Wie Azure Lighthouse effiziente Verwaltung für Dienstanbieter ermöglicht

Veröffentlicht am 11 Juli, 2019

Chief Technology Officer, Microsoft Azure

Erweitern von Azure Resource Manager durch delegierte Ressourcenverwaltung

Heute kündigte Erin Chapple (Corporate Vice President, Microsoft Azure) die allgemeine Verfügbarkeit von Azure Lighthouse an, einer einzigen Steuerungsebene für Dienstanbieter, um Azure für alle ihre Kunden anzuzeigen und zu verwalten. Inspiriert durch Azure-Partner, die weiterhin Infrastructure-as-Code und Automatisierung in ihre Praktiken für verwaltete Dienste integrieren, stellt Azure Lighthouse ein neues delegiertes Ressourcenkonzept vor, das die mandantenübergreifende Verwaltung und den Betrieb vereinfacht.

Granularer Zugriff, bessere Automatisierung und vereinfachtes Onboarding von Kunden

Azure Lighthouse wird durch eine Azure Resource Manager-Funktion ermöglicht, die als delegierte Ressourcenverwaltung bezeichnet wird. Mit delegierter Ressourcenverwaltung können Kunden Berechtigungen bereichsübergreifend an Dienstanbieter delegieren, einschließlich Abonnements, Ressourcengruppen und einzelnen Ressourcen, die es Dienstanbietern ermöglichen, Verwaltungsvorgänge in ihrem Namen durchzuführen. Nachdem Kunden Ressourcen an einen Dienstanbieter delegiert haben, kann der Dienstanbieter den Zugriff auf Benutzer oder Konten im Mandanten des Dienstanbieters innerhalb der vom Kunden festgelegten Einschränkungen mithilfe der Standardmechanismen für rollenbasierte Zugriffssteuerung (RBAC) bereitstellen. Die RBAC-Standardmechanismen funktionieren so, als wären Kundenressourcen Ressourcen in den eigenen Abonnements des Anbieters. Schließlich funktioniert delegierte Ressourcenverwaltung unabhängig vom Lizenzkonstrukt, das Dienstanbieter und ihre Kunden auswählen: Enterprise Agreement (EA), Cloud Solution Provider (CSP) und nutzungsbasierte Bezahlung.

„Delegierte Azure-Ressourcenverwaltung ermöglicht Nordcloud-Kunden einfachen und sicheren Zugriff. Sie vereinfacht das Onboarding neuer Kunden für verwaltete Dienste und stellt sicher, dass unsere hohen Sicherheits- und Compliancestandards eingehalten werden.“

Ilja Summala, Group CTO, Nordcloud

Mandantenübergreifende Verwaltung auf hohem Niveau, mit verbesserter Transparenz und Governance

Delegierte Verwaltung unterstützt in einzigartiger Weise die Verwaltung und Automatisierung von Dienstanbietern, und zwar unabhängig davon, ob es sich um Partner für verwaltete Dienste im Auftrag von Kunden oder um zentrale IT-Teams von Unternehmen mit mehreren Azure-Mandanten handelt. Partner können nun Zehntausende von Ressourcen von Tausenden verschiedener Kunden über ihr eigenes Azure-Portal oder den CLI-Kontext verwalten. Da Kundenressourcen für Dienstanbieter als Azure-Ressourcen in ihrem eigenen Mandanten sichtbar sind, können Dienstanbieter die Statusüberwachung automatisieren und Änderungen an den Ressourcen vieler Kunden von einem einzigen Standort aus erstellen, aktualisieren, ändern und löschen (Create, Update, Change, Delete, CRUD).

Alles, was für die Azure-Ressourcenverwaltung relevant ist – vom Azure-Portal bis hin zu Diensten wie Azure Policy, Resource Graph und der Log Analytics-Funktion von Azure Monitor oder der Updateverwaltung –, kann delegierte Ressourcenverwaltung nutzen. Darüber hinaus können sowohl Kunden als auch Dienstanbieter aus dem Aktivitätsprotokoll ersehen, wer Aktionen für die Ressourcen durchgeführt hat, was die Transparenz für beide Parteien erhöht und die Privatsphäre der einzelnen Dienstanbieteridentitäten schützt. Denn der neu erstellte Ressourcenanbieter „Verwaltete Microsoft-Dienste“ ermöglicht Azure-Diensten die Feststellung, ob ein Aufruf vom Basismandanten einer Ressource oder vom Mandanten eines Dienstanbieters vorgenommen wurde.

