Megosztás a következőn keresztül:

Előfizetéssel kapcsolatos szempontok és javaslatok

  • Cikk

Az előfizetések felügyeleti, számlázási és skálázási egységek az Azure-ban. Kritikus szerepet játszanak a nagy léptékű Azure-bevezetés tervezésekor. Ez a cikk segítséget nyújt az előfizetési követelmények rögzítésében és a célelőfizetések tervezésében az alábbiaktól függően változó kritikus tényezők alapján:

  • Környezettípusok
  • Tulajdonosi és szabályozási modellek
  • Szervezeti struktúrák
  • Alkalmazásportfóliók
  • Régiók

Tipp.

Az előfizetésekről további információt a YouTube-videóban talál: Azure-beli kezdőzónák – Hány előfizetést érdemes használni az Azure-ban?

Feljegyzés

Ha Nagyvállalati Szerződés, Microsoft Ügyfélszerződés (Nagyvállalati) vagy Microsoft Partnerszerződés (CSP) szolgáltatást használ, tekintse át a számlázási fiókok és hatókörök előfizetési korlátait az Azure Portalon.

Előfizetéssel kapcsolatos szempontok

Az alábbi szakaszok olyan szempontokat tartalmaznak, amelyek segítenek az Azure-előfizetések megtervezésében és létrehozásában.

Szervezeti és irányítási tervezési szempontok

  • Az előfizetések határként szolgálnak az Azure Policy-hozzárendelésekhez.

    Például az olyan biztonságos számítási feladatok, mint a Payment Card Industry (PCI) számítási feladatai általában más szabályzatokat igényelnek a megfelelőség eléréséhez. A pci-megfelelőséget igénylő számítási feladatok rendezése helyett ugyanazt az elkülönítést érheti el egy előfizetéssel, anélkül, hogy túl sok felügyeleti csoport lenne néhány előfizetéssel.

    Ha több, azonos számításifeladat-archetípusú előfizetést kell csoportosítania, hozzon létre egy felügyeleti csoport alatt.

  • Az előfizetések skálázási egységként szolgálnak, így az összetevők számítási feladatai a platform előfizetési korlátain belül méretezhetők. Ügyeljen arra, hogy a számítási feladatok tervezésekor vegye figyelembe az előfizetés erőforráskorlátjait.

  • Az előfizetések felügyeleti határt biztosítanak az irányításhoz és az elkülönítéshez, amely egyértelműen elválasztja az aggályokat.

  • Szükség esetén hozzon létre külön platform-előfizetéseket a felügyelethez (monitorozáshoz), a kapcsolathoz és az identitáshoz.

    • Hozzon létre egy dedikált felügyeleti előfizetést a platformfelügyeleti csoportban olyan globális felügyeleti képességek támogatásához, mint az Azure Monitor Logs-munkaterületek és az Azure Automation-runbookok.

    • Hozzon létre egy dedikált identitás-előfizetést a platformfelügyeleti csoportban a Windows Server Active Directory-tartományvezérlők szükség esetén történő üzemeltetéséhez.

    • Hozzon létre egy dedikált kapcsolati előfizetést a platformfelügyeleti csoportban egy Azure Virtual WAN-központ, egy privát tartománynévrendszer (DNS), az Azure ExpressRoute-kapcsolatcsoport és más hálózati erőforrások üzemeltetéséhez. A dedikált előfizetés biztosítja, hogy az alapszintű hálózati erőforrások számlázása együtt és más számítási feladatoktól elkülönítve legyen.

    • Az előfizetéseket demokratizált felügyeleti egységként használhatja, amely megfelel az üzleti igényeknek és prioritásoknak.

  • Manuális folyamatokkal a Microsoft Entra-bérlőket csak Nagyvállalati Szerződés regisztrációs előfizetésekre korlátozhatja. Manuális folyamat használatakor nem hozhat létre Microsoft Developer Network-előfizetéseket a gyökérszintű felügyeleti csoport hatókörében.

    Támogatásért küldjön be egy Azure-támogatás jegyet.

    Az Azure számlázási ajánlatai közötti előfizetés-átvitelről további információt az Azure-előfizetés és a foglalásátviteli központ című témakörben talál.

Több régióval kapcsolatos szempont

Fontos

Az előfizetések nincsenek egy adott régióhoz kötve, és globális előfizetésként is kezelheti őket. Logikai szerkezetek, amelyek számlázási, szabályozási, biztonsági és identitásvezérlőket biztosítanak a bennük található Azure-erőforrásokhoz. Ezért nincs szükség külön előfizetésre az egyes régiókhoz.

  • Többrégiós megközelítést alkalmazhat egyetlen számítási feladat szintjén a skálázáshoz vagy a geo-vészhelyreállításhoz, vagy globális szinten (különböző régiókban eltérő számítási feladatok).

