Azure Lighthouse – bir service provider-in (və ya mərkəzi İT komandasının) bir çox müştəri tenantlarındakı (və ya fərqli Azure AD tenantlarındakı) resursları öz tenantından mərkəzləşdirilmiş şəkildə idarə etməsinə imkan verir. Bu texnologiya, böyük şirkətlərin multi-tenant strukturlarında və ya idarə olunan xidmət təchizatçılarında (MSP-lərdə) kritik rol oynayır, çünki ayrı-ayrı Azure tenantlarına tez keçid etmədən, hamısını bir pəncərədən görmək imkanı yaradır.
Azure Lighthouse-un işləmə mexanizmi Azure delegated resource management adlanır. Yəni müştəri öz subscription və ya resurs qruplarının idarəetməsini sizin Azure AD tenantınızdakı müəyyən rolu olan istifadəçilərə “delegasiya” edir. Bu delegasiya ARM (Azure Resource Manager) səviyyəsində baş verir: müştəri tərəfdə “Service Provider” sifəti ilə sizin tenantın ID-si göstərilir və orada icazə verilən rolar (məsələn, “Contributor”) təyin olunur. Nəticədə, sizin tenantınızdakı həmin roldakı şəxslər Azure Portalında “My customers” bölümündə həmin müştərinin subscription-unu görə bilirlər və ona keçid edib eynən öz subscription-ları kimi əməliyyat apara bilirlər. Burada mühüm məqam: service provider istifadəçiləri öz tenantlarında qalırlar (öz Azure AD-lərində), lakin müştəri resurslarını görürlər – cross-tenant access bu cür təmin edilir.
Bunun üstünlükləri: – Tək giriș, multi-tenant idarəetmə: Məsələn, bir MSP 50 fərqli müştəriyə xidmət göstərir. Hər müştərinin öz Azure AD-si var. Azure Lighthouse olmasa, MSP admini hər dəfə ayrı bir tenant-a guest kimi daxil olub environment-i idarə etməli idi. İndi isə, bir girişdə öz tenantında hamısını görə bilir. Azure Portalda abunə filteri ilə birdən çox tenantın subscription-ları eyni siyahıda görünür. Bu, həm vaxta qənaət edir, həm də scripting/API ilə toplu əməliyyatları mümkün edir (çünki ARM API-lərini cross-tenant çağırmaq asanlaşır). – Təhlükəsizlik və nəzarət: Müştəri tamamilə nəzarətdədir – o, istədiyi zaman delegasiyanı ləğv edə bilər, provayderin hansı resurs qruplarına hansı rolda çıxışı olduğunu dəqiq görür. Həmçinin, bütün fəaliyyət log-ları müştəri tenantında qalır (yəni provayder bir resursu silsə belə, müştəri activity log-da kimin nə etdiyini görər). Bu transparentsiya trust qurur. – Azure xidmətləri ilə inteqrasiya: Azure Lighthouse əsasən IAM səviyyəsində bir mexanizmdir. Onun sayəsində cross-tenant Azure Policy, Sentinel, Defender for Cloud kimi xidmətlər işə düşür. Məsələn, bir service provider eyni anda bütün müştərilər üçün Sentinel vasitəsilə təhlükəsizlik alert-lərini görə bilər (çünki Lighthouse ilə hamısına Security Reader kimi çıxışı var). Yaxud MSP eyni Azure Resource Graph sorğusunu bir anda bütün müştərilərinin subscription-larında işlədir (Lighthouse bunu da mümkün edir). Həmçinin, Az CLI/Powershell ilə bir skriptdə multi-tenant resursları idarə etmək olur – yalnız –management-group ilə provayderin management group-u göstərib hamısını tərtib edir. Bu, çoxtenantlı idarəetmə mexanizmlərini səmərəli edir. – Marketplace təklifləri və avtomatlaşdırma: Azure Lighthouse bir Managed Service offer konsepti ilə də inteqrasiya olunub. Provayder Azure Marketplace-də bir məxfi (və ya publik) təklif yarada bilər. Müştəri onu qəbul etdikdə, arxa planda lazımi delegation parametrləri avtomatik qurulur. Bu mexanizm provisioning-i asanlaşdırır. Eləcə də, provayder ARM templateləri ilə küməvi onboarding edə bilər (birdən çox subscription-u eyni JSON ilə delegasiya etmə).
İdarəetmə ssenariləri: – İdarə olunan xidmət provayderləri (MSP): Bu açıq tipik ssenaridir. Məsələn, bir bulud MSP-sı eyni anda 10 müştərinin VM-lərini, şəbəkə tənzimləmələrini idarə edir. Onların hamısını öz portalından edir, öz skriptləri ilə backup, update işlərini avtomatlaşdırır. Müştərilər də öz tərəflərində “Service providers” bölməsində istəsə, provayderin hansı əməliyyatları etdiyinə baxır və ya lazım olsa, onları qovur (daccess revocation). – Enterprise Multi-Tenant IT: Böyük korporasiyalar bəzən təhlükəsizlik və ya tənzimləmə səbəbilə fərqli Azure AD tenantları yaradırlar (məs. fefqli filiallar üçün). Azure Lighthouse bu cür strukturlarda mərkəzi İT komandasının hamını vahid nöqtədən idarə etməsinə imkan verir. Həmçinin, qlobal şirkətlər bir tenantda bulud infra, digərində SaaS servisler saxlayırsa, yenə Lighthouse vasitəsilə birindən digərini idarə etmək olur. Burada cross-tenant Policy baslatmaq, cross-tenant Log Analytics dataları toplamaq kimi advanced mexanizmlər də mümkündür. – DevOps/İnteqrasiya ssenariləri: Tutaq ki, bir dev şirkəti müştərinin Azure mühitində layihə qurur. Müştəri onlara müəyyən RG-yə Contributor delegasiya edir. Dev şirkət öz tenantından bu resursları idarə edir. Layihə bitincə, müştəri sadəcə delegasiyanı ləğv edir. Beləcə təhlükəsiz, izli bir mexanizm olur.
Sadaladığımız mexanizmlər Azure Lighthouse-nu enterprise-lar və provayderlər üçün güclü edir. Texniki olaraq, arxitektur həll Resource Provide “Microsoft.ManagedServices” altında “registration assignment” obyektləri yaratmaqla gerçəkləşir. Bu obyektlər JSON ilə kimə nə icazə verdiyini saxlayır. Bulk operations üçün bu JSON-lar ARM Template-lərlə idarə oluna bilir.
Qeyd: Azure Lighthouse yalnız idarəetmə təbəqəsindədir – yəni cross-tenant data path yönləndirmir, sadəcə IAM/Portal birləşməsini həll edir. Məsələn, siz provayder kimi bir VM-ə RDP olarkən, hələ də o VM-in öz IP-sinə getməlisiniz (VPN varsa, müştəri şəbəkəsinə qoşulmalı). Lighthouse sizə portal və API control-u verir ki, ən azından əməliyyatlar aparasınız. Bu, elə cross-tenant management-ın mahiyyətidir.
Beləliklə, Azure Lighthouse bir çox tenantın resurslarının multi-tenant idarəetmə mexanizmlərini (de-fakto delegation modelini) təkmilləşdirir, etibarlı və auditolunan qaydada icra edir. Bu mexanizm sayəsində bulud servis provayderləri və ya böyük şirkətlər xərcləri optimallaşdırır (çünki bir operator daha çox işi eyni vaxtda görə bilir), təhlükəsizlik güclənir (çünki “least privilege” cross-tenant erişim var, şifr paylaşımı yox), və scale-out idarəetmə mümkündür.