Überlegungen und Empfehlungen für Abonnements

Abonnements sind eine Einheit für die Verwaltung, Abrechnung und Skalierung in Azure. Sie spielen eine wichtige Rolle, wenn Sie eine große Azure-Einführung entwerfen. Dieser Artikel hilft Ihnen bei der Erfassung von Abonnementanforderungen und dem Entwerfen von Zielabonnements basierend auf kritischen Faktoren, die je nach Folgendem variieren:

• Umgebungstypen
• Besitz- und Governancemodelle
• Organisationsstrukturen
• Anwendungsportfolios
• Regionen

Tipp

Weitere Informationen zu Abonnements finden Sie im YouTube-Video: Azure-Zielzonen – Wie viele Abonnements sollte ich in Azure verwenden?

Hinweis

Wenn Sie Enterprise-Vereinbarungen, Microsoft-Kundenverträge (Enterprise) oder Microsoft Partner Agreements (CSP) verwenden, überprüfen Sie die Abonnementgrenzwerte in Abrechnungskonten und -bereichen im Azure-Portal.

Überlegungen zum Abonnement

Die folgenden Abschnitte enthalten Überlegungen zum Planen und Erstellen von Abonnements für Azure.

Entwurfsüberlegungen zu Organisation und Governance

• Abonnements fungieren bei Azure Policy-Zuweisungen als Grenzen.

  Beispielsweise erfordern sichere Workloads wie PCI-Workloads (Payment Card Industry) in der Regel andere Richtlinien, um die Compliance zu erreichen. Anstatt eine Verwaltungsgruppe zum Sortieren von Workloads zu verwenden, die PCI-Compliance erfordern, können Sie die gleiche Abgrenzung auch mit einem Abonnement erzielen, ohne zu viele Verwaltungsgruppen mit wenigen Abonnements zu haben.

  Wenn Sie mehrere Abonnements gruppieren müssen, die denselben Workloadarchetyp haben, sollten Sie diese in einer Verwaltungsgruppe erstellen.

• Abonnements dienen als Skalierungseinheit, sodass Komponentenworkloads innerhalb von Plattformabonnements skaliert werden können. Berücksichtigen Sie beim Entwerfen Ihrer Workloads die Ressourcengrenzwerte für Abonnements.

• Abonnements stellen eine Verwaltungsgrenze für Governance und Isolation bereit, wodurch eine klare Trennung von Zuständigkeiten erreicht wird.

• Erstellen Sie separate Plattformabonnements für Verwaltung (Überwachung), Konnektivität und Identität, sofern diese erforderlich sind.

  • Richten Sie ein dediziertes Verwaltungsabonnement in Ihrer Plattformverwaltungsgruppe ein, um globale Verwaltungsfunktionen wie Azure Monitor Logs-Arbeitsbereiche und Azure Automation-Runbooks zu unterstützen.

  • Richten Sie ein dediziertes Identitätsabonnement in der Plattformverwaltungsgruppe ein, um Windows Server Active Directory-Domänencontroller bei Bedarf zu hosten.

  • Richten Sie ein dediziertes Konnektivitätsabonnement in Ihrer Plattformverwaltungsgruppe ein, um einen Azure Virtual WAN-Hub, ein privates Domain Name System (DNS), einen Azure ExpressRoute-Schaltkreis und andere Netzwerkressourcen zu hosten. Mit einem dedizierten Abonnement wird sichergestellt, dass alle grundlegenden Netzwerkressourcen zusammen abgerechnet und von anderen Workloads isoliert werden.

  • Verwenden Sie Abonnements als demokratisierungisierte Verwaltungseinheit, die ihren Geschäftlichen Anforderungen und Prioritäten entspricht.

• Verwenden Sie manuelle Prozesse, um Microsoft Entra-Mandanten ausschließlich auf Registrierungsabonnements für das Enterprise Agreement zu beschränken. Wenn Sie einen manuellen Prozess verwenden, können Sie keine Msdn-Abonnements (Microsoft Developer Network) im Bereich der Stammverwaltungsgruppe erstellen.

  Um Support zu erhalten, übermitteln Sie ein Azure-Supportticket.

  Informationen zu Abonnementübertragungen zwischen Azure-Abrechnungsangeboten finden Sie unter Azure-Abonnement- und Reservierungsübertragungshub.

Überlegungen zu mehreren Regionen

Von Bedeutung

Abonnements sind nicht an eine bestimmte Region gebunden, und Sie können sie als globale Abonnements behandeln. Sie sind logische Konstrukte, um Abrechnungs-, Governance-, Sicherheits- und Identitätskontrollen für Azure-Ressourcen bereitzustellen, die darin enthalten sind. Daher benötigen Sie kein separates Abonnement für jede Region.

• Sie können einen Multiregion-Ansatz auf Ebene der einzelnen Workload für die Skalierung oder Geo-Notfallwiederherstellung oder auf globaler Ebene (unterschiedliche Workloads in verschiedenen Regionen) anwenden.

• Ein einzelnes Abonnement kann Je nach Anforderungen und Architektur Ressourcen aus verschiedenen Regionen enthalten.

• In einem Kontext für die Geo-Notfallwiederherstellung können Sie dasselbe Abonnement verwenden, um Ressourcen aus primären und sekundären Regionen zu enthalten, da sie logisch Teil derselben Workload sind.

• Sie können verschiedene Umgebungen für dieselbe Workload in verschiedenen Regionen bereitstellen, um Kosten und Ressourcenverfügbarkeit zu optimieren.

• In einem Abonnement, das Ressourcen aus mehreren Regionen enthält, können Sie Ressourcengruppen verwenden, um Ressourcen nach Region zu organisieren und zu enthalten.

Entwurfsüberlegungen zu Kontingent und Kapazität

Azure-Regionen verfügen eventuell über eine begrenzte Anzahl von Ressourcen. Daher sollten Sie die verfügbare Kapazität und SKUs für Azure-Einführungen mit mehreren Ressourcen nachverfolgen.

• Berücksichtigen Sie Grenzwerte und Kontingente innerhalb der Azure-Plattform für jeden Dienst, den Ihre Workloads benötigen.

• Prüfen Sie die Verfügbarkeit der erforderlichen SKUs in ausgewählten Azure-Regionen. So können neue Features beispielsweise nur in bestimmten Regionen verfügbar sein. Die Verfügbarkeit bestimmter SKUs für bestimmte Ressourcen wie virtuelle Computer (VMs) kann von Region zu Region variieren.

• Beachten Sie, dass Abonnementkontingente keine Kapazitätsgarantien sind und sich auf die jeweilige Region beziehen.

  Informationen zu Kapazitätsreservierungen virtueller Maschinen finden Sie unter On-Demand-Kapazitätsreservierung.

• Ziehen Sie in Betracht, nicht verwendete oder außer Betrieb genommene Abonnements wiederzuverwenden. Weitere Informationen finden Sie unter Erstellen oder Wiederverwenden von Azure-Abonnements.

Entwurfsüberlegungen zu Mandantenübertragungseinschränkungen

Jedes Azure-Abonnement ist mit einem einzigen Microsoft Entra-Mandanten verknüpft, der als Identitätsanbieter (IdP) für Ihr Azure-Abonnement fungiert. Verwenden Sie den Microsoft Entra-Mandanten, um Benutzer, Dienste und Geräte zu authentifizieren.

Wenn ein Benutzer über die erforderlichen Berechtigungen verfügt, kann er den Microsoft Entra-Mandanten ändern, der mit Ihrem Azure-Abonnement verknüpft ist. Weitere Informationen finden Sie unter:

• Zuordnen oder Hinzufügen eines Azure-Abonnements zu Ihrem Microsoft Entra-Mandanten
• Übertragen eines Azure-Abonnements in ein anderes Microsoft Entra-Verzeichnis

Hinweis

Sie können nicht zu einem anderen Microsoft Entra-Mandanten für Azure Cloud Solution Provider (CSP)-Abonnements übertragen.