Delegierte Ressourcenverwaltung

Unsere Partner haben mehrere Möglichkeiten, wie sie diese neuen Funktionen nutzen können. Da die Portalfunktionen von Azure Lighthouse über entsprechende APIs (PowerShell, Azure CLI, REST-APIs oder Client-SDKs) verfügen, ist es einfach, sie in andere Cloudverwaltungsportale, ITSM-Tools oder Überwachungstools zu integrieren.

Wie unsere Partner Azure Lighthouse verwenden

Beispiele von zwei unserer Expertenpartner, Rackspace und Sentia, unterstreichen die Leistungsfähigkeit von Azure Lighthouse und delegierter Ressourcenverwaltung:

Rackspace optimiert die Sicherheits- und Reaktionsfähigkeiten mit Azure Lighthouse in drei Schritten:

  1. Verwenden von Azure Resource Graph und mandantenübergreifenden Abfragen, um schnell zu erkennen, welche Kunden betroffene Images oder Hosts bereitgestellt haben.
  2. Anwenden einer Überwachungsrichtlinie im Gast für alle verwalteten Standorte von Kunden, um die Hosteinstellungen in Bezug auf Auswirkungen/Sicherheitsrisiko zu überprüfen.
  3. Verwenden der Updateverwaltung, um betroffene Systeme zu melden und gezielte Hotfixes zu planen.

Sentia hat eine CI/CD-Pipeline eingesetzt, um deklarative Azure Resource Manager-Vorlagen für die Bereitstellung von Verwaltungsartefakten bei allen Kunden zu verwenden, die das Azure CSP-Lizenzkonstrukt nutzen. Das Angebot von Sentia für verwaltete Dienste basiert zu 90 Prozent auf Resource Manager-Vorlagen, was die Bereitstellung drastisch vereinfacht und Überwachungs-, Governance- und Verwaltungsaufgaben in großem Umfang und kundenübergreifend automatisiert. 

Kontinuierliche Investitionen in Azure Resource Manager für unsere Partner

Azure Lighthouse und delegierte Ressourcenverwaltung sind nur die neuesten Investitionen in die Plattform, die wir weiterhin für unsere Partner tätigen. Zusammen mit den von Azure verwalteten Anwendungen und benutzerdefinierten Anbietern ermöglichen sie umfassende Verwaltungsfunktionen für Partner und Kunden. Um mehr zu erfahren, sehen Sie sich meine Demo von der Microsoft Build 2019 an. Einige der weiteren Verwaltungsinnovationen, die wir entwickelt haben, sind die folgenden:

  • Partner können mit minimaler Entwicklungszeit mandantenübergreifende Funktionen in ihre Lösungen integrieren, da die Azure Resource Manager-APIs und Azure Resource Graph-Abfragen nun um den Mandantenkontext erweitert werden.
  • Dienstanbieter und ISVs können ihre IP-Adressen nativ innerhalb von Azure über benutzerdefinierte Anbieter erweitern und bereitstellen. Stellen Sie sich vor, Endkunden können Serviceanfragen an Dienstanbieter aus Azure dank der Fähigkeit von benutzerdefinierten Anbietern stellen, die Funktionen von ITSM-Tools nativ in Azure zu integrieren.
  • Kunden können in Azure Marketplace Anwendungen erwerben, die von Partnern entwickelt wurden und die mit einem schlüsselfertigen Verwaltungssystem von Dienstanbietern ausgestattet sind. Die zugrunde liegenden Anwendungsressourcen sind vor dem Kunden geschützt, während sie die neue Benutzeroberfläche für verwaltete Anwendungen verwenden, um sicher mit einer Anwendung zu interagieren. Dienstanbieter erhalten vollen Zugriff auf die Anwendung, um sie zu verwalten, zu aktualisieren und dem Kunden Anwendungsunterstützung über das Center für verwaltete Anwendungen zu bieten.

„Wir freuen uns sehr über die Einführung der neuen Azure Lighthouse-Funktionen in die Backup-as-a-Service-Angebote von Veeam, die eine natürliche Erweiterung unserer cloudbasierten Geschäftsangebote darstellen. Diese Partnerschaft ist eine großartige Gelegenheit für unsere Anbieter verwalteter Dienste, die Backup-as-a-Service-Angebote von Veeam mit Azure Lighthouse einfach zu erweitern, um ihre Azure-Kunden effizient zu verwalten".

Tim FitzGerald, Vice President, North America Cloud, Ingram Micro Inc.

Wenn Azure-as-a-Platform mehr für unsere Partner leistet, können sich unsere Partner besser auf die Bereitstellung differenzierter Dienste und einen höheren Wert für unsere gemeinsamen Kunden konzentrieren. Auf diese Weise erschließen Partner weitere Möglichkeiten in Azure. Wir freuen uns auf Ihr Feedback zu Azure Lighthouse und zur delegierten Ressourcenverwaltung.