Consideraciones y recomendaciones de suscripción

Las suscripciones son una unidad de administración, facturación y escalado en Azure. Desempeñan un papel fundamental al diseñar para la adopción de Azure a gran escala. Este artículo le ayuda a capturar los requisitos de suscripción y diseñar suscripciones de destino en función de factores críticos que varían en función de:

• Tipos de entorno
• Modelos de propiedad y gobernanza
• Estructuras organizativas
• Carteras de aplicaciones
• Regiones

Sugerencia

Para más información sobre las suscripciones, consulte el vídeo de YouTube: Zonas de aterrizaje de Azure: ¿Cuántas suscripciones debo usar en Azure?

Nota:

Si utiliza Contratos Enterprise, Acuerdos de Cliente de Microsoft (Enterprise) o Acuerdos de Socios de Microsoft (CSP), revise los límites de suscripción en Cuentas de facturación y ámbitos en el portal de Azure.

Consideraciones sobre la suscripción

Las secciones siguientes contienen consideraciones que le ayudarán a planear y crear suscripciones para Azure.

Consideraciones relativas al diseño de gobernanza y organización

• Las suscripciones funcionan como límites para las asignaciones de Azure Policy.

  Por ejemplo, las cargas de trabajo seguras, como las cargas de trabajo del sector de tarjetas de pago (PCI), normalmente requieren otras directivas para lograr el cumplimiento. En lugar de usar un grupo de administración para recopilar las cargas de trabajo que requieren el cumplimiento del PCI, puede obtener el mismo aislamiento con una suscripción sin tener demasiados grupos de administración con unas pocas suscripciones.

  Si necesita agrupar muchas suscripciones del mismo arquetipo de carga de trabajo, créelas en un grupo de administración.

• Las suscripciones sirven como una unidad de escalado para que las cargas de trabajo de componentes se puedan escalar dentro de los límites de suscripción de plataforma. Asegúrese de tener en cuenta los límites de recursos de la suscripción a medida que diseña las cargas de trabajo.

• Las suscripciones proporcionan un límite de administración para la gobernanza y el aislamiento que crea una separación clara de los intereses.

• Cree suscripciones de plataforma independientes para la administración (supervisión), la conectividad y la identidad cuando sean necesarias.

  • Establezca una suscripción de administración dedicada en el grupo de administración de la plataforma para admitir funcionalidades de administración globales, como áreas de trabajo de registros de Azure Monitor y runbooks de Azure Automation.

  • Establezca una suscripción de identidad dedicada en el grupo de administración de la plataforma para hospedar los controladores de dominio de Windows Server Active Directory, cuando sea necesario.

  • Establezca una suscripción de conectividad dedicada en el grupo de administración de la plataforma para hospedar un centro de Azure Virtual WAN, un sistema de nombres de dominio privado (DNS), un circuito de Azure ExpressRoute y otros recursos de red. Una suscripción dedicada garantiza que todos los recursos de la red de base se facturen juntos y se aíslen de otras cargas de trabajo.

  • Use suscripciones como una unidad de administración democratizada que se adapte a sus necesidades y prioridades empresariales.

• Use procesos manuales para limitar a los inquilinos de Microsoft Entra solo a suscripciones de inscripción de Contrato Enterprise. Cuando se usa un proceso manual, no se pueden crear suscripciones de Microsoft Developer Network (MSDN) en el ámbito del grupo de administración raíz.

  Para soporte técnico, envíe un ticket de soporte de Azure.

  Para más información sobre las transferencias de suscripciones entre las ofertas de facturación de Azure, consulte Centro de transferencia de reservas y suscripciones de Azure.

Consideraciones sobre varias regiones

Importante

Las suscripciones no están vinculadas a una región específica y puede tratarlas como suscripciones globales. Son construcciones lógicas para proporcionar controles de facturación, gobernanza, seguridad e identidad para los recursos de Azure que están incluidos en ellos. Por lo tanto, no necesita una suscripción independiente para cada región.

• Puede adoptar un enfoque de varias regiones en el nivel de carga de trabajo único para el escalado o la recuperación ante desastres geográficas o a nivel global (diferentes cargas de trabajo en regiones diferentes).

• Una sola suscripción puede contener recursos de diferentes regiones, según los requisitos y la arquitectura.

• En un contexto de recuperación ante desastres geográfica, puede usar la misma suscripción para contener recursos de regiones primarias y secundarias porque forman parte lógicamente de la misma carga de trabajo.

• Puede implementar entornos diferentes para la misma carga de trabajo en regiones diferentes para optimizar los costos y la disponibilidad de los recursos.

• En una suscripción que contiene recursos de varias regiones, puede usar grupos de recursos para organizar y contener recursos por región.

Consideraciones relativas al diseño de capacidad y cuota

Las regiones de Azure pueden tener un número finito de recursos. Por lo tanto, debe realizar un seguimiento de la capacidad y las SKU disponibles para las adopciones de Azure con varios recursos.

• Tenga en cuenta los límites y cuotas dentro de la plataforma Azure para cada servicio que requieran las cargas de trabajo.

• Tenga en cuenta la disponibilidad de las SKU necesarias dentro de las regiones de Azure seleccionadas. Por ejemplo, las características nuevas podrían estar disponibles solo en determinadas regiones. La disponibilidad de determinadas SKU para recursos determinados como máquinas virtuales (VM) puede variar de una región a otra.

• Tenga en cuenta que las cuotas de suscripción no son garantías de capacidad y se aplican en cada región.

  Para las reservas de capacidad de máquinas virtuales, consulte Reserva de capacidad a petición.

• Considere la posibilidad de reutilizar suscripciones sin usar o retiradas. Para más información, consulte Creación o reutilización de suscripciones de Azure.

Consideraciones relativas al diseño de restricciones de transferencia de inquilinos

Cada suscripción de Azure está vinculada a un único inquilino de Microsoft Entra que actúa como proveedor de identidades (IdP) para la suscripción de Azure. Use el inquilino de Microsoft Entra para autenticar usuarios, servicios y dispositivos.

Cuando cualquier usuario tiene los permisos necesarios, puede cambiar el inquilino de Microsoft Entra que esté vinculado a su suscripción de Azure. Para obtener más información, consulte:

• Asociación o adición de una suscripción de Azure al inquilino de Microsoft Entra
• Transferencia de una suscripción de Azure a otro directorio de Microsoft Entra

Nota:

No se puede transferir a un cliente diferente de Microsoft Entra para suscripciones de Azure Cloud Solution Provider (CSP).

En el caso de las zonas de aterrizaje de Azure, puede establecer requisitos para evitar que los usuarios transfieran suscripciones al inquilino de Microsoft Entra de su organización. Para más información, consulte Administración de las directivas de una suscripción de Azure.

Configure la directiva de suscripción proporcionando una lista de usuarios exentos. Los usuarios exentos pueden omitir las restricciones establecidas en la directiva.

Importante

Una lista de usuarios exentos no es una directiva de Azure.

• Tenga en cuenta si debe permitir que los usuarios que tengan suscripciones de Visual Studio o MSDN Azure transfieran su suscripción a o desde su inquilino de Microsoft Entra.

• Solo los usuarios con el rol administrador global de Microsoft Entra pueden configurar la configuración de transferencia de inquilinos. Estos usuarios deben tener acceso elevado para cambiar la directiva.

  • Solo puede especificar cuentas de usuario individuales como usuarios exentos, no grupos de Microsoft Entra.

Importante

Microsoft recomienda usar roles con el menor número de permisos. Esto ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

• Todos los usuarios con acceso a Azure pueden ver la directiva definida para el inquilino de Microsoft Entra.

  • Los usuarios no pueden ver la lista de usuarios exentos .

  • Los usuarios pueden ver los administradores globales dentro del inquilino de Microsoft Entra.

• Las suscripciones de Azure que se transfieren a un inquilino de Microsoft Entra se colocan en el grupo de administración predeterminado para ese inquilino.

