Das Azure Portal und die dazugehörige Dokumentation ist in englischer Sprache deutlich verständlicher, da die deutschen Übersetzungen sinnverändernd sein können. Aus diesem Grund empfehlen wir, das Microsoft Azure Portal sowie die Dokumentation von Microsoft in englischer Sprache zu nutzen. Aus demselben Grund werden auch viele Begriffe in diesem Beitrag in englischer Sprache genutzt. Doch genug der Vorworte, hier die wichtigsten Azure-Begriffe und deren Erklärung im Überblick!
Azure Active Directory (AAD)
Das Azure Active Directory ist die zentrale Stelle zum Verwalten von Identitäten. Es können reine Cloud-Identitäten oder, sofern konfiguriert, auch Hybrid-Identitäten, synchronisiert in die Cloud über einen Azure AD Connect verwaltet werden. Das Azure Active Directory ist sozusagen das Pendant zu den lokalen Active Directory Domain Services. Im AAD können Benutzer und Gruppen erstellt und viele weitere Einstellungen hinsichtlich Sicherheit oder auch Geräten und Enterprise Apps vorgenommen werden.
Azure Roles (Rollen)
Azure Roles bestimmen die Berechtigungsstufe, welche Identitäten zugewiesen werden kann. Azure bietet eine große Auswahl an verschiedenen vordefinierten Rollen. Es ist möglich, eigene Rollen mit selbst definierten Berechtigungen zu erstellen. Ganz klassisch finden sich hier folgende Rollen:
Rolle | Berechtigung |
Owner | volle Berechtigung |
Contributor | volle Berechtigung, darf aber keine Azure Roles zuweisen |
Reader | lesende Berechtigung, darf keine Änderung an Ressourcen vornehmen |
Weitere Rollen für spezifische Ressourcen aus Azure finden sich hier ebenfalls. Beispiel: Azure KeyVault wird als Ressource genutzt. Hierfür gibt es spezifische Azure Rollen, beispielsweise den "Key Vault Contributor" oder den "Key Vault Reader". Die Rollen berechtigen also, Ressourcen zu erstellen oder zu verwalten oder geben bestimmte Berechtigungen für bestimmte Ressourcen.
Role Based Access Control (RBAC)
RBAC ist ein in Azure implementiertes System zur Autorisierung von Identitäten. Auf Basis von RBAC werden die Berechtigungen in Azure kontrolliert und vergeben.
Identity Access Management (IAM)
Identity Access Management dient zur Vergabe von Berechtigungen auf Basis von Azure Rollen. IAM ist an mehreren Stellen in Microsoft Azure nutzbar, da eine granulare Berechtigungsvergabe auf verschiedenen Ebenen möglich ist.
Subscription (Abonnement)
Die Subscription legt die Abrechnungsmethode fest und beinhaltet verschiedene Funktionen zur Kostenkontrolle sowie zur Berechtigungsvergabe und Erteilung. Ohne eine Subscription ist keine Ressourcenerstellung in Azure möglich. Erstellte Ressourcen müssen immer einer Subscription zugeordnet sein und können auch immer nur einer einzigen Subscription zugeordnet sein. Möchte ein Benutzer Ressourcen in Azure sehen oder erstellen, benötigt er Zugriff auf die Subscription, welche die Ressourcen beinhaltet. Die Subscription ist also eine Art "Container", welche die erstellten Ressourcen aus Azure beinhaltet. Eine Berechtigungsvergabe auf Subscriptionebene ist möglich unter Verwendung der Azure Rollen. Es ist außerdem möglich, mehrere Subscriptions zu nutzen.
Subscription ID
Die Subscription ID ist eine eineindeutige Nummer, welche stellvertretend für die Subscription steht. Die Subscription ID wird meist bei Aufrufen über eine der verfügbaren API‘s genutzt und benötigt, welche gegen die Subscription bzw. dann ARM ausgeführt werden.
Resource Provider (Ressourcenanbieter)
Ein Resource Provider ist ein Dienst, welcher es nach Aktivierung ermöglicht, bestimmte Ressourcen zu erstellen. Um virtuelle Maschinen zu erstellen, wird der Resource Provider „Microsoft.Compute“ benötigt, für andere Ressourcenarten wiederum andere Ressourcenprovider. Die wichtigsten Resource Provider sind zu Beginn bereits aktiviert und werden bei entsprechender Ressourcenerstellung aktiviert. Resource Provider werden auf Subscriptionebene verwaltet.
Resource Group (Ressourcengruppe)
Eine Ressource Group beinhaltet erstellte Ressourcen. Sie ist also eine Art "Container". Ressourcen müssen immer einer Ressource Group angehören und können immer nur einer Resource Group zugehörig sein. Immer, wenn eine Ressource erstellt wird, wird eine Ressourcengruppe benötigt. Ressourcengruppen können mehrere Ressourcen enthalten.
Resource
Ressourcen sind die Objekte, die in Azure erstellt werden und Teil einer Resource Group sind, beispielsweise eine virtuelle Maschine. Der zur virtuellen Maschine zugehörige Datenträger ist wieder eine einzelne Ressource. Ressourcen, als Teil einer Resource Group, sind immer (und müssen auch immer) einer Subscription zugeordnet sein.
Tags
Tags können genutzt werden, um Ressourcen in Azure mit einem Key:Value-Pair zu markieren. Tags sind frei zu vergeben, nicht vordefiniert und optional. Wird eine virtuelle Maschine genutzt, welche einen Webserver betreibt, kann der Tag „vm:webserver“ vergeben werden. Weitere Ressourcen, welche zu der entsprechenden VM gehören, können mit demselben Tag versehen werden, welcher sich in der Kostenverwaltung zur Filterung oder auch nur zur Übersicht nutzen lässt.
Region
Eine Region beschreibt einen geografischen Standort eines Azure-Rechenzentrums von Microsoft, beispielsweise "Germany West Central" mit dem Standort Frankfurt am Main. Microsoft eröffnet Regionen immer gepaart in Kombination mit einer anderen Region. Germany North als Partnerregion ist als Backuprechenzentrum zugehörig zu Germany West Central. Auf die Region Germany North gibt es, ohne explizite Anfrage bei Microsoft, keinen Zugriff, da diese Region zur Ausfallsicherheit von Germany West Central dient.
Availability Zones (Verfügbarkeitszonen)
Availability Zones kommen aus der von Microsoft für Azure etablierten Rechenzentrumsstruktur, welche Microsoft in den verschiedenen Regionen aufgebaut hat. Innerhalb einer Region, also auf dem Campus eines Rechenzentrums, befinden sich 3 Gebäude bzw. Gebäudegruppen. Jede dieser Gebäudegruppen arbeitet autark, also mit einer eigenen Stromversorgung, eigener Netzwerkanbindung, eigener Kühlung und weiteren benötigten Systemen. Die einzelnen Gebäude werden nun als Availability Zone 1, Availability Zone 2 und Availability Zone 3 bezeichnet. Bei der Ressourcenerstellung in Azure kann eine oder mehrere der Availability Zones zur Speicherung der Daten gewählt werden.
LRS/ZRS/GRS/GZRS
In Azure werden alle Daten im Standard drei Mal gespiegelt gespeichert. Zusätzlich gibt es verschiedene Redundanzoptionen, welche bei der Erstellung und/oder der Konfiguration von Ressourcen auswählbar sind, um die Ausfallsicherheit zu steuern:
- Local redundant storage (LRS): Daten werden drei Mal gespiegelt gespeichert innerhalb einer Availability Zone innerhalb einer Region
- Zone redundant storage (ZRS): Daten werden über die verschiedenen Availability Zones verteilt innerhalb einer Region
- Geo-redundant storage (GRS): Daten werden in eine andere Region gespiegelt
- Geo-Zone-redundant storage (GZRS): Daten werden in verschiedenen Availability Zones gespeichert und in eine andere Region gespiegelt
Management Group (Verwaltungsgruppe)
Management Groups werden genutzt, um eine Hierarchie auf Subscriptionebene abzubilden. Dies ist sinnvoll bei der Verwendung von mehreren Subscriptions. Management Gruppen bieten Vererbungsmöglichkeiten für Berechtigungen/Richtlinien und helfen dadurch bei der leichteren Verwaltung und Abbildung von Policys auf mehrere Subscriptions.
Azure Resource Manager (ARM)
Der Azure Resource Manager stellt Ressourcen bereit und dient als Verwaltungsebene. Über die Verwaltungsebene werden Befehle umgesetzt, beispielweise wenn eine Ressource erstellt oder gelöscht wird. Sobald Anfragen über eine der verfügbaren API's an Azure gesendet werden (bspw. Powershell, REST, Azure CLI oder das Azure Portal), werden diese vom Azure Resource Manager gesendet und bearbeitet.
ARM-Templates (ARM-Vorlagen)
Über ARM-Templates lassen sich komplette Umgebungen direkt über geschriebenen Code in Azure einrichten. ARM-Templates werden in JSON geschrieben, was bei großen Strukturen oft umständlich ist. Der Weg führt meist zu Infrastructure-as-Code-Lösungen wie Bicep oder Terraform, welche mit dem DevOps-Ansatz ohne GUI Strukturen in Azure umgesetzt werden.
Marketplace (Marktplatz)
Microsoft bietet über Azure nicht nur Microsoft-Dienste an, sondern bietet verschiedenen Herstellern die Möglichkeit, die eigenen Produkte anzubieten. Der Marketplace im Azure Portal dient als Ort, über den Drittanbieterangebote genutzt und bezogen werden können. Soll in Azure eine Firewallappliance von Fortigate genutzt werden? Der Marketplace ist der Ort, an dem solche Angebote gelistet sind.