Tento článek obsahuje pokyny k implementaci pro automatizaci správa předplatného. Prodejní nasazení předplatného standardizuje proces pro žádosti, nasazení a řízení předplatných, aby týmy aplikací mohly své úlohy nasadit rychleji.
Obrázek 1 Implementace správa předplatného v ukázkovém prostředí Azure.
Vytvořili jsme správa předplatného moduly Bicep a Terraform, které byste měli použít jako výchozí bod. Šablony byste měli upravit tak, aby vyhovovaly vašim potřebám implementace. Další informace o procesu správa předplatného najdete v přehledu prodejního předplatného.
Architektura
Pro provedení tří primárních úloh byste měli navrhovat automatizaci správa předplatného. Automatizace koncového předplatného by měla (1) shromažďovat data žádostí o předplatné, (2) iniciovat automatizaci platformy a (3) vytvořit předplatné pomocí infrastruktury jako kódu. K provedení těchto tří úloh existuje několik přístupů k implementaci automatizace správa předplatného. Příklad implementace (obrázek 2) ukazuje jeden přístup, který používá Gitflow. Návrh Gitflow odpovídá deklarativnímu přístupu, který mnoho týmů platformy používá ke správě platformy.
Obrázek 2 Příklad implementace automatizace správa předplatného
V ukázkové implementaci (obrázek 2) nástroj pro shromažďování dat shromažďuje data žádosti o předplatné. Když žádost o předplatné obdrží schválení, zahájí automatizaci platformy. Automatizace platformy se skládá z kanálu žádosti, správy zdrojového kódu a kanálu nasazení. Kanál požadavku vytvoří soubor parametrů předplatného JSON nebo YAML s daty z nástroje pro shromažďování dat. Kanál žádosti také vytvoří novou větev, potvrdí soubor parametrů předplatného a otevře žádost o přijetí změn ve správě zdrojového kódu. Nová větev se sloučí s hlavní větví ve správě zdrojového kódu. Sloučení aktivuje kanál nasazení pro vytvoření předplatného s moduly infrastruktury jako kódu.
Nasazení by mělo umístit předplatné do správné skupiny pro správu na základě požadavků zásad správného řízení (viz obrázek 1). Nasazení vytvoří předběžný rozpočet předplatného jako základ pro správu nákladů. V závislosti na potřebách úlohy by nasazení mohlo vytvořit prázdnou virtuální síť a nakonfigurovat partnerský vztah k regionálnímu centru. Po vytvoření a konfiguraci by měl tým platformy předat předplatné aplikačnímu týmu. Tým aplikací by měl aktualizovat rozpočet předplatného a vytvořit prostředky úloh.
Shromažďování dat
Cílem shromažďování dat je přijímat obchodní schválení a definovat hodnoty souboru parametrů předplatného JSON/YAML. Nástroj pro shromažďování dat byste měli použít ke shromažďování požadovaných dat, když tým aplikace odešle žádost o předplatné. Nástroj pro shromažďování dat by měl rozhraní s jinými systémy v pracovním postupu správa předplatného zahajovat automatizaci platformy.
Použijte nástroj pro shromažďování dat. Nástroj pro správu IT služeb (ITSM) můžete použít ke shromažďování dat nebo k vytvoření zákaznického portálu pomocí nástroje s nízkým kódem nebo bez kódu, jako je Microsoft PowerApps. Nástroj pro shromažďování dat by měl poskytnout obchodní logiku pro schválení nebo zamítnutí žádosti o předplatné.
Shromážděte požadovaná data. Potřebujete shromáždit dostatek dat k definování hodnot parametru předplatného JSON/YAML, abyste mohli automatizovat nasazení. Konkrétní hodnoty, které shromažďujete, závisí na vašich potřebách. Měli byste zaznamenat autorizátor požadavků, nákladové středisko a požadavky na síť (připojení k internetu nebo místnímu prostředí). Může být užitečné požádat aplikační tým o očekávané součásti úloh (aplikační platformu, požadavky na data), citlivost dat a počet prostředí (vývoj, testování, předprodukční, produkční prostředí).
Ověřte data. Během procesu shromažďování dat byste měli ověřit data. Problémy je obtížnější řešit později ve fázích automatizace platformy.
Vytvořte sledovatelný požadavek. Nástroj pro shromažďování dat by měl vytvořit protokolovanou a sledovatelnou žádost o nové předplatné (například lístek v nástroji ITSM). Požadavek by měl obsahovat všechna potřebná data pro splnění požadavků daného předplatného. Měli byste svázat obchodní logiku a sledování autorizace s požadavkem.
Rozhraní s jinými interními systémy. V případě potřeby by měl nástroj pro shromažďování dat spolupracovat s jinými nástroji nebo systémy ve vaší organizaci. Cílem je rozšířit požadavek o data z jiných systémů. K provedení automatizace možná budete potřebovat identitu, finance, zabezpečení a síťová data. Automatizace by například mohla rozhraní s nástrojem pro správu IP adres (Správa IP adres) rezervovat správný adresní prostor IP adres.
Vytvořte trigger. Když žádost o předplatné přijme schválení, měl by přenos dat aktivovat automatizaci platformy. Nejlepší je vytvořit nabízené oznámení s potřebnými daty z nástroje pro shromažďování dat. K zahájení procesu možná budete potřebovat vrstvu middlewaru, jako je Azure Functions nebo Azure Logic Apps.
Zahájení automatizace platformy
Oznámení a data z nástroje pro shromažďování dat by měly aktivovat automatizaci platformy. Cílem automatizace platformy je vytvořit soubor parametrů předplatného JSON/YAML, sloučit ho do hlavní větve a nasadit ho s moduly infrastruktury jako kódu pro vytvoření předplatného. Tým platformy by měl vlastnit a udržovat automatizaci platformy. Automatizace platformy v ukázkové implementaci se skládá z kanálu žádosti, správy zdrojového kódu a kanálu nasazení (viz obrázek 2).
Použijte soubory JSON nebo YAML. K uložení dat k vytvoření předplatného byste měli použít strukturované datové soubory (JSON nebo YAML). Měli byste zdokumentovat strukturu souboru a rozšířit ji tak, aby podporovala budoucí potřeby. Například následující fragment kódu JSON definuje hodnoty parametrů předplatného pro jeden z modulů Bicep na GitHubu.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"subscriptionDisplayName": {
"value": "sub-bicep-lz-vending-example-001"
},
"subscriptionAliasName": {
"value": "sub-bicep-lz-vending-example-001"
},
"subscriptionBillingScope": {
"value": "providers/Microsoft.Billing/billingAccounts/1234567/enrollmentAccounts/123456"
},
// Insert more parameters here
}
}
Zobrazit celý soubor Další příklady najdete v příkladech Bicep a v příkladech Terraformu.
Pro každý požadavek předplatného použijte jeden soubor. Předplatné je jednotka nasazení v procesu správa předplatného, takže každá žádost o předplatné by měla mít jeden vyhrazený soubor parametrů předplatného.
Použijte systém žádostí o přijetí změn. Proces Gitflow, který vytvoří soubor parametrů předplatného, by měl automatizovat následující kroky:
- Vytvořte novou větev pro každou žádost o předplatné.
- Shromážděná data použijte k vytvoření jednoho souboru parametrů předplatného YAML/JSON pro nové předplatné ve větvi.
- Vytvořte žádost o přijetí změn z větve do
main. - Aktualizujte nástroj pro shromažďování dat změnou stavu a odkazem na tuto žádost o přijetí změn.
Kanál požadavku v ukázkové implementaci provede tyto kroky (viz obrázek 2). Pokud je pracovní postup složitý, můžete také použít řešení založené na kódu hostované v Azure.
Ověřte soubor parametrů předplatného. Žádost o přijetí změn by měla aktivovat proces lintingu, který ověří data žádosti. Cílem je zajistit, aby nasazení proběhlo úspěšně. Měl by ověřit soubor parametrů předplatného YAML/JSON. Může také ověřit, že rozsah IP adres je stále dostupný. Můžete také přidat bránu ruční kontroly s lidským zásahem. Můžou provést konečnou kontrolu a provést změny v souboru parametrů předplatného. Výstupem by měl být soubor parametrů předplatného JSON/YAML se všemi daty pro vytvoření předplatného.
Aktivujte kanál nasazení. Když se žádost o přijetí změn sloučí do main větve, sloučení by mělo aktivovat kanál nasazení.
Vytvoření odběru
Poslední úlohou automatizace správa předplatného je vytvoření a konfigurace nového předplatného. Ukázková implementace používá kanál nasazení k nasazení modulu infrastruktury jako kódu se souborem parametrů předplatného JSON/YAML (viz obrázek 2).
Použijte infrastrukturu jako kód. Vaše nasazení by mělo používat infrastrukturu jako kód k vytvoření předplatného. Tým platformy by měl tyto šablony vytvářet a udržovat, aby se zajistily správné zásady správného řízení. Měli byste použít moduly správa předplatného Bicep a Terraform a upravit je tak, aby vyhovovaly vašim potřebám implementace.
Použijte kanál nasazení. Kanál nasazení orchestruje vytvoření a konfiguraci nového předplatného. Kanál by měl spouštět následující úlohy:
| Kategorie úkolu | Úloha kanálu |
|---|---|
| Identita | • Vytvořte nebo aktualizujte prostředky Microsoft Entra tak, aby představovaly vlastnictví předplatného. • Nakonfigurujte privilegované identity úloh pro nasazení týmu úloh. |
| Řízení | • Umístěte hierarchii skupin pro správu. • Přiřaďte vlastníka předplatného. • Nakonfigurujte řízení přístupu na úrovni předplatného (RBAC) pro nakonfigurované skupiny zabezpečení. • Přiřaďte Azure Policy na úrovni předplatného. • Nakonfigurujte registraci v programu Microsoft Defender pro cloud. |
| Sítě | • Nasaďte virtuální sítě. • Nakonfigurujte partnerský vztah virtuálních sítí k prostředkům platformy (regionální centrum). |
| Rozpočty | • Vytvářejte rozpočty pro vlastníky předplatného pomocí shromážděných dat. |
| Vykazování | • Aktualizujte externí systémy, jako je Správa IP adres, aby se zavážely k rezervacím IP adres. • Aktualizujte požadavek nástroje pro shromažďování dat s konečným názvem předplatného a globálně jedinečným identifikátorem (GUID). • Upozorněte tým aplikace, že je předplatné připravené. |
K programovému vytvoření předplatného potřebujete komerční smlouvu. Pokud nemáte komerční smlouvu, musíte zavést ruční proces vytvoření předplatného, ale přesto můžete automatizovat všechny ostatní aspekty konfigurace předplatného.
Vytvoření identity úlohy Kanál nasazení potřebuje oprávnění k provádění těchto operací se všemi systémy, se kterými spolupracuje. K ověření v Azure byste měli použít spravovanou identitu nebo OpenID Připojení (OIDC).
Po nasazení
Automatizace správa předplatného končí vytvořením a konfigurací předplatného. Po vytvoření by měl tým platformy předat novému předplatnému aplikačnímu týmu. Aplikační tým by měl aktualizovat rozpočet předplatného, vytvořit prostředky úloh a nasadit úlohu. Tým platformy řídí zásady správného řízení předplatného a spravuje změny zásad správného řízení předplatného v průběhu času.
Vynucujte správu nákladů. Rozpočty předplatného poskytují oznámení, která jsou důležitá pro správu nákladů. Nasazení by mělo vytvořit předběžný rozpočet předplatného na základě dat žádosti o předplatné. Tým aplikace obdrží předplatné. Měli by aktualizovat rozpočet tak, aby vyhovoval potřebám úlohy. Další informace naleznete v tématu:
- Vytváření a správa rozpočtů
- Správa nákladů pomocí rozpočtů Azure
- Přidělení nákladů
- Sledování nákladů napříč organizačními jednotkami, prostředími nebo projekty
Správa zásad správného řízení předplatného Předplatné byste měli aktualizovat, protože se mění požadavky zásad správného řízení úlohy. Například budete muset přesunout předplatné do jiné skupiny pro správu. Pro některé z těchto rutinních operací byste měli vytvořit automatizaci. Další informace naleznete v tématu:
- Přesun skupin pro správu a předplatného
- Udržování zásad a iniciativ zásad v aktualizovaném stavu
- Označování prostředků
- Přizpůsobení architektury cílové zóny Azure tak, aby splňovala požadavky
Další kroky
Prodejní verze předplatného zjednodušuje a standardizuje proces vytváření předplatného a umístí ho do zásad správného řízení organizace. Měli byste implementovat automatizaci správa předplatného, která týmům aplikací pomůže rychleji přistupovat k cílovým zónám aplikací a rychleji nasadí úlohy. Další informace naleznete v tématu: