Pertimbangan dan rekomendasi langganan

Langganan merupakan unit pengelolaan, penagihan, dan skala dalam Azure. Langganan memainkan peran penting saat Anda mendesain untuk adopsi Azure skala besar. Artikel ini dapat membantu Anda menangkap persyaratan langganan dan mendesain langganan target berdasarkan faktor penting, yang didasarkan pada:

• jenis lingkungan
• model kepemilikan dan tata kelola
• struktur organisasi
• portofolio aplikasi

Tip

Kami membahas topik ini dalam video YouTube terbaru: Zona Pendaratan Azure - Berapa banyak langganan yang harus saya gunakan di Azure?

Catatan

Anda harus meninjau batas langganan seperti yang didokumenkan di Akun penagihan dan cakupan dalam portal Azure. Panduan ini terutama ditujukan kepada pelanggan yang menggunakan Perjanjian Enterprise, Perjanjian Pelanggan Microsoft (Enterprise) atau Perjanjian Mitra Microsoft (CSP).

Pertimbangan langganan

Bagian berikut berisi pertimbangan untuk membantu Anda merencanakan dan membuat langganan untuk Azure.

Pertimbangan desain organisasi dan tata kelola

• Langganan berfungsi sebagai batasan untuk penugasan Azure Policy.

  • Misalnya, beban kerja yang aman seperti beban kerja Industri Kartu Pembayaran (PCI) biasanya memerlukan kebijakan lain untuk mencapai kepatuhan. Alih-alih menggunakan grup manajemen untuk menyusun beban kerja yang memerlukan kepatuhan PCI, Anda dapat mencapai isolasi yang sama dengan langganan, tanpa memiliki terlalu banyak grup manajemen dengan beberapa langganan.

    • Jika Anda perlu mengelompokkan banyak langganan arketipe beban kerja yang sama, buat di bawah grup manajemen.

• Langganan berfungsi sebagai unit skala sehingga beban kerja komponen dapat diskalakan dalam batas langganan platform. Pastikan Anda mempertimbangkan batas sumber daya langganan saat Merancang beban kerja Anda.

• Langganan menyediakan batas manajemen untuk tata kelola dan isolasi yang memisahkan kekhawatiran dengan jelas.

• Buat langganan platform terpisah untuk manajemen (pemantauan), konektivitas, dan identitas saat diperlukan.

  • Buat langganan manajemen khusus di grup manajemen platform Anda untuk mendukung kemampuan manajemen global seperti ruang kerja Azure Monitor Log Analytics dan runbook Azure Automation.
    • Buat langganan identitas khusus di grup manajemen platform Anda untuk menghosting pengontrol domain Windows Server Active Directory saat diperlukan.
    • Buat langganan konektivitas khusus di grup manajemen platform Anda untuk menghosting hub Azure Virtual WAN, Sistem Nama Domain (DNS) privat, sirkuit ExpressRoute, dan sumber daya jaringan lainnya. Langganan khusus memastikan bahwa semua sumber daya jaringan fondasi Anda ditagih bersama dan diisolasi dari beban kerja lain.
    • Gunakan langganan sebagai unit manajemen yang didemokratisasi yang selaras dengan kebutuhan dan prioritas bisnis Anda.

• Gunakan proses manual untuk membatasi penyewa Microsoft Entra hanya untuk Perjanjian Enterprise langganan pendaftaran. Menggunakan proses manual mencegah pembuatan langganan Microsoft Developer Network di cakupan grup manajemen akar.

  • Untuk dukungan, kirimkan tiket Dukungan Azure.

• Lihat langganan Azure dan hub transfer reservasi untuk transfer langganan antara penawaran penagihan Azure.

Pertimbangan desain kuota dan kapasitas

Wilayah Azure mungkin memiliki jumlah sumber daya terbatas. Akibatnya, kapasitas dan SKU yang tersedia harus dilacak untuk adopsi Azure yang melibatkan sejumlah besar sumber daya.

• Pertimbangkan batas dan kuota dalam platform Azure untuk setiap layanan yang diperlukan beban kerja Anda.

• Pertimbangkan ketersediaan SKU yang diperlukan dalam wilayah Azure pilihan Anda. Misalnya, fitur baru mungkin hanya tersedia di wilayah tertentu. Ketersediaan SKU tertentu untuk sumber daya tertentu seperti VM dapat berbeda dari satu wilayah ke wilayah lainnya.

• Pertimbangkan bahwa kuota berlangganan bukan jaminan kapasitas dan diterapkan berdasarkan per wilayah.

  • Untuk reservasi kapasitas komputer virtual, lihat Reservasi kapasitas sesuai permintaan.

• Pertimbangkan untuk menggunakan kembali langganan yang tidak digunakan atau dinonaktifkan sesuai panduan di Haruskah kita membuat Langganan Azure baru setiap kali atau dapatkah kita, dan haruskah kita, menggunakan kembali Langganan Azure? - FAQ zona pendaratan Azure.

