Distributeur d’abonnements

Le distributeur d’abonnements fournit un mécanisme de plateforme pour distribuer programmatiquement des abonnements aux équipes d’application qui ont besoin de déployer des charges de travail. Le diagramme suivant montre où s’intègre le distributeur d’abonnements dans les cycles de vie de la plateforme et de la charge de travail.

L’étape 1 crée les abonnements de plateforme. L’étape 2 crée la plateforme. L’étape 3 établit le distributeur d’abonnements. L’étape 4 déploie des charges de travail. Les étapes 1 et 2 s’alignent sur la plateforme. L’étape 3, le distributeur d’abonnements, chevauche à la fois la plateforme et la zone d’atterrissage de l’application. L’étape 4 est une étape axée sur l’application.

Le distributeur d’abonnements s’appuie sur le concept de démocratisation des abonnements et l’applique aux zones d’atterrissage d’application. Avec la démocratisation des abonnements, les abonnements, et non les groupes de ressources, sont les principales unités de gestion et de mise à l’échelle des charges de travail. Pour plus d'informations, consultez les pages suivantes :

• Zones d’atterrissage de plateforme et d’application
• Approche démocratisée des abonnements
• How many subscriptions should I use in Azure (YouTube)?

Pourquoi utiliser le distributeur d’abonnements ?

Le distributeur d’abonnements offre plusieurs avantages aux organisations qui ont besoin de déployer des charges de travail dans Azure. Il standardise et automatise le processus de demande, de déploiement et de gouvernance des abonnements pour les zones d’atterrissage d’application. Le distributeur d’abonnements simplifie le processus de création d’abonnement et le place sous la gouvernance de l’organisation, afin que les équipes d’application puissent se concentrer sur le déploiement de leurs charges de travail avec plus de confiance et d’efficacité.

• Processus simplifié : le distributeur d’abonnements est la porte d’entrée officielle des équipes d’application pour demander des abonnements, ce qui leur évite d’avoir à naviguer seuls dans le processus d’abonnement.
• Vitesse améliorée : les équipes d’application peuvent plus rapidement accéder aux zones d’atterrissage d’application et intégrer les charges de travail.
• Gouvernance efficace : l’équipe de plateforme peut appliquer la gouvernance sur les zones d’atterrissage d’application avec une surcharge minimale.

Comment implémenter le distributeur d’abonnements

Le distributeur d’abonnements implique trois équipes. Le Centre d’excellence du cloud (CCoE) établit la logique métier et le processus d’approbation. Quand ils sont prêts, les équipes d’application effectuent des demandes d’abonnement. L’équipe de plateforme utilise la demande pour créer et configurer l’abonnement avant de le remettre à l’équipe d’application. L’équipe d’application met à jour le budget, déploie la charge de travail et établit les opérations. Le guide suivant fournit plus de détails sur chaque étape du processus de distribution d’abonnements. Pour plus d’informations, consultez les Conseils d’implémentation du distributeur d’abonnements.

Établir la logique métier et le processus d’approbation

Pour implémenter le modèle du distributeur d’abonnements, vous devez établir un processus d’approbation qui collecte les informations d’abonnement essentielles. Le Centre d’excellence du cloud (CCoE) doit programmer le processus d’approbation et établir des règles métier concernant les informations à collecter.

Automatiser le processus. Vous devez automatiser le processus de capture et d’approbation des demandes d’abonnement pour accélérer le provisionnement et améliorer la conformité.

Intégrer aux outils existants. Vous devez intégrer le processus d’approbation du distributeur d’abonnements à votre outil de gestion des services informatiques (ITSM) existant. L’intégration peut simplifier le processus d’approbation, réduire les efforts manuels et améliorer l’efficacité tout en limitant les erreurs. Elle facilite également la maintenance au fil du temps et aide à créer des rapports de conformité pour les audits.

Se connecter au pipeline de déploiement. Une bonne pratique est de relier la logique métier du processus d’approbation au pipeline de déploiement d’abonnement que gère l’équipe de plateforme. Les workflows Azure Pipelines ou GitHub Actions sont des solutions courantes pour le pipeline de déploiement d’abonnement.

Collecter les exigences au moment de la demande. La logique métier doit permettre aux équipes d’application de demander un abonnement et de fournir des exigences d’abonnement. Ces exigences doivent comprendre les budgets prévus, les propriétaires d’abonnement, les attentes en matière de réseau et la classification de confidentialité et de criticité pour l’entreprise. La collecte de ces informations au début du processus informe vos paramètres de déploiement et les besoins d’approbation des parties prenantes. Le processus de demande doit également fournir à l’équipe de plateforme suffisamment d’informations pour placer la charge de travail dans la hiérarchie de groupes d’administration.

Une fois le processus d’approbation en place, les équipes d’application peuvent commencer à effectuer des demandes d’abonnement.

Faire une demande d’abonnement

Le distributeur d’abonnements fournit un processus standard permettant aux équipes d’application de demander un abonnement. Il est important de socialiser la disponibilité du distributeur d’abonnements et de faire en sorte que les demandes d’abonnement soient faciles à effectuer. Une fois que l’équipe d’application a envoyé une demande d’abonnement, l’équipe de plateforme prend le contrôle du processus. L’équipe de plateforme conserve le contrôle jusqu’à ce qu’elle crée l’abonnement et le remette à l’équipe d’application.

