设计决策:Azure 特定注意事项
Azure 帐户用于整合账单,但不能直接包含 Azure 资源。Azure 帐户包含一个或多个订阅。订阅充当安全边界,它们包含实际的 Azure 资源,例如虚拟机。
订阅是与Microsoft 签订的使用一个或多个Microsoft 云平台或服务的协议。费用根据每位用户的许可费或基于云的资源消耗量计算。订阅可用于根据需要进一步细分成本或管理访问权限。
管理组在 Azure 中用于高效管理订阅的访问权限、策略、治理和合规性。它们对于在 Azure 中大规模运营多订阅租户来说是非常宝贵的。每个订阅都会自动继承其父管理组的条件、策略和访问权限。
以下是您需要回答的有关 Azure 基础结构的问题
我需要多少个 Azure 租户?
为 Citrix 资源以及访问这些资源的用户和设备使用单个 Azure 租户
在需要多个 Azure 活动目录的情况下使用多个租户。具有单独身份验证目录的开发/测试或具有多个本地 AD 目录服务的企业是两个示例。
Azure 帐户所有者必须与置备帐户订阅的同一租户相关联
Azure 帐户所有者自动成为帐户中所有订阅的订阅所有者
我应该使用哪种Microsoft 许可证模式?
应用当前 EA 许可证的混合使用权益 (HUB)(如果它包含 Windows Server 软件保障)。HUB 显著降低了云计算成本。这种许可模式可以为您节省高达 40% 的小时费用,因为您可以在 Azure 中使用 Windows Server 或 SQL Server 实例的基本虚拟机定价。
如果使用 Microsoft Office 套件,请使用包含 Windows 10 虚拟桌面许可证的按用户许可证,例如 E3/E5 订阅
- Microsoft 365 E3/E5:包括 Azure 虚拟桌面许可证和Microsoft Office 许可证
- Microsoft 365 商业版高级版:包括 Azure 虚拟桌面许可证和Microsoft Office 许可证
- Windows 10 企业版 E3/E5:包括 Azure 虚拟桌面许可证
我需要多少个 Azure 订阅?
同一管理组中的所有订阅必须信任同一 Azure Active Directory 租户
订阅一次只能与一个账户关联,并且必须具有关联的账户所有者
订阅无法共享网络,但可以通过 VNET 对等互连和 Azure ExpressRoute 进行通信
订阅是 Azure 策略、管理、治理和管理的界限,因此请为具有单独管理或计费要求的业务部门规划订阅
多次订阅可减少爆炸半径和曝光率,以防凭据被泄露
计划将开发和测试订阅与生产订阅隔离开来,以提供额外的性能、安全性、监管和合规性
某些环境(如生产和用户验收测试或预生产)可以在单个订阅中共享
专门订阅 Citrix 工作负载可简化管理和策略管理
Citrix 建议将订阅限制为 2,500 个虚拟交付代理 (VDA)
将订阅用作缩放单位,并根据需要向外扩展以支持所需的资源
我需要多少个管理组?
订阅一次只能属于一个管理组
管理组与单个父组相关联
管理组最多可以有 6 个级别的深度,Microsoft 建议尽可能保持管理组层次结构平整
管理组用于策略,而不用于账单或业务线组。根据策略要求(如实例类型、防火墙规则、日志记录、存储、加密、RBAC 模型等)创建管理组
限制管理组根目录下的 Azure 策略分配的数量,而不是将其放置在单个管理组中
Citrix 建议为 Citrix 工作负载订阅创建管理组
管理组用于聚合 Azure 策略,因此将具有相似策略要求的订阅分组到同一个管理组下
使用 Azure 策略可以引用的资源标签
要使 Citrix Cloud 在 Azure 云中连接和部署计算机目录,需要服务主体帐户。该帐户需要正确的权限才能在每个订阅中创建、删除和维护 Citrix 资源。服务主体帐户是通过 Azure AD 租户中的应用程序注册创建的。服务主体帐户的创建可以由 Citrix 自动创建,也可以由 Azure AD 全局管理员手动创建。
如果运行 Citrix 主机连接向导的用户具有订阅的参与者权限,则 Citrix 可以自动完成服务主体对象的创建。在主机连接设置期间,向导会请求所有必需的权限,包括订阅的参与者权限,并保留该权限以备将来的连接使用。
对安全敏感的环境不允许服务主体在订阅级别拥有参与者权限。Citrix 提供了一种替代解决方案,称为窄范围服务主体。Azure AD 全局管理员需要手动创建应用程序注册。然后,订阅管理员手动授予服务主体帐户适当的权限。范围狭窄的服务主体对整个 订阅没有参与者权限。它们的权限范围仅限于创建和管理计算机目录所需的资源组、网络和映像。
以下是您需要回答的有关服务主体账户的问题:
我应该使用订阅范围的服务委托人账户吗?
需要 Azure AD 全局管理员权限
整个订阅的参与者角色将自动创建,Azure 将在初始连接时提示权限批准
在信息安全允许向服务主体帐户授予整个订阅的参与者权限,并且 Citrix 管理员具有订阅的参与者访问权限时使用
在创建主机连接期间用于身份验证的帐户必须至少是订阅的共同管理员和 Azure Active Directory 的成员
当订阅专用 Citrix 资源或环境将包含许多资源组时推荐使用
在需要简单的管理体验时使用
在使用 Citrix Studio 而不是 PowerShell 管理环境时使用
在概念验证部署期间首选
我应该使用窄范围的服务主体吗?
窄范围服务主体由 Azure AD 全局管理员手动创建
在运行计算机目录“添加计算机”向导之前,必须预先创建目标资源组并授予以下权限:
- 预先创建的资源组:虚拟机贡献者、存储帐户贡献者和磁盘快照贡献者
- 虚拟网络:虚拟机贡献者
- 存储帐户:虚拟机贡献者
当资源组的数量可通过 Azure 控制台或通过自动化进行管理时推荐使用
推荐用于权限受到严格控制且普遍采用细粒度访问控制的更高安全性环境
在订阅无法专用 Citrix 资源且托管其他服务时推荐使用
当 Azure 管理员根据角色具有不同的订阅权限时推荐使用
对于较大的环境,请考虑使用构建脚本或 ARM 模板预先创建资源组并授予所需的 权限
我应该为服务主体使用自定义角色吗?
Citrix 建议在使用多个订阅时 使用自定义角色来设置服务主体的权限
Microsoft 建议通过 Azure 策略在管理组级别设置角色权限
其他资源链接
Citrix 提示:Azure 上的 Citrix-企业级着陆区-第 2 部分
企业协议注册和 Azure Active Directory 租户
Azure Active Directory 中的应用程序和服务主体对象