Expendición de suscripciones

La expendición de suscripciones proporciona un mecanismo de plataforma para emitir suscripciones mediante programación a los equipos de aplicaciones que tienen que implementar cargas de trabajo. En el diagrama siguiente, se muestra dónde encaja la expendición de suscripciones en los ciclos de vida de la plataforma y de la carga de trabajo.

El paso 1 consiste en crear las suscripciones de la plataforma. El paso 2 consiste en crear la plataforma. El paso 3 consiste en establecer la expendición de suscripciones. El paso 4 consiste en implementar las cargas de trabajo. Los pasos 1 y 2 se alinean con la plataforma. El paso 3, expendición de suscripciones, se superpone tanto con la plataforma como con la zona de aterrizaje de la aplicación. El paso 4 es un paso centrado en la aplicación.

La expendición de suscripciones se basa en el concepto de democratización de las suscripciones y lo aplica a las zonas de aterrizaje de aplicaciones. Con la democratización de las suscripciones, las suscripciones y no los grupos de recursos son las unidades principales de administración y escala de las cargas de trabajo. Para más información, consulte:

• Zonas de aterrizaje de plataforma frente a zonas de aterrizaje de aplicación
• Democratización de las suscripciones
• ¿Cuántas suscripciones debo usar en Azure (YouTube)?

¿Por qué la expendición de suscripciones?

La expendición de suscripciones ofrece varias ventajas para las organizaciones que tienen que implementar cargas de trabajo en Azure. Estandariza y automatiza el proceso de solicitud, implementación y gobernanza de suscripciones para zonas de aterrizaje de aplicaciones. La expendición de suscripciones simplifica el proceso de creación de suscripciones y lo coloca bajo la gobernanza de la organización, por lo que los equipos de aplicaciones pueden centrarse en la implementación de sus cargas de trabajo con mayor confianza y eficacia.

• Proceso simplificado: la expendición de suscripciones proporciona una puerta principal oficial para que los equipos de aplicaciones soliciten suscripciones, lo que elimina la necesidad de navegar por el proceso de suscripción por sí mismos.
• Velocidad mejorada: los equipos de aplicaciones pueden acceder a zonas de aterrizaje de aplicaciones más rápido e incorporar cargas de trabajo más rápido.
• Gobernanza eficaz: el equipo de la plataforma puede aplicar la gobernanza en las zonas de aterrizaje de aplicaciones con una sobrecarga mínima.

Implementación de la expendición de suscripciones

En la expendición de suscripciones, participan tres equipos. El Centro de excelencia de la nube (CCoE) establece la lógica de negocios y el proceso de aprobación. Cuando estén listos, los equipos de aplicaciones realizan solicitudes de suscripción. El equipo de la plataforma usa la solicitud para crear y configurar la suscripción antes de entregar la suscripción al equipo de aplicaciones. El equipo de aplicaciones actualiza el presupuesto, implementa la carga de trabajo y establece las operaciones. En las instrucciones siguientes, se proporcionan más detalles sobre cada paso del proceso de expendición de suscripciones. Para obtener más información, vea Guía de implementación de la expendición de suscripciones.

Establecimiento de la lógica de negocios y el proceso de aprobación

Para implementar el modelo de expendición de suscripciones, debe establecer un proceso de aprobación que recopile la información esencial de la suscripción. El Centro de excelencia de la nube (CCoE) debe programar el proceso de aprobación y establecer reglas de negocio en torno a la información que se va a recopilar.

Automatización del proceso. Debe automatizar el proceso de captura y aprobación de solicitudes de suscripción para un aprovisionamiento más rápido y un cumplimiento mejorado.

Integración con las herramientas existentes. Debe integrar el proceso de aprobación de la expendición de suscripciones en la herramienta de Administración de servicios de TI (ITSM) existente. La integración puede simplificar el proceso de aprobación, reducir el esfuerzo manual y mejorar la eficiencia al tiempo que se reducen los errores. También facilita el mantenimiento a lo largo del tiempo y ayuda con los informes de cumplimiento de las auditorías.

Conexión a la canalización de implementación. Es un procedimiento recomendado vincular la lógica de negocios del proceso de aprobación a la canalización de implementación de suscripciones que administra el equipo de la plataforma. Los flujos de trabajo de Azure Pipelines o Acciones de GitHub son soluciones comunes para la canalización de implementación de suscripciones.

Recopilación de los requisitos en la entrada de datos. La lógica de negocios debe permitir que los equipos de aplicaciones soliciten una suscripción y proporcionen los requisitos de la suscripción. Estos requisitos deben incluir los presupuestos anticipados, los propietarios de las suscripciones, las expectativas de redes y la clasificación de la confidencialidad y la importancia empresarial. La recopilación de esta información al principio del proceso informa a los parámetros de implementación y las necesidades de aprobación de las partes interesadas. El proceso de entrada de datos también debe proporcionar al equipo de la plataforma suficiente información para colocar la carga de trabajo en la jerarquía de grupos de administración.

