Pertimbangan dan rekomendasi langganan
Langganan merupakan unit pengelolaan, penagihan, dan skala dalam Azure. Mereka memainkan peran penting saat Anda mendesain untuk adopsi Azure skala besar. Artikel ini membantu Anda mengambil persyaratan langganan dan mendesain langganan target berdasarkan faktor penting yang bervariasi tergantung pada:
- Jenis lingkungan
- Model kepemilikan dan tata kelola
- Struktur organisasi
- Portofolio aplikasi
- Wilayah
Tip
Untuk informasi selengkapnya tentang langganan, lihat video YouTube: Zona arahan Azure - Berapa banyak langganan yang harus saya gunakan di Azure?
Catatan
Jika Anda menggunakan Perjanjian Enterprise, Perjanjian Pelanggan Microsoft (Enterprise), atau Perjanjian Mitra Microsoft (CSP), tinjau batas langganan di Akun penagihan dan cakupan dalam portal Azure.
Pertimbangan langganan
Bagian berikut berisi pertimbangan untuk membantu Anda merencanakan dan membuat langganan untuk Azure.
Pertimbangan desain organisasi dan tata kelola
Langganan berfungsi sebagai batasan untuk penugasan Azure Policy.
Misalnya, beban kerja yang aman seperti beban kerja Industri Kartu Pembayaran (PCI) biasanya memerlukan kebijakan lain untuk mencapai kepatuhan. Alih-alih menggunakan grup manajemen untuk menyusun beban kerja yang memerlukan kepatuhan PCI, Anda dapat mencapai isolasi yang sama dengan langganan, tanpa memiliki terlalu banyak grup manajemen dengan beberapa langganan.
Jika Anda perlu mengelompokkan banyak langganan arketipe beban kerja yang sama, buat di bawah grup manajemen.
Langganan berfungsi sebagai unit skala sehingga beban kerja komponen dapat diskalakan dalam batas langganan platform. Pastikan Anda mempertimbangkan batas sumber daya langganan saat Merancang beban kerja Anda.
Langganan menyediakan batas manajemen untuk tata kelola dan isolasi yang memisahkan kekhawatiran dengan jelas.
Buat langganan platform terpisah untuk manajemen (pemantauan), konektivitas, dan identitas saat diperlukan.
Buat langganan manajemen khusus di grup manajemen platform Anda untuk mendukung kemampuan manajemen global seperti ruang kerja Log Azure Monitor dan runbook Azure Automation.
Buat langganan identitas khusus di grup manajemen platform Anda untuk menghosting pengontrol domain Windows Server Active Directory saat diperlukan.
Buat langganan konektivitas khusus di grup manajemen platform Anda untuk menghosting hub Azure Virtual WAN, Sistem Nama Domain (DNS) privat, sirkuit Azure ExpressRoute, dan sumber daya jaringan lainnya. Langganan khusus memastikan bahwa semua sumber daya jaringan fondasi Anda ditagih bersama dan diisolasi dari beban kerja lain.
Gunakan langganan sebagai unit manajemen yang didemokratisasi yang selaras dengan kebutuhan dan prioritas bisnis Anda.
Gunakan proses manual untuk membatasi penyewa Microsoft Entra hanya untuk Perjanjian Enterprise langganan pendaftaran. Saat menggunakan proses manual, Anda tidak dapat membuat langganan Microsoft Developer Network (MSDN) di cakupan grup manajemen akar.
Untuk dukungan, kirimkan tiket dukungan Azure.
Untuk informasi tentang transfer langganan antara penawaran penagihan Azure, lihat Langganan Azure dan hub transfer reservasi.
Pertimbangan beberapa wilayah
Penting
Langganan tidak terkait dengan wilayah tertentu, dan Anda dapat memperlakukannya sebagai langganan global. Mereka adalah konstruksi logis untuk menyediakan kontrol penagihan, tata kelola, keamanan, dan identitas untuk sumber daya Azure yang terkandung di dalamnya. Oleh karena itu, Anda tidak memerlukan langganan terpisah untuk setiap wilayah.
Anda dapat mengadopsi pendekatan multiregion pada tingkat beban kerja tunggal untuk penskalaan atau pemulihan bencana geografis atau di tingkat global (beban kerja yang berbeda di berbagai wilayah).
Satu langganan dapat berisi sumber daya dari berbagai wilayah, tergantung pada persyaratan dan arsitekturnya.
Dalam konteks pemulihan bencana geografis, Anda dapat menggunakan langganan yang sama untuk berisi sumber daya dari wilayah primer dan sekunder karena secara logis merupakan bagian dari beban kerja yang sama.
Anda dapat menyebarkan lingkungan yang berbeda untuk beban kerja yang sama di berbagai wilayah untuk mengoptimalkan biaya dan ketersediaan sumber daya.
Dalam langganan yang berisi sumber daya dari beberapa wilayah, Anda dapat menggunakan grup sumber daya untuk menata dan berisi sumber daya menurut wilayah.
Pertimbangan desain kuota dan kapasitas
Wilayah Azure mungkin memiliki jumlah sumber daya terbatas. Akibatnya, Anda harus melacak kapasitas dan SKU yang tersedia untuk adopsi Azure dengan beberapa sumber daya.
Pertimbangkan batas dan kuota dalam platform Azure untuk setiap layanan yang diperlukan beban kerja Anda.
Pertimbangkan ketersediaan SKU yang diperlukan dalam wilayah Azure pilihan Anda. Misalnya, fitur baru mungkin hanya tersedia di wilayah tertentu. Ketersediaan SKU tertentu untuk sumber daya tertentu seperti komputer virtual (VM) dapat bervariasi dari satu wilayah ke wilayah lainnya.
Pertimbangkan bahwa kuota berlangganan bukan jaminan kapasitas dan diterapkan berdasarkan per wilayah.
Untuk reservasi kapasitas komputer virtual, lihat Reservasi kapasitas sesuai permintaan.
Pertimbangkan untuk menggunakan kembali langganan yang tidak digunakan atau dinonaktifkan. Untuk informasi selengkapnya, lihat Membuat atau menggunakan kembali langganan Azure.
Pertimbangan desain pembatasan transfer penyewa
Setiap langganan Azure ditautkan ke satu penyewa Microsoft Entra, yang bertindak sebagai Penyedia Identitas (IdP) untuk langganan Azure Anda. Gunakan penyewa Microsoft Entra untuk mengautentikasi pengguna, layanan, dan perangkat.
Saat pengguna memiliki izin yang diperlukan, mereka dapat mengubah penyewa Microsoft Entra yang ditautkan ke langganan Azure Anda. Untuk informasi selengkapnya, lihat:
- Mengaitkan atau menambahkan langganan Azure ke penyewa Microsoft Entra Anda
- Lihat Mentransfer langganan Azure ke direktori Microsoft Entra yang berbeda
Catatan
Anda tidak dapat mentransfer ke langganan penyewa Microsoft Entra untuk Azure Penyedia Solusi Cloud (CSP) yang berbeda.
Untuk zona pendaratan Azure, Anda dapat menetapkan persyaratan untuk mencegah pengguna mentransfer langganan ke penyewa Microsoft Entra organisasi Anda. Untuk informasi selengkapnya, lihat Mengelola kebijakan langganan Azure.
Konfigurasikan kebijakan langganan Anda dengan memberikan daftar pengguna yang dikecualikan. Pengguna yang dikecualikan diizinkan untuk melewati pembatasan yang ditetapkan dalam kebijakan.
Penting
Daftar pengguna yang dikecualikan bukan Azure Policy.
Pertimbangkan apakah Anda harus mengizinkan pengguna yang memiliki langganan Visual Studio atau MSDN Azure untuk mentransfer langganan mereka ke atau dari penyewa Microsoft Entra Anda.
Hanya pengguna dengan peran Administrator Global Microsoft Entra yang dapat mengonfigurasi pengaturan transfer penyewa. Pengguna ini harus memiliki akses yang ditingkatkan untuk mengubah kebijakan.
- Anda hanya dapat menentukan akun pengguna individual sebagai pengguna yang dikecualikan, bukan grup Microsoft Entra.
Penting
Microsoft menyarankan agar Anda menggunakan peran dengan izin terkecil. Ini membantu meningkatkan keamanan untuk organisasi Anda. Administrator Global adalah peran yang sangat istimewa yang harus dibatasi pada skenario darurat ketika Anda tidak dapat menggunakan peran yang ada.
Semua pengguna dengan akses ke Azure dapat melihat kebijakan yang ditentukan untuk penyewa Microsoft Entra Anda.
Pengguna tidak dapat melihat daftar pengguna yang dikecualikan.
Pengguna dapat melihat administrator global dalam penyewa Microsoft Entra Anda.
Langganan Azure yang Anda transfer ke penyewa Microsoft Entra ditempatkan ke dalam grup manajemen default untuk penyewa tersebut.
Jika organisasi Anda menyetujui, tim aplikasi Anda dapat menentukan proses untuk memungkinkan langganan Azure ditransfer ke atau dari penyewa Microsoft Entra.
Pertimbangan desain manajemen biaya
Setiap organisasi perusahaan besar memiliki tantangan dalam mengelola transparansi biaya. Bagian ini mengeksplorasi aspek-aspek utama untuk mencapai transparansi biaya di seluruh lingkungan Azure yang besar.
Anda mungkin perlu berbagi model penagihan balik, seperti App Service Environment dan Azure Kubernetes Service (AKS), untuk mencapai kepadatan yang lebih tinggi. Model penagihan balik dapat memengaruhi sumber daya platform as a service (PaaS) bersama.
Gunakan jadwal pematian untuk beban kerja nonproduksi guna mengoptimalkan biaya.
Gunakan Azure Advisor untuk mendapatkan rekomendasi untuk mengoptimalkan biaya.
Tetapkan model penagihan balik untuk distribusi biaya yang lebih baik di seluruh organisasi Anda.
Terapkan kebijakan sehingga pengguna tidak dapat menyebarkan sumber daya yang tidak sah di lingkungan organisasi Anda.
Tetapkan jadwal dan irama reguler untuk meninjau biaya dan hak sumber daya untuk beban kerja.
Rekomendasi langganan
Bagian berikut berisi rekomendasi untuk membantu Anda merencanakan dan membuat langganan untuk Azure.
Rekomendasi organisasi dan tata kelola
Perlakukan langganan sebagai unit manajemen yang selaras dengan kebutuhan dan prioritas bisnis Anda.
Beri tahu pemilik langganan tentang peran dan tanggung jawab mereka.
Lakukan tinjauan akses triwulanan atau tahunan untuk Microsoft Entra Privileged Identity Management (PIM) untuk memastikan bahwa hak istimewa tidak menjamur saat pengguna berpindah dalam organisasi Anda.
Ambil kepemilikan penuh atas pengeluaran anggaran dan sumber daya.
Pastikan kepatuhan kebijakan dan remediasi bila perlu.
Saat Anda mengidentifikasi persyaratan untuk langganan baru, referensikan prinsip-prinsip berikut:
Batas skala: Langganan berfungsi sebagai unit skala untuk beban kerja komponen untuk diskalakan dalam batas langganan platform. Beban kerja khusus besar, seperti komputasi performa tinggi, IoT, dan SAP, harus menggunakan langganan terpisah untuk menghindari kehabisan batas ini.
Batas manajemen: Langganan menyediakan batas manajemen untuk tata kelola dan isolasi, yang memungkinkan pemisahan kekhawatiran yang jelas. Berbagai lingkungan, seperti lingkungan pengembangan, pengujian, dan produksi, sering dihapus dari perspektif manajemen.
Batas kebijakan: Langganan berfungsi sebagai batas untuk penugasan Azure Policy. Misalnya, beban kerja yang aman seperti beban kerja PCI biasanya memerlukan kebijakan lain untuk mencapai kepatuhan. Overhead lainnya tidak dipertimbangkan jika Anda menggunakan langganan terpisah. Lingkungan pengembangan memiliki persyaratan kebijakan yang lebih longgar daripada lingkungan produksi.
Topologi jaringan target: Anda tidak dapat berbagi jaringan virtual di seluruh langganan, tetapi Anda dapat menghubungkannya dengan teknologi yang berbeda seperti peering jaringan virtual atau ExpressRoute. Saat Anda memutuskan apakah Anda memerlukan langganan baru, pertimbangkan beban kerja mana yang perlu berkomunikasi satu sama lain.
Langganan grup bersama-sama di bawah grup manajemen, yang selaras dengan struktur grup manajemen dan persyaratan kebijakan Anda. Langganan grup untuk memastikan bahwa langganan dengan serangkaian kebijakan yang sama dan penetapan peran Azure berasal dari grup manajemen yang sama.
Buat langganan manajemen khusus di grup manajemen Anda
Platform
untuk mendukung kemampuan manajemen global seperti ruang kerja Log Azure Monitor dan runbook Automation.Buat langganan identitas khusus di grup manajemen Anda
Platform
untuk menghosting pengontrol domain Windows Server Active Directory jika diperlukan.Buat langganan konektivitas khusus di grup manajemen Anda
Platform
untuk menghosting hub Virtual WAN, DNS privat, sirkuit ExpressRoute, dan sumber daya jaringan lainnya. Langganan khusus memastikan bahwa semua sumber daya jaringan fondasi Anda ditagih bersama dan diisolasi dari beban kerja lain.Hindari model berlangganan yang tidak dapat diubah. Sebagai gantinya, gunakan serangkaian kriteria fleksibel untuk mengelompokkan langganan di seluruh organisasi Anda. Fleksibilitas ini memastikan bahwa saat komposisi beban kerja dan struktur organisasi berubah, Anda dapat membuat grup langganan baru daripada menggunakan kumpulan tetap langganan yang sudah ada. Satu ukuran tidak cocok untuk semua langganan, dan apa yang berfungsi untuk satu unit bisnis mungkin tidak berfungsi untuk unit bisnis lainnya. Beberapa aplikasi mungkin dapat digunakan bersama dalam langganan zona pendaratan yang sama, sementara yang lainnya mungkin memerlukan langganan mereka sendiri.
Untuk informasi selengkapnya, lihat Menangani zona pendaratan beban kerja dev/test/production.
Rekomendasi beberapa wilayah
Buat langganan tambahan untuk setiap wilayah hanya jika Anda memiliki persyaratan tata kelola dan manajemen khusus wilayah, misalnya kedaulatan data atau untuk menskalakan di luar batas kuota.
Jika penskalaan tidak menjadi perhatian untuk lingkungan pemulihan bencana geografis yang mencakup beberapa wilayah, gunakan langganan yang sama untuk sumber daya wilayah utama dan sekunder. Beberapa layanan Azure, tergantung pada strategi dan alat kelangsungan bisnis dan pemulihan bencana (BCDR) yang Anda adopsi, mungkin perlu menggunakan langganan yang sama. Dalam skenario aktif-aktif, di mana penyebaran dikelola secara independen atau memiliki siklus hidup yang berbeda, kami sarankan Anda menggunakan langganan yang berbeda.
Wilayah tempat Anda membuat grup sumber daya dan wilayah sumber daya yang terkandung harus cocok sehingga tidak memengaruhi ketahanan dan keandalan.
Satu grup sumber daya tidak boleh berisi sumber daya dari berbagai wilayah. Pendekatan ini dapat menyebabkan masalah dengan manajemen dan ketersediaan sumber daya.
Rekomendasi kuota dan kapasitas
Gunakan langganan sebagai unit skala, dan perluas skala sumber daya dan langganan sesuai kebutuhan. Beban kerja Anda kemudian dapat menggunakan sumber daya yang diperlukan untuk penskalaan tanpa mencapai batas langganan di platform Azure.
Gunakan reservasi kapasitas untuk mengelola kapasitas di beberapa wilayah. Beban kerja Anda kemudian dapat memiliki kapasitas yang diperlukan untuk sumber daya permintaan tinggi di wilayah tertentu.
Buat dasbor yang memiliki tampilan kustom untuk memantau tingkat kapasitas yang digunakan, dan siapkan pemberitahuan jika kapasitas mendekati tingkat kritis, seperti penggunaan CPU 90%.
Ajukan permintaan dukungan untuk peningkatan kuota di bawah provisi langganan, seperti untuk total inti VM yang tersedia dalam langganan. Pastikan batas kuota Anda ditetapkan sebelum beban kerja Anda melebihi batas default.
Pastikan bahwa layanan dan fitur yang diperlukan tersedia dalam wilayah penyebaran yang Anda pilih.
Rekomendasi automasi
- Buat proses penjual langganan untuk mengotomatiskan pembuatan langganan untuk tim aplikasi melalui alur kerja permintaan. Untuk informasi selengkapnya, lihat Penjual langganan.
Rekomendasi pembatasan transfer penyewa
Konfigurasikan pengaturan berikut untuk mencegah pengguna mentransfer langganan Azure ke atau dari penyewa Microsoft Entra Anda:
Atur Langganan yang meninggalkan direktori Microsoft Entra ke
Permit no one
.Atur Langganan yang memasukkan direktori Microsoft Entra ke
Permit no one
.
Konfigurasikan daftar terbatas pengguna yang dikecualikan.
Sertakan anggota dari tim operasi platform Azure.
Sertakan akun darurat dalam daftar pengguna yang dikecualikan.