aus Organisatorischer Sicht zu strukturieren.

Dieser zweiteilige Beitrag wird zunächst die notwendigen Management Groups als Voraussetzungen von Azure Blueprints erläutern und anschließend die Möglichkeiten von Azure Blueprints und deren Rollout vorstellen.

Contents

Allgemein

Ein Azure Blueprint kann derzeit vier verschiedenen Artefakte enthalten:

  • Richtlinienzuweisung (Azure Policy)
  • ARM Templates
  • Rollenzuweisungen (RBAC)
  • Resource Groups

Azure Blueprints werden von Microsoft über Cosmos DB verwaltet und verteilt repliziert. Um Azure Blueprints im eigenen Tenant bereitzustellen sind Management Groups notwendig. Die Blaupausen werden innerhalb der Management Groups abgelegt und gespeichert.

Management Groups


Hierarchy of management groups and subscriptions by Microsoft Docs

Management Groups sind auf Tenantebene angesiedelt und ermöglichen es eine Hierarchie, vergleichbar mit einer Unternehmenshierarchie, vorzugeben. So lassen sich unterhalb einer Root Management Group verschiedene Abteilungen anlegen, zu denen sich wiederrum bestimmte Subscriptions zuordnen lassen. Auf diese Weise wird z.B. die Organisationsstruktur des Unternehmens abgebildet und die Subscriptions werden der jeweiligen Verwaltungsgruppe als Kostenstelle zugeordnet. Es lassen sich auch andere Modelle abbilden, z.B. Management Groups nach Lokationen oder für Entwicklungsphasen (Dev, Prestage, Prod) usw.

Innerhalb der Management Groups lassen sich Azure Policies festlegen, die auf alle der Management Group zugeordneten Ressourcen angewandt werden. Ebenfalls wird eine Azure Blaupause hier gespeichert. Sobald eine neue Subscription angelegt und einer entsprechenden Management Group zugeordnet wird, die eine Blaupause enthält, werden die vordefinierten Artefakte des Blueprints auf die neu erstellte Subscription angewandt.

Management Group anlegen

Um eine Management Gruppe zu erstellen, suchen wir im Suchfeld nach “Management Group” und rufen die entsprechende Verwaltungsseite auf.Azure Blueprints - Mgmt Group Azure Blueprints – Mgmt Group

Auf der Verwaltungsseite werden uns zunächst keine Verwaltungsgruppen angezeigt.

Azure Blueprints - Mgmt Group Mgmt site
Azure Blueprints – Mgmt Group Mgmt site

Über die Schaltfläche “Start using mangement groups” erstellen wir unsere erste Verwaltungsgruppe im entsprechenden Tenant. Der Name und die ID sind dabei frei wählbar, allerdings ist die ID eindeutig festzulegen und nach der Gruppenerstellung nicht mehr änderbar. Für Produktive Umgebungen rate ich an dieser Stelle eine gewisse Hierarchie Ordnung der Verwaltungsgruppen zu planen und mit einem gewissen Namensschema zu hinterlegen.

Wichtig ist zu verstehen, dass bei der Erstellung der ersten Gruppe eine weitere Gruppe, die sog. Stammverwaltungsgruppe (Tenant Root Group) erzeugt wird. Die neu erstellte Gruppe und alle vorhandenen Subscriptions werden der Stammverwaltungsgruppe untergeordnet. Auf die Stammverwaltungsgruppe kann nicht ohne weiteres zugegriffen werden, hierzu muss selbst der Tenant Administrator über höhere Rechte im AzureAD ausgestattet werden, damit hier Änderungen erfolgen können.

Azure Blueprints - Mgmt Group Add mgmt group
Azure Blueprints – Mgmt Group Add mgmt group

Sobald die erste Verwaltungsgruppe im Portal angelegt wird, werden die bereits vorhandenen Subscriptions ebenfalls angezeigt und als Unterobjekte der bereits genannten Stammverwaltungsgruppe (Tenant Root Group) zugeordnet. Nach Abschluß des Vorgangs erscheint auf der Verwaltungsseite die Management Group mit den zugeordneten Subscriptions.

Azure Blueprints - Mgmt Group First mgmt group and subscription overview
Azure Blueprints – Mgmt Group First mgmt group and subscription overview

Subscription zuordnen

Management Group – Add subscription

Nachdem weitere, selbst definierte Management Groups angelegt wurden, lassen sich die vorhandenen Subscription den entsprechenden Gruppen zuordnen. Dazu wird die vorgesehene Management Group gewählt und anschließend über “Add Subscription” eine Subscription zugeordnet. Auf diese Weise lassen sich zu der Hierarchischen Struktur der Management Groups z.B. die vorhandenen Kostenstellen des Unternehmens zuordnen.

Dies schließt den 1. Teil des Artikels ab. Im nächsten werde ich dann die Möglichkeiten von Azure Blueprints vorstellen, wie diese erstellt und was beim Rollout passiert.

Für Fragen, Verbesserungen oder Kritik meldet euch :

Leave a Reply

Your email address will not be published. Required fields are marked *