Azure 托管應(yīng)用程序概述

使用Azure托管應(yīng)用程序，可以提供可讓使用者輕松部署和操作的云解決方案?？蓪?shí)施基礎(chǔ)結(jié)構(gòu)并提供持續(xù)支持。若要向所有客戶提供托管應(yīng)用程序，可將其發(fā)布到Azure市場(chǎng)。如果只希望組織中的用戶使用托管應(yīng)用程序，可將其發(fā)布到內(nèi)部目錄。

托管應(yīng)用程序類似于市場(chǎng)中的解決方案模板，但有一個(gè)重大差異。在托管應(yīng)用程序中，資源將部署到由應(yīng)用發(fā)布者管理的資源組。資源組在使用者的訂閱中，但發(fā)布者租戶中的標(biāo)識(shí)有權(quán)訪問(wèn)該資源組。發(fā)布者指定解決方案的持續(xù)支持費(fèi)用。

備注

以前，Azure自定義提供程序的文檔包含在托管應(yīng)用程序的文檔中。但該文檔現(xiàn)已改變位置?，F(xiàn)在，請(qǐng)參閱Azure自定義提供程序。

托管應(yīng)用程序的優(yōu)點(diǎn)

托管應(yīng)用程序降低了解決方案使用者面臨的壁壘。他們不需要云基礎(chǔ)結(jié)構(gòu)的專業(yè)知識(shí)即可使用你的解決方案。使用者對(duì)關(guān)鍵資源的訪問(wèn)權(quán)限有限，在管理時(shí)不必?fù)?dān)心會(huì)出錯(cuò)。

使用托管應(yīng)用程序能夠與使用者建立持續(xù)的關(guān)系?？梢远x有關(guān)管理應(yīng)用程序的條款，所有費(fèi)用通過(guò)Azure計(jì)費(fèi)系統(tǒng)進(jìn)行處理。

盡管客戶將這些托管應(yīng)用程序部署在他們自己的訂閱中，但不需要維護(hù)、更新或修復(fù)這些應(yīng)用程序?？梢源_保所有客戶均使用批準(zhǔn)的版本?？蛻舨恍枰囵B(yǎng)應(yīng)用程序特定的域方面的知識(shí)就能管理這些應(yīng)用程序。客戶可以自動(dòng)獲取應(yīng)用程序更新，而無(wú)需擔(dān)心如何排查和診斷應(yīng)用程序問(wèn)題。

IT團(tuán)隊(duì)可以使用托管應(yīng)用程序?yàn)榻M織中的用戶提供預(yù)先批準(zhǔn)的解決方案。你知道這些解決方案符合組織標(biāo)準(zhǔn)。

托管應(yīng)用程序支持Azure資源的托管標(biāo)識(shí)。

托管應(yīng)用程序的類型

可在外部或內(nèi)部發(fā)布托管應(yīng)用程序。

服務(wù)目錄

服務(wù)目錄是為組織中的用戶提供的已批準(zhǔn)解決方案內(nèi)部目錄?？梢允褂迷撃夸泚?lái)確保滿足組織標(biāo)準(zhǔn)，同時(shí)讓他們?yōu)榻M織提供解決方案。員工可以使用目錄輕松找到IT部門推薦和批準(zhǔn)的應(yīng)用程序。他們可以看到組織中其他人員與他們共享的托管應(yīng)用程序。

有關(guān)發(fā)布服務(wù)目錄托管應(yīng)用程序的信息，請(qǐng)參閱創(chuàng)建服務(wù)目錄應(yīng)用程序。

市場(chǎng)

希望為服務(wù)計(jì)費(fèi)的供應(yīng)商可以通過(guò)Azure市場(chǎng)提供托管應(yīng)用程序。供應(yīng)商發(fā)布應(yīng)用程序后，該應(yīng)用程序可供組織外部的用戶使用。通過(guò)這種方法，托管服務(wù)提供商(MSP)、獨(dú)立軟件供應(yīng)商(ISV)和系統(tǒng)集成商(SI)可向所有Azure客戶提供其解決方案。

有關(guān)將托管應(yīng)用程序發(fā)布到市場(chǎng)的信息，請(qǐng)參閱創(chuàng)建市場(chǎng)應(yīng)用程序。

托管應(yīng)用程序的資源組

通常，托管應(yīng)用程序的資源位于兩個(gè)資源組中。使用者管理一個(gè)資源組，發(fā)布者管理另一個(gè)資源組。定義托管應(yīng)用程序時(shí)，發(fā)布者可指定訪問(wèn)級(jí)別。發(fā)布者可以請(qǐng)求永久角色分配，也可以請(qǐng)求實(shí)時(shí)訪問(wèn)限制在某個(gè)時(shí)間段內(nèi)的分配。

目前，Azure中的所有數(shù)據(jù)提供程序都不支持限制數(shù)據(jù)操作的訪問(wèn)。

下圖顯示了發(fā)布者請(qǐng)求托管資源組所有者角色的方案。發(fā)布者在此資源組中針對(duì)使用者放置了一個(gè)只讀鎖。授予對(duì)托管資源組的訪問(wèn)權(quán)限的發(fā)布者標(biāo)識(shí)不受該鎖控制。

應(yīng)用程序資源組

此資源組保存托管應(yīng)用程序?qū)嵗?。此資源組只能包含一個(gè)資源。托管應(yīng)用程序的資源類型為Microsoft.Solutions/applications。

使用者對(duì)資源組擁有完全訪問(wèn)權(quán)限，可以使用它來(lái)管理托管應(yīng)用程序的生命周期。

托管資源組

此資源組包含托管應(yīng)用程序所需的所有資源。例如，此資源組包含解決方案的虛擬機(jī)、存儲(chǔ)帳戶和虛擬網(wǎng)絡(luò)。使用者對(duì)此資源組擁有有限的訪問(wèn)權(quán)限，因?yàn)槭褂谜卟粫?huì)管理托管應(yīng)用程序的單個(gè)資源。發(fā)布者對(duì)此資源組的訪問(wèn)權(quán)限對(duì)應(yīng)于托管應(yīng)用程序定義中指定的角色。例如，發(fā)布者可以請(qǐng)求此資源組的“所有者”或“參與者”角色。訪問(wèn)權(quán)限可以是永久性的，也可以限制為特定的時(shí)間。

將托管應(yīng)用程序發(fā)布到市場(chǎng)時(shí)，發(fā)布者可以授予使用者對(duì)托管資源組中的資源執(zhí)行特定操作的能力。例如，發(fā)布者可以指定使用者可以重啟虛擬機(jī)。仍拒絕除讀取操作外的其他所有操作。使用者通過(guò)已授權(quán)操作對(duì)托管資源組中的資源所做的更改受限于使用者租戶的托管資源組范圍內(nèi)的Azure Policy分配。

當(dāng)使用者刪除托管應(yīng)用程序時(shí)，也會(huì)一并刪除托管資源組。

Azure Policy

可以應(yīng)用Azure Policy來(lái)審核托管應(yīng)用程序?？梢詰?yīng)用策略定義以確保托管應(yīng)用程序的已部署實(shí)例滿足數(shù)據(jù)和安全要求。如果應(yīng)用程序與敏感數(shù)據(jù)進(jìn)行交互，請(qǐng)確保你已評(píng)估應(yīng)當(dāng)如何對(duì)該數(shù)據(jù)進(jìn)行保護(hù)。例如，如果應(yīng)用程序與來(lái)自Microsoft 365的數(shù)據(jù)進(jìn)行交互，則可應(yīng)用策略定義來(lái)確保啟用數(shù)據(jù)加密。