Con el proceso de aprobación implementado, los equipos de aplicaciones pueden empezar a realizar solicitudes de suscripción.

Realización de una solicitud de suscripción

La expendición de suscripciones proporciona un proceso estándar para que los equipos de aplicaciones soliciten una suscripción. Es importante socializar la disponibilidad de la expendición de suscripciones y asegurarse de que las solicitudes de suscripción sean fáciles de hacer. Una vez que el equipo de aplicaciones envía una solicitud de suscripción, el equipo de la plataforma asume el control del proceso. El equipo de la plataforma mantiene el control hasta que crean la suscripción y entregan la suscripción al equipo de aplicaciones.

Configuración de las redes

La automatización de suscripciones debe configurar los componentes de redes necesarios y debe ser lo suficientemente flexible como para satisfacer las necesidades de cada equipo de aplicaciones. Como guía general, nunca use direcciones IP superpuestas en un único dominio de enrutamiento. Puede agregar o eliminar el espacio de direcciones de una red virtual sin tiempo de inactividad si cambian los requisitos de tamaño. Para más información, consulte:

• Restricciones de direcciones IP
• Actualización del espacio de direcciones de una red virtual emparejada
• Adición o eliminación de un intervalo de direcciones

Uso de una herramienta de administración de direcciones IP (IPAM). Debe usar e integrar un sistema IPAM en el proceso de expendición para simplificar la asignación de direcciones IP. Para obtener más información e instrucciones de IPAM, consulte Herramientas de administración de direcciones IP (IPAM).

Concesión de autonomía al equipo de aplicaciones. Debe conceder a los equipos de aplicaciones los derechos para crear subredes e incluso algunas redes virtuales en la suscripción. El equipo de la plataforma siempre debe crear redes virtuales que se emparejan con un centro de conectividad central.

Aplicación de la gobernanza de redes. El equipo de la plataforma debe aplicar la gobernanza de la red virtual mediante (1) directiva de Azure asignada a la jerarquía de grupos de administración o (2) Azure Virtual Network Manager y reglas de administración de seguridad. Para obtener más información, vea Gobernanza controlada por directivas y Procedimientos para bloquear puertos de alto riesgo.

Determinación de la selección de ubicación de la suscripción

El equipo de la plataforma debe usar los requisitos de redes y gobernanza para colocar la suscripción en la jerarquía de grupos de administración. También debe revisar los límites de cuota de la suscripción antes de crear la suscripción. Para obtener más información, vea Adaptación de la arquitectura de zona de aterrizaje de Azure para cumplir los requisitos.

Identificar el grupo de administración adecuado. Los grupos de administración le ayudan a organizar y gobernar las suscripciones y las implementaciones de cargas de trabajo. Busque o cree un grupo de administración que aplique las directivas necesarias para la clasificación y las necesidades de cada carga de trabajo.

Crear una automatización flexible. La automatización debe ser lo suficientemente flexible (1) para implementar varias suscripciones y (2) adaptarse a los límites del servicio de la suscripción.

• Varias suscripciones: algunas cargas de trabajo necesitan varias suscripciones. Por ejemplo, algunas cargas de trabajo tienen varias instancias separadas por suscripción. Como alternativa, las arquitecturas SaaS que usan recursos dedicados por cada cliente suelen usar docenas de suscripciones.

• Límites del servicio de la suscripción: una empresa con varios miles de suscripciones debe tener una automatización que se pueda implementar en una suscripción antigua o ubicar conjuntamente cargas de trabajo en una suscripción para evitar los límites. Para más información, consulte Preguntas frecuentes sobre zonas de aterrizaje de Azure.

  Puede solicitar aumentos de cuotas manualmente mediante Azure Portal después del aprovisionamiento. Es más fácil si automatiza este proceso mediante las API disponibles. Sin embargo, se pueden producir errores en la solicitud de cuota, por lo que debe ejecutar un script para controlarlos. Para obtener más información, consulte Microsoft.Capacity, Microsoft.Quota y Microsoft.Support.

Creación y configuración de una suscripción

Ahora, puede crear y configurar la suscripción solicitada. El objetivo es crear un proceso repetible y coherente. Automatice el proceso de creación y configuración de la suscripción tanto como pueda.

Uso de la infraestructura como código (IaC). Una estrategia común para la expendición de suscripciones es crear y configurar la suscripción mediante programación con IaC. Necesita un contrato comercial para crear una suscripción de Azure mediante programación, pero puede automatizar todos los aspectos de la configuración de la suscripción sin un contrato comercial. Para más información, consulte:

• Rol necesario de EA
• Roles necesarios de MCA
• Rol necesario de MPA

Hay módulos de ejemplo de expendición de suscripciones de Bicep y Terraform que le ayudarán a adoptar un modelo de expendición de suscripciones independientemente de la inscripción en un contrato comercial. Debe usar Acciones de GitHub o Azure Pipelines para orquestar la automatización.