Für Azure-Landezonen können Sie Anforderungen festlegen, um zu verhindern, dass Benutzer Abonnements auf den Microsoft Entra-Mandanten Ihrer Organisation übertragen. Weitere Informationen finden Sie unter Verwalten von Azure-Abonnementrichtlinien.

Konfigurieren Sie Ihre Abonnementrichtlinie, indem Sie eine Liste der ausgenommenen Benutzer angeben. Ausgenommene Benutzer dürfen Einschränkungen umgehen, die in der Richtlinie festgelegt sind.

Von Bedeutung

Eine Liste ausgenommener Benutzer ist keine Azure-Richtlinie.

• Überlegen Sie, ob Sie Benutzern mit Visual Studio- oder MSDN Azure-Abonnements erlauben sollten, ihr Abonnement auf Ihren Microsoft Entra-Mandanten zu übertragen.

• Nur Benutzer mit der Rolle des globalen Microsoft Entra-Administrators können Mandantenübertragungseinstellungen konfigurieren. Diese Benutzer müssen erhöhten Zugriff haben, um die Richtlinie zu ändern.

  • Sie können nur einzelne Benutzerkonten als ausgenommene Benutzer angeben, nicht als Microsoft Entra-Gruppen.

Von Bedeutung

Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

• Alle Benutzer mit Zugriff auf Azure können die Richtlinie anzeigen, die für Ihren Microsoft Entra-Mandanten definiert ist.

  • Benutzer können Ihre liste der ausgenommenen Benutzer nicht anzeigen.

  • Benutzer können die globalen Administratoren in Ihrem Microsoft Entra-Mandanten anzeigen.

• Azure-Abonnements, die Sie in einen Microsoft Entra-Mandanten übertragen, werden in die Standardverwaltungsgruppe für diesen Mandanten versetzt.

• Wenn Ihre Organisation genehmigt, kann Ihr Anwendungsteam einen Prozess definieren, mit dem Azure-Abonnements an oder von einem Microsoft Entra-Mandanten übertragen werden können.

Überlegungen zur Kostenverwaltung

Jede große Unternehmensorganisation hat die Herausforderung, Die Kostentransparenz zu verwalten. In diesem Abschnitt werden wichtige Aspekte erläutert, um Kostentransparenz in großen Azure-Umgebungen zu erzielen.

• Möglicherweise müssen Sie Chargebackmodelle wie App Service Environment und Azure Kubernetes Service (AKS) freigeben, um eine höhere Dichte zu erzielen. Chargeback-Modelle können sich auf gemeinsam genutzte Platform-as-a-Service (PaaS)-Ressourcen auswirken.

• Optimieren Sie die Kosten mithilfe eines Zeitplans zum Herunterfahren für nicht produktionsbezogene Workloads.

• Verwenden Sie Azure Advisor , um Empfehlungen zur Optimierung der Kosten zu erhalten.

• Richten Sie ein Chargebackmodell für eine bessere Verteilung der Kosten in Ihrer Organisation ein.

• Implementieren Sie eine Richtlinie, um zu verhindern, dass Benutzer nicht autorisierte Ressourcen in der Umgebung Ihrer Organisation bereitstellen.

• Richten Sie einen regelmäßigen Zeitplan und Takt ein, um Ressourcen für Arbeitslasten zu überprüfen und anzupassen.

Abonnementempfehlungen

Die folgenden Abschnitte enthalten Empfehlungen, die Sie beim Planen und Erstellen von Abonnements für Azure unterstützen.

Empfehlungen für Organisation und Governance

• Behandeln Sie Abonnements als Verwaltungseinheit, die ihren geschäftlichen Anforderungen und Prioritäten entspricht.

• Informieren Sie Abonnementbesitzer über ihre Rollen und Verantwortlichkeiten.

  • Führen Sie eine vierteljährliche oder jährliche Zugriffsüberprüfung für Microsoft Entra Privileged Identity Management (PIM) durch, um sicherzustellen, dass die Berechtigungen sich nicht unnötig verbreiten, wenn Benutzer sich innerhalb Ihrer Organisation bewegen.

