Azure租户和Azure订阅之间有什么区别?

9w11ddsr  于 2022-11-17  发布在  其他
关注(0)|答案(8)|浏览(285)

我很难区分Azure订阅和Azure租户有何不同?我曾尝试通过示例来弄清楚,但每次我都得出结论,它们在某种程度上是相同的东西?如果租户是组织在注册Microsoft云服务时接收并拥有的Azure AD服务的专用示例,那么这不也是订阅吗?

siv3szwd

siv3szwd1#

基本了解:

  • 承租人与单个身份(个人、公司或组织)关联,可以拥有一个或多个订阅
  • 订阅与付款设置相关联,每个订阅都将产生单独的账单
  • 在每个订阅中,您都可以添加虚拟资源(虚拟机、存储、网络等)

此外:

  • 每个租户都链接到一个Azure AD示例,该示例与所有租户的订阅共享
  • 一个订阅中的资源与其他订阅中的资源隔离
  • 租户的所有者可以决定拥有多个订阅:
  • 当达到Subscriptions limits
  • 使用不同的付款方式
  • 以隔离不同部门、项目、区域办事处等之间的资源。

示例1:

Contoso决定让租户拥有2个订阅:

  • 使用信用卡A为生产部门订购一次
  • 使用信用卡B为开发部门订阅一次

(but也可以是与另一个订阅的信用卡相同的信用卡)
在本例中,两个部门共享同一个Azure AD数据库。但是,部门之间的资源是隔离的,预算也可以分开。

示例2:

一家控股公司决定拥有两个租户:

  • 子公司Contoso有一个租户,开发和生产有一个订阅
  • 子公司Fabrikam的一个租户,一个订阅用于开发,另一个订阅用于生产

在此示例中,两家公司都有不同的Azure AD数据库。

示例3:

你有一个租客为你的个人训练。
在此租户中,您可以拥有:

  • 一个免费Azure订阅(链接到信用卡但不收费,在免费试用后可转换为即付即用订阅)
  • 一个或多个即付即用订阅(链接到不同的信用卡)
  • 一个或多个Azure Pass赞助订阅,未链接到任何信用卡,因为这些订阅是在Microsoft培训期间获得的
  • 一个Visual Studio订阅(链接到信用卡),并且具有与免费订阅不同的配额(免费资源)

尽管所有这些订阅都有独立的资源(每个订阅),并且有些是免费的,而你必须为其他订阅付费,但所有订阅都共享同一个Azure AD数据库。

klr1opcd

klr1opcd2#

Azure租户是一个目录。Azure订阅是一个对象,表示可以将资源放入其中的“文件夹”。订阅与租户绑定。因此,一个租户可以拥有多个订阅,但反之亦然。
链接:
https://learn.microsoft.com/en-us/azure/azure-subscription-service-limits

nc1teljy

nc1teljy3#

它有助于采取一个场景:
假设您首次登录portal.azure.com并创建了一个免费的层级帐户。
当您登录Azure时,您拥有与您的帐户关联的单一租户ID,除非您要求Microsoft删除您的帐户,否则该ID不会更改(这不是您的Azure域用户,而是您的Microsoft订阅帐户-例如bob@gmail.com)。
您将只有1个订阅,除非您已购买或管理其他订阅(通过使用“转移计费所有权”功能),然后它们将全部列在订阅下。
您将对与您的租户ID关联的所有“资源”拥有完全访问权限。这些资源可以是您自己Azure“目录”的一部分,也可以来自其他人授予您访问权限的其他域。
您最多可以创建20个目录,并且您最多可以属于500个目录。
当您拥有订阅(例如免费帐户)时,您将拥有订阅的“根”的完全权限-例如,如果您单击右上角的姓名并选择“...〉您的权限”,您将看到类似以下内容:您的帐户“YOURACCOUNT@gmail.com”已被分配为“用户访问管理员”角色(类型为BuiltInRole),并且具有访问scope /的权限。
您的资源具有基于角色的访问控制,您(订阅所有者)可以将这些控制分配给Azure Active Directory(或其他受信任目录)中的其他用户。
默认情况下,对于新订阅,将为帐户管理员分配“服务管理员”权限。这"高于" RBAC角色-每个订阅只能有一个服务管理员。在RBAC术语中,这是“所有者”。
更多积分:
一个租户可以有多个AD目录,但一个目录只能有一个租户。