Uso de etiquetas para la administración de costos. Debe automatizar una asignación coherente de etiquetas a cada suscripción con fines de administración de costos e informes en Azure Cost Management. Aunque recibe informes de facturación con los contratos comerciales, Azure Cost Management proporciona una mayor funcionalidad. Por ejemplo, puede crear informes para suscripciones con etiquetas específicas. Para obtener más información, vea Procedimientos para usar etiquetas en datos de uso y costo y Grupo y asignación de costos mediante la herencia de etiquetas.

Uso de suscripciones de producción y no de producción. En la solicitud de una nueva suscripción, debe especificar si la carga de trabajo es para producción o desarrollo y pruebas. Los entornos de desarrollo y pruebas generan menores cargos por los recursos, pero tienen otros términos. Tenga en cuenta que la oferta de desarrollo y pruebas no está disponible para MPA. Para más información, consulte:

• Ofertas de facturación de los inquilinos de Azure Active Directory
• Introducción al área de diseño de la organización de recursos
• Creación de suscripciones de Azure mediante programación

Configuración de identidades y controles de acceso basado en roles (RBAC). La administración del acceso a los recursos de una suscripción de Azure es crítica para mantener un entorno seguro y compatible. Para controlar el acceso, es esencial configurar identidades y RBAC. Esta configuración implica la designación de un propietario de la suscripción, la creación de grupos de Microsoft Entra para administrar el acceso y el establecimiento de cuentas de automatización para implementar las cargas de trabajo.

• Designación de un propietario de la suscripción. La automatización de la expendición de suscripciones debe designar un propietario de la suscripción en la creación. La solicitud de suscripción debe capturar esta información en la entrada de datos. Los propietarios de la suscripción solo pueden ser usuarios o entidades de servicio del directorio de suscripción seleccionado. No puede seleccionar usuarios del directorio de invitados. Si selecciona una entidad de servicio, especifique su identificador de aplicación.

• Cree grupos de Microsoft Entra. Además del propietario de la suscripción, debe asegurarse de que el proceso de venta use la estructura de grupos de Microsoft Entra para administrar el acceso a la suscripción. Para el acceso con privilegios elevados (por ejemplo, de escritura), se recomienda usar PIM para grupos. La automatización de este proceso de creación no debe infringir los procedimientos recomendados, como limitar el número de propietarios de la suscripción y usar el nivel mínimo de acceso necesario.

• Establecimiento de identidades de cargas de trabajo. Las identidades de cargas de trabajo (entidades de servicio) que se usan para la implementación de cargas de trabajo suelen tener permisos elevados en el ámbito de la suscripción. El proceso de solicitud de suscripción debe recopilar las necesidades de la identidad de la carga de trabajo en la entrada de datos. El proceso de expendición debe crear estas identidades y asignar el acceso adecuado a la suscripción. Es importante tener en cuenta que la identidad de la carga de trabajo no puede usar PIM y recibe acceso permanente a los recursos. Se recomienda usar identidades administradas para evitar la necesidad de administrar secretos. Para obtener más información, consulte Área de diseño de la administración de identidades y acceso de Azure.

Entrega al equipo de la aplicación. Una vez que el equipo de la plataforma crea la suscripción, debe entregarla al equipo de la aplicación.

Actualización del presupuesto de la suscripción

Los equipos de la plataforma y la carga de trabajo comparten la responsabilidad del estado financiero de la suscripción. La implementación debe crear un presupuesto de suscripción basado en la información de la solicitud de suscripción. La aplicación debe actualizar el presupuesto para satisfacer sus necesidades cuando reciben la suscripción. Los presupuestos son útiles para auditar los gastos en comparación con el uso actual y previsto, pero no se deben considerar límites estrictos. Debe crear alertas de presupuesto para notificar a los propietarios de la suscripción si la carga de trabajo está a punto de superar el umbral del presupuesto. En el caso de los servicios compartidos, como API Management, considere la posibilidad de usar reglas de asignación de costos de Azure (versión preliminar) para redistribuir los costos entre las suscripciones de consumo.

Implementación de la carga de trabajo y funcionamiento

El equipo de la aplicación debe tener autonomía a fin de crear los recursos que necesitan para su carga de trabajo y la administración de las operaciones. El equipo de la plataforma sigue siendo el responsable de la gobernanza de suscripciones. A medida que cambian los requisitos de gobernanza de una carga de trabajo, el equipo de la plataforma debe mover las suscripciones al grupo de administración que mejor satisfaga las necesidades de la carga de trabajo. Puede automatizar el traslado mediante Bicep o Terraform. Para más información, consulte:

• Grupos de administración
• Traslado de la suscripción a un nuevo grupo de administración (Bicep)
• Traslado de la suscripción a un nuevo grupo de administración (Terraform)
• Adaptar la arquitectura de zona de aterrizaje de Azure para cumplir los requisitos

Pasos siguientes

Para obtener los mejores resultados, debe automatizar el proceso de expendición de suscripciones tanto como sea posible. Use las instrucciones complementarias para implementar la automatización de la expendición automática de suscripciones.

Guía de implementación de expendición de suscripciones