Overwegingen en aanbevelingen voor abonnementen

Abonnementen zijn een beheereenheid, facturering en schaal binnen Azure. Ze spelen een belangrijke rol wanneer u ontwerpt voor grootschalige azure-acceptatie. Dit artikel kan u helpen bij het vastleggen van abonnementsvereisten en het ontwerpen van doelabonnementen op basis van kritieke factoren, die zijn gebaseerd op:

• omgevingstype
• eigendoms- en governancemodel
• Organisatiestructuur
• toepassingsportfolio's

Fooi

We hebben dit onderwerp besproken in een recente YouTube-video: Azure Landing Zones - Hoeveel abonnementen moet ik gebruiken in Azure?

Notitie

Controleer de abonnementslimieten zoals beschreven in factureringsaccounts en bereiken in Azure Portal. Deze richtlijnen zijn voornamelijk gericht op klanten die gebruikmaken van Enterprise Overeenkomst s, Microsoft-klantovereenkomst s (Enterprise) of Microsoft Partner-overeenkomst s (CSP).

Overwegingen voor abonnementen

De volgende secties bevatten overwegingen voor het plannen en maken van abonnementen voor Azure.

Ontwerpoverwegingen voor organisatie en governance

• Abonnementen fungeren als grenzen voor Azure Policy-toewijzingen.

  • Voor beveiligde workloads zoals PCI-workloads (Payment Card Industry) zijn doorgaans andere beleidsregels vereist om naleving te bereiken. In plaats van een beheergroep te gebruiken om workloads te verzamelen waarvoor PCI-naleving is vereist, kunt u dezelfde isolatie bereiken met een abonnement, zonder dat er te veel beheergroepen met een paar abonnementen zijn.

    • Als u veel abonnementen van hetzelfde workload archetype wilt groeperen, maakt u deze onder een beheergroep.

• Abonnementen fungeren als een schaaleenheid, zodat werkbelastingen van onderdelen kunnen worden geschaald binnen de limieten van het platformabonnement. Zorg ervoor dat u rekening houdt met abonnementsresourcelimieten tijdens het ontwerpen van uw workloads.

• Abonnementen bieden een beheergrens voor governance en isolatie die duidelijk zorgen scheidt.

• Maak afzonderlijke platformabonnementen voor beheer (bewaking), connectiviteit en identiteit wanneer ze vereist zijn.

  • Stel een speciaal beheerabonnement in uw platformbeheergroep in om wereldwijde beheermogelijkheden te ondersteunen, zoals Azure Monitor Log Analytics-werkruimten en Azure Automation-runbooks.
    • Stel een toegewezen identiteitsabonnement in uw platformbeheