Prodejní předplatné

Prodejní verze předplatného poskytuje mechanismus platformy pro programové vydávání předplatných aplikačním týmům, které potřebují nasazovat úlohy. Následující diagram znázorňuje, kde správa předplatného zapadá do životního cyklu platformy a úloh.

Krok 1 je vytvoření předplatných platformy. Krok 2 je vytvoření platformy. Krok 3 spočívá v vytvoření správa předplatného. Krok 4 je nasazení úloh. Kroky 1 a 2 odpovídají platformě. Krok 3, správa předplatného, se překrývá s cílovou zónou platformy i aplikace. Krok 4 je krok zaměřený na aplikaci.

Prodejní verze předplatného vychází z konceptu demokratizace předplatného a používá ho na cílové zóny aplikací. Při demokratizaci předplatného jsou předplatná, nikoli skupiny prostředků, primárními jednotkami správy a škálování úloh. Další informace naleznete v tématu:

• Cílové zóny platformy versus cílové zóny aplikací
• Demokratizovaný přístup k předplatným
• Kolik předplatných mám použít v Azure (YouTube)?

Proč správa předplatného?

Prodejní verze předplatného nabízí organizacím, které potřebují nasadit úlohy v Azure, několik výhod. Standardizuje a automatizuje proces pro vyžádání, nasazení a řízení předplatných pro cílové zóny aplikací. Prodejní verze předplatného zjednodušuje proces vytváření předplatného a umístí ho pod zásady správného řízení organizace, aby se týmy aplikací mohly soustředit na nasazování úloh s větší jistotou a efektivitou.

• Zjednodušený proces: Prodejní verze předplatného poskytuje oficiální front door pro aplikační týmy, které si žádají o předplatná, a eliminuje tak potřebu, aby mohli proces předplatného procházet sami.
• Vyšší rychlost: Aplikační týmy můžou rychleji přistupovat k cílovým zónám aplikací a rychleji nasadí úlohy.
• Efektivní zásady správného řízení: Tým platformy může vynucovat zásady správného řízení v cílových zónách aplikací s minimální režií.

Implementace správa předplatného

Prodejní verze předplatného zahrnuje tři týmy. Cloud Center of Excellence (CCoE) vytváří obchodní logiku a proces schvalování. Jakmile budou připravené, týmy aplikací budou vyhovět žádostem o předplatné. Tým platformy použije žádost o vytvoření a konfiguraci předplatného před předáním předplatného týmu aplikace. Aplikační tým aktualizuje rozpočet, nasadí úlohu a vytvoří operace. Následující doprovodné materiály poskytují další podrobnosti o jednotlivých krocích procesu správa předplatného. Další informace najdete v doprovodných materiálech k implementaci koncového předplatného.

Vytvoření obchodní logiky a procesu schvalování

Pokud chcete implementovat model správa předplatného, musíte vytvořit schvalovací proces, který shromažďuje základní informace o předplatném. Cloud Center of Excellence (CCoE) by měl programovat proces schvalování a stanovit obchodní pravidla týkající se shromažďovaných informací.

Automatizujte proces. Měli byste automatizovat proces zachytávání a schvalování žádostí o předplatné, abyste zrychlili zřizování a vylepšili dodržování předpisů.

Integrace s existujícími nástroji Proces schválení správa předplatného byste měli integrovat do stávajícího nástroje pro správu IT služeb (ITSM). Integrace může zjednodušit proces schvalování, snížit ruční úsilí a zvýšit efektivitu a zároveň snížit chyby. Usnadňuje také údržbu v průběhu času a pomáhá při vytváření sestav dodržování předpisů pro audity.

Připojení do kanálu nasazení. Osvědčeným postupem je svázat obchodní logiku procesu schvalování s kanálem nasazení předplatného, který spravuje tým platformy. Pracovní postupy Azure Pipelines nebo GitHub Actions jsou běžná řešení pro kanál nasazení předplatného.

Shromážděte požadavky při příjmu. Obchodní logika by měla týmům aplikací umožnit požádat o předplatné a poskytnout požadavky na předplatné. Tyto požadavky by měly zahrnovat očekávané rozpočty, vlastníky předplatných, očekávání sítí a klasifikaci důležitosti obchodních údajů a důvěrnosti. Shromažďování těchto informací na začátku procesu informuje vaše parametry nasazení a potřeby schválení účastníků. Proces příjmu by také měl týmu platformy poskytnout dostatek informací k umístění úlohy do hierarchie skupin pro správu.

Když je proces schvalování zavedený, můžou týmy aplikací začít vytvářet žádosti o předplatné.

Vytvoření žádosti o předplatné

Prodejní verze předplatného poskytuje standardní proces pro aplikační týmy, které si žádají o předplatné. Je důležité sociálních sítí zajistit dostupnost správa předplatného a zajistit, aby žádosti o předplatné byly snadno dostupné. Jakmile tým aplikace odešle žádost o předplatné, tým platformy převezme kontrolu nad procesem. Tým platformy udržuje kontrolu, dokud nevytvoří předplatné a předá předplatné týmu aplikace.

Konfigurace sítě

Automatizace předplatného musí nastavit požadované síťové komponenty a musí být dostatečně flexibilní, aby vyhovovala potřebám každého aplikačního týmu. Obecné pokyny nikdy nepoužívejte překrývající se IP adresy v jedné doméně směrování. Pokud se vaše požadavky na velikost změní, můžete přidat nebo odstranit adresní prostor virtuální sítě bez výpadků. Další informace naleznete v tématu:

• Omezení IP adres
• Aktualizace adresního prostoru partnerské virtuální sítě
• Přidání nebo odebrání rozsahu adres

Použijte nástroj pro správu IP adres (Správa IP adres). Měli byste použít a integrovat systém Správa IP adres do prodejního procesu, abyste zjednodušili přiřazení IP adres. Další informace a pokyny k Správa IP adres najdete v nástrojích Správa IP adres (IPAM) (Správa IP adres).

Udělte týmu aplikace autonomii. Týmům aplikací byste měli udělit práva vytvářet podsítě a dokonce i některé virtuální sítě v předplatném. Tým platformy by měl vždy vytvářet virtuální sítě, které jsou v partnerském vztahu k centrálnímu centru.

Vynucujte zásady správného řízení sítě. Tým platformy by měl vynucovat zásady správného řízení virtuální sítě prostřednictvím (1) zásad Azure přiřazených k hierarchii skupin pro správu nebo (2) Azure Virtual Network Manageru a pravidel zabezpečení Správa. Další informace najdete v tématu Zásady řízené zásadami správného řízení a jak blokovat porty s vysokým rizikem.

Určení umístění předplatného

Tým platformy by měl použít požadavky na sítě a zásady správného řízení k umístění předplatného do hierarchie skupin pro správu. Před vytvořením předplatného by si také měli projít limity kvót předplatného. Další informace najdete v tématu Přizpůsobení architektury cílové zóny Azure tak, aby splňovala požadavky.

Identifikujte správnou skupinu pro správu. Skupiny pro správu pomáhají organizovat a řídit předplatná a nasazení úloh. Vyhledejte nebo vytvořte skupinu pro správu, která vynucuje zásady potřebné pro klasifikaci a potřeby jednotlivých úloh.

Vytvářejte flexibilní automatizaci. Vaše automatizace by měla být dostatečně flexibilní (1) pro nasazení více předplatných a (2) přizpůsobení limitům předplatných služeb.

• Více předplatných: Některé úlohy potřebují několik předplatných. Některé úlohy mají například několik instancí oddělených předplatným. Alternativně architektury SaaS, které používají vyhrazené prostředky na zákazníka, často používají desítky předplatných.

• Limity služby předplatného: Podnik s několika tisíci předplatnými by měl mít automatizaci, která se může nasadit do starého předplatného nebo uvolnit úlohy v předplatném, aby se zabránilo limitům. Další informace najdete v nejčastějších dotazech k cílovým zóně Azure.

  Zvýšení kvóty můžete po zřízení vyžádat ručně pomocí webu Azure Portal. Pokud tento proces automatizujete pomocí dostupných rozhraní API, je jednodušší. Požadavek na kvótu ale může selhat, takže byste měli spustit skript pro zpracování chyb. Další informace najdete v tématu Microsoft.Capacity, Microsoft.Quota a Microsoft.Support.

Vytvoření a konfigurace předplatného

Teď můžete vytvořit a nakonfigurovat požadované předplatné. Cílem je vytvořit opakovatelný a konzistentní proces. Automatizujte tolik procesu vytváření a konfigurace předplatného, jak můžete.

Použití infrastruktury jako kódu (IaC). Běžnou strategií pro správa předplatného je programové vytvoření a konfigurace předplatného pomocí IaC. K programovému vytvoření předplatného Azure potřebujete komerční smlouvu, ale bez komerční smlouvy můžete automatizovat všechny aspekty konfigurace předplatného. Další informace naleznete v tématu:

• Požadovaná role EA
• Požadované role MCA
• Požadovaná role MPA

Existují příklady modulů správa předplatného Bicep a Terraform, které vám pomůžou přijmout model správa předplatného bez ohledu na vaši registraci v komerční smlouvě. K orchestraci automatizace byste měli použít akce GitHubu nebo Azure Pipelines.

Používejte značky pro správu nákladů. Měli byste automatizovat konzistentní přiřazování značek ke každému předplatnému pro účely správy nákladů a generování sestav ve službě Azure Cost Management. I když dostáváte sestavy fakturace s vašimi komerčními smlouvami, Azure Cost Management poskytuje větší funkce. Můžete například vytvářet sestavy pro předplatná s konkrétními značkami. Další informace najdete v tématu Použití značek v datech o nákladech a využití a skupině a přidělování nákladů pomocí dědičnosti značek.

Použijte produkční a neprodukční předplatná. V žádosti o nové předplatné musíte určit, jestli je úloha určená pro produkční nebo devTest. Prostředí DevTest mají nižší poplatky za prostředky, ale mají jiné termíny. Poznámka: Nabídka DevTestu není pro MPA dostupná. Další informace naleznete v tématu:

• Nabídky fakturace Azure a tenanti Active Directory
• Přehled oblasti návrhu organizace zdrojů
• Programové vytváření předplatných Azure

Nastavení řízení přístupu na základě identit a rolí (RBAC) Správa přístupu k prostředkům v rámci předplatného Azure je důležitá pro zachování zabezpečeného a vyhovujícího prostředí. Pro řízení přístupu je nezbytné nastavit identitu a RBAC. Součástí tohoto nastavení je určení vlastníka předplatného, vytvoření skupin Microsoft Entra pro správu přístupu a vytvoření účtů automation pro nasazení úloh.

• Určení vlastníka předplatného Automatizace správa předplatného musí při vytváření určit vlastníka předplatného. Žádost o předplatné by měla tyto informace zaznamenávat při příjmu. Vlastníci předplatného můžou být pouze uživatelé nebo instanční objekty ve vybraném adresáři předplatného. Uživatele adresáře typu host vybrat nejde. Pokud vyberete instanční objekt, zadejte jeho ID aplikace.

• Vytvořte skupiny Microsoft Entra. Kromě vlastníka předplatného byste měli zajistit, aby prodejní proces používal strukturu skupiny Microsoft Entra ke správě přístupu k předplatnému. Pro přístup se zvýšenými oprávněními (například pro zápis) doporučujeme použít PIM pro skupiny. Automatizace tohoto procesu vytváření by neměla porušit osvědčené postupy, jako je omezení počtu vlastníků předplatného a použití minimální požadované úrovně přístupu.

• Vytvořte identity úloh. Identity úloh (principy služby) používané pro nasazení úloh mají často zvýšená oprávnění v oboru předplatného. Proces žádosti o předplatné by měl shromáždit požadavky na identitu úloh při příjmu. Váš prodejní proces by měl tyto identity vytvořit a přiřadit odpovídající přístup k předplatnému. Je důležité si uvědomit, že identita úlohy nemůže používat PIM a přijímá stálý přístup k prostředkům. Doporučujeme používat spravované identity, abyste se vyhnuli nutnosti spravovat tajné kódy. Další informace najdete v oblasti návrhu identity.

Předání aplikačnímu týmu Jakmile tým platformy vytvoří předplatné, měl by předplatné předat aplikačnímu týmu.

Aktualizace rozpočtu předplatného

Týmy platforem a úloh sdílejí odpovědnost za finanční stav předplatného. Nasazení by mělo vytvořit rozpočet předplatného na základě informací v žádosti o předplatné. Aplikace by měla aktualizovat rozpočet tak, aby vyhovoval jejich potřebám, když obdrží předplatné. Rozpočty jsou užitečné pro auditování útraty oproti aktuálnímu a prognóze využití, ale nejsou to pevné limity. Pokud se úloha chystá překročit prahovou hodnotu rozpočtu, měli byste vytvořit upozornění na rozpočet, která vlastníkům předplatného oznámí. U sdílených služeb, jako je api Management, zvažte použití pravidel přidělování nákladů Azure (Preview) k redistribuci nákladů mezi spotřebovávání předplatných.

Nasazení úloh a provoz

Tým aplikací by měl mít autonomii, aby vytvořil prostředky, které potřebují pro svou úlohu a správu operací. Tým platformy zůstává zodpovědný za zásady správného řízení předplatného. S tím, jak se mění požadavky zásad správného řízení úloh, by tým platformy měl přesunout předplatná do skupiny pro správu, která nejlépe vyhovuje potřebám úloh. Přesun můžete automatizovat pomocí Bicep nebo Terraformu. Další informace naleznete v tématu:

• Přehled skupin pro správu
• Přesun předplatného do nové skupiny pro správu (Bicep)
• Přesun předplatného do nové skupiny pro správu (Terraform)
• Přizpůsobení cílové zóny Azure tak, aby splňovala vaše požadavky

Další kroky

Nejlepších výsledků dosáhnete, když budete mít co největší část správa předplatného procesu. Doprovodné materiály k implementaci automatizace správa předplatného použijte.

Pokyny k implementaci prodejního předplatného