Pertimbangan desain pembatasan transfer penyewa

Setiap langganan Azure ditautkan ke satu penyewa Microsoft Entra, yang bertindak sebagai Penyedia Identitas (IdP) untuk langganan Azure Anda. Penyewa Microsoft Entra digunakan untuk mengautentikasi pengguna, layanan, dan perangkat.

Penyewa Microsoft Entra yang ditautkan ke langganan Azure Anda dapat diubah oleh pengguna mana pun dengan izin yang diperlukan. Proses ini dijelaskan dalam artikel berikut:

• Mengaitkan atau menambahkan langganan Azure ke penyewa Microsoft Entra Anda
• Mentransfer langganan Azure ke direktori Microsoft Entra yang berbeda

Catatan

Mentransfer ke penyewa Microsoft Entra lain tidak didukung untuk langganan Azure Penyedia Solusi Cloud (CSP).

Dengan zona pendaratan Azure, Anda dapat menetapkan persyaratan untuk mencegah pengguna mentransfer langganan ke penyewa Microsoft Entra organisasi Anda. Tinjau prosesnya di Mengelola kebijakan langganan Azure.

Konfigurasikan kebijakan langganan Anda dengan memberikan daftar pengguna yang dikecualikan. Pengguna yang dikecualikan diizinkan untuk melewati pembatasan yang ditetapkan dalam kebijakan.

Penting

Daftar pengguna yang dikecualikan bukan Azure Policy.

• Pertimbangkan apakah pengguna dengan langganan Visual Studio/MSDN Azure harus diizinkan untuk mentransfer langganan mereka ke atau dari penyewa Microsoft Entra Anda.

• Pengaturan transfer penyewa hanya dapat dikonfigurasi oleh pengguna dengan peran Administrator Global Microsoft Entra yang ditetapkan. Pengguna ini dan harus memiliki akses yang ditingkatkan untuk mengubah kebijakan.

  • Anda hanya dapat menentukan akun pengguna individual sebagai pengguna yang dikecualikan, bukan grup Microsoft Entra.

• Semua pengguna dengan akses ke Azure dapat melihat kebijakan yang ditentukan untuk penyewa Microsoft Entra Anda.

  • Pengguna tidak dapat melihat daftar pengguna yang dikecualikan.

  • Pengguna dapat melihat administrator global dalam penyewa Microsoft Entra Anda.

• Langganan Azure yang ditransfer ke penyewa Microsoft Entra ditempatkan ke dalam grup manajemen default untuk penyewa tersebut.

• Jika disetujui oleh organisasi Anda, tim aplikasi Anda dapat menentukan proses untuk memungkinkan langganan Azure ditransfer ke atau dari penyewa Microsoft Entra.

Menetapkan pertimbangan desain pengelolaan biaya

Transparansi biaya adalah tantangan manajemen penting yang dihadapi setiap organisasi perusahaan besar. Bagian artikel ini mengeksplorasi aspek utama untuk mencapai transparansi biaya di seluruh lingkungan Azure yang besar.

• Model penagihan balik, seperti Azure App Service Environment dan Azure Kubernetes Service, mungkin perlu dibagikan untuk mencapai kepadatan yang lebih tinggi. Sumber daya platform as a service (PaaS) bersama dapat dipengaruhi oleh model Chargeback.

• Gunakan jadwal pematian untuk beban kerja nonproduksi guna mengoptimalkan biaya.

• Gunakan Azure Advisor untuk memeriksa rekomendasi untuk mengoptimalkan biaya.

• Tetapkan model penagihan balik untuk distribusi biaya yang lebih baik di seluruh organisasi Anda.

• Terapkan kebijakan untuk mencegah penyebaran sumber daya yang tidak berwenang untuk disebarkan di lingkungan organisasi Anda.

• Tetapkan jadwal dan irama reguler untuk meninjau biaya dan sumber daya ukuran yang tepat untuk beban kerja.

Rekomendasi langganan

Bagian berikut berisi rekomendasi untuk membantu Anda merencanakan dan membuat langganan untuk Azure.

Rekomendasi organisasi dan tata kelola

• Perlakukan langganan sebagai unit manajemen yang selaras dengan kebutuhan dan prioritas bisnis Anda.

• Buat pemilik langganan mengetahui peran dan tanggung jawab mereka.

  • Lakukan tinjauan akses triwulanan atau tahunan untuk Microsoft Entra Privileged Identity Management untuk memastikan bahwa hak istimewa tidak menjamur saat pengguna berpindah dalam organisasi Anda.
  • Ambil kepemilikan penuh atas pengeluaran anggaran dan sumber daya.
  • Pastikan kepatuhan kebijakan dan remediasi bila perlu.

• Referensikan prinsip-prinsip berikut saat Anda mengidentifikasi persyaratan untuk langganan baru:

  • Batas skala: Langganan berfungsi sebagai unit skala untuk beban kerja komponen untuk diskalakan dalam batas langganan platform. Beban kerja khusus besar seperti komputasi berkinerja tinggi, IoT, dan SAP harus menggunakan langganan terpisah untuk menghindari kehabisan batas ini.
  • Batas manajemen: Langganan menyediakan batas manajemen untuk tata kelola dan isolasi, memungkinkan pemisahan kekhawatiran yang jelas. Lingkungan yang berbeda, seperti pengembangan, pengujian, dan produksi, sering dihapus dari perspektif manajemen.
  • Batas kebijakan: Langganan berfungsi sebagai batas untuk penugasan Azure Policy. Misalnya, beban kerja aman seperti PCI biasanya memerlukan kebijakan lain untuk mencapai kepatuhan. Overhead lainnya tidak dipertimbangkan jika Anda menggunakan langganan terpisah. Lingkungan pengembangan memiliki persyaratan kebijakan yang lebih longgar daripada lingkungan produksi.
  • Topologi jaringan target: Anda tidak dapat berbagi jaringan virtual di seluruh langganan, tetapi Anda dapat menghubungkannya dengan teknologi yang berbeda seperti peering jaringan virtual atau Azure ExpressRoute. Saat memutuskan apakah Anda memerlukan langganan baru, pertimbangkan beban kerja mana yang perlu berkomunikasi satu sama lain.

• Langganan grup bersama-sama di bawah grup manajemen, yang selaras dengan struktur grup manajemen dan persyaratan kebijakan Anda. Langganan pengelompokan memastikan bahwa langganan dengan serangkaian kebijakan yang sama dan penetapan peran Azure semuanya berasal dari grup manajemen.

• Buat langganan manajemen khusus di grup manajemen Anda Platform untuk mendukung kemampuan manajemen global seperti ruang kerja Azure Monitor Log Analytics dan runbook Azure Automation.

• Buat langganan identitas khusus di grup manajemen Anda Platform untuk menghosting pengontrol domain Windows Server Active Directory jika diperlukan.

• Buat langganan konektivitas khusus di grup manajemen Anda Platform untuk menghosting hub Azure Virtual WAN, Sistem Nama Domain (DNS) privat, sirkuit ExpressRoute, dan sumber daya jaringan lainnya. Langganan khusus memastikan bahwa semua sumber daya jaringan fondasi Anda ditagih bersama dan diisolasi dari beban kerja lain.

• Hindari model berlangganan yang tidak dapat diubah. Sebagai gantinya, gunakan serangkaian kriteria fleksibel untuk mengelompokkan langganan di seluruh organisasi Anda. Fleksibilitas ini memastikan bahwa saat komposisi beban kerja dan struktur organisasi berubah, Anda dapat membuat grup langganan baru daripada menggunakan kumpulan tetap langganan yang sudah ada. Satu ukuran tidak cocok untuk semua langganan, dan apa yang berfungsi untuk satu unit bisnis mungkin tidak berfungsi untuk unit bisnis lainnya. Beberapa aplikasi mungkin dapat digunakan bersama dalam langganan zona pendaratan yang sama, sementara yang lainnya mungkin memerlukan langganan mereka sendiri.

  • Untuk informasi selengkapnya, lihat Bagaimana cara menangani zona pendaratan beban kerja "dev/test/production" di arsitektur zona pendaratan Azure?.

Rekomendasi kuota dan kapasitas

• Gunakan langganan sebagai unit skala, dan perluas skala sumber daya dan langganan sesuai kebutuhan. Beban kerja Anda kemudian dapat menggunakan sumber daya yang diperlukan untuk penskalaan tanpa mencapai batas langganan di platform Azure.

• Gunakan reservasi kapasitas untuk mengelola kapasitas di beberapa wilayah. Beban kerja Anda kemudian dapat memiliki kapasitas yang diperlukan untuk sumber daya permintaan tinggi di wilayah tertentu.

• Buat dasbor dengan tampilan kustom untuk memantau tingkat kapasitas yang digunakan, dan siapkan pemberitahuan jika kapasitas mendekati tingkat kritis (penggunaan CPU 90 persen).

• Ajukan permintaan dukungan untuk peningkatan kuota di bawah provisi langganan, seperti untuk total inti VM yang tersedia dalam langganan. Pastikan batas kuota Anda ditetapkan sebelum beban kerja Anda melebihi batas default.

• Pastikan bahwa layanan dan fitur yang diperlukan tersedia dalam wilayah penyebaran yang Anda pilih.

Rekomendasi automasi

• Buat proses Penjual Langganan untuk mengotomatiskan pembuatan Langganan untuk tim aplikasi melalui alur kerja permintaan seperti yang dijelaskan dalam Penjual langganan.

Rekomendasi pembatasan transfer penyewa

• Konfigurasikan pengaturan berikut untuk mencegah pengguna mentransfer langganan Azure ke atau dari penyewa Microsoft Entra Anda:

  • Atur Langganan yang meninggalkan direktori Microsoft Entra ke Permit no one.

  • Atur Langganan yang memasukkan direktori Microsoft Entra ke Permit no one.

• Konfigurasikan daftar terbatas pengguna yang dikecualikan.

  • Sertakan anggota dari tim Azure PlatformOps (operasi platform).
  • Sertakan akun darurat dalam daftar pengguna yang dikecualikan.

Langkah berikutnya

Mengadopsi pagar pembatas berbasis kebijakan