• Si su organización aprueba, el equipo de aplicaciones puede definir un proceso para permitir que las suscripciones de Azure se transfieran a o desde un inquilino de Microsoft Entra.

Consideraciones de diseño para la administración de costos

Cada organización empresarial grande tiene el desafío de administrar la transparencia de los costos. En esta sección se exploran los aspectos clave para lograr la transparencia de costos en entornos de Azure de gran tamaño.

• Es posible que tenga que compartir modelos de contracargo, como App Service Environment y Azure Kubernetes Service (AKS) para lograr una mayor densidad. Los modelos de contracargo pueden afectar a los recursos de plataforma como servicio (PaaS) compartidos.

• Use una programación de apagado para las cargas de trabajo que no sean de producción, a fin de optimizar los costos.

• Use Azure Advisor para obtener recomendaciones para optimizar los costos.

• Establezca un modelo de contracargo para una mejor distribución del costo en toda la organización.

• Implemente la directiva para que los usuarios no puedan implementar recursos no autorizados en el entorno de la organización.

• Establezca un programa y una cadencia periódica para revisar los costos y ajustar los recursos de las cargas de trabajo.

Recomendaciones de suscripción

Las secciones siguientes contienen recomendaciones que le ayudarán a planear y crear suscripciones para Azure.

Recomendaciones relativas a la organización y gobernanza

• Trate las suscripciones como una unidad de administración que se adapte a sus necesidades y prioridades empresariales.

• Informe a los propietarios de suscripciones de sus roles y responsabilidades.

  • Realice una revisión de acceso trimestral o anual para Microsoft Entra Privileged Identity Management (PIM) para asegurarse de que los privilegios no proliferan cuando los usuarios se mueven dentro de su organización.

  • Hágase cargo por completo de los gastos presupuestarios y de los recursos.

  • Garantice el cumplimiento de la directiva y las correcciones, cuando sean necesarias.

• Al identificar los requisitos de las nuevas suscripciones, haga referencia a los siguientes principios:

  • Límites de escala: las suscripciones sirven como una unidad de escalado para que las cargas de trabajo de componentes se escalen dentro de los límites de la suscripción de la plataforma. Las grandes cargas de trabajo especializadas, como el cómputo de alto rendimiento, IoT y SAP, deberían usar suscripciones independientes para evitar enfrentar estos límites.

  • Límite de administración: las suscripciones proporcionan un límite de administración para la gobernanza y el aislamiento, lo que permite una separación clara de los problemas. Varios entornos, como los entornos de desarrollo, prueba y producción, a menudo se eliminan desde una perspectiva de gestión.

  • Límite de directiva: las suscripciones sirven como límite para las asignaciones de Azure Policy. Por ejemplo, las cargas de trabajo seguras, como las cargas de trabajo PCI, normalmente requieren otras directivas para lograr el cumplimiento. La otra sobrecarga no se considera si usa una suscripción independiente. Los entornos de desarrollo tienen requisitos de directivas más relajadas que los entornos de producción.

  • Topología de red de destino: no puede compartir redes virtuales entre suscripciones, pero puede conectarlas con diferentes tecnologías, como el emparejamiento de redes virtuales o ExpressRoute. Cuando decida si necesita una nueva suscripción, tenga en cuenta qué cargas de trabajo deben comunicarse entre sí.

• Agrupe las suscripciones en grupos de administración que están en consonancia con la estructura del grupo de administración y los requisitos de directiva. Agrupar suscripciones para asegurarse de que las suscripciones con el mismo conjunto de directivas y asignaciones de roles de Azure proceden del mismo grupo de administración.

• Establezca una suscripción de administración dedicada en el Platform grupo de administración para admitir funcionalidades de administración globales, como áreas de trabajo de registros de Azure Monitor y runbooks de Automation.

• Establezca una suscripción de identidad dedicada en el Platform grupo de administración para hospedar controladores de dominio de Windows Server Active Directory cuando sea necesario.