  • Beanspruchen Sie die vollständige Verfügung über Budgetausgaben und Ressourcenverwendung.

  • Gewährleisten Sie die Richtlinienkompatibilität, und beheben Sie ggf. Verstöße.

• Wenn Sie Anforderungen für neue Abonnements identifizieren, verweisen Sie auf die folgenden Prinzipien:

  • Skalierungsgrenzwerte: Abonnements dienen als Skalierungseinheiten für Komponentenworkloads, um innerhalb der Abonnementgrenzwerte der Plattform zu skalieren. Große spezialisierte Workloads, wie Hochleistungsrechner, IoT und SAP, sollten separate Abonnements verwenden, um nicht an diese Grenzwerte zu stoßen.

  • Verwaltungsgrenze: Abonnements bieten eine Verwaltungsgrenze für Governance und Isolation, die eine klare Trennung von Bedenken ermöglicht. Verschiedene Umgebungen, z. B. Entwicklungs-, Test- und Produktionsumgebungen, werden häufig aus der Verwaltungsperspektive entfernt.

  • Richtliniengrenzen: Abonnements dienen als Grenze für Azure Policy-Zuweisungen. Beispielsweise erfordern sichere Workloads wie PCI-Workloads in der Regel andere Richtlinien, um Compliance zu erreichen. Der andere Mehraufwand wird nicht berücksichtigt, wenn ein separates Abonnement verwendet wird. Entwicklungsumgebungen weisen weniger Anforderungen an Richtlinien auf als Produktionsumgebungen.

  • Zielnetzwerktopologie: Sie können virtuelle Netzwerke nicht über Abonnements hinweg freigeben, aber Sie können sie mit verschiedenen Technologien wie virtuelles Netzwerk-Peering oder ExpressRoute verbinden. Wenn Sie entscheiden, ob Sie ein neues Abonnement benötigen, überlegen Sie, welche Workloads miteinander kommunizieren müssen.

• Gruppieren Sie Abonnements in Verwaltungsgruppen, die sich an Ihrer Struktur der Verwaltungsgruppen und Ihren Richtlinienanforderungen orientieren. Gruppenabonnements, um sicherzustellen, dass Abonnements mit denselben Richtlinien und Azure-Rollenzuweisungen aus derselben Verwaltungsgruppe stammen.

• Richten Sie ein dediziertes Verwaltungsabonnement in Ihrer Platform Verwaltungsgruppe ein, um globale Verwaltungsfunktionen wie Azure Monitor Logs-Arbeitsbereiche und Automatisierungsrunbooks zu unterstützen.

• Richten Sie ein dediziertes Identitätsabonnement in Ihrer Platform Verwaltungsgruppe ein, um Windows Server Active Directory-Domänencontroller bei Bedarf zu hosten.

• Richten Sie ein dediziertes Konnektivitätsabonnement in Ihrer Platform Verwaltungsgruppe ein, um einen virtuellen WAN-Hub, einen privaten DNS-, ExpressRoute-Schaltkreis und andere Netzwerkressourcen zu hosten. Mit einem dedizierten Abonnement wird sichergestellt, dass alle grundlegenden Netzwerkressourcen zusammen abgerechnet und von anderen Workloads isoliert werden.

• Vermeiden Sie ein rigides Abonnementmodell. Verwenden Sie stattdessen flexible Kriterien, um Abonnements in Ihrer Organisation zu gruppieren. Mithilfe dieser Flexibilität wird sichergestellt, dass Sie angesichts von Änderungen der Struktur und der Workloadkomposition Ihrer Organisation neue Abonnementgruppen erstellen können, anstatt festgelegte vorhandene Abonnements zu verwenden. Es gibt keine universelle Methode für Abonnements. Was für eine Geschäftseinheit funktioniert, muss für eine andere nicht funktionieren. Einige Anwendungen können unter Umständen gleichzeitig im gleichen Zielzonenabonnement vorhanden sein, während andere ggf. ein eigenes Abonnement erfordern.

  Weitere Informationen finden Sie unter Verwalten von Entwicklungs-/Test-/Produktionsarbeitslast-Landezonen.

