مشاركة عبر

اعتبارات الاشتراك وتوصياته

  • مقالة

تُعد الاشتراكات وحدة الإدارة، والفوترة، والحجم داخل Azure. يلعب ذلك دورًا حاسمًا عندما تقوم بتصميم اعتماد Azure على نطاق واسع. يمكن أن تساعدك هذه المقالة في التقاط متطلبات الاشتراك وتصميم الاشتراكات المستهدفة استنادا إلى العوامل الهامة، والتي تستند إلى:

  • نوع البيئة
  • نموذج الملكية والحوكمة
  • البنية التنظيمية
  • قوائم التطبيقات

تلميح

ناقشنا هذا الموضوع في فيديو YouTube الأخير: مناطق هبوط Azure - كم عدد الاشتراكات التي يجب استخدامها في Azure؟

ملاحظة

يجب مراجعة حدود الاشتراك كما هو موثق في حسابات الفوترة والنطاقات في مدخل Microsoft Azure. يستهدف هذا التوجيه بشكل أساسي العملاء الذين يستخدمون اتفاقيات المؤسسة أو اتفاقيات عملاء Microsoft (Enterprise) أو اتفاقيات شركاء Microsoft (CSP).

اعتبارات الاشتراكات

تحتوي الأقسام التالية على اعتبارات لمساعدتك في تخطيط الاشتراكات وإنشاءها ل Azure.

اعتبارات تصميم التنظيم والحوكمة

  • تعمل الاشتراكات ك حدود لتعيينات نهج Azure.

    • على سبيل المثال، تتطلب أحمال العمل الآمنة مثل أحمال عمل صناعة بطاقات الدفع (PCI) عادة سياسات أخرى من أجل تحقيق التوافق. بدلا من استخدام مجموعة إدارة لتجميع أحمال العمل التي تتطلب توافق PCI، يمكنك تحقيق العزل نفسه مع الاشتراك، دون وجود عدد كبير جدا من مجموعات الإدارة مع عدد قليل من الاشتراكات.

      • إذا كنت بحاجة إلى تجميع العديد من الاشتراكات معا من نفس النموذج الأصلي لحمل العمل، فقم بإنشائها ضمن مجموعة إدارة.

  • تعمل الاشتراكات كوحدة مقياس بحيث يمكن توسيع نطاق أحمال عمل المكونات ضمن حدود اشتراك النظام الأساسي. تأكد من مراعاة حدود موارد الاشتراك أثناء تصميم أحمال العمل الخاصة بك.

  • توفر الاشتراكات حدود إدارة للحوكمة والعزلة التي تفصل بوضوح بين المخاوف.

  • إنشاء اشتراكات نظام أساسي منفصلة للإدارة (المراقبة) والاتصال والهوية عندما تكون مطلوبة.

    • إنشاء اشتراك إدارة مخصص في مجموعة إدارة النظام الأساسي لدعم قدرات الإدارة العالمية مثل مساحات عمل Azure Monitor Log Analytics ودفاتر تشغيل Azure Automation.
      • إنشاء اشتراك هوية مخصص في مجموعة إدارة النظام الأساسي لاستضافة وحدات تحكم مجال Windows Server Active Directory عند الحاجة.
      • إنشاء اشتراك اتصال مخصص في مجموعة إدارة النظام الأساسي لاستضافة مركز Azure Virtual WAN ونظام اسم المجال الخاص (DNS) ودائرة ExpressRoute وموارد الشبكات الأخرى. يضمن الاشتراك المخصص أن تتم فوترة جميع موارد الشبكة الأساسية معا وعزلها عن أحمال العمل الأخرى.
      • استخدم الاشتراكات كوحدة إدارة ديمقراطية تتماشى مع احتياجات عملك وأولوياته.

  • استخدم العمليات اليدوية لتقييد Azure AD المستأجرين على اشتراكات التسجيل اتفاقية Enterprise فقط. يؤدي استخدام عملية يدوية إلى منع إنشاء اشتراكات شبكة مطوري Microsoft في نطاق مجموعة إدارة الجذر.

  • راجع مركز نقل الاشتراك والحجز في Azure لنقل الاشتراك بين عروض فوترة Azure.

اعتبارات الحصة النسبية وتصميم السعة

قد تحتوي مناطق Azure على عدد محدود من الموارد. ونتيجة لذلك، يجب تعقب السعة المتاحة ووحدات SKU لاعتمادات Azure التي تتضمن عددا كبيرا من الموارد.

اعتبارات تصميم تقييد نقل المستأجر

يرتبط كل اشتراك Azure بمستأجر Azure AD واحد، والذي يعمل كموفر هوية (IdP) لاشتراك Azure الخاص بك. يتم استخدام مستأجر Azure AD لمصادقة المستخدمين والخدمات والأجهزة.

