Tweet
Azure Management Groups: Khi nào nên dùng và triển khai ra sao?
Khi doanh nghiệp chỉ có một Azure Subscription, việc quản trị thường khá đơn giản. Nhưng khi số lượng subscription tăng lên theo phòng ban, dự án, môi trường hoặc chi nhánh, việc quản lý quyền truy cập, chính sách bảo mật, compliance và chi phí sẽ trở nên phức tạp hơn rất nhiều.
Đây là lúc Azure Management Groups phát huy vai trò.
Management Group là cấp quản trị nằm phía trên Azure Subscription. Thay vì cấu hình policy, RBAC hoặc governance riêng lẻ trên từng subscription, chúng ta có thể gom nhiều subscription vào một management group, sau đó áp dụng điều kiện quản trị ở cấp cao hơn.
Ví dụ: doanh nghiệp có nhiều subscription cho Production, Development, Testing và Security. Thay vì cấu hình Azure Policy trên từng subscription, quản trị viên có thể tạo Management Group theo cấu trúc tổ chức, sau đó áp policy ở cấp management group. Các subscription bên dưới sẽ tự động kế thừa chính sách đó.
Một số điểm kỹ thuật cần nhớ:
Management Group có thể được tạo bằng Azure Portal, PowerShell hoặc Azure CLI.
Hiện tại không thể tạo Management Group bằng ARM Template.
Management Group ID là định danh duy nhất trong Azure directory. ID này không thể đổi sau khi tạo, vì vậy cần đặt tên cẩn thận ngay từ đầu.
Display Name là tên hiển thị trong Azure Portal. Tên này có thể thay đổi sau này.
Vậy có nên dùng Management Groups không?
Câu trả lời là có, nếu tổ chức của bạn có nhiều Azure subscriptions hoặc có kế hoạch mở rộng cloud governance trong tương lai.
Một mô hình triển khai phổ biến có thể như sau:
Root Management Group
Dùng làm cấp cao nhất trong tenant.
Platform Management Group
Dành cho các subscription hạ tầng dùng chung như networking, identity, security, monitoring.
Landing Zones Management Group
Dành cho các workload chính của doanh nghiệp.
Production Management Group
Dành cho các hệ thống chạy thật.
Non-Production Management Group
Dành cho môi trường dev, test, staging.
Sandbox Management Group
Dành cho môi trường thử nghiệm, học tập hoặc lab.
Với cách tổ chức này, doanh nghiệp có thể áp dụng chính sách theo từng cấp. Ví dụ:
Production chỉ cho phép deploy tài nguyên ở một số Azure Region được phê duyệt.
Sandbox bị giới hạn ngân sách và loại VM được phép tạo.
Security policy được áp dụng từ cấp cao để tất cả subscription bên dưới tự động kế thừa.
Đối với người học AZ-104 hoặc người mới làm Azure Administrator, hãy hiểu Management Group như một công cụ quản trị tập trung cho nhiều subscription. Đây là nền tảng quan trọng của Cloud Governance trong Azure, đặc biệt khi doanh nghiệp bắt đầu mở rộng hệ thống cloud ở quy mô lớn.
Khi doanh nghiệp chỉ có một Azure Subscription, việc quản trị thường khá đơn giản. Nhưng khi số lượng subscription tăng lên theo phòng ban, dự án, môi trường hoặc chi nhánh, việc quản lý quyền truy cập, chính sách bảo mật, compliance và chi phí sẽ trở nên phức tạp hơn rất nhiều.
Đây là lúc Azure Management Groups phát huy vai trò.
Management Group là cấp quản trị nằm phía trên Azure Subscription. Thay vì cấu hình policy, RBAC hoặc governance riêng lẻ trên từng subscription, chúng ta có thể gom nhiều subscription vào một management group, sau đó áp dụng điều kiện quản trị ở cấp cao hơn.
Ví dụ: doanh nghiệp có nhiều subscription cho Production, Development, Testing và Security. Thay vì cấu hình Azure Policy trên từng subscription, quản trị viên có thể tạo Management Group theo cấu trúc tổ chức, sau đó áp policy ở cấp management group. Các subscription bên dưới sẽ tự động kế thừa chính sách đó.
Một số điểm kỹ thuật cần nhớ:
Management Group có thể được tạo bằng Azure Portal, PowerShell hoặc Azure CLI.
Hiện tại không thể tạo Management Group bằng ARM Template.
Management Group ID là định danh duy nhất trong Azure directory. ID này không thể đổi sau khi tạo, vì vậy cần đặt tên cẩn thận ngay từ đầu.
Display Name là tên hiển thị trong Azure Portal. Tên này có thể thay đổi sau này.
Vậy có nên dùng Management Groups không?
Câu trả lời là có, nếu tổ chức của bạn có nhiều Azure subscriptions hoặc có kế hoạch mở rộng cloud governance trong tương lai.
Một mô hình triển khai phổ biến có thể như sau:
Root Management Group
Dùng làm cấp cao nhất trong tenant.
Platform Management Group
Dành cho các subscription hạ tầng dùng chung như networking, identity, security, monitoring.
Landing Zones Management Group
Dành cho các workload chính của doanh nghiệp.
Production Management Group
Dành cho các hệ thống chạy thật.
Non-Production Management Group
Dành cho môi trường dev, test, staging.
Sandbox Management Group
Dành cho môi trường thử nghiệm, học tập hoặc lab.
Với cách tổ chức này, doanh nghiệp có thể áp dụng chính sách theo từng cấp. Ví dụ:
Production chỉ cho phép deploy tài nguyên ở một số Azure Region được phê duyệt.
Sandbox bị giới hạn ngân sách và loại VM được phép tạo.
Security policy được áp dụng từ cấp cao để tất cả subscription bên dưới tự động kế thừa.
Đối với người học AZ-104 hoặc người mới làm Azure Administrator, hãy hiểu Management Group như một công cụ quản trị tập trung cho nhiều subscription. Đây là nền tảng quan trọng của Cloud Governance trong Azure, đặc biệt khi doanh nghiệp bắt đầu mở rộng hệ thống cloud ở quy mô lớn.
Attached Files