Venta de suscripciones

La gestión de suscripciones proporciona un mecanismo de plataforma para emitir suscripciones de forma programada a los equipos de desarrollo que necesitan implementar cargas de trabajo. En el siguiente diagrama se muestra cómo encaja la provisión de suscripciones en los ciclos de vida de la plataforma y la carga de trabajo.

El paso 1 es crear las suscripciones de plataforma. El paso 2 es crear la plataforma. El paso 3 es establecer la venta de suscripciones. El paso 4 es implementar cargas de trabajo. Los pasos 1 y 2 se alinean con la plataforma. Paso 3, la venta de suscripciones, se superpone tanto con la plataforma como con la zona de inicio de la aplicación. El paso 4 es un paso centrado en la aplicación.

La distribución de suscripciones se basa en el concepto de democratización de suscripciones y lo aplica a los espacios de aterrizaje de aplicaciones. Con la democratización de la suscripción, las suscripciones, no los grupos de recursos, son las unidades principales de administración y escala de cargas de trabajo. Para obtener más información, consulte:

• Zonas de aterrizaje de plataforma frente a zonas de aterrizaje de aplicaciones
• Enfoque democratizado de las suscripciones
• ¿Cuántas suscripciones debo usar en Azure (YouTube)?

¿Por qué la distribución de suscripciones?

La venta de suscripciones ofrece varias ventajas a las organizaciones que necesitan implementar cargas de trabajo en Azure. Normaliza y automatiza el proceso para solicitar, implementar y gobernar suscripciones para zonas de aterrizaje de aplicaciones. La venta de suscripciones simplifica el proceso de creación de suscripciones y lo coloca bajo la gobernanza de la organización, por lo que los equipos de aplicaciones pueden centrarse en la implementación de sus cargas de trabajo con mayor confianza y eficacia.

• Proceso simplificado: La venta de suscripciones proporciona una puerta principal oficial para que los equipos de aplicaciones soliciten suscripciones, lo que elimina la necesidad de que naveguen por su propio proceso de suscripción.
• Velocidad mejorada: Los equipos de aplicaciones pueden acceder a zonas de aterrizaje de aplicaciones más rápidas e incorporar cargas de trabajo más rápidas.
• Gobernanza eficaz: El equipo de la plataforma puede aplicar la gobernanza en zonas de aterrizaje de aplicaciones con una sobrecarga mínima.

Implementación de la expendición de suscripciones

En la expendición de suscripciones, participan tres equipos. Cloud Center of Excellence (CCoE) establece la lógica de negocios y el proceso de aprobación. Cuando esté listo, los equipos de aplicaciones realizan solicitudes de suscripción. El equipo de la plataforma usa la solicitud para crear y configurar la suscripción antes de entregar la suscripción al equipo de la aplicación. El equipo de la aplicación actualiza el presupuesto, implementa la carga de trabajo y establece operaciones. En las instrucciones siguientes se proporcionan más detalles sobre cada paso del proceso de vending de suscripciones. Para obtener más información, consulte Guía para la gestión de ventas de suscripciones.

Los equipos de plataforma pueden vender muchas opciones y tipos de suscripción a los equipos de aplicaciones. Estos tipos se conocen como líneas de producto porque se relacionan con los principios y prácticas de ingeniería de plataformas. Para obtener más información sobre cómo elegir la opción que mejor se adapte a sus necesidades, consulte Líneas de productos vending de suscripciones comunes.

Establecimiento de la lógica de negocios y el proceso de aprobación

Para implementar el modelo de vending de suscripciones, debe establecer un proceso de aprobación que recopile información de suscripción esencial. Cloud Center of Excellence (CCoE) debe programar el proceso de aprobación y establecer reglas de negocio en torno a la información que se va a recopilar.

Automatización del proceso. Debe automatizar el proceso de captura y aprobación de solicitudes de suscripción para un aprovisionamiento más rápido y mejorar el cumplimiento.

Integración con herramientas existentes. Debe integrar el proceso de aprobación de la expendición de suscripciones en la herramienta de Administración de servicios de TI (ITSM) existente. La integración puede simplificar el proceso de aprobación, reducir el esfuerzo manual y mejorar la eficacia, al tiempo que se reducen los errores. También facilita el mantenimiento a lo largo del tiempo y ayuda con los informes de cumplimiento de las auditorías.

Conéctese a la cadena de implementación. Se recomienda vincular la lógica empresarial del proceso de aprobación al pipeline de despliegue de suscripciones que gestiona el equipo de la plataforma. Los flujos de trabajo de Azure Pipelines o de GitHub Actions son soluciones comunes para el pipeline de implementación de suscripción.

Recopilación de los requisitos en la entrada de datos. La lógica de negocios debe permitir que los equipos de aplicaciones soliciten una suscripción y proporcionen requisitos de suscripción. Estos requisitos deben incluir presupuestos previstos, propietarios de suscripciones, expectativas de red y clasificación de confidencialidad y importancia empresarial. La recopilación de esta información al principio del proceso influye en los parámetros de implementación y en las necesidades de aprobación de las partes interesadas. El proceso de incorporación también debe proporcionar al equipo de plataforma suficiente información para ubicar la carga de trabajo dentro de la jerarquía del grupo gestor.

Con el proceso de aprobación implementado, los equipos de aplicaciones pueden empezar a realizar solicitudes de suscripción.

Realización de una solicitud de suscripción

La expendición de suscripciones proporciona un proceso estándar para que los equipos de aplicaciones soliciten una suscripción. Es importante que dé a conocer la disponibilidad de la venta de suscripciones y asegúrese de que realizar las solicitudes de suscripción sea fácil. Después de que el equipo de la aplicación envíe una solicitud de suscripción, el equipo de la plataforma asume el control del proceso. El equipo de la plataforma mantiene el control hasta que crean la suscripción y entregan la suscripción al equipo de la aplicación.

Configuración de redes

La automatización de suscripciones debe configurar los componentes de red necesarios y debe ser lo suficientemente flexible como para satisfacer las necesidades de cada equipo de aplicaciones. Como guía general, nunca use direcciones IP superpuestas en un solo dominio de enrutamiento. Puede agregar o eliminar el espacio de direcciones de una red virtual sin tiempo de inactividad si cambian los requisitos de tamaño. Para obtener más información, consulte:

• Restricciones de direcciones IP
• Actualizar el espacio de direcciones de una red virtual emparejada
• Agregar o quitar intervalo de direcciones

Use la herramienta de administración de direcciones IP (IPAM). Debe usar e integrar un sistema IPAM en el proceso de vending para simplificar la asignación de direcciones IP. Para obtener más información e instrucciones de IPAM, consulte Herramientas de administración de direcciones IP (IPAM).

Conceda la autonomía del equipo de la aplicación. Debería otorgar a los equipos de aplicaciones los derechos para crear subredes e incluso algunas redes virtuales dentro de la suscripción. El equipo de plataforma siempre debe crear redes virtuales que se emparejan con un centro central.

Aplicar la gobernanza de redes. El equipo de la plataforma debe aplicar la gobernanza de red virtual a través de (1) Directiva de Azure asignada a la jerarquía del grupo de administración o (2) Azure Virtual Network Manager y las reglas de administración de seguridad. Para obtener más información, consulte Gobernanza controlada por directivas y Cómo bloquear puertos de alto riesgo.

Determinación de la ubicación de la suscripción

El equipo de la plataforma debe usar los requisitos de redes y gobernanza para colocar la suscripción en la jerarquía del grupo de administración. También deben revisar los límites de cuota de suscripción antes de crear la suscripción. Para más información, consulte Personalización de la arquitectura de la zona de aterrizaje de Azure para cumplir los requisitos.

Identifique el grupo de administración adecuado. Los grupos de administración le ayudan a organizar y controlar las suscripciones y las implementaciones de cargas de trabajo. Busque o cree un grupo de administración que aplique las directivas necesarias para la clasificación y las necesidades de cada carga de trabajo.

Construya automatización flexible. La automatización debe ser lo suficientemente flexible (1) para implementar varias suscripciones y (2) adaptarse a los límites del servicio de suscripción.

• Varias suscripciones: Algunas cargas de trabajo necesitan varias suscripciones. Por ejemplo, algunas cargas de trabajo tienen varias instancias separadas por suscripción. Como alternativa, las arquitecturas SaaS que usan recursos dedicados por cliente suelen usar docenas de suscripciones.

• Límites del servicio de suscripción: Una empresa con varias miles de suscripciones debe tener automatización que se pueda implementar en una suscripción antigua o colocar cargas de trabajo en una suscripción para evitar los límites. Para más información, consulte Preguntas más frecuentes sobre las zonas de aterrizaje de Azure.

  Puede solicitar aumentos de cuota manualmente mediante Azure Portal después del aprovisionamiento. Es más fácil si automatiza este proceso mediante las API disponibles. Sin embargo, se puede producir un error en la solicitud de cuota, por lo que debe ejecutar un script para controlar los errores. Para obtener más información, consulte Microsoft.Capacity, Microsoft.Quota y Microsoft.Support.

Creación y configuración de una suscripción

Ahora puede crear y configurar la suscripción solicitada. El objetivo es crear un proceso repetible y coherente. Automatice tanto el proceso de creación y configuración de la suscripción como pueda.

Use la infraestructura como código (IaC). Una estrategia común para la venta de suscripciones es crear y configurar la suscripción mediante programación mediante IaC. Necesita un contrato comercial para crear una suscripción de Azure mediante programación, pero puede automatizar todos los aspectos de la configuración de la suscripción sin un contrato comercial. Para obtener más información, consulte:

• Rol necesario de EA
• Roles necesarios de MCA
• Rol necesario de MPA

Hay módulos de ejemplo de expendición de suscripciones de Bicep y Terraform que le ayudarán a adoptar un modelo de expendición de suscripciones independientemente de la inscripción en un contrato comercial. Debe usar acciones de GitHub o Azure Pipelines para orquestar la automatización.

Use etiquetas para la administración de costos. Debe automatizar la asignación coherente de etiquetas a cada suscripción con fines de administración de costos e informes en Microsoft Cost Management. Aunque recibe informes de facturación con sus contratos comerciales, Cost Management proporciona una mayor funcionalidad. Por ejemplo, puede crear informes para suscripciones con etiquetas específicas. Para obtener más información, consulte Uso de etiquetas en datos de uso y costo ygrupo y asignación de costos mediante la herencia de etiquetas.

Uso de suscripciones de producción y no de producción. En la solicitud de una nueva suscripción, debe especificar si la carga de trabajo es para Production o DevTest. Los entornos de DevTest generan menores cargos de recursos, pero tienen otros términos. Nota La oferta de DevTest no está disponible para MPA. Para obtener más información, consulte:

• Ofertas de facturación de Azure y los inquilinos de Microsoft Entra
• Introducción al área de diseño de la organización de recursos
• Creación de suscripciones de Azure mediante programación

Configurar controles de acceso basados en roles e identidades (RBAC). La administración del acceso a los recursos dentro de una suscripción de Azure es fundamental para mantener un entorno seguro y compatible. Para controlar el acceso, es esencial configurar identidades y el Control de Acceso Basado en Roles (RBAC). Esta configuración implica diseñar un propietario de la suscripción, crear grupos de Microsoft Entra para administrar el acceso y establecer identidades de automatización para implementar cargas de trabajo.

• Designe un propietario de la suscripción. La automatización de la expendición de suscripciones debe designar un propietario de la suscripción en la creación. La solicitud de suscripción debe capturar esta información desde el inicio. Los propietarios de la suscripción solo pueden ser usuarios o entidades de servicio en el directorio de suscripción seleccionado. No puede seleccionar usuarios del directorio de invitados. Si selecciona una entidad de servicio, especifique su identificador de aplicación.

• Cree grupos de Microsoft Entra. Además del propietario de la suscripción, debe asegurarse de que el proceso de venta use la estructura de grupos de Microsoft Entra para administrar el acceso a la suscripción. Para el acceso con privilegios elevados (por ejemplo, escritura), se recomienda usar PIM para grupos. La automatización de este proceso de creación no debe infringir los procedimientos recomendados, como limitar el número de propietarios de suscripciones y usar el nivel mínimo necesario de acceso.

• Establecimiento de identidades de cargas de trabajo. Las identidades de cargas de trabajo (entidades de servicio) que se usan para la implementación de cargas de trabajo suelen tener permisos elevados en el ámbito de la suscripción. El proceso de solicitud de suscripción debe recopilar las necesidades de identidad asociadas a la carga de trabajo durante el proceso de ingreso. El proceso de venta debe crear estas identidades y asignar el acceso adecuado a la suscripción. Es importante tener en cuenta que la identidad de la carga de trabajo no puede usar PIM y recibe acceso permanente a los recursos. Se recomienda usar identidades administradas para evitar la necesidad de administrar secretos. Para obtener más información, consulte el área de diseño de identidades.

Entrega al equipo de la aplicación. Después de que el equipo de plataforma cree la suscripción, deben entregar la suscripción al equipo de la aplicación.

Actualización del presupuesto de la suscripción

Los equipos de plataforma y carga de trabajo comparten la responsabilidad del estado financiero de la suscripción. La implementación debe crear un presupuesto de suscripción basado en la información de la solicitud de suscripción. La aplicación debe actualizar el presupuesto para satisfacer sus necesidades cuando reciban la suscripción. Los presupuestos son útiles para auditar los gastos con respecto al uso actual y previsto, pero no son límites estrictos. Debe crear alertas de presupuesto para notificar a los propietarios de la suscripción si la carga de trabajo está a punto de superar el umbral de presupuesto. En el caso de los servicios compartidos, como API Management, considere la posibilidad de usar reglas de asignación de costos de Azure para redistribuir los costos entre suscripciones de consumo.

Implementación de la carga de trabajo y funcionamiento

El equipo de la aplicación debe tener autonomía para crear los recursos que necesitan para su carga de trabajo y administrar las operaciones. El equipo de la plataforma sigue siendo responsable de la gobernanza de suscripciones. A medida que cambian los requisitos de gobernanza de una carga de trabajo, el equipo de la plataforma debe mover las suscripciones al grupo de administración que mejor satisfaga las necesidades de carga de trabajo. Puedes automatizar el traslado mediante Bicep o Terraform. Para obtener más información, consulte:

• Introducción a los grupos de administración
• Trasladar la suscripción a un nuevo grupo de administración (Bicep)
• Traslado de la suscripción a un nuevo grupo de administración (Terraform)
• Adaptar la zona de aterrizaje de Azure para satisfacer sus requisitos

Pasos siguientes

Revise las suscripciones o las líneas de producto que puede vender a los equipos de la aplicación. Establezca un excelente punto de partida para que pueda atender una serie de escenarios diferentes.

Establecimiento de líneas de producto comunes de venta de suscripciones