Considerazioni e raccomandazioni sulle sottoscrizioni

Le sottoscrizioni sono un'unità di gestione, fatturazione e scalabilità in Azure. Svolgono un ruolo fondamentale durante la progettazione per l'adozione di Azure su larga scala. Questo articolo consente di acquisire i requisiti della sottoscrizione e progettare le sottoscrizioni di destinazione in base a fattori critici, basati su:

• tipo di ambiente
• Modello di proprietà e governance
• Struttura organizzativa
• Portfolio di applicazioni

Suggerimento

Questo argomento è stato illustrato in un recente video di YouTube: Zone di destinazione di Azure - Quante sottoscrizioni è consigliabile usare in Azure?

Nota

È consigliabile esaminare i limiti della sottoscrizione, come documentato in Account di fatturazione e ambiti nel portale di Azure. Queste indicazioni sono destinate principalmente ai clienti con Contratti Enterprise, Contratti del cliente Microsoft (Enterprise) o contratti Microsoft Partner (CSP).

Considerazioni sulle sottoscrizioni

Le sezioni seguenti contengono considerazioni utili per pianificare e creare sottoscrizioni per Azure.

Considerazioni sulla progettazione dell'organizzazione e della governance

• Le sottoscrizioni vengono usate come limiti per le assegnazioni di Criteri di Azure.

  • Ad esempio, i carichi di lavoro protetti, come quelli conformi allo standard PCI (Payment Card Industry), richiedono in genere altri criteri per ottenere la conformità. Invece di usare un gruppo di gestione per raccogliere i carichi di lavoro che richiedono la conformità a PCI, è possibile ottenere lo stesso isolamento con una sottoscrizione, senza la necessità di avere troppi gruppi di gestione con poche sottoscrizioni.

    • Se è necessario raggruppare più sottoscrizioni dello stesso archetipo di carico di lavoro, crearle in un gruppo di gestione.

• Le sottoscrizioni fungono da unità di scala in modo che i carichi di lavoro dei componenti possano essere ridimensionati entro i limiti delle sottoscrizioni della piattaforma. Assicurarsi di considerare i limiti delle risorse della sottoscrizione durante la progettazione dei carichi di lavoro.

• Le sottoscrizioni specificano un limite di gestione per governance e isolamento, che consente una netta separazione delle problematiche.

• Creare sottoscrizioni di piattaforma separate per la gestione (monitoraggio), la connettività e l'identità quando sono necessarie.

  • Stabilire una sottoscrizione di gestione dedicata nel gruppo di gestione della piattaforma per il supporto di funzionalità di gestione globali, come le aree di lavoro Log Analytics di Monitoraggio di Azure e i runbook di Automazione di Azure.
    • Stabilire una sottoscrizione di identità dedicata nel gruppo di gestione della piattaforma per ospitare i controller di dominio di Windows Server Active Directory, se necessario.
    • Stabilire una sottoscrizione di connettività dedicata nel gruppo di gestione della piattaforma per ospitare un hub della rete WAN virtuale di Azure, un DNS (Domain Name System) privato, un circuito ExpressRoute e altre risorse di rete. Una sottoscrizione dedicata garantisce che tutte le risorse di rete di base siano fatturate insieme e isolate da altri carichi di lavoro.
    • Usare le sottoscrizioni come un'unità di gestione democratizzata che soddisfa le esigenze e le priorità aziendali.

• Usare processi manuali per limitare i tenant di Microsoft Entra solo alle sottoscrizioni di registrazione Contratto Enterprise. L'uso di un processo manuale impedisce la creazione di sottoscrizioni di Microsoft Developer Network nell'ambito del gruppo di gestione radice.

  • Per il supporto, inviare un ticket di supporto tecnico di Azure.

• Vedere la sottoscrizione di Azure e l'hub di trasferimento delle prenotazioni per i trasferimenti di sottoscrizioni tra le offerte di fatturazione di Azure.

Considerazioni sulla progettazione di quote e capacità

Le aree di Azure possono avere un numero limitato di risorse. Di conseguenza, la capacità disponibile e gli SKU devono essere monitorati per le adozione di Azure che coinvolgono un numero elevato di risorse.

• Prendere in considerazione limiti e quote all'interno della piattaforma Azure per ogni servizio richiesto dai carichi di lavoro.

• Considerare la disponibilità degli SKU richiesti nelle aree di Azure selezionate. Le nuove funzionalità, ad esempio, potrebbero essere disponibili solo in determinate aree geografiche. La disponibilità di alcuni SKU per determinate risorse, ad esempio le macchine virtuali, potrebbe essere diversa da un'area all'altra.

• Si consideri che le quote di sottoscrizione non sono garanzie di capacità e vengono applicate in base all'area.

  • Per le prenotazioni di capacità delle macchine virtuali, vedere Prenotazione della capacità su richiesta.

• Considerare di riutilizzare le sottoscrizioni inutilizzate o rimosse in base alle indicazioni riportate in È consigliabile creare una nuova sottoscrizione di Azure ogni volta o è possibile, e consigliabile, riutilizzarle? - Domande frequenti sulle zone di destinazione di Azure.

Considerazioni sulla progettazione di restrizioni per il trasferimento di tenant

Ogni sottoscrizione di Azure è collegata a un singolo tenant di Microsoft Entra, che funge da provider di identità (IdP) per la sottoscrizione di Azure. Il tenant di Microsoft Entra viene usato per autenticare utenti, servizi e dispositivi.

Il tenant di Microsoft Entra collegato alla sottoscrizione di Azure può essere modificato da qualsiasi utente con le autorizzazioni necessarie. Questo processo è descritto nel dettaglio negli articoli seguenti:

• Associare o aggiungere una sottoscrizione di Azure al tenant di Microsoft Entra
• Trasferire una sottoscrizione di Azure in un'altra directory di Microsoft Entra

Nota

Il trasferimento in un altro tenant di Microsoft Entra non è supportato per le sottoscrizioni di Azure Cloud Solution Provider (CSP).

Con le zone di destinazione di Azure, è possibile impostare i requisiti per impedire agli utenti di trasferire le sottoscrizioni al tenant di Microsoft Entra dell'organizzazione. Esaminare il processo in Gestire i criteri di sottoscrizione di Azure.

Configurare i criteri di sottoscrizione fornendo un elenco di utenti esentati. Gli utenti esentati possono ignorare le restrizioni impostate nei criteri.

Importante

Un elenco di utenti esentati non è un Criteri di Azure.

• Valutare se gli utenti con sottoscrizioni di Visual Studio/MSDN di Azure devono essere autorizzati a trasferire la propria sottoscrizione da o verso il tenant di Microsoft Entra.

• Le impostazioni di trasferimento del tenant sono configurabili solo dagli utenti con il ruolo Microsoft Entra Global Amministrazione istrator assegnato. Questi utenti e devono avere accesso con privilegi elevati per modificare i criteri.

  • È possibile specificare solo singoli account utente come utenti esentati, non come gruppi di Microsoft Entra.

• Tutti gli utenti con accesso ad Azure possono visualizzare i criteri definiti per il tenant di Microsoft Entra.

  • Gli utenti non possono visualizzare l'elenco degli utenti esentati.

  • Gli utenti possono visualizzare gli amministratori globali all'interno del tenant di Microsoft Entra.

• Le sottoscrizioni di Azure trasferite in un tenant di Microsoft Entra vengono inserite nel gruppo di gestione predefinito per tale tenant.

• Se approvato dall'organizzazione, il team dell'applicazione può definire un processo per consentire il trasferimento delle sottoscrizioni di Azure da o verso un tenant di Microsoft Entra.

Stabilire considerazioni sulla progettazione della gestione dei costi

La trasparenza dei costi è un problema di gestione critico per ogni organizzazione di grandi dimensioni. Questa sezione dell'articolo illustra gli aspetti principali del raggiungimento della trasparenza dei costi in ambienti di Azure di grandi dimensioni.

• Per i modelli di chargeback, ad esempio l'ambiente del servizio app di Azure e il servizio Azure Kubernetes, potrebbe essere necessaria una condivisione per ottenere una maggiore densità. Le risorse PaaS (piattaforma distribuita come servizio) condivise potrebbero essere interessate dai modelli di chargeback.

• Usare una pianificazione di arresto per i carichi di lavoro non di produzione per ottimizzare i costi.

• Usare Azure Advisor per controllare le raccomandazioni per l'ottimizzazione dei costi.

• Stabilire un modello di chargeback per una migliore distribuzione dei costi nell'organizzazione.

• Implementare i criteri per impedire la distribuzione delle risorse non autorizzate nell'ambiente dell'organizzazione.

• Stabilire una pianificazione e cadenze regolari per esaminare i costi e dimensionare correttamente le risorse per i carichi di lavoro.

Consigli per le sottoscrizioni

Le sezioni seguenti contengono raccomandazioni che consentono di pianificare e creare sottoscrizioni per Azure.

Raccomandazioni per l'organizzazione e la governance

• Considerare le sottoscrizioni come un'unità di gestione allineata alle esigenze e alle priorità dell'azienda.

• Consapevolizzare i proprietari delle sottoscrizioni dei loro ruoli e responsabilità.

  • Eseguire una verifica di accesso trimestrale o annuale per Microsoft Entra Privileged Identity Management per assicurarsi che i privilegi non vengano moltiplicati man mano che gli utenti si spostano all'interno dell'organizzazione.
  • Assumere la proprietà completa della spesa e delle risorse del budget.
  • Garantire la conformità dei criteri e, se necessario, apportare le correzioni necessarie.

• Per identificare i requisiti delle nuove sottoscrizioni, fare riferimento ai principi seguenti:

  • Limiti di dimensionamento: le sottoscrizioni vengono usate come unità di dimensionamento in modo che i carichi di lavoro dei componenti siano dimensionati nei limiti della sottoscrizione della piattaforma. Carichi di lavoro specializzati di grandi dimensioni, ad esempio high-performance computing, IoT e SAP devono usare sottoscrizioni separate per evitare l'esecuzione di questi limiti.
  • Limite di gestione: le sottoscrizioni prevedono un limite di gestione per governance e isolamento, che consente una netta separazione delle problematiche. Ambienti diversi, ad esempio sviluppo, test e produzione, vengono spesso rimossi dal punto di vista della gestione.
  • Limite dei criteri: le sottoscrizioni vengono usate come limite per le assegnazioni di Criteri di Azure. Ad esempio, i carichi di lavoro protetti, come quelli conformi allo standard PCI, richiedono in genere altri criteri per ottenere la conformità. L'altro sovraccarico non viene considerato se si usa una sottoscrizione separata. In termini di criteri, gli ambienti di sviluppo hanno requisiti meno severi rispetto agli ambienti di produzione.
  • Topologia di rete di destinazione: non è possibile condividere reti virtuali tra sottoscrizioni, ma è possibile connetterle con tecnologie diverse, ad esempio il peering di rete virtuale o Azure ExpressRoute. Per decidere se è necessaria una nuova sottoscrizione, considerare quali carichi di lavoro devono comunicare tra loro.

• Raggruppare le sottoscrizioni in gruppi di gestione che siano allineati alla struttura del gruppo di gestione e ai requisiti dei criteri. Il raggruppamento garantisce che le sottoscrizioni con lo stesso set di criteri e le stesse assegnazioni di ruoli di Azure provengano da un gruppo di gestione.

• Stabilire una sottoscrizione di gestione dedicata nel Platform gruppo di gestione per supportare funzionalità di gestione globali come le aree di lavoro Log Analytics di Monitoraggio di Azure e i runbook Automazione di Azure.

• Stabilire una sottoscrizione di identità dedicata nel Platform gruppo di gestione per ospitare i controller di dominio di Active Directory di Windows Server quando necessario.

• Stabilire una sottoscrizione di connettività dedicata nel Platform gruppo di gestione per ospitare un hub di Azure rete WAN virtuale, DNS (Domain Name System), un circuito ExpressRoute e altre risorse di rete. Una sottoscrizione dedicata garantisce che tutte le risorse di rete di base siano fatturate insieme e isolate da altri carichi di lavoro.

• Evitare un modello di sottoscrizione rigida. Scegliere invece un set di criteri flessibili per raggruppare le sottoscrizioni all'interno dell'organizzazione. La flessibilità garantisce che, quando la struttura dell'organizzazione e la composizione del carico di lavoro cambiano, è possibile creare nuovi gruppi di sottoscrizione invece di usare un set fisso di sottoscrizioni esistenti. Non è detto che lo stesso modello vada bene per tutte le sottoscrizioni e quello che funziona per una business unit potrebbe non funzionare per un'altra. Alcune applicazioni potrebbero coesistere all'interno della stessa sottoscrizione della zona di destinazione, mentre altre potrebbero richiedere una sottoscrizione propria.

  • Per altre informazioni, vedere Come si gestiscono le zone di destinazione del carico di lavoro "sviluppo/test/produzione" nell'architettura della zona di destinazione di Azure?.

Raccomandazioni sulle quote e sulla capacità

• Usare le sottoscrizioni come unità di scala e aumentare le risorse e le sottoscrizioni in base alle esigenze. Il carico di lavoro può quindi usare le risorse necessarie per tale aumento, senza raggiungere i limiti della sottoscrizione nella piattaforma di Azure.

• Usare le prenotazioni di capacità per gestire la capacità in alcune aree. Il carico di lavoro può quindi avere la capacità necessaria per le risorse a domanda elevata in un'area specifica.

• Stabilire un dashboard con visualizzazioni personalizzate per monitorare i livelli di capacità utilizzata e configurare avvisi se la capacità raggiunge i livelli critici (utilizzo della CPU del 90%).

• Generare richieste di supporto per gli aumenti di quota nel provisioning della sottoscrizione, ad esempio il totale di core delle VM disponibili in una sottoscrizione. Assicurarsi che i limiti di quota siano impostati prima che i carichi di lavoro superino i limiti predefiniti.

• Assicurarsi che i servizi e le funzionalità necessari siano disponibili all'interno delle aree di distribuzione scelte.

Raccomandazioni sull'automazione

• Creare un processo di vendita di sottoscrizioni per automatizzare la creazione di sottoscrizioni per i team dell'applicazione tramite un flusso di lavoro di richiesta, come descritto in Distribuzione delle sottoscrizioni.

Raccomandazioni sulle restrizioni per il trasferimento di tenant

• Configurare le impostazioni seguenti per impedire agli utenti di trasferire sottoscrizioni di Azure da o verso il tenant di Microsoft Entra:

  • Impostare Sottoscrizione lasciando la directory Microsoft Entra su Permit no one.

  • Impostare Sottoscrizione immettendo la directory Microsoft Entra su Permit no one.

• Configurare un elenco limitato di utenti esentati.

  • Includere i membri di un team PlatformOps (operazioni della piattaforma) di Azure.
  • Includere account di emergenza nell'elenco degli utenti esentati.

Passaggi successivi

Adottare protezioni guidate da criteri