Empfehlungen für mehrere Regionen

• Erstellen Sie für jede Region nur dann zusätzliche Abonnements, wenn Sie über regionsspezifische Governance- und Verwaltungsanforderungen verfügen, z. B. Datenhoheit oder um über Kontingentgrenzen hinaus zu skalieren.

• Wenn die Skalierung kein Problem für eine Geo-Notfallwiederherstellungsumgebung darstellt, die mehrere Regionen umfasst, verwenden Sie dasselbe Abonnement für die primären und sekundären Regionsressourcen. Einige Azure-Dienste, abhängig von der Strategie für Geschäftskontinuität und Notfallwiederherstellung (BCDR), die Sie einführen, müssen möglicherweise dasselbe Abonnement verwenden. In einem aktiven Szenario, in dem Bereitstellungen unabhängig verwaltet werden oder unterschiedliche Lebenszykluszyklen aufweisen, wird empfohlen, unterschiedliche Abonnements zu verwenden.

• Die Region, in der Sie eine Ressourcengruppe und die Region der enthaltenen Ressourcen erstellen, sollte übereinstimmen, damit sie sich nicht auf Resilienz und Zuverlässigkeit auswirken.

• Eine einzelne Ressourcengruppe sollte keine Ressourcen aus verschiedenen Regionen enthalten. Dieser Ansatz kann zu Problemen mit der Ressourcenverwaltung und -verfügbarkeit führen.

Empfehlungen für Kontingent und Kapazität

• Verwenden Sie Abonnements als Skalierungseinheiten, und skalieren Sie Ressourcen und Abonnements nach Bedarf auf. Ihre Workload kann dann die erforderlichen Ressourcen zum Skalieren verwenden, ohne die Abonnementbeschränkungen in der Azure-Plattform zu erreichen.

• Verwenden Sie Kapazitätsreservierungen, um die Kapazität in einigen Regionen zu verwalten. Ihre Workload könnte dann über die erforderliche Kapazität für Ressourcen mit hohem Bedarf in einer bestimmten Region verfügen.

• Richten Sie ein Dashboard mit benutzerdefinierten Ansichten ein, um die verwendeten Kapazitätsstufen zu überwachen, und richten Sie Warnungen ein, wenn die Kapazität kritische Ebenen annimmt, z. B. 90% CPU-Auslastung.

• Stellen Sie Supportanfragen zu Kontingenterhöhungen bei der Abonnementbereitstellung, z. B. für die insgesamt verfügbaren VM-Kerne in einem Abonnement. Stellen Sie sicher, dass Ihre Kontingentgrenzen festgelegt sind, bevor Ihre Workloads die Standardgrenzwerte überschreiten.

• Stellen Sie sicher, dass die erforderlichen Dienste und Features innerhalb Ihrer ausgewählten Bereitstellungsregionen verfügbar sind.

Automatisierungsempfehlungen

• Erstellen Sie einen Abonnementverkaufsprozess, um die Erstellung von Abonnements für Anwendungsteams über einen Anforderungsworkflow zu automatisieren. Weitere Informationen finden Sie unter Abonnementverkauf.

Empfehlungen zur Übertragungseinschränkung bei Mandanten

• Konfigurieren Sie die folgenden Einstellungen, um zu verhindern, dass Benutzer*innen Azure-Abonnements an Ihren oder aus Ihrem Microsoft Entra-Mandanten übertragen:

  • Legen Sie das Abonnement fest, das das Microsoft Entra-Verzeichnis verlässtPermit no one.

  • Legen Sie das Abonnement fest, das in das Microsoft Entra-Verzeichnis eintritt zu Permit no one.

• Konfigurieren Sie eine eingeschränkte Liste von ausgenommenen Benutzern.

  • Fügen Sie Mitglieder aus einem Azure-Plattformbetriebsteam ein.

  • Schließen Sie Break-Glass-Konten in die Liste der ausgenommenen Benutzer ein.

Nächster Schritt

Richtliniengesteuerte Leitplanken einführen