Consideraciones y recomendaciones relativas a las suscripciones

Las suscripciones son una unidad de administración, facturación y escalado en Azure. Desempeñan un papel fundamental cuando se lleva a cabo el diseño para la adopción de Azure a gran escala. Este artículo lo ayuda a comprender los requisitos de suscripción y a diseñar suscripciones de destino en función de factores críticos que se basan en:

• tipo de entorno
• propiedad y modelo de gobernanza
• estructura organizativa
• carteras de aplicaciones

Sugerencia

Hemos analizado este tema en un vídeo reciente de YouTube: Zonas de aterrizaje de Azure: ¿cuántas suscripciones debo usar en Azure?

Nota:

Debe revisar los límites de suscripción como se documenta en Cuentas de facturación y ámbitos en Azure Portal. Esta guía se dirige principalmente a los clientes que usan Contratos Enterprise, Contratos de cliente de Microsoft (Enterprise) o Microsoft Partner Agreements.

Consideraciones sobe las suscripciones

Las secciones siguientes contienen consideraciones que le permitirán planear y crear suscripciones para Azure.

Consideraciones relativas al diseño de gobernanza y organización

• Las suscripciones funcionan como límites para las asignaciones de Azure Policy.

  • Por ejemplo, las cargas de trabajo seguras, como las del sector de las tarjetas de pago (PCI), suelen requerir otras directivas para lograr el cumplimiento. En lugar de usar un grupo de administración para recopilar las cargas de trabajo que requieren el cumplimiento del PCI, puede obtener el mismo aislamiento con una suscripción sin tener demasiados grupos de administración con unas pocas suscripciones.

    • Si necesita agrupar muchas suscripciones del mismo arquetipo de carga de trabajo, créelas en un grupo de administración.

• Las suscripciones funcionan como una unidad de escalado para que las cargas de trabajo de componentes puedan escalarse dentro de los límites de suscripción de la plataforma. Asegúrese de tener en cuenta los límites de recursos de la suscripción a medida que diseña las cargas de trabajo.

• Las suscripciones proporcionan un límite de administración para la gobernanza y el aislamiento que crea una separación clara de los intereses.

• Cree suscripciones de plataforma independientes para la administración (supervisión), la conectividad y la identidad cuando sean necesarias.

  • Establezca una suscripción de administración dedicada en el grupo de administración de la plataforma para admitir funcionalidades de administración globales como las áreas de trabajo de Log Analytics de Azure Monitor y los runbooks de Azure Automation.
    • Establezca una suscripción de identidad dedicada en el grupo de administración de la plataforma para hospedar los controladores de dominio de Windows Server Active Directory, cuando sea necesario.
    • Establezca una suscripción de conectividad dedicada en el grupo de administración de la plataforma para hospedar un centro de conectividad de Azure Virtual WAN, un sistema de nombres de dominio (DNS) privado, un circuito de ExpressRoute y otros recursos de redes. Una suscripción dedicada garantiza que todos los recursos de la red de base se facturen juntos y se aíslen de otras cargas de trabajo.
    • Use las suscripciones como una unidad democratizada de administración en consonancia con las necesidades y prioridades de la empresa.

• Use procesos manuales para limitar a los inquilinos de Microsoft Entra solo a suscripciones de inscripción de Contrato Enterprise. Al usar un proceso manual, se evita la creación de suscripciones de Microsoft Developer Network en el ámbito del grupo de administración raíz.

  • Si necesita soporte técnico, envíe una incidencia de soporte técnico de Azure.

• Consulte la suscripción de Azure y el centro de transferencia de reservas para las transferencias de suscripciones entre ofertas de facturación de Azure.

Consideraciones relativas al diseño de capacidad y cuota

Las regiones de Azure pueden tener un número finito de recursos. Como resultado, se debe realizar un seguimiento de la capacidad disponible y las SKU para las adopciones de Azure que implican un gran número de recursos.

• Tenga en cuenta los límites y las cuotas de la plataforma de Azure para cada uno de los servicios que requieran las cargas de trabajo.

• Tenga en cuenta la disponibilidad de las SKU necesarias dentro de las regiones de Azure seleccionadas. Por ejemplo, las características nuevas podrían estar disponibles solo en determinadas regiones. La disponibilidad de ciertas SKU para recursos concretos, como las máquinas virtuales, puede cambiar de una región a otra.

• Tenga en cuenta que las cuotas de suscripción no son garantías de capacidad y se aplican en cada región.

  • Para las reservas de capacidad de máquinas virtuales, consulte Reserva de capacidad a petición.

• Considere la posibilidad de volver a usar las suscripciones sin uso o retiradas según las instrucciones que se indican en ¿Debemos crear una nueva suscripción de Azure cada vez o podemos y debemos reutilizar las suscripciones de Azure?: Preguntas más frecuentes sobre las zonas de aterrizaje de Azure.

Consideraciones relativas al diseño de restricciones de transferencia de inquilinos

Cada suscripción de Azure está vinculada a un único inquilino de Microsoft Entra, que actúa como proveedor de identidades (IdP) para la suscripción de Azure. El Microsoft Entra se usa para autenticar usuarios, servicios y dispositivos.

El inquilino de Microsoft Entra vinculado a la suscripción de Azure puede cambiarlo cualquier usuario que tenga los permisos necesarios. Este proceso se detalla en los artículos siguientes:

• Asociación o adición de una suscripción de Azure al inquilino de Microsoft Entra
• Transferencia de una suscripción de Azure a otro directorio de Microsoft Entra

Nota:

No se admite la transferencia a otro inquilino de Microsoft Entra en el caso de las suscripciones de Proveedor de soluciones en la nube (CSP) de Azure.

Con las zonas de aterrizaje de Azure, puede establecer los requisitos para evitar que los usuarios transfieran suscripciones al inquilino de Microsoft Entra de la organización. Revise el proceso en Administración de las directivas de suscripción de Azure.

Configure la directiva de suscripción proporcionando una lista de usuarios exentos. Los usuarios exentos pueden omitir las restricciones establecidas en la directiva.

Importante

Una lista de usuarios exentos no es una Azure Policy.

• Considere si los usuarios con suscripciones de Azure de Visual Studio/MSDN deben poder transferir su suscripción con el inquilino de Microsoft Entra como origen o destino.

• Solo los usuarios que tienen asignado el rol Administrador global de Microsoft Entra pueden ajustar la configuración de transferencia de inquilinos. Estos usuarios deben tener privilegios de acceso elevados para cambiar la directiva.

  • Solo puede especificar cuentas de usuario individuales como usuarios exentos, no grupos de Microsoft Entra.

• Todos los usuarios con acceso a Azure pueden ver la directiva definida para el inquilino de Microsoft Entra.

  • Los usuarios no pueden ver la lista de usuarios exentos.

  • Los usuarios pueden ver los administradores globales dentro del inquilino de Microsoft Entra.

• Las suscripciones de Azure transferidas a un inquilino de Microsoft Entra se colocan en el grupo de administración predeterminado para ese inquilino.

• Si la organización lo aprueba, el equipo de aplicación debe definir un proceso para permitir que las suscripciones de Azure se transfieran a un inquilino de Microsoft Entra o desde este.

Establecimiento de consideraciones de diseño de administración de costos

La transparencia de costos es un desafío de administración crítico al que se enfrentan todas las organizaciones empresariales de gran tamaño. En esta sección del artículo, se exploran los aspectos clave para lograr la transparencia de los costos en entornos de Azure de gran tamaño.

• Es posible que sea necesario compartir modelos de Azure App Service Environment, como Azure App Service Environment y Azure Kubernetes Service, para lograr una mayor densidad. Los recursos de plataforma como servicio (PaaS) compartidos pueden verse afectados por los modelos de contracargo.

• Use una programación de apagado para las cargas de trabajo que no sean de producción, a fin de optimizar los costos.

• Use Azure Advisor para comprobar las recomendaciones para optimizar los costos.

• Establezca un modelo de contracargo a fin de lograr una mejor distribución del costo en toda la organización.

• Implemente la directiva para evitar la implementación de recursos no autorizados para implementarse en el entorno de la organización.

• Establezca una programación y una cadencia normales para revisar los recursos de costo y tamaño correcto para las cargas de trabajo.

Recomendaciones de suscripciones

Las secciones siguientes contienen recomendaciones que le permitirán planear y crear suscripciones para Azure.

Recomendaciones relativas a la organización y gobernanza

• Trate las suscripciones como una unidad de administración que está alineada con las necesidades y prioridades de la empresa.

• Informe a los propietarios de la suscripción de sus roles y responsabilidades.

  • Haga una revisión de acceso en Microsoft Entra Privileged Identity Management cada trimestre o dos veces al año para asegurarse de que los privilegios no se propaguen a medida que los usuarios se mueven dentro de la organización.
  • Hágase cargo por completo de los gastos presupuestarios y de los recursos.
  • Garantice el cumplimiento de la directiva y las correcciones, cuando sean necesarias.

• Haga referencia a estos principios cuando identifique los requisitos de las suscripciones nuevas:

  • Límites de escalado: Las suscripciones funcionan como una unidad de escalado para que las cargas de trabajo de componentes se escalen dentro de los límites de suscripción de la plataforma. Las cargas de trabajo especializadas de gran tamaño, como la informática de alto rendimiento, IoT y SAP, deben usar suscripciones independientes para evitar alcanzar estos límites.
  • Límite de administración: Las suscripciones proporcionan un límite de administración para la gobernanza y el aislamiento, lo que permite separar claramente los intereses. Los distintos entornos, como los de desarrollo, prueba y producción, se eliminan con frecuencia desde una perspectiva administrativa.
  • Límite de directiva: las suscripciones sirven como límite para las asignaciones de Azure Policy. Por ejemplo, las cargas de trabajo seguras, como las del sector de las tarjetas de pago (PCI), suelen requerir otras directivas para lograr el cumplimiento. La otra sobrecarga no se considera si usa una suscripción independiente. Los entornos de desarrollo tienen requisitos de directivas más relajadas que los entornos de producción.
  • Topología de la red de destino: No se pueden compartir redes virtuales entre suscripciones, pero sí se pueden conectar con distintas tecnologías, como el emparejamiento de red virtual o Azure ExpressRoute. Cuando decida si se requiere una suscripción nueva, tenga en cuenta qué cargas de trabajo se deben comunicar entre sí.

• Agrupe las suscripciones en grupos de administración que están en consonancia con la estructura del grupo de administración y los requisitos de directiva. La agrupación de suscripciones garantiza que las suscripciones con el mismo conjunto de directivas y asignaciones de roles de Azure proceden de un grupo de administración.

• Establezca una suscripción de administración dedicada en el grupo de administración Platform para admitir funcionalidades de administración globales como las áreas de trabajo de Log Analytics de Azure Monitor y los runbooks de Azure Automation.

• Configure una suscripción de identidad dedicada en el grupo de administración Platform para hospedar los controladores de dominio de Windows Server Active Directory, cuando sea necesario.

• Establezca una suscripción de conectividad dedicada en el grupo de administración Platform para hospedar un centro de conectividad de Azure Virtual WAN, un sistema de nombres de dominio (DNS) privado, un circuito ExpressRoute y otros recursos de red. Una suscripción dedicada garantiza que todos los recursos de la red de base se facturen juntos y se aíslen de otras cargas de trabajo.

• Evite un modelo de suscripción rígida. En su lugar, use un conjunto de criterios flexibles para agrupar suscripciones en toda la organización. Esta flexibilidad garantiza que, a medida que la estructura de la organización y la composición de la carga de trabajo cambien, pueda crear nuevos grupos de suscripciones en lugar de usar un conjunto fijo de las suscripciones existentes. Un método no se ajusta a todas las suscripciones; lo que funciona para una unidad de negocio puede no funcionar para otra. Algunas aplicaciones pueden coexistir en la misma suscripción de zona de aterrizaje, mientras que otras pueden requerir su propia suscripción.

  • Para más información, consulte ¿Cómo se controlan las zonas de aterrizaje de carga de trabajo de desarrollo, pruebas y producción en la arquitectura de las zonas de aterrizaje de Azure?

Recomendaciones relativas a la capacidad y la cuota

• Use las suscripciones como unidades de escalado y escale horizontalmente los recursos y las suscripciones según sea necesario. La carga de trabajo podría usar los recursos necesarios para el escalado horizontal sin alcanzar los límites de suscripción en la plataforma Azure.

• Use reservas de capacidad para administrar la capacidad en algunas regiones. La carga de trabajo puede tener la capacidad necesaria para los recursos de alta demanda en una región específica.

• Establezca un panel con vistas personalizadas para supervisar los niveles de capacidad usados y configure alertas si la capacidad está alcanzando niveles críticos (90 % de uso de CPU).

• Genere solicitudes de soporte técnico para aumentar la cuota bajo el aprovisionamiento de suscripciones, como el total de núcleos de máquina virtual disponibles en una suscripción. Asegúrese de que los límites de cuota se establecen antes de que las cargas de trabajo superen los límites predeterminados.

• Asegúrese de que los servicios y las características necesarios están disponibles en las regiones de implementación seleccionadas.

Recomendaciones de automatización

• Cree un proceso de expendición de suscripciones para automatizar la creación de suscripciones para los equipos de aplicaciones mediante un flujo de trabajo de solicitud, como se describe en Expendición de suscripciones.

Recomendaciones relativas a la restricción de transferencia de inquilinos

• Configure estas opciones para ayudar a evitar que los usuarios transfieran suscripciones de Azure al inquilino de Microsoft Entra o desde este:

  • Establezca la suscripción que sale del directorio de Microsoft Entra en Permit no one.

  • Establezca la suscripción que entra en el directorio de Microsoft Entra en Permit no one.

• Configure una lista limitada de usuarios exentos.

  • Incluya miembros de un equipo de Azure PlatformOps (operaciones de plataforma).
  • Incluya cuentas de emergencia en la lista de usuarios exentos.

Pasos siguientes

Adopción de límites de protección controlados por directivas