Tweet
Tạo Management Groups trong Azure: Quản trị nhiều Subscription theo mô hình phân cấp
Khi tổ chức bắt đầu sử dụng nhiều Azure Subscription, bài toán quản trị trở nên phức tạp hơn rất nhiều:
Đây chính là lý do Azure Management Groups ra đời. Azure Management Groups là gì?
Management Group là một lớp quản trị (governance layer) nằm phía trên Subscription trong kiến trúc Azure.
Thay vì quản trị từng subscription riêng lẻ, bạn có thể nhóm nhiều subscriptions vào các "container logic" gọi là Management Groups và áp dụng các quy tắc quản trị ở cấp cao hơn.
Cấu trúc phân cấp thường như sau:
Mô hình này cho phép quản trị theo kiểu hierarchy (cây phân cấp), rất giống organizational structure của doanh nghiệp.
Management Groups mang lại những gì?
1. Tổ chức Azure Subscriptions theo cấu trúc doanh nghiệp
Bạn có thể nhóm subscription theo:
Ví dụ:
Root
└── Corporate
├── Production
│ ├── Subscription-A
│ └── Subscription-B
└── Development
├── Subscription-C
Đây là cách tạo organizational alignment cho toàn bộ Azure estate.
2. Áp Azure Policy trên nhiều subscriptions cùng lúc
Một trong những sức mạnh lớn nhất của Management Group là Policy Inheritance.
Nếu áp policy tại Management Group, toàn bộ:
đều kế thừa chính sách đó.
Ví dụ policy:
Chỉ cho phép tạo Virtual Machine tại:
Nếu policy được áp ở Management Group, tất cả subscription bên dưới đều bị giới hạn region này.
Đây là governance ở quy mô enterprise.
3. Quản lý chi phí (Cost Governance) xuyên subscription
Khi có nhiều subscriptions, chi phí thường bị phân mảnh.
Management Group cho phép:
Đây là nền tảng cho FinOps trong Azure.
4. Hỗ trợ Compliance tập trung
Các chuẩn như:
thường cần enforcement nhất quán.
Management Group cho phép áp:
một lần ở cấp cao nhất. Inheritance hoạt động như thế nào?
Nguyên tắc quan trọng:
Mọi subscription bên trong Management Group sẽ tự động kế thừa các điều kiện áp lên Management Group.
Ví dụ:
Nếu bạn cấu hình:
ở cấp Management Group
thì toàn bộ subscriptions bên dưới tự động nhận policy đó.
Không cần cấu hình lặp lại.
Đây là mô hình "write once, govern many". Một ví dụ thực tế
Giả sử doanh nghiệp có 50 subscriptions.
Bạn tạo:
Root
└── Production MG
└── Non-Production MG
Tại Production MG:
Mọi subscription production phía dưới tự động tuân thủ.
Không cần quản trị thủ công từng subscription. Management Groups và RBAC
Không chỉ policy, Azure RBAC cũng có thể scope ở Management Group.
Ví dụ:
Một lần gán role, áp cho tất cả subscriptions phía dưới.
Đây là delegated administration rất mạnh. Một số giới hạn cần nhớ
Azure hỗ trợ:
Thiết kế hierarchy nên đơn giản, tránh over-engineering. Best Practices khi thiết kế Management Groups
Thường nên thiết kế dựa trên:
Hãy ghi nhớ:
Subscriptions dùng để phân tách billing và resource boundary.
Management Groups dùng để quản trị ở quy mô lớn.
Hai thứ bổ trợ cho nhau. Management Groups = Landing Zone Foundation
Trong Azure Enterprise Landing Zone, Management Groups thường là tầng đầu tiên phải dựng.
Nó là nền cho:
Không có Management Groups, quản trị Azure ở quy mô enterprise rất nhanh trở nên hỗn loạn. Kết luận
Azure Management Groups giúp tổ chức:
Nếu Subscription là đơn vị vận hành,
thì Management Group chính là tầng quản trị chiến lược phía trên.
Trong hành trình học AZ-104 hay triển khai Azure thực tế, đây là khái niệm cực kỳ quan trọng nhưng nhiều người mới thường bỏ qua.
Khi tổ chức bắt đầu sử dụng nhiều Azure Subscription, bài toán quản trị trở nên phức tạp hơn rất nhiều:
- Làm sao kiểm soát quyền truy cập tập trung?
- Làm sao áp chính sách bảo mật đồng nhất?
- Làm sao theo dõi chi phí theo từng phòng ban hoặc đơn vị kinh doanh?
- Làm sao đảm bảo compliance xuyên suốt toàn bộ môi trường Azure?
Đây chính là lý do Azure Management Groups ra đời. Azure Management Groups là gì?
Management Group là một lớp quản trị (governance layer) nằm phía trên Subscription trong kiến trúc Azure.
Thay vì quản trị từng subscription riêng lẻ, bạn có thể nhóm nhiều subscriptions vào các "container logic" gọi là Management Groups và áp dụng các quy tắc quản trị ở cấp cao hơn.
Cấu trúc phân cấp thường như sau:
- Root Management Group
- Management Group cấp doanh nghiệp (Corporate)
- Management Group theo bộ phận (Production, Dev, Security…)
- Azure Subscriptions
- Resource Groups
- Resources
Mô hình này cho phép quản trị theo kiểu hierarchy (cây phân cấp), rất giống organizational structure của doanh nghiệp.
Management Groups mang lại những gì?
1. Tổ chức Azure Subscriptions theo cấu trúc doanh nghiệp
Bạn có thể nhóm subscription theo:
- Phòng ban (Finance, HR, IT)
- Môi trường (Dev, Test, Production)
- Khu vực địa lý (US, Europe, Asia)
- Đơn vị kinh doanh (Business Units)
Ví dụ:
Root
└── Corporate
├── Production
│ ├── Subscription-A
│ └── Subscription-B
└── Development
├── Subscription-C
Đây là cách tạo organizational alignment cho toàn bộ Azure estate.
2. Áp Azure Policy trên nhiều subscriptions cùng lúc
Một trong những sức mạnh lớn nhất của Management Group là Policy Inheritance.
Nếu áp policy tại Management Group, toàn bộ:
- Management groups con
- Subscriptions con
- Resource Groups
- Resources
đều kế thừa chính sách đó.
Ví dụ policy:
Chỉ cho phép tạo Virtual Machine tại:
- East US
- West Europe
Nếu policy được áp ở Management Group, tất cả subscription bên dưới đều bị giới hạn region này.
Đây là governance ở quy mô enterprise.
3. Quản lý chi phí (Cost Governance) xuyên subscription
Khi có nhiều subscriptions, chi phí thường bị phân mảnh.
Management Group cho phép:
- Gắn budget cho nhóm subscriptions
- Phân tích cost theo business unit
- Báo cáo chi phí theo tổ chức
- Áp recommendations tối ưu chi phí
Đây là nền tảng cho FinOps trong Azure.
4. Hỗ trợ Compliance tập trung
Các chuẩn như:
- ISO 27001
- PCI-DSS
- HIPAA
- CIS Benchmark
thường cần enforcement nhất quán.
Management Group cho phép áp:
- Azure Policy initiatives
- Security baseline
- Compliance controls
một lần ở cấp cao nhất. Inheritance hoạt động như thế nào?
Nguyên tắc quan trọng:
Mọi subscription bên trong Management Group sẽ tự động kế thừa các điều kiện áp lên Management Group.
Ví dụ:
Nếu bạn cấu hình:
- Allowed Locations Policy
- Mandatory Tagging Policy
- Deny Public IP Policy
ở cấp Management Group
thì toàn bộ subscriptions bên dưới tự động nhận policy đó.
Không cần cấu hình lặp lại.
Đây là mô hình "write once, govern many". Một ví dụ thực tế
Giả sử doanh nghiệp có 50 subscriptions.
Bạn tạo:
Root
└── Production MG
└── Non-Production MG
Tại Production MG:
- Chỉ cho phép region Canada Central
- Bắt buộc mã hóa Storage Accounts
- Cấm tạo Public IP
- Gắn budget 50,000 USD
Mọi subscription production phía dưới tự động tuân thủ.
Không cần quản trị thủ công từng subscription. Management Groups và RBAC
Không chỉ policy, Azure RBAC cũng có thể scope ở Management Group.
Ví dụ:
- Security Team có quyền Reader toàn bộ Production MG
- Cloud Ops có Contributor trên Dev MG
- Finance chỉ được xem cost data
Một lần gán role, áp cho tất cả subscriptions phía dưới.
Đây là delegated administration rất mạnh. Một số giới hạn cần nhớ
Azure hỗ trợ:
- Tối đa 10,000 management groups trong một directory
- 6 cấp lồng nhau (không tính root và subscription level)
Thiết kế hierarchy nên đơn giản, tránh over-engineering. Best Practices khi thiết kế Management Groups
Thường nên thiết kế dựa trên:
- Governance boundary trước, không phải organizational chart đơn thuần
- Tách Production và Non-Production
- Dùng Policy ở Management Group thay vì từng subscription
- Dùng naming convention rõ ràng
- Áp least privilege qua RBAC
Hãy ghi nhớ:
Subscriptions dùng để phân tách billing và resource boundary.
Management Groups dùng để quản trị ở quy mô lớn.
Hai thứ bổ trợ cho nhau. Management Groups = Landing Zone Foundation
Trong Azure Enterprise Landing Zone, Management Groups thường là tầng đầu tiên phải dựng.
Nó là nền cho:
- Policy-as-Code
- Security Baselines
- Cost Control
- Compliance Automation
- Multi-subscription Governance
Không có Management Groups, quản trị Azure ở quy mô enterprise rất nhanh trở nên hỗn loạn. Kết luận
Azure Management Groups giúp tổ chức:
- Gom nhiều subscriptions theo phân cấp
- Áp policy tập trung với inheritance
- Quản lý chi phí và budget xuyên subscription
- Đảm bảo compliance quy mô doanh nghiệp
- Phân quyền RBAC nhất quán
Nếu Subscription là đơn vị vận hành,
thì Management Group chính là tầng quản trị chiến lược phía trên.
Trong hành trình học AZ-104 hay triển khai Azure thực tế, đây là khái niệm cực kỳ quan trọng nhưng nhiều người mới thường bỏ qua.
Attached Files