Důležité informace o předplatném a doporučení

  • Článek

Předplatná jsou jednotkou správy, fakturace a škálování v rámci Azure. Hrají důležitou roli při návrhu pro přijetí Azure ve velkém měřítku. Tento článek vám pomůže zachytit požadavky na předplatné a navrhnout cílová předplatná na základě důležitých faktorů, které jsou založené na těchto faktorech:

  • typ prostředí
  • model vlastnictví a zásad správného řízení
  • organizační struktura
  • aplikační portfolia

Tip

Toto téma jsme probrali v nedávném videu YouTube: Cílové zóny Azure – Kolik předplatných mám použít v Azure?

Poznámka

Měli byste si projít limity předplatného, jak je uvedeno v fakturačních účtech a oborech na webu Azure Portal. Tyto pokyny jsou primárně zaměřené na zákazníky používající smlouva Enterprise, Smlouva se zákazníkem Microsoftu s (Enterprise) nebo Smlouva s partnerem Microsoftu (CSP).

Důležité informace o předplatných

Následující části obsahují důležité informace, které vám pomůžou plánovat a vytvářet předplatná pro Azure.

Aspekty návrhu organizace a zásad správného řízení

  • Předplatná slouží jako hranice pro přiřazení azure Policy.

    • Například zabezpečené úlohy, jako jsou úlohy PCI (Payment Card Industry), obvykle vyžadují další zásady, aby bylo možné dosáhnout dodržování předpisů. Místo použití skupiny pro správu ke kolaci úloh, které vyžadují dodržování předpisů PCI, můžete dosáhnout stejné izolace s předplatným, aniž byste museli mít příliš mnoho skupin pro správu s několika předplatnými.

      • Pokud potřebujete seskupit mnoho předplatných stejného archetypu úloh, vytvořte je v rámci skupiny pro správu.

  • Předplatná slouží jako jednotka škálování, aby se úlohy komponent mohly škálovat v rámci limitů předplatného platformy. Při návrhu úloh nezapomeňte zvážit limity prostředků předplatného.

  • Předplatná poskytují hranici správy pro zásady správného řízení a izolaci, která jasně odděluje obavy.

  • Vytvořte samostatná předplatná platformy pro správu (monitorování), připojení a identitu v případě potřeby.

    • Vytvořte ve skupině pro správu platformy vyhrazené předplatné pro správu, které podporuje možnosti globální správy, jako jsou pracovní prostory služby Azure Monitor Log Analytics a runbooky Azure Automation.
      • Vytvořte ve skupině pro správu platformy vyhrazené předplatné identity pro hostování řadičů domény Active Directory systému Windows Server, pokud je to potřeba.
      • Vytvořte ve skupině pro správu platformy vyhrazené předplatné připojení pro hostování centra Azure Virtual WAN, privátního systému DNS (Domain Name System), okruhu ExpressRoute a dalších síťových prostředků. Vyhrazené předplatné zajišťuje, aby se všechny základní síťové prostředky fakturovaly společně a izolovaly od jiných úloh.
      • Předplatná používejte jako demokratizovanou jednotku správy v souladu s vašimi obchodními potřebami a prioritami.

  • Pomocí ručních procesů omezte tenanty Microsoft Entra jenom na smlouva Enterprise předplatná registrace. Použití ručního procesu brání vytvoření předplatných služby Microsoft Developer Network v oboru kořenové skupiny pro správu.

  • Informace o převodech předplatného mezi nabídkami fakturace Azure najdete v centru převodu předplatného a centra převodu rezervací.

Aspekty návrhu kvót a kapacity

Oblasti Azure můžou mít konečný počet prostředků. V důsledku toho by měly být dostupné kapacity a skladové položky sledovány pro přechody Azure zahrnující velký počet prostředků.

  • Zvažte omezení a kvóty v rámci platformy Azure pro každou službu, které vaše úlohy vyžadují.

  • Zvažte dostupnost požadovaných skladových položek ve vybraných oblastech Azure. Nové funkce můžou být například dostupné jenom v určitých oblastech. Dostupnost určitých skladových položek pro dané prostředky, jako jsou virtuální počítače, se můžou lišit od jedné oblasti po jinou.

  • Vezměte v úvahu, že kvóty předplatného nejsou záruky kapacity a použijí se na základě jednotlivých oblastí.

    • Rezervace kapacity virtuálních počítačů najdete v tématu Rezervace kapacity na vyžádání.