  • 建议仅维护一个租户,并从该租户管理您的所有AD域,否则域之间的用户体验将无法实现无缝。
  • 租户与AD资源直接关联-如果您将鼠标移到右上角的用户名上,您将看到您连接到的AD域和一个长字母数字字符串-这与AD〉属性中的字符串相同。
  • 如果您切换到另一个目录(假设您有一个),您的订阅名称(bob@gmail.com)不会更改,但租户ID将不同。

参考文献:
https://learn.microsoft.com/en-us/azure/role-based-access-control/rbac-and-directory-admin-roles
https://marckean.com/2016/06/01/azure-vs-azure-ad-accounts-tenants-subscriptions/
https://blogit.create.pt/miguelisidoro/2019/01/07/pros-and-cons-of-single-tenant-vs-multiple-tenants-in-office-365/

hmae6n7t

hmae6n7t4#

这份MS文档已经很好地解释了一切-Subscriptions, licenses, accounts, and tenants for Microsoft's cloud offerings
引自文档中的层次结构摘要部分:
这里是一个快速回顾:
一个组织可以有多个订阅

  • 一个订阅可以有多个许可证
  • 许可证可以分配给单个用户帐户
  • 用户帐户存储在Azure AD租户中

后来在同一节中说:
多个Microsoft云产品订阅可以使用充当通用身份提供程序的同一Azure AD租户。包含内部部署AD DS的同步帐户的中央Azure AD租户为组织提供基于云的身份即服务(IDaaS)。
让我们通过一个真实的例子来理解这一切。假设我是一家名为FooBar的公司的所有者,该公司生产软件产品。现在,我将为我的公司设置Azure基础架构:
1.我将使用我的电子邮件ID创建Azure帐户。

  • 然后为管理公司的员工,我创建了下面提到的Azure活动目录(AAD又名租户)在我的Azure帐户:
    *永久Aad
    *阿德霍卡德

所有全职员工(FTE)的用户帐户将添加到PermanentAadAAD,所有临时或合同员工将添加到AdhocAadAAD。

  • 同样地,我希望分别管理临时员工和全职员工的计费。因此,我创建了两个订阅,即PermanenetSubAdhocSub。我将在PermanentAadPermanentSub之间设置信任关系。AdhocAadAdhocSub也是如此。因此,当任何全职员工创建Azure资源(例如虚拟机)时(VM),则该VM的成本将添加到PermanentSub订阅的总账单中。
  • 现在是许可部分。许可证授权用户在Azure中执行操作,例如创建资源、虚拟机等。我可以向FTE给予Enterprise Mobility + Security E5许可证,以便他可以创建虚拟机来测试任何内容。

总结一下:

  • 如果要在Azure中工作,则需要Azure帐户。若要创建Azure帐户,则需要有效的电子邮件ID。
  • 如果你要添加将成为你的IT基础架构一部分的人员/员工或计算机/设备,则需要一个租户/AAD。默认情况下,在创建Azure帐户时,你会获得一个租户/AAD。如果需要任何类型的逻辑分隔,你可以创建更多租户/AAD。AAD服务是跨Azure中所有位置的全局服务,它管理我们的所有AAD示例。AAD也称为Azure Active DirectoryAADAzure AD示例AAD示例Azure AD租户AAD租户,简单地说就是租户组织等。它们都表示 * 相同 *。因此:
    组织==租户==Azure活动目录

1.如果你需要对Azure帐户的用户进行逻辑分隔计费,则需要多个订阅。默认情况下,当你创建新Azure帐户时,你会获得一个订阅。订阅可以是以下列表中的四种类型:
1.免费
1.即付即用
1.企业协议
1.云解决方案提供商
1.如果你想让用户能够执行操作,那么你可以颁发许可证,例如能够创建VM或Azure应用服务的许可证。另请记住,许可证和基于角色的访问控制(RBAC)是 * 不 * 相同的,尽管两者都能让你在Azure门户中执行操作。但它们有不同的细微差别,你可以自己探索。
下图总结了上面的解释。我从我在回答开始时提到的同一个文档-Subscriptions, licenses, accounts, and tenants for Microsoft's cloud offerings中提取了它
引用文档中的用户帐户部分:

因此,组织的所有用户帐户和设备都驻留在一个通用Azure AD租户/示例中。

t40tm48m

t40tm48m5#

添加更多现有答案租户是一个域,如果这些是某个公司的电子邮件地址,user@exampledomain.com admin@exampledomain.com
承租人可以被识别为“exampledomain”,在一个实际的场景中,您可以针对公司或客户创建承租人。
订阅类似于另一个逻辑高级别分组。例如,您可以为同一租户中使用的每个环境创建订阅。例如,exampledomain.com租户可以拥有开发、QA和生产订阅。这些订阅将根据您接受的计划单独计费

9njqaruj

9njqaruj6#

简单地说,Azure AD的示例是组织在与Microsoft建立关系(例如注册Azure、Microsoft Intune或Microsoft 365)时收到的内容。
租户类似于内部部署环境中的林。
Active Directory林(AD林)是Active Directory配置中最顶层的逻辑容器,其中包含域、用户、计算机和组策略

wswtfjt7

wswtfjt77#

将租户视为在Azure中注册的用户/域实体。租户是Azure“客户”-将在Azure目录中注册的唯一实体。订阅是对资源进行分组的操作级别。租户拥有订阅。租户是一种非常有用的方法,在我看来,AWS中缺少这种方法。

nuypyhwy

nuypyhwy8#

以下是对关键术语及其之间关系的简要说明。
它们都来源于Microsoft官方文档。

  • 科目
  • 承租人
  • 身份
  • 认购
  • 资源
  • 资源群组
    账户

要创建和使用Azure服务,您首先需要注册[Azure帐户]。
资料来源:
学习路径:Manage identity and access in Azure Active Directory
模块:Create an Azure account
练习:Create an Azure account

承租人

Azure租户是Azure AD的单个专用和受信任示例。每个租户(也称为目录)代表单个组织。当你的组织注册Microsoft云服务订阅时,将自动创建一个新租户。由于每个租户都是Azure AD的专用和受信任示例,因此你可以创建多个租户或示例。

身份

标识是可以进行身份验证的对象。标识可以是具有用户名和密码的用户。标识也可以是需要使用密钥或证书进行身份验证的应用程序或其他服务器。*Azure AD是提供标识服务的基础产品 *。
资料来源:
学习路径:AZ-104: Manage identities and governance in Azure
模块:Configure Azure Active Directory
练习:Describe Azure Active Directory concepts

订购服务

若要创建和使用Azure服务,你需要Azure订阅...你可以自由创建其他订阅。例如,你的公司可能对你的业务使用单个Azure帐户,而对开发、营销和销售部门使用单独的订阅。创建Azure订阅后,你可以开始在每个订阅中创建Azure资源。

资料来源:
学习路径:Azure Fundamentals: Describe Azure architecture and services
模块:Get started with Azure accounts
在Azure中,订阅是管理、计费和缩放的单位。与资源组是逻辑组织资源的方式类似,订阅允许你逻辑组织资源组并简化计费...一个帐户可以有多个订阅,但只需要有一个订阅。在多订阅帐户中,您可以使用订阅来配置不同的计费模型并应用不同的访问管理策略。您可以使用Azure订阅来定义Azure产品、服务和资源的边界。

资料来源:
学习路径:Azure Fundamentals: Describe Azure architecture and services
模块:Describe Azure management infrastructure

资源

资源是Azure的基本构建块。您创建、设置、部署等的任何内容都是资源。虚拟机(VM)、虚拟网络、数据库、认知服务等都被视为Azure中的资源。

资源组

资源组只是资源的分组。创建资源时,需要将其放入资源组中。虽然资源组可以包含许多资源,但一个资源一次只能位于一个资源组中。某些资源可以在资源组之间移动,但将资源移动到新组时,该资源将不再与前一个组关联。此外,资源组不能嵌套,这意味着不能将资源组B放在资源组A中。
资源组提供了一种将资源分组在一起的方便方法。将操作应用于资源组时,该操作将应用于该资源组中的所有资源。如果删除资源组,则将删除所有资源。如果授予或拒绝对资源组的访问权限,则已授予或拒绝对该资源组中所有资源的访问权限。
当您布建资源时,最好考虑最适合您需求的资源群组结构。
例如,如果您要设置临时开发环境,将所有资源分组在一起意味着您可以通过删除资源组一次性取消配置所有关联资源。如果您要配置需要三种不同访问架构的计算资源,最好根据访问架构对资源进行分组,然后在资源组级别分配访问权限。
对于如何使用资源组,没有硬性规定,因此请考虑如何设置资源组以最大限度地提高其实用性。

资料来源:
学习路径:Azure Fundamentals: Describe Azure architecture and services显示器
模块:Describe Azure management infrastructure

相关问题