  • Egy előfizetés a követelményektől és az architektúrától függően különböző régiókból származó erőforrásokat tartalmazhat.

  • Geo-vészhelyreállítási környezetben ugyanazt az előfizetést használhatja az elsődleges és a másodlagos régiókból származó erőforrásokat, mivel logikailag ugyanahhoz a számítási feladathoz tartoznak.

  • A költségek és az erőforrások rendelkezésre állásának optimalizálása érdekében különböző környezeteket helyezhet üzembe ugyanarra a számítási feladatra különböző régiókban.

  • A több régióból származó erőforrásokat tartalmazó előfizetésekben erőforráscsoportok használatával rendszerezheti és tartalmazhatja az erőforrásokat régiónként.

Kvóta- és kapacitástervezési szempontok

Az Azure-régiók véges számú erőforrással rendelkezhetnek. Ennek eredményeképpen több erőforrással kell nyomon követnie az Azure-bevezetésekhez rendelkezésre álló kapacitást és termékváltozatokat.

  • Fontolja meg az Azure-platformon belüli korlátokat és kvótákat minden olyan szolgáltatás esetében, amelyet a számítási feladatok igényelnek.

  • Fontolja meg a szükséges termékváltozatok rendelkezésre állását a kiválasztott Azure-régiókban. Előfordulhat például, hogy az új funkciók például csak bizonyos régiókban érhetők el. Bizonyos termékváltozatok rendelkezésre állása adott erőforrásokhoz, például virtuális gépekhez (VM-ekhez) régiónként eltérő lehet.

  • Vegye figyelembe, hogy az előfizetési kvóták nem kapacitásgaranciák, és régiónként vannak alkalmazva.

    A virtuálisgép-kapacitásfoglalások esetében lásd az igény szerinti kapacitásfoglalást.

  • Fontolja meg a fel nem használt vagy leszerelt előfizetések újrafelhasználását. További információ: Azure-előfizetések létrehozása vagy újrafelhasználása.

Bérlőátviteli korlátozás tervezési szempontjai

Minden Azure-előfizetés egyetlen Microsoft Entra-bérlőhöz van társítva, amely identitásszolgáltatóként (IdP) működik az Azure-előfizetéshez. A Microsoft Entra-bérlő használatával hitelesítheti a felhasználókat, a szolgáltatásokat és az eszközöket.

Ha bármely felhasználó rendelkezik a szükséges engedélyekkel, módosíthatja az Azure-előfizetéséhez társított Microsoft Entra-bérlőt. További információk:

Feljegyzés

Az Azure Felhőszolgáltató (CSP) előfizetésekhez nem lehet másik Microsoft Entra-bérlőre átvinni.

Az Azure-beli célzónák esetében követelményeket állíthat be, amelyek megakadályozzák, hogy a felhasználók az előfizetéseket a szervezet Microsoft Entra-bérlőjéhez továbbítják. További információkért lásd: Azure-előfizetési szabályzatok kezelése.

Konfigurálja az előfizetési szabályzatot a mentesített felhasználók listájának megadásával. A mentesített felhasználók megkerülhetik a szabályzatban beállított korlátozásokat.

Fontos

A kivételt élvező felhasználók listája nem Azure-szabályzat.

  • Fontolja meg, hogy engedélyezi-e, hogy a Visual Studio- vagy MSDN Azure-előfizetéssel rendelkező felhasználók átvihessék az előfizetésüket a Microsoft Entra-bérlőbe vagy onnan.

  • Csak a Microsoft Entra Global Rendszergazda istrator szerepkörrel rendelkező felhasználók konfigurálhatnak bérlőátviteli beállításokat. Ezeknek a felhasználóknak emelt szintű hozzáféréssel kell rendelkezniük a szabályzat módosításához.

    • Az egyes felhasználói fiókokat csak kivételt élvező felhasználóként adhatja meg, a Microsoft Entra-csoportokat nem.

  • Az Azure-hoz hozzáféréssel rendelkező felhasználók megtekinthetik a Microsoft Entra-bérlőhöz definiált szabályzatot.

    • A felhasználók nem tekinthetik meg a mentesített felhasználók listáját.

    • A felhasználók megtekinthetik a globális rendszergazdákat a Microsoft Entra-bérlőn belül.

  • A Microsoft Entra-bérlőbe áthelyezett Azure-előfizetések az adott bérlő alapértelmezett felügyeleti csoportjába kerülnek.

  • Ha a szervezet jóváhagyja, az alkalmazás csapata meghatározhat egy folyamatot, amely lehetővé teszi az Azure-előfizetések Átvitelét egy Microsoft Entra-bérlőbe vagy onnan.

Költségkezelési tervezési szempontok

Minden nagyvállalati szervezetnek kihívást jelent a költségek átláthatóságának kezelése. Ez a szakasz a nagy Azure-környezetek költségátlátottsága szempontjából fontos szempontokat ismerteti.

  • Előfordulhat, hogy a nagyobb sűrűség eléréséhez meg kell osztania a díjvisszatérítési modelleket, például az App Service Environmentet és az Azure Kubernetes Service-t (AKS). A díjvisszatérítési modellek hatással lehetnek a szolgáltatásként nyújtott megosztott platform (PaaS) erőforrásaira.

  • Használjon leállítási ütemezést a nem éles számítási feladatokhoz a költségoptimalizálás érdekében.

  • Az Azure Advisor használatával javaslatokat kaphat a költségek optimalizálására.

  • Hozzon létre egy költségvisszatérítési modellt a költségek szervezeten belüli jobb elosztásához.

  • Szabályzatot implementálhat, hogy a felhasználók ne helyezhessenek üzembe jogosulatlan erőforrásokat a szervezet környezetében.

  • Rendszeres ütemezést és ütemezést hozhat létre a számítási feladatok költségeinek áttekintéséhez és az erőforrások jogosultsági állapotának meghatározásához.

Előfizetési javaslatok

Az alábbi szakaszok javaslatokat tartalmaznak az Azure-előfizetések megtervezéséhez és létrehozásához.

Szervezeti és irányítási javaslatok

  • Az előfizetéseket az üzleti igényekhez és prioritásokhoz igazodó felügyeleti egységként kezelheti.

  • Tájékoztassa az előfizetés tulajdonosait a szerepköreikről és feladataikról.

    • Negyedéves vagy éves hozzáférési felülvizsgálatot végez a Microsoft Entra Privileged Identity Management (PIM) szolgáltatásban, hogy a jogosultságok ne szaporodjanak el, amikor a felhasználók a szervezeten belül mozognak.

    • A költségvetési kiadások és erőforrások teljes tulajdonjogának átvétele.

    • Biztosítsa a szabályzatoknak való megfelelőséget, és szükség esetén a szervizelést.

  • Az új előfizetések követelményeinek azonosításakor hivatkozzon az alábbi alapelvekre:

    • Skálázási korlátok: Az előfizetések skálázási egységként szolgálnak az összetevők számítási feladatai számára a platform-előfizetés korlátain belüli skálázáshoz. A nagy specializált számítási feladatoknak, például a nagy teljesítményű számítástechnikának, az IoT-nek és az SAP-nak külön előfizetéseket kell használniuk, hogy ne fussanak ezen korlátokon.

    • Felügyeleti határ: Az előfizetések felügyeleti határt biztosítanak az irányításhoz és az elkülönítéshez, ami lehetővé teszi az aggodalmak egyértelmű elkülönítését. A különböző környezeteket, például a fejlesztési, tesztelési és éles környezeteket gyakran eltávolítják a felügyeleti szempontból.

    • Szabályzathatár: Az előfizetések határként szolgálnak az Azure Policy-hozzárendelésekhez. Például a biztonságos számítási feladatok, például a PCI-számítási feladatok általában más szabályzatokat igényelnek a megfelelőség eléréséhez. A másik többletterhelést nem veszi figyelembe, ha külön előfizetést használ. A fejlesztési környezetek alacsonyabb házirendkövetelményeket támasztanak, mint az éles környezetek.

    • Célhálózat-topológia: Nem oszthat meg virtuális hálózatokat előfizetések között, de különböző technológiákkal, például virtuális hálózatok közötti társviszony-létesítéssel vagy ExpressRoute-tal csatlakoztathatja őket. Amikor eldönti, hogy új előfizetésre van-e szüksége, fontolja meg, hogy mely számítási feladatoknak kell kommunikálniuk egymással.

  • Csoportosítsa az előfizetéseket a felügyeleti csoportok alatt, amelyek igazodnak a felügyeleti csoport struktúrájához és házirendkövetelményeihez. Csoportosítsa az előfizetéseket, hogy az azonos szabályzatokkal és Azure-szerepkör-hozzárendelésekkel rendelkező előfizetések ugyanabból a felügyeleti csoportból származhassanak.

  • Hozzon létre egy dedikált felügyeleti előfizetést a felügyeleti csoportban, Platform amely támogatja az olyan globális felügyeleti képességeket, mint az Azure Monitor Logs-munkaterületek és az Automation-runbookok.

  • Hozzon létre egy dedikált identitás-előfizetést a Platform felügyeleti csoportban a Windows Server Active Directory tartományvezérlők üzemeltetéséhez, ha szükséges.

  • Hozzon létre egy dedikált kapcsolati előfizetést a Platform felügyeleti csoportban a virtual WAN-központ, a privát DNS, az ExpressRoute-kapcsolatcsoport és más hálózati erőforrások üzemeltetéséhez. A dedikált előfizetés biztosítja, hogy az alapszintű hálózati erőforrások számlázása együtt és más számítási feladatoktól elkülönítve legyen.

  • Kerülje a merev előfizetési modell használatát. Ehelyett rugalmas feltételekkel csoportosíthatja az előfizetéseket a szervezeten belül. Ez a rugalmasság biztosítja, hogy miközben a vállalat szervezeti felépítése és tevékenységének összetétele változik, új előfizetési csoportokat hozhat létre ahelyett, hogy a meglévő előfizetések rögzített halmazát használná. Az egyik méret nem felel meg az összes előfizetésnek, és előfordulhat, hogy az egyik üzleti egység nem működik egy másiknál. Bizonyos alkalmazások megférhetnek egy kezdőzóna-előfizetésen belül, másoknak viszont saját előfizetésre van szükségük.

    További információ: A fejlesztési/tesztelési/éles számítási feladatok kezdőzónáinak kezelése.

Több régióra vonatkozó javaslat

  • Csak akkor hozzon létre további előfizetéseket minden régióhoz, ha régióspecifikus szabályozási és felügyeleti követelményekkel rendelkezik, például adatelkonvertség vagy a kvótakorlátokon túli skálázás érdekében.

  • Ha a skálázás nem érinti a több régióra kiterjedő georedundáns helyreállítási környezetet, használja ugyanazt az előfizetést az elsődleges és a másodlagos régió erőforrásaihoz. Egyes Azure-szolgáltatásoknak az üzletmenet-folytonossági és vészhelyreállítási (BCDR) stratégiától és az ön által alkalmazott eszközöktől függően előfordulhat, hogy ugyanazt az előfizetést kell használniuk. Aktív-aktív forgatókönyvekben, ahol az üzemelő példányok önállóan vannak felügyelve, vagy különböző életciklusokkal rendelkeznek, javasoljuk, hogy különböző előfizetéseket használjon.

  • Annak a régiónak, ahol erőforráscsoportot hoz létre, és a tartalmazott erőforrások régiójának egyeznie kell, hogy azok ne befolyásolják a rugalmasságot és a megbízhatóságot.

  • Egyetlen erőforráscsoport nem tartalmazhat különböző régiókból származó erőforrásokat. Ez a megközelítés az erőforrás-kezeléssel és a rendelkezésre állással kapcsolatos problémákhoz vezethet.

Kvóta- és kapacitásjavaslatok

  • Az előfizetéseket skálázási egységekként használhatja, és igény szerint felskálázhatók az erőforrások és az előfizetések. A számítási feladat ezután az Azure platform előfizetési korlátainak elérése nélkül használhatja a horizontális felskálázáshoz szükséges erőforrásokat.

  • Kapacitásfoglalások használata egyes régiókban a kapacitás kezeléséhez. Ezután a számítási feladat rendelkezhet a szükséges kapacitással a nagy igényű erőforrásokhoz egy adott régióban.

  • Hozzon létre egy olyan irányítópultot, amely egyéni nézetekkel rendelkezik a használt kapacitásszintek monitorozásához, és riasztásokat állítson be, ha a kapacitás megközelíti a kritikus szinteket, például 90%-os processzorhasználatot.

  • Támogatási kérések kérése kvótanövelésre az előfizetés kiépítésekor, például az előfizetésen belüli összes rendelkezésre álló virtuálisgép-mag esetében. Győződjön meg arról, hogy a kvótakorlátok azelőtt vannak beállítva, hogy a számítási feladatok túllépik az alapértelmezett korlátokat.

  • Győződjön meg arról, hogy a szükséges szolgáltatások és szolgáltatások elérhetők a kiválasztott üzembehelyezési régiókban.

Automation-javaslatok

  • Hozzon létre egy előfizetéses értékesítés folyamatot, amely automatizálja az alkalmazáscsapatok előfizetéseinek létrehozását egy kérési munkafolyamaton keresztül. További információkért lásd az előfizetési automatát.

Bérlőátviteli korlátozásokra vonatkozó javaslatok

  • Konfigurálja a következő beállításokat, hogy a felhasználók ne ruházzák át az Azure-előfizetéseket a Microsoft Entra-bérlőbe vagy onnan:

    • A Microsoft Entra könyvtárat elhagyó előfizetés beállítása a következőrePermit no one: .

    • Állítsa be a Microsoft Entra könyvtárba beírt előfizetést a következőre Permit no one: .

  • A kivételt élvező felhasználók korlátozott listájának konfigurálása.

    • Azure platformműveleti csapat tagjainak felvétele.

    • A kivétel alá tartozó felhasználók listájába belefoglalja az üvegtöréses fiókokat.

Következő lépés

Szabályzatalapú védőkorlátok bevezetése