Condividi tramite

Creare e ridimensionare sottoscrizioni di Azure

Questo articolo consente di creare le sottoscrizioni nel modo giusto dal primo giorno. Le sottoscrizioni sono la base per organizzare, proteggere e gestire le risorse cloud. Una configurazione ponderata consente ora di risparmiare tempo, denaro e impegno man mano che l'azienda cresce.

Iniziare con i criteri di sottoscrizione

Prima di creare la prima sottoscrizione, è importante definire il modo appropriato per distribuirle e gestirle. Le sottoscrizioni consentono di gestire l'accesso, i costi e la sicurezza, quindi avere un piano iniziale consente di ridimensionare in un secondo momento. Ecco come iniziare:

  1. Usare i gruppi di gestione per gestire le sottoscrizioni. I gruppi di gestione consentono l'ereditarietà gerarchica dei criteri e dell'organizzazione, semplificando la governance su larga scala. Raggruppare le sottoscrizioni correlate e applicare le politiche di governance usando Azure Policy. Per scenari avanzati, vedere Gruppi di gestione delle zone di destinazione di Azure.

  2. Stabilire processi di creazione e gestione delle sottoscrizioni. Definire processi chiari per chi può richiedere nuove sottoscrizioni, approvarle e come configurarle (criteri, accesso, budget). I processi standardizzati assicurano che tutte le sottoscrizioni soddisfino i requisiti di governance fornendo audit trail e responsabilità per le attività di gestione delle sottoscrizioni.

  3. Usare le sottoscrizioni per separare i carichi di lavoro. Evitare di inserire più ambienti del carico di lavoro nella stessa sottoscrizione. Creare sottoscrizioni separate per ambienti di produzione, non produzione e sandbox. Ogni ambiente richiede criteri di governance e controlli di accesso distinti. Questa separazione protegge i carichi di lavoro di produzione, supporta l'innovazione e semplifica il rilevamento dei costi, il controllo di accesso e l'applicazione dei criteri. Per ulteriori informazioni, vedere Ambienti applicativi della landing zone di Azure.

Creare le sottoscrizioni iniziali

Con i criteri applicati, è possibile creare le prime sottoscrizioni. Seguire almeno queste indicazioni:

  1. Iniziare con tre sottoscrizioni di base per stabilire limiti appropriati. Creare una sottoscrizione di produzione per carichi di lavoro live, una sottoscrizione non di produzione per lo sviluppo e il test e una sottoscrizione sandbox per la sperimentazione e l'apprendimento. Questa struttura garantisce una separazione essenziale mantenendo il sovraccarico di gestione ridotto e i costi prevedibili.

  2. Usare i prezzi di Sviluppo/test di Azure per ottimizzare i costi in ambienti non di produzione.Le offerte di sviluppo/test di Azure offrono risparmi significativi sui costi per attività di sviluppo, test e training. Questi vantaggi dei prezzi aiutano le piccole organizzazioni a massimizzare gli investimenti nel cloud mantenendo al tempo contempo procedure appropriate per la separazione e la governance dell'ambiente.

  3. Creare sottoscrizioni tramite il portale di Azure. Passare a "Sottoscrizioni" nel portale di Azure e selezionare "Aggiungi". Specificare un nome descrittivo che indichi chiaramente sia il carico di lavoro che l'ambiente. Selezionare l'account di fatturazione e il piano appropriati. Scegliere la directory di sottoscrizione e il gruppo di gestione corretti. Designare un proprietario della sottoscrizione e configurare un budget per gli avvisi di spesa. Applicare tag standardizzati per garantire la coerenza. Per indicazioni dettagliate, vedere Creare una sottoscrizione mca o creare una sottoscrizione EA. Man mano che l'organizzazione matura, prendere in considerazione la creazione di sottoscrizioni programmaticamente per garantire coerenza e ridurre il lavoro manuale.

Gestire le sottoscrizioni

Una governance efficace delle sottoscrizioni garantisce che le risorse cloud rimangano sicure, conformi e convenienti per tutto il ciclo di vita. È necessario decidere l'aspetto di tutte le sottoscrizioni standard, inclusi i controlli di accesso in base al ruolo di Azure, i criteri, i tag e le risorse. Ecco come fare:

  1. Controllare le distribuzioni delle risorse per impostazione predefinita. Usare Azure Policy a livello di gruppo di gestione per applicare i criteri di governance. Iniziare con le definizioni generali in Criteri di Azure, che, ad esempio, consentono di bloccare risorse, posizioni ed eliminazioni. Per altri esempi, vedere Applicazione automatica dei criteri.

  2. Applicare i controlli di accesso in base al ruolo di Azure. Il controllo degli accessi in base al ruolo consente ai team del carico di lavoro di gestire le risorse in modo efficace mantenendo i limiti di sicurezza. Assegnare i controlli di accesso basati sui ruoli di Azure al momento della creazione delle sottoscrizioni, che forniscono ai team del carico di lavoro le autorizzazioni minime indispensabili per svolgere le proprie responsabilità. Consentire ai team responsabili dei carichi di lavoro di concedere l'accesso ai gruppi di risorse e alle risorse. Per altre informazioni, vedere Controlli di accesso alla zona di destinazione di Azure.

  3. Applicare budget e avvisi di costo a ogni sottoscrizione. Gli strumenti di Gestione costi Microsoft forniscono la governance finanziaria e impediscono spese impreviste. Impostare soglie di budget appropriate con avvisi automatizzati a intervalli definiti per inviare una notifica prima che i costi superino i limiti. Questi controlli aiutano i team a gestire la spesa nel cloud in modo responsabile fornendo visibilità agli stakeholder finanziari.

  4. Stabilire gli standard di assegnazione di tag alle risorse per la governance e l'allocazione dei costi. L'assegnazione di tag coerente consente il rilevamento e la creazione di report accurati nell'ambiente. Definire i tag obbligatori per la proprietà, il centro di costo, l'ambiente e l'applicazione per supportare i processi di rendicontazione di governance e chargeback. Questa standardizzazione migliora la visibilità e la responsabilità per tutte le risorse nelle sottoscrizioni. Per altre informazioni, vedere Definire la strategia di assegnazione di tag.

Ridimensionare le sottoscrizioni

Man mano che l'ambiente cloud cresce, la strategia di sottoscrizione deve evolversi. Definire modelli scalabili che supportano la crescita senza compromettere la governance. Ecco come fare:

  1. Usare modelli con configurazioni predefinite. Usare l'infrastruttura come codice per garantire coerenza e conformità includendo criteri, assegnazioni di ruolo, tag e risorse di base personalizzate per ogni tipo di sottoscrizione. Per gli esempi, vedere Modelli Bicep della zona di atterraggio di Azure.

  2. Automatizzare il provisioning e la gestione delle sottoscrizioni. Gli strumenti di automazione eliminano gli errori manuali e garantiscono la conformità su larga scala. Questi strumenti semplificano la creazione, la configurazione e la governance delle sottoscrizioni, accelerando al contempo la risposta alle esigenze aziendali. Per altre informazioni, vedere distribuzione automatica delle sottoscrizioni.

  3. Monitorare in modo proattivo le quote e i limiti delle sottoscrizioni. Il monitoraggio regolare impedisce interruzioni impreviste del servizio. Tenere traccia dell'utilizzo delle risorse rispetto ai limiti della sottoscrizione di Azure per identificare quando sono necessarie più sottoscrizioni prima di raggiungere soglie critiche. Per informazioni dettagliate, vedere Limiti e quote delle sottoscrizioni di Azure.

  4. Ottimizzare i costi di rete tra diverse sottoscrizioni nella vostra architettura. La progettazione efficiente della rete bilancia l'isolamento con la gestione dei costi. Ridurre al minimo i trasferimenti di dati non necessari tra sottoscrizioni mantenendo l'isolamento del carico di lavoro e l'accesso al servizio condiviso. Questo approccio garantisce un'efficienza dei costi senza compromettere i requisiti operativi.

  5. Pianificare l'isolamento delle risorse del modello di distribuzione classica. Le risorse legacy create con il modello di distribuzione classica non possono usare criteri di Azure, controllo degli accessi in base al ruolo, raggruppamento di risorse o tag. Spostare queste risorse in sottoscrizioni dedicate per evitare complicazioni di gestione e consentire una corretta governance delle risorse moderne. Per altre informazioni, vedere Spostare le risorse di Azure in un altro gruppo di risorse o in un'altra sottoscrizione.

  6. Consentire ai bisogni aziendali di guidare la creazione delle sottoscrizioni. La strategia di sottoscrizione di Azure deve evolversi in base alle priorità dell'organizzazione. Man mano che l'azienda cresce, esigenze specifiche, ad esempio innovazione, migrazione, controllo dei costi, operazioni, sicurezza e governance, potrebbe giustificare la creazione di più sottoscrizioni.

  7. Decidere come spostare le risorse tra sottoscrizioni. Man mano che il modello di sottoscrizione aumenta, è possibile decidere che alcune risorse appartengono ad altre sottoscrizioni. È possibile spostare molti tipi di risorse tra sottoscrizioni. È anche possibile usare distribuzioni automatiche per ricreare le risorse in un'altra sottoscrizione. Per altre informazioni, vedere Spostare le risorse di Azure in un altro gruppo di risorse o in un'altra sottoscrizione.

Monitorare le sottoscrizioni

Il monitoraggio e l'ottimizzazione continui garantiscono che la progettazione della sottoscrizione soddisfi le esigenze aziendali. Le revisioni regolari consentono di identificare i miglioramenti e impedire l'escalation dei problemi. Ecco come fare:

  1. Eseguire verifiche di accesso regolari. Esaminare trimestralmente o annualmente l'accesso all'abbonamento per garantire l'allineamento alle esigenze aziendali. Usare Microsoft Entra Privileged Identity Management (PIM) per gestire e controllare l'accesso con privilegi.

  2. Pianificare la gestione del ciclo di vita della sottoscrizione. Definire i processi per rimuovere le sottoscrizioni inutilizzate, trasferire le risorse e mantenere la conformità. Una gestione efficace del ciclo di vita impedisce l'espansione incontrollata e mantiene l'ambiente organizzato e con costi contenuti.

Passaggi successivi

Linee guida per la sottoscrizione della zona di destinazione di Azure