什么是 Azure Lighthouse？

Azure Lighthouse 通过提高可伸缩性、自动化和资源治理来实现多租户管理。

服务提供商可以利用 Azure Lighthouse，借助 Azure 平台广泛而强大的功能来提供托管服务。

通过这项服务，客户可以完全控制谁有权访问哪些资源，以及他们的租户可以访问什么，可以执行什么操作。管理跨不同租户的资源的 are Enterprise IT 公司可以从这项服务中受益。

好处

Azure Lighthouse 使服务提供商能够更轻松地创建和提供托管服务。以下是一些优势：

• 大规模管理：现在，为管理客户资源而进行的客户参与和生命周期操作更加简单且可伸缩。可以利用现有的 API、管理工具和工作流使用代理资源，包括托管在 Azure 外部的计算机，无论它们位于哪个区域。
• 客户获得更大的可见性和控制权：客户可以完全控制他们分配的管理范围和授予的权限。他们能够审查服务提供商的行为，并在必要时完全撤销访问权限。
• 全面统一的平台工具：这种适应性支持各种服务提供商场景，包括 EA、CSP 和即用即付许可模式。

功能

Azure Lighthouse 具有多种功能，有助于参与和管理。

• Azure 代理资源管理：在管理租户中，客户订阅和资源组可以分配给特定的用户和角色，并可根据需要灵活地撤销访问权限。
• 新的 Azure 门户体验：客户可以在相关的“服务提供商”页面上监视和管理其服务提供商访问权限。
• Azure Resource Manager 模板：客户可以在专门的网站上查看和调整其服务提供商访问权限。
• Azure Marketplace 中的托管服务优惠：客户可以通过公共或私有优惠注册服务，他们将被自动添加到 Azure Lighthouse。

小费

Microsoft 365 Lighthouse 是一项类似的服务，可帮助服务提供商大规模地进行 Microsoft 365 用户的引导、监视和管理。Microsoft 365 Lighthouse 的预览版本目前可用。

定价和可用性

使用 Azure Lighthouse 管理 Azure 资源不收取任何额外费用。任何 Azure 客户或合作伙伴都可以使用 Azure Lighthouse。

跨区域和云注意事项

Azure Lighthouse 是一项不受特定区域限制的服务。我们可以处理被代理且位于不同区域的资源。

Azure Lighthouse 支持

如果我们需要任何帮助，可以打开支持票证。选择“技术”作为问题类型。选择一个订阅，然后选择 Lighthouse（在“监视和管理”下）。

Azure Lighthouse 体系结构

在以敏捷和精确的方式大规模管理代理资源时，服务提供商可以使用 Azure Lighthouse 来简化客户参与和入职流程。

无需拥有客户 Azure Active Directory (Azure AD) 租户的帐户或成为客户租户的共同所有者，授权用户、组和服务主体就可以在客户订阅的上下文中直接工作。Azure 代理资源管理是实现此访问的技术。

在客户租户中创建的代理资源

可以通过 API 和管理工具访问注册定义和注册分配资源，或者我们可以直接在 Azure 网站中处理它们，当客户的资源组被载入 Azure Lighthouse 时，它们将被创建。

注册分配

每个注册分配都必须引用一个有效的订阅级注册定义，该定义将服务提供商的授权与代理范围联系起来，从而授予访问权限。

在某些情况下，Resource Manager 可以根据资源中定义的信息授予访问权限。

保存在客户租户中的活动日志会跟踪来自服务提供商租户中用户的活动。这使客户能够了解谁进行了修改以及何时进行的。

Azure Lighthouse 的工作原理

Lighthouse 的高端工作方式

1. 确定组、服务主体或用户的职责。
2. 在客户入职后，授权用户登录到我们的管理租户，并根据我们设置的权限，在客户范围（订阅或资源组）内执行任务。客户可以审查所有已执行的操作并随时撤销访问权限。
3. 虽然大多数客户只有一个服务提供商管理特定资源，但客户可以为同一个订阅或资源组创建多个委托，从而允许多个服务提供商访问。

跨租户管理体验

使用 Azure 代理资源管理，可以在托管租户之间共享各种任务和服务。

为了方便跨租户管理，Azure Lighthouse 可以在拥有多个自身 Azure AD 租户的公司内使用。

理解租户和委托

每个 Azure AD 租户都有自己的租户 ID，与其他 Azure AD 租户（GUID）不同。

然后，这些用户可以使用自己的凭据登录 Azure 网站。他们可以通过 Azure 界面管理他们有权访问的所有客户的资源。可以通过 Azure 门户的“我的客户”页面来完成，或者直接在客户订阅的上下文中工作，或者可以通过 Azure 门户或 API 来完成。

Azure Lighthouse 使我们能够更自由地管理多个客户的资源，而无需登录到单独租户中的不同帐户。授权用户可以通过登录到具有 Azure Lighthouse 的服务提供商租户来访问这些资源。

API 和管理工具支持

我们可以在门户或通过 API 和管理工具直接对代理资源执行管理任务。这些工具可以是 Azure CLI 和 Azure PowerShell。只要该功能支持跨租户管理，并且用户在处理代理资源时拥有必要的权限，就可以使用任何现有 API。

默认情况下，Azure PowerShell cmdlet Get-AzSubscription 会显示管理租户的 TenantId。

homeTenantId 和 managedByTenants 特性也在 Azure CLI 操作（如 az account list）中可见。

我们还有专门用于完成 Azure Lighthouse 任务的 API。

增强的服务和方案

使用代理资源，可以在托管租户之间执行大多数操作和服务。以下是一些跨租户管理非常有益的常见场景。

Azure Arc

• 使用的所有服务器都是启用 Azure Arc 的服务器。

• 它可以管理 Linux 计算机或 Windows Server。
• 使用 Azure 元素（如 Azure Policy 和标记）来管理已连接的计算机。
• 必须始终确保客户的混合环境具有相同的策略集。

Azure 备份

目前，备份资源管理器选项仅适用于 Azure VM 数据。

• 通过分配的订阅，使用备份报告来跟踪历史趋势，评估备份存储利用率，以及审计备份和还原。

Azure 中的成本管理 + 计费

• CSP 合作伙伴可以通过管理租户访问、管理和分析 Azure 计划客户的税前消费支出（不包括购买）。价格将根据零售价格和合作伙伴对客户订阅的 Azure 基于角色的访问控制 (Azure RBAC) 访问权限确定。

Azure Kubernetes 服务 (AKS)

管理由他人托管的 Kubernetes 环境，以及在客户租户中部署和管理容器化应用程序。