Microsoft Azure 入门:资源与订阅管理

FreeGuideOnline 最新 2026-06-30

Azure 云计算基础:入门资源与订阅管理

1. 理解 Azure 账户、订阅与资源的关系

每一个 Azure 用户都会从账户开始。账户是身份的入口,通过 Microsoft 账号或工作/学校账号创建。在账户之下,需要拥有至少一个订阅才能实际使用服务。订阅既是计费的边界,也是资源隔离的逻辑容器。真正运行的服务(如虚拟机、数据库)被称为资源,所有资源必须放在一个资源组内。以上四者关系层层递进:账户 > 订阅 > 资源组 > 资源。掌握这条主线是管理 Azure 的基础。

2. 订阅的核心作用与管理

订阅是 Azure 中最关键的计费与权限范围。当你注册 Azure 免费账户时,会自动获得一个“免费试用订阅”,包含一定的信用额度和 12 个月的免费服务。专业或企业环境中通常会购买多个订阅以实现不同目的。

订阅的主要功能:

  • 计费边界:每个订阅生成独立的账单,成本在该订阅内所有资源组中汇总。
  • 访问控制边界:基于角色的访问控制(RBAC)可以在订阅级别分配,影响其下所有资源组。
  • 服务限额隔离:每个订阅有独立的资源配额(例如虚拟 CPU 核心数上限),避免单一订阅耗尽所有许可。
  • 环境隔离:通过不同订阅区分生产、开发、测试环境,互不干扰。

创建订阅时,需要指定一个计费账户(如 Microsoft 在线服务协议或企业协议)。你可以在 Azure 门户的“订阅”刀片(blade)中查看、创建或更换目录。利用订阅标签也能快速区分不同项目或部门的开销。

3. 管理组:规模化治理的利器

当订阅数量增多时,直接逐一管理会变得繁琐。管理组提供了一种层次化的容器,可以将多个订阅归类为树状结构,并在管理组级别统一应用策略和访问控制。

例如,可以设置如下结构:

Tenant Root Group
├── 生产环境管理组
│   ├── 订阅 A (核心应用)
│   └── 订阅 B (数据仓库)
└── 非生产环境管理组
    ├── 订阅 C (开发)
    └── 订阅 D (UAT)

所有 Azure 订阅默认挂载在“租户根组”之下。在管理组上分配的 Azure Policy 和 RBAC 角色会自动继承到其下的所有子管理组和订阅,实现集中合规与权限管理。对于初学者,即便一开始只有 2-3 个订阅,也建议先构建好管理组结构,为未来扩展奠定基础。

4. 资源组:组织资源的逻辑容器

资源组是 Azure 中无法绕过的概念。任何 Azure 资源(虚拟机、存储账户、SQL 数据库等)都必须存在于一个资源组内。资源组本身是免费的,仅作为一个逻辑容器,却承载着多项关键作用。

资源组的设计原则:

  • 生命周期对齐:将具有相同生命周期的资源放入同一资源组,便于统一删除、更新或监控。例如,一个项目的 Web 应用、后端数据库和关联的存储,可以共同放置,项目结束时一次性删除整个资源组。
  • 基于生命周期而非资源类型:不要按照类型分资源组(所有虚拟机放一组),这样会失去部署和管理的灵活性。
  • 打标签辅助:为资源组添加标签(如 项目名称环境: 生产),便于跨资源组追踪成本与运维。
  • 区域无关但逻辑统一:资源组本身有元数据的区域位置,但组内的资源可以位于不同区域,这对于设计高可用架构非常有用。

资源组内可以统一应用基于角色的访问控制,设置 Azure Policy,并作为部署变更的单位(通过 ARM 模板或 Bicep 文件部署到一整个资源组)。

5. 命名约定与标记:从第一天开始规范化

初学者容易忽视命名约定标记(Tags),但当资源数量突破几十个时,混乱的名称会带来极大困扰。建议在创建第一个资源之前,就制定一套简单的命名规则。

命名建议:

  • 使用小写字母、数字和连字符(避免特殊字符和空格)。
  • 格式:[资源类型缩写]-[应用名]-[环境]-[数字序号],例如 vm-webfe-prod-001stgappdatadev
  • 保持简练,但具有人类可读性。

标记 (Tags): 标记是赋给资源、资源组或订阅的键值对元数据,不继承自父级资源,所以需要单独规划。核心用途是成本分摊和运维查询。例如:

  • CostCenter: 1122
  • Environment: Production
  • ManagedBy: ops-team

可以通过 Azure Policy 强制要求某些重要标记的存在和有效值,并在成本分析中按标记分组查看费用。

6. 访问控制入门:RBAC 与自定义角色

Azure 采用基于角色的访问控制(RBAC)来管理对订阅、资源组和资源的操作权限。初学者需要掌握三个基本角色:

  • 所有者:拥有完全访问权限,包括授予他人访问的能力。
  • 参与者:可以创建和管理所有资源,但不能授权。
  • 读者:只能查看现有资源。

RBAC 可以在管理组、订阅、资源组或单资源级别分配。权限具有累计和继承特性,遵循“先允许、后拒绝”模型。最佳实践是遵循最小权限原则:仅授予当前任务所需的最低角色。可以在 Azure AD 中创建用户组,将角色分配给组而非个人,简化管理。对于跨环境管理,可以创建自定义角色,精确控制允许的操作。

7. 成本控制基础:预算、警报与成本分析

刚接触云的用户可能对账单感到意外。Azure 提供了内置的成本管理工具,帮助你在预算范围内使用服务。

  • 成本分析:在 Azure 门户的“成本管理 + 计费”中,按订阅、资源组、标记或服务拆分视图,查看历史趋势。
  • 预算与警报:为订阅或特定范围设定预算金额,并配置告警。当实际或预测成本达到阈值时,会发送邮件或触发行动组。
  • 节省计划与预留实例:对于长期稳定使用的工作负载(如虚拟机、SQL 数据库),购买一年或三年期预留可以节省高达 72% 的成本。
  • 设置消费上限:在某些订阅类型(如免费试用、Visual Studio 订阅)中可以启用消费上限,防止额度耗尽后的产生意外费用,但在生产订阅中不建议使用,以免服务被禁用。

8. 免费资源与学习路径

Azure 为初学者提供了丰富的免费实践机会。Azure 免费订阅包含:

  • 12 个月的流行免费服务(如 750 小时 B1s Linux 虚拟机/月,5GB Blob 存储等)。
  • 200 美元信用额度,用于探索付费服务 30 天。
  • 始终免费的服务(如应用服务、Azure 函数的免费层,有限调用次数)。

此外,学习时可以通过 Azure 沙盒环境(在 Microsoft Learn 练习中自动创建)在不消耗个人信用的前提下完成动手实验。官方学习路径“Azure 基础知识” (AZ-900) 是系统化入门的极佳选择。

9. 实践练习:搭建最小完整架构

按照以下步骤快速上手:

  1. 登录 Azure 门户,确保拥有一个有效订阅。
  2. 创建一个新资源组,命名为 rg-beginner-demo,区域选择“East US”。
  3. 在资源组内,创建以下资源:
    • 存储账户:用于存放静态文件。
    • App Service 计划(免费层 F1):托管一个简单 Web 应用。
    • SQL Database(一般用途 Gen5 2 vCore):实践数据库部署。
  4. 为资源组添加标记 Purpose: LearningOwner: YourName
  5. 在成本管理中创建一个月度预算 5 美元,设置 80% 阈值邮件警报。
  6. 完成练习后,直接删除整个资源组 rg-beginner-demo,确保不产生额外费用。

通过这一完整流程,你能够实际体验 Azure 资源与订阅管理的核心机制,为后续深入学习打下坚实动手基础。