• Establezca una suscripción de conectividad dedicada en el Platform grupo de administración para hospedar un centro de Virtual WAN, UN DNS privado, un circuito ExpressRoute y otros recursos de red. Una suscripción dedicada garantiza que todos los recursos de la red de base se facturen juntos y se aíslen de otras cargas de trabajo.

• Evite un modelo de suscripción rígida. En su lugar, use un conjunto de criterios flexibles para agrupar suscripciones en toda la organización. Esta flexibilidad garantiza que, a medida que la estructura de la organización y la composición de la carga de trabajo cambien, pueda crear nuevos grupos de suscripciones en lugar de usar un conjunto fijo de las suscripciones existentes. Un método no se ajusta a todas las suscripciones; lo que funciona para una unidad de negocio puede no funcionar para otra. Algunas aplicaciones pueden coexistir en la misma suscripción de zona de aterrizaje, mientras que otras pueden requerir su propia suscripción.

  Para más información, consulte Gestión de zonas de implementación para cargas de trabajo de desarrollo, pruebas y producción.

Recomendaciones de varias regiones

• Cree suscripciones adicionales para cada región solo si tiene requisitos de administración y gobernanza específicos de la región, por ejemplo, la soberanía de datos o para escalar más allá de los límites de cuota.

• Si el escalado no es un problema para un entorno de recuperación ante desastres geográfico que abarca varias regiones, use la misma suscripción para los recursos de la región primaria y secundaria. Algunos servicios de Azure, en función de la estrategia de continuidad empresarial y recuperación ante desastres (BCDR) que adopte, podrían necesitar usar la misma suscripción. En un escenario activo-activo, donde las implementaciones se administran de forma independiente o tienen ciclos de vida diferentes, se recomienda usar distintas suscripciones.

• La región en la que se crea un grupo de recursos y la región de los recursos contenidos deben coincidir para que no afecten a la resistencia y la confiabilidad.

• Un único grupo de recursos no debe contener recursos de regiones diferentes. Este enfoque puede provocar problemas con la administración y disponibilidad de recursos.

Recomendaciones relativas a la capacidad y la cuota

• Use las suscripciones como unidades de escalado y escale horizontalmente los recursos y las suscripciones según sea necesario. A continuación, la carga de trabajo puede usar los recursos necesarios para escalar horizontalmente sin llegar a los límites de suscripción en la plataforma de Azure.

• Use reservas de capacidad para administrar la capacidad en algunas regiones. La carga de trabajo puede tener la capacidad necesaria para los recursos de alta demanda en una región específica.

• Establezca un panel que tenga vistas personalizadas para supervisar los niveles de capacidad usados y configure alertas si la capacidad se aproxima a los niveles críticos, como 90% uso de CPU.

• Genere solicitudes de soporte técnico para aumentar la cuota bajo el aprovisionamiento de suscripciones, como el total de núcleos de máquina virtual disponibles en una suscripción. Asegúrese de que los límites de cuota se establecen antes de que las cargas de trabajo superen los límites predeterminados.

• Asegúrese de que los servicios y las características necesarios están disponibles en las regiones de implementación seleccionadas.

Recomendaciones de automatización

• Cree un proceso de gestión de suscripciones para automatizar la creación de suscripciones para los equipos de desarrollo de aplicaciones mediante un flujo de trabajo basado en solicitudes. Para obtener más información, consulte vending de suscripciones.

Recomendaciones relativas a la restricción de transferencia de inquilinos

• Configure estas opciones para ayudar a evitar que los usuarios transfieran suscripciones de Azure al inquilino de Microsoft Entra o desde este:

  • Establezca Suscripción para salir del directorio de Microsoft Entra en Permit no one.

  • Configura Suscripción entrando al directorio de Microsoft Entra en Permit no one.

• Configure una lista limitada de usuarios exentos.

  • Incluya miembros de un equipo de operaciones de la plataforma Azure.

  • Incluya cuentas de cristal en la lista de usuarios exentos.

Paso siguiente

Adopción de barreras de protección controladas por directivas