يمكن تغيير المستأجر Azure AD المرتبط باشتراك Azure الخاص بك من قبل أي مستخدم له الأذونات المطلوبة. هذه العملية مفصلة في المقالات التالية:

ملاحظة

النقل إلى مستأجر Azure AD آخر غير مدعوم لاشتراكات موفر حلول Azure Cloud (CSP).

باستخدام مناطق هبوط Azure، يمكنك تعيين متطلبات لمنع المستخدمين من نقل الاشتراكات إلى مستأجر Azure AD لمؤسستك. راجع العملية في إدارة نهج اشتراك Azure.

قم بتكوين نهج الاشتراك الخاص بك عن طريق توفير قائمة المستخدمين المعفيين. يسمح للمستخدمين المعفيين بتجاوز القيود المحددة في النهج.

هام

قائمة المستخدمين المعفاة ليست نهج Azure.

  • ضع في اعتبارك ما إذا كان يجب السماح للمستخدمين الذين لديهم اشتراكات Visual Studio/MSDN Azure بنقل اشتراكهم من مستأجر Azure AD أو منه.

  • إعدادات نقل المستأجر قابلة للتكوين فقط من قبل المستخدمين الذين تم تعيين دور Azure AD Global Administrator. هؤلاء المستخدمون ويجب أن يكون لديهم وصول مرتفع لتغيير النهج.

  • يمكن لجميع المستخدمين الذين لديهم حق الوصول إلى Azure عرض النهج المحدد لمستأجر Azure AD الخاص بك.

    • لا يمكن للمستخدمين عرض قائمة المستخدمين المعفاة .

    • يمكن للمستخدمين عرض المسؤولين العموميين داخل مستأجر Azure AD.

  • يتم وضع اشتراكات Azure المنقولة إلى مستأجر Azure AD في مجموعة الإدارة الافتراضية لهذا المستأجر.

  • إذا وافقت مؤسستك، يمكن لفريق التطبيق الخاص بك تحديد عملية للسماح بنقل اشتراكات Azure إلى مستأجر Azure AD أو منه.

إنشاء اعتبارات تصميم إدارة التكلفة

تعد شفافية التكلفة تحديا مهما للإدارة تواجهه كل مؤسسة كبيرة. يستكشف هذا القسم من المقالة الجوانب الرئيسية لتحقيق شفافية التكلفة عبر بيئات Azure الكبيرة.

  • قد تحتاج نماذج استرداد الرسوم، مثل Azure App Service Environment وخدمة Azure Kubernetes، إلى المشاركة لتحقيق كثافة أعلى. يمكن أن تتأثر موارد النظام الأساسي المشترك كخدمة (PaaS) بنماذج استرداد الرسوم.

  • استخدم جدولة إيقاف التشغيل لأحمال العمل غير المُنتجة لتحسين التكاليف.

  • استخدم Azure Advisor للتحقق من التوصيات لتحسين التكاليف.

  • إنشاء نموذج استرداد الرسوم لتوزيع أفضل للتكلفة عبر مؤسستك.

  • تنفيذ النهج لمنع نشر الموارد غير المصرح بنشرها في بيئة مؤسستك.

  • إنشاء جدول زمني منتظم و إيقاع لمراجعة موارد التكلفة والحجم المناسب لأحمال العمل.

توصيات الاشتراكات

تحتوي الأقسام التالية على توصيات لمساعدتك في تخطيط وإنشاء اشتراكات ل Azure.

توصيات التنظيم والحوكمة

  • تعامل مع الاشتراكات كوحدة إدارة تتماشى مع احتياجات عملك وأولوياته.

  • اجعل مالكي الاشتراكات على دراية بأدوارهم ومسؤولياتهم.

    • قم بمراجعة صلاحية الوصول ربع السنوية أو السنوية Azure AD إدارة الهويات المتميزة لضمان عدم انتشار الامتيازات مع انتقال المستخدمين داخل مؤسستك.
    • تولي الملكية الكاملة للإنفاق على الميزانية والموارد.
    • اضمن الامتثال للسياسات وإصلاحها عند الضرورة.

  • راجع المبادئ التالية أثناء تحديد متطلبات الاشتراكات الجديدة:

    • حدود المقياس: تعمل الاشتراكات كوحدة مقياس لأحمال عمل المكونات لتوسيع نطاقها ضمن حدود اشتراك النظام الأساسي. يجب أن تستخدم أحمال العمل المتخصصة الكبيرة مثل الحوسبة عالية الأداء وIoT وSAP اشتراكات منفصلة لتجنب التشغيل مقابل هذه الحدود.
    • حدود الإدارة: توفر الاشتراكات حدودا إدارية للحوكمة والعزل، مما يسمح بفصل واضح بين المخاوف. غالبا ما تتم إزالة البيئات المختلفة، مثل التطوير والاختبار والإنتاج، من منظور الإدارة.
    • حد النهج: تعمل الاشتراكات كحد لتعيينات نهج Azure. على سبيل المثال، تتطلب أحمال العمل الآمنة مثل PCI عادة نهج أخرى من أجل تحقيق التوافق. لا يتم أخذ النفقات العامة الأخرى في الاعتبار إذا كنت تستخدم اشتراكا منفصلا. تتمتع بيئات التطوير بمتطلبات سياسة أكثر استرخاء من بيئات الإنتاج.
    • مخطط الشبكة الهدف: لا يمكنك مشاركة الشبكات الظاهرية عبر الاشتراكات، ولكن يمكنك توصيلها بتقنيات مختلفة مثل تناظر الشبكة الظاهرية أو Azure ExpressRoute. عند تحديد ما إذا كنت بحاجة إلى اشتراك جديد، ضع في اعتبارك أحمال العمل التي تحتاج إلى الاتصال ببعضها البعض.

  • قم بتجميع الاشتراكات معا ضمن مجموعات الإدارة، والتي تتوافق مع بنية مجموعة الإدارة ومتطلبات النهج. يضمن تجميع الاشتراكات أن الاشتراكات التي لها نفس مجموعة النهج وتعيينات دور Azure تأتي جميعها من مجموعة إدارة.

  • إنشاء اشتراك إدارة مخصص في مجموعة الإدارة لدعم Platform قدرات الإدارة العالمية مثل مساحات عمل Azure Monitor Log Analytics ودفاتر تشغيل Azure Automation.

  • إنشاء اشتراك هوية مخصص في مجموعة الإدارة لاستضافة Platform وحدات تحكم مجال Windows Server Active Directory عند الضرورة.

  • إنشاء اشتراك اتصال مخصص في مجموعة الإدارة لاستضافة Platform مركز Azure Virtual WAN ونظام أسماء المجالات الخاص (DNS) ودائرة ExpressRoute وموارد الشبكات الأخرى. يضمن الاشتراك المخصص فوترة جميع موارد الشبكة الأساسية معا وعزلها عن أحمال العمل الأخرى.

  • تجنب نموذج الاشتراك الصارم. بدلا من ذلك، استخدم مجموعة من المعايير المرنة لتجميع الاشتراكات عبر مؤسستك. تضمن هذه المرونة أنه مع تغيّر بنية المؤسسة وتكوين حمل العمل لديك، يمكنك إنشاء مجموعات اشتراك جديدة بدلاً من استخدام مجموعة ثابتة من الاشتراكات الموجودة. لا يتناسب حجم واحد مع جميع الاشتراكات، وما يصلح لوحدة عمل واحدة قد لا يعمل مع وحدة عمل أخرى. قد تتواجد بعض التطبيقات ضمن اشتراك منطقة الهبوط ذاتها، بينما قد تتطلب تطبيقات أخرى وجود اشتراكها الخاص.

توصيات الحصة النسبية والسعة

  • استخدم الاشتراكات كوحدات مقياس، وقم بتوسيع نطاق الموارد والاشتراكات كما هو مطلوب. يمكن لحمل العمل بعد ذلك استخدام الموارد المطلوبة لتوسيع النطاق دون الوصول إلى حدود الاشتراك في النظام الأساسي ل Azure.

  • استخدم حجوزات القدرة الإنتاجية لإدارة السعة في بعض المناطق. يمكن أن يكون لحمل العمل الخاص بك بعد ذلك السعة المطلوبة للموارد عالية الطلب في منطقة معينة.

  • إنشاء لوحة معلومات مع طرق عرض مخصصة لمراقبة مستويات السعة المستخدمة، وإعداد التنبيهات إذا كانت السعة تقترب من المستويات الحرجة (استخدام وحدة المعالجة المركزية بنسبة 90 بالمائة).

  • رفع طلبات الدعم لزيادات الحصة النسبية ضمن توفير الاشتراك، مثل إجمالي مراكز الأجهزة الظاهرية المتوفرة داخل الاشتراك. تأكد من تعيين حدود الحصة النسبية قبل أن تتجاوز أحمال العمل الحدود الافتراضية.

  • تأكد من توفر أي خدمات وميزات مطلوبة داخل مناطق التوزيع التي اخترتها.

توصيات الأتمتة

  • إنشاء عملية بيع الاشتراك لأتمتة إنشاء الاشتراكات لفرق التطبيق عبر سير عمل الطلب كما هو موضح في بيع الاشتراك.

توصيات تقييد نقل المستأجر

  • قم بتكوين الإعدادات التالية لمنع المستخدمين من نقل اشتراكات Azure من أو إلى مستأجر Azure AD الخاص بك:

    • قم بتعيين Subscription مع ترك دليل Azure AD إلى Permit no one.

    • قم بتعيين Subscription entering Azure AD directory إلى Permit no one.

  • تكوين قائمة محدودة من المستخدمين المعفيين.

    • قم بتضمين أعضاء من فريق Azure PlatformOps (عمليات النظام الأساسي).
    • قم بتضمين حسابات كسر الزجاج في قائمة المستخدمين المعفيين.

الخطوات التالية

اعتماد حواجز الحماية المستندة إلى النهج