Configurer la mise en réseau

L’automatisation de l’abonnement doit configurer les composants réseau nécessaires et être suffisamment flexible pour répondre aux besoins de chaque équipe d’application. En règle générale, n’utilisez jamais d’adresses IP qui se chevauchent dans un même domaine de routage. Vous pouvez ajouter ou supprimer l’espace d’adressage d’un réseau virtuel sans temps d’arrêt si vos exigences de taille changent. Pour plus d'informations, consultez les pages suivantes :

• Restriction des adresses IP
• Mettre à jour l’espace d’adressage d’un réseau virtuel appairé
• Ajouter ou supprimer une plage d’adresses

Utiliser un outil de gestion des adresses IP (IPAM). Vous devez utiliser et intégrer un système IPAM dans le processus de distribution pour simplifier l’attribution d’adresses IP. Pour plus d’informations et pour obtenir des conseils sur IPAM, consultez Outils de gestion des adresses IP (IP Address Management/IPAM).

Accorder de l’autonomie à l’équipe d’application. Vous devez accorder aux équipes d’application des droits pour créer des sous-réseaux et même certains réseaux virtuels dans l’abonnement. L’équipe de plateforme doit toujours créer des réseaux virtuels appairés à un hub central.

Appliquer la gouvernance des réseaux. L’équipe de plateforme doit appliquer la gouvernance du réseau virtuel via (1) une stratégie Azure attribuée à la hiérarchie de groupes d’administration, ou (2) Azure Virtual Network Manager et des règles d’administration de sécurité. Pour plus d’informations, consultez la Gouvernance basée sur une stratégie et Comment bloquer les ports à haut risque.

Déterminer le placement de l’abonnement

L’équipe de plateforme doit utiliser les exigences de réseau et de gouvernance pour placer l’abonnement dans la hiérarchie de groupes d’administration. Elle doit également passer en revue les limites de quota d’abonnements avant de créer l’abonnement. Pour plus d’informations, consultez Personnaliser l’architecture d’une zone d’atterrissage Azure pour répondre aux besoins.

Identifier le groupe d’administration approprié. Les groupes d’administration vous aident à organiser et régir les abonnements et les déploiements de charge de travail. Recherchez ou créez un groupe d’administration qui applique les stratégies nécessaires pour la classification et les besoins de chaque charge de travail.

Créer une automatisation flexible. Votre automatisation doit être suffisamment flexible (1) pour déployer plusieurs abonnements et (2) s’adapter aux limites du service d’abonnement.

• Plusieurs abonnements : certaines charges de travail nécessitent plusieurs abonnements. Par exemple, certaines charges de travail ont plusieurs instances distinctes par abonnement. Les architectures SaaS qui utilisent des ressources dédiées par client utilisent souvent des dizaines d’abonnements.

• Limites du service d’abonnement : une entreprise avec plusieurs milliers d’abonnements doit avoir une automatisation pouvant déployer sur un ancien abonnement ou colocaliser des charges de travail dans un abonnement pour éviter les limites. Pour plus d’informations, consultez FAQ sur les zones d’atterrissage Azure.

  Vous pouvez demander des augmentations de quota manuellement en utilisant le portail Azure après le provisionnement. L’automatisation de ce processus est plus facile en utilisant les API disponibles. Toutefois, la demande de quota peut échouer et vous devez donc exécuter un script pour gérer les erreurs. Pour plus d’informations, consultez Microsoft.Capacity, Microsoft.Quota et Microsoft.Support

Créer et configurer un abonnement

Vous pouvez maintenant créer et configurer l’abonnement demandé. L’objectif est de créer un processus reproductible et cohérent. Automatisez autant de processus de création et de configuration de l’abonnement que vous le pouvez.

Utiliser l’Infrastructure en tant que code (IaC). Une stratégie courante du distributeur d’abonnements est de créer et configurer l’abonnement programmatiquement avec l’IaC. Vous avez besoin d’un contrat commercial pour créer un abonnement Azure programmatiquement, mais vous pouvez automatiser tous les aspects de la configuration de l’abonnement sans contrat commercial. Pour plus d'informations, consultez les pages suivantes :

• Rôle EA nécessaire
• Rôle(s) MCA nécessaire(s)
• Rôle MPA nécessaire

Il y a des exemples de modules Bicep et Terraform de distributeur d’abonnements qui vous aident à adopter un modèle de distribution d’abonnements, que vous soyez inscrit ou non à un contrat commercial. Vous devez utiliser GitHub Actions ou Azure Pipelines pour orchestrer l’automatisation.

Utiliser des étiquettes pour la gestion des coûts. Vous devez automatiser l’attribution cohérente des étiquettes à chaque abonnement pour gérer les coûts et créer des rapports dans Azure Cost Management. Bien que vous receviez des rapports de facturation avec vos contrats commerciaux, Azure Cost Management offre de meilleures fonctionnalités. Par exemple, vous pouvez créer des rapports pour les abonnements avec des étiquettes spécifiques. Pour plus d’informations, consultez Comment utiliser des étiquettes dans les données de coût et d’utilisation et Regrouper et allouer des coûts à l’aide de l’héritage des étiquettes

Utiliser des abonnements de production et de non-production. Dans la demande d’un nouvel abonnement, vous devez spécifier si la charge de travail est destinée aux environnements Production ou DevTest. Les environnements DevTest entraînent des frais de ressources inférieurs, mais ont d’autres conditions. Notez que l’offre DevTest n’est pas disponible pour MPA. Pour plus d'informations, consultez les pages suivantes :

• Offres de facturation Azure et locataires Active Directory
• Vue d’ensemble de la zone de conception Organisation des ressources
• Créer des abonnements Azure programmatiquement

Configurer des contrôles d’identité et d’accès en fonction du rôle (RBAC). La gestion de l’accès aux ressources au sein d’un abonnement Azure est essentielle pour maintenir l’environnement sécurisé et conforme. Pour contrôler l’accès, vous devez configurer l’identité et les RBAC. Cette configuration implique la désignation d'un propriétaire d'abonnement, la création de groupes Microsoft Entra pour gérer l'accès et l'établissement de comptes d'automatisation pour déployer les charges de travail.

• Désigner un propriétaire d’abonnement. L’automatisation du distributeur d’abonnements doit désigner un propriétaire d’abonnement au moment de la création. La demande d’abonnement doit capturer ces informations au tout début du processus. Les propriétaires d’abonnement peuvent uniquement être des utilisateurs ou des principaux de service de l’annuaire de l’abonnement sélectionné. Vous ne pouvez pas sélectionner les utilisateurs du répertoire invités. Si vous sélectionnez un principal de service, entrez son ID d’application.

• Créez des groupes Microsoft Entra. En plus du propriétaire de l'abonnement, vous devez vous assurer que le processus de vente utilise votre structure de groupe Microsoft Entra pour gérer l'accès à l'abonnement. Pour l’accès avec élévation de privilèges (par exemple, écrire), nous vous recommandons d’utiliser PIM pour les groupes. L’automatisation de ce processus de création ne doit pas aller à l’encontre des bonnes pratiques, comme la limitation du nombre de propriétaires d’abonnement et l’utilisation du niveau d’accès minimal nécessaire.

• Établir des identités de charge de travail. Les identités de charge de travail (principes de service) utilisées pour le déploiement de la charge de travail ont souvent des autorisations élevées sur l’étendue de l’abonnement. Le processus de demande d’abonnement doit collecter les besoins d’identité de charge de travail au tout début du processus. Votre processus de distribution doit créer ces identités et attribuer l’accès approprié à l’abonnement. Notez que l’identité de charge de travail ne peut pas utiliser PIM et reçoit un accès permanent aux ressources. Nous vous recommandons d’utiliser des identités managées pour éviter d’avoir à gérer des secrets. Pour plus d’informations, consultez la zone de conception des identités.

Remettre l’abonnement à l’équipe d’application. Une fois que l’équipe de plateforme a créé l’abonnement, elle doit le remettre à l’équipe d’application.

Mettre à jour le budget de l’abonnement

Les équipes de plateforme et de charge de travail partagent la responsabilité de l’intégrité financière de l’abonnement. Le déploiement doit créer un budget d’abonnement basé sur les informations trouvées dans la demande d’abonnement. L’application doit mettre à jour le budget pour répondre à ses besoins lorsqu’elle reçoit l’abonnement. Les budgets sont utiles pour l’audit des dépenses par rapport à l’utilisation actuelle et prévue, mais ils ne constituent pas des limites strictes. Vous devez donc créer des alertes budgétaires pour avertir les propriétaires d’abonnement si la charge de travail est sur le point de dépasser le seuil budgétaire. Pour les services partagés, comme Gestion des API, utilisez les Règles d’allocation de coût Azure (préversion) pour redistribuer les coûts entre les abonnements consommateurs.

Déployer une charge de travail et fonctionner

L’équipe d’application doit disposer d’une autonomie pour créer les ressources dont nécessaire à sa charge de travail et gérer les opérations. L’équipe de plateforme reste responsable de la gouvernance des abonnements. Quand les exigences de gouvernance d’une charge de travail changent, l’équipe de plateforme doit déplacer les abonnements vers le groupe d’administration qui répond le mieux aux besoins de la charge de travail. Vous pouvez automatiser le déplacement avec Bicep ou Terraform. Pour plus d'informations, consultez les pages suivantes :

• Vue d'ensemble des groupes d’administration
• Déplacer l’abonnement vers un nouveau groupe d’administration (Bicep)
• Déplacer l’abonnement vers un nouveau groupe d’administration (Terraform)
• Adapter la zone d’atterrissage Azure à vos besoins

Étapes suivantes

Pour obtenir de meilleurs résultats, vous devez automatiser autant que possible le processus de distributeur d’abonnements. Utilisez les conseils complémentaires sur l’implémentation de l’automatisation du distributeur d’abonnements.

Conseils d’implémentation du distributeur d’abonnements