  • Zvažte opakované použití nepoužívaných nebo vyřazených předplatných podle pokynů v části Měli bychom vytvořit nové předplatné Azure pokaždé, nebo můžeme a měli bychom znovu použít předplatná Azure? – Nejčastější dotazy k cílovým zónám Azure.

Aspekty návrhu omezení převodu tenanta

Každé předplatné Azure je propojené s jedním tenantem Microsoft Entra, který funguje jako zprostředkovatel identity (IDP) pro vaše předplatné Azure. Tenant Microsoft Entra slouží k ověřování uživatelů, služeb a zařízení.

Tenant Microsoft Entra propojený s vaším předplatným Azure může změnit libovolný uživatel s požadovanými oprávněními. Tento proces je podrobně popsaný v následujících článcích:

Poznámka

Převod na jiného tenanta Microsoft Entra není podporován pro předplatná Azure Cloud Solution Provider (CSP).

Pomocí cílových zón Azure můžete nastavit požadavky, které uživatelům zabrání v přenosu předplatných do tenanta Microsoft Entra vaší organizace. Projděte si proces ve správě zásad předplatného Azure.

Nakonfigurujte zásady předplatného tak, že poskytnete seznam vyloučených uživatelů. Vyloučení uživatelé můžou obejít omezení nastavená v zásadách.

Důležité

Seznam vyloučených uživatelů není Azure Policy.

  • Zvažte, jestli by uživatelé s předplatnými Azure sady Visual Studio nebo MSDN měli mít povoleno převést své předplatné do nebo z vašeho tenanta Microsoft Entra.

  • Nastavení přenosu tenanta můžou konfigurovat jenom uživatelé s přiřazenou rolí Globální Správa istrator Společnosti Microsoft. Tito uživatelé a musí mít přístup se zvýšenými oprávněními, aby mohli zásadu změnit.

  • Všichni uživatelé s přístupem k Azure můžou zobrazit zásady definované pro vašeho tenanta Microsoft Entra.

    • Uživatelé nemůžou zobrazit seznam vyloučených uživatelů .

    • Uživatelé můžou zobrazit globální správce v rámci vašeho tenanta Microsoft Entra.

  • Předplatná Azure převedená do tenanta Microsoft Entra se umístí do výchozí skupiny pro správu pro daného tenanta.

  • Pokud je vaše organizace schválená, může váš aplikační tým definovat proces, který umožní převod předplatných Azure do nebo z tenanta Microsoft Entra.

Stanovení aspektů návrhu správy nákladů

Transparentnost nákladů je zásadní výzvou správy každé velké podnikové organizace. Tato část článku popisuje klíčové aspekty dosažení transparentnosti nákladů ve velkých prostředích Azure.

  • Modely zpětného účtování, jako je Aplikace Azure Service Environment a Azure Kubernetes Service, můžou být potřeba sdílet, aby se dosáhlo vyšší hustoty. Na sdílené prostředky platformy jako služby (PaaS) můžou mít vliv modely vrácení peněz.

  • K optimalizaci nákladů použijte plán vypnutí pro neprodukční úlohy.

  • Pomocí Azure Advisoru můžete zkontrolovat doporučení pro optimalizaci nákladů.

  • Vytvořte model zpětného účtování nákladů pro lepší distribuci nákladů napříč vaší organizací.

  • Implementujte zásady, které brání nasazení prostředků, které nemají oprávnění k nasazení v prostředí vaší organizace.

  • Vytvořte pravidelný plán a tempo kontroly nákladů a správné velikosti prostředků pro úlohy.

Doporučení pro předplatná

Následující části obsahují doporučení, která vám pomůžou naplánovat a vytvořit předplatná pro Azure.

Doporučení pro organizace a zásady správného řízení

  • Považovat předplatná za jednotku správy v souladu s vašimi obchodními potřebami a prioritami.

  • Zajištění povědomí vlastníků předplatného o jejich rolích a zodpovědnostech

    • Proveďte čtvrtletní nebo roční kontrolu přístupu pro Microsoft Entra Privileged Identity Management, abyste zajistili, že se oprávnění při přesunu uživatelů v rámci vaší organizace nerozšířejí.
    • Vezměte úplné vlastnictví rozpočtových výdajů a zdrojů.
    • V případě potřeby zajistěte dodržování zásad a opravte je.

  • Při identifikaci požadavků na nová předplatná použijte následující principy:

    • Omezení škálování: Předplatná slouží jako jednotka škálování pro úlohy komponent pro škálování v rámci limitů předplatného platformy. Velké specializované úlohy, jako jsou vysokovýkonné výpočetní prostředí, IoT a SAP, by měly používat samostatná předplatná, aby se zabránilo spuštění těchto limitů.
    • Hranice správy: Předplatná poskytují hranici správy pro zásady správného řízení a izolaci, což umožňuje jasné oddělení obav. Různá prostředí, jako je vývoj, testování a produkce, se často odebírají z hlediska správy.
    • Hranice zásad: Předplatná slouží jako hranice pro přiřazení azure Policy. Například zabezpečené úlohy, jako je PCI, obvykle vyžadují další zásady, aby bylo možné dosáhnout dodržování předpisů. Ostatní režijní náklady se nebere v úvahu, pokud používáte samostatné předplatné. Vývojová prostředí mají uvolněnější požadavky zásad než produkční prostředí.
    • Topologie cílové sítě: Virtuální sítě nemůžete sdílet mezi předplatnými, ale můžete je propojit s různými technologiemi, jako je partnerský vztah virtuálních sítí nebo Azure ExpressRoute. Při rozhodování, jestli potřebujete nové předplatné, zvažte, které úlohy musí vzájemně komunikovat.

  • Seskupte předplatná společně v rámci skupin pro správu, které jsou v souladu se strukturou skupiny pro správu a požadavky zásad. Seskupování předplatných zajišťuje, že předplatná se stejnou sadou zásad a přiřazení rolí Azure pocházejí ze skupiny pro správu.

  • Vytvořte ve skupině Platform pro správu vyhrazené předplatné pro správu, které podporuje možnosti globální správy, jako jsou pracovní prostory Služby Log Analytics služby Azure Monitor a runbooky Azure Automation.

  • Vytvořte ve skupině Platform pro správu vyhrazené předplatné identity pro hostování řadičů domény služby Active Directory systému Windows Server, pokud je to potřeba.

  • Vytvořte ve skupině Platform pro správu vyhrazené předplatné připojení pro hostování centra Azure Virtual WAN, privátního systému DNS (Domain Name System), okruhu ExpressRoute a dalších síťových prostředků. Vyhrazené předplatné zajišťuje, aby se všechny základní síťové prostředky fakturovaly společně a izolovaly od jiných úloh.

  • Vyhněte se pevnému modelu předplatného. Místo toho použijte sadu flexibilních kritérií k seskupení předplatných ve vaší organizaci. Tato flexibilita zajišťuje, že když se změní struktura vaší organizace a složení úloh, můžete vytvářet nové skupiny předplatných místo použití pevné sady existujících předplatných. Jedna velikost neodpovídá všem předplatným a to, co funguje pro jednu obchodní jednotku, nemusí fungovat pro jinou. Některé aplikace můžou existovat ve stejném předplatném cílové zóny, zatímco jiné můžou vyžadovat vlastní předplatné.

Doporučení pro kvóty a kapacitu

  • Použijte předplatná jako jednotky škálování a podle potřeby navyšte kapacitu prostředků a předplatných. Vaše úloha pak může využít požadované prostředky pro horizontální navýšení kapacity bez dosažení limitů předplatného na platformě Azure.

  • Rezervace kapacity slouží ke správě kapacity v některých oblastech. Vaše úloha pak může mít požadovanou kapacitu pro prostředky s vysokou poptávkou v konkrétní oblasti.

  • Vytvořte řídicí panel s vlastními zobrazeními pro monitorování použitých úrovní kapacity a nastavte výstrahy, pokud kapacita přistupuje ke kritickým úrovním (90% využití procesoru).

  • Vytvořte žádosti o podporu pro zvýšení kvóty v rámci zřizování předplatného, například pro celková dostupná jádra virtuálních počítačů v rámci předplatného. Před překročením výchozích limitů se ujistěte, že jsou nastavené limity kvót.

  • Ujistěte se, že všechny požadované služby a funkce jsou dostupné ve vybraných oblastech nasazení.

Doporučení pro automatizaci

  • Vytvořte prodejní proces předplatného, který automatizuje vytváření předplatných pro aplikační týmy prostřednictvím pracovního postupu žádosti, jak je popsáno v části Prodejní verze předplatného.

Doporučení pro omezení převodu tenanta

  • Nakonfigurujte následující nastavení, abyste uživatelům zabránili v přenosu předplatných Azure do nebo z vašeho tenanta Microsoft Entra:

    • Nastavte předplatné, které opustí adresář Microsoft Entra na Permit no one.

    • Nastavte předplatné zadáním adresáře Microsoft Entra na Permit no one.

  • Nakonfigurujte omezený seznam vyloučených uživatelů.

Další kroky

Přijetí ochranných mantinelí řízených zásadami