Azure 托管應(yīng)用程序概述

使用Azure托管應(yīng)用程序，可以提供可讓使用者輕松部署和操作的云解決方案?？蓪嵤┗A(chǔ)結(jié)構(gòu)并提供持續(xù)支持。若要向所有客戶提供托管應(yīng)用程序，可將其發(fā)布到Azure市場。如果只希望組織中的用戶使用托管應(yīng)用程序，可將其發(fā)布到內(nèi)部目錄。

托管應(yīng)用程序類似于市場中的解決方案模板，但有一個重大差異。在托管應(yīng)用程序中，資源將部署到由應(yīng)用發(fā)布者管理的資源組。資源組在使用者的訂閱中，但發(fā)布者租戶中的標識有權(quán)訪問該資源組。發(fā)布者指定解決方案的持續(xù)支持費用。

備注

以前，Azure自定義提供程序的文檔包含在托管應(yīng)用程序的文檔中。但該文檔現(xiàn)已改變位置?，F(xiàn)在，請參閱Azure自定義提供程序。

托管應(yīng)用程序的優(yōu)點

托管應(yīng)用程序降低了解決方案使用者面臨的壁壘。他們不需要云基礎(chǔ)結(jié)構(gòu)的專業(yè)知識即可使用你的解決方案。使用者對關(guān)鍵資源的訪問權(quán)限有限，在管理時不必擔(dān)心會出錯。

使用托管應(yīng)用程序能夠與使用者建立持續(xù)的關(guān)系?？梢远x有關(guān)管理應(yīng)用程序的條款，所有費用通過Azure計費系統(tǒng)進行處理。

盡管客戶將這些托管應(yīng)用程序部署在他們自己的訂閱中，但不需要維護、更新或修復(fù)這些應(yīng)用程序?？梢源_保所有客戶均使用批準的版本?？蛻舨恍枰囵B(yǎng)應(yīng)用程序特定的域方面的知識就能管理這些應(yīng)用程序?？蛻艨梢宰詣荧@取應(yīng)用程序更新，而無需擔(dān)心如何排查和診斷應(yīng)用程序問題。

IT團隊可以使用托管應(yīng)用程序為組織中的用戶提供預(yù)先批準的解決方案。你知道這些解決方案符合組織標準。

托管應(yīng)用程序支持Azure資源的托管標識。

托管應(yīng)用程序的類型

可在外部或內(nèi)部發(fā)布托管應(yīng)用程序。

服務(wù)目錄

服務(wù)目錄是為組織中的用戶提供的已批準解決方案內(nèi)部目錄?？梢允褂迷撃夸泚泶_保滿足組織標準，同時讓他們?yōu)榻M織提供解決方案。員工可以使用目錄輕松找到IT部門推薦和批準的應(yīng)用程序。他們可以看到組織中其他人員與他們共享的托管應(yīng)用程序。

有關(guān)發(fā)布服務(wù)目錄托管應(yīng)用程序的信息，請參閱創(chuàng)建服務(wù)目錄應(yīng)用程序。

市場

希望為服務(wù)計費的供應(yīng)商可以通過Azure市場提供托管應(yīng)用程序。供應(yīng)商發(fā)布應(yīng)用程序后，該應(yīng)用程序可供組織外部的用戶使用。通過這種方法，托管服務(wù)提供商(MSP)、獨立軟件供應(yīng)商(ISV)和系統(tǒng)集成商(SI)可向所有Azure客戶提供其解決方案。

有關(guān)將托管應(yīng)用程序發(fā)布到市場的信息，請參閱創(chuàng)建市場應(yīng)用程序。

托管應(yīng)用程序的資源組

通常，托管應(yīng)用程序的資源位于兩個資源組中。使用者管理一個資源組，發(fā)布者管理另一個資源組。定義托管應(yīng)用程序時，發(fā)布者可指定訪問級別。發(fā)布者可以請求永久角色分配，也可以請求實時訪問限制在某個時間段內(nèi)的分配。

目前，Azure中的所有數(shù)據(jù)提供程序都不支持限制數(shù)據(jù)操作的訪問。

下圖顯示了發(fā)布者請求托管資源組所有者角色的方案。發(fā)布者在此資源組中針對使用者放置了一個只讀鎖。授予對托管資源組的訪問權(quán)限的發(fā)布者標識不受該鎖控制。

應(yīng)用程序資源組

此資源組保存托管應(yīng)用程序?qū)嵗?。此資源組只能包含一個資源。托管應(yīng)用程序的資源類型為Microsoft.Solutions/applications。

使用者對資源組擁有完全訪問權(quán)限，可以使用它來管理托管應(yīng)用程序的生命周期。

托管資源組

此資源組包含托管應(yīng)用程序所需的所有資源。例如，此資源組包含解決方案的虛擬機、存儲帳戶和虛擬網(wǎng)絡(luò)。使用者對此資源組擁有有限的訪問權(quán)限，因為使用者不會管理托管應(yīng)用程序的單個資源。發(fā)布者對此資源組的訪問權(quán)限對應(yīng)于托管應(yīng)用程序定義中指定的角色。例如，發(fā)布者可以請求此資源組的“所有者”或“參與者”角色。訪問權(quán)限可以是永久性的，也可以限制為特定的時間。

將托管應(yīng)用程序發(fā)布到市場時，發(fā)布者可以授予使用者對托管資源組中的資源執(zhí)行特定操作的能力。例如，發(fā)布者可以指定使用者可以重啟虛擬機。仍拒絕除讀取操作外的其他所有操作。使用者通過已授權(quán)操作對托管資源組中的資源所做的更改受限于使用者租戶的托管資源組范圍內(nèi)的Azure Policy分配。

當使用者刪除托管應(yīng)用程序時，也會一并刪除托管資源組。

Azure Policy

可以應(yīng)用Azure Policy來審核托管應(yīng)用程序?？梢詰?yīng)用策略定義以確保托管應(yīng)用程序的已部署實例滿足數(shù)據(jù)和安全要求。如果應(yīng)用程序與敏感數(shù)據(jù)進行交互，請確保你已評估應(yīng)當如何對該數(shù)據(jù)進行保護。例如，如果應(yīng)用程序與來自Microsoft 365的數(shù)據(jù)進行交互，則可應(yīng)用策略定義來確保啟用數(shù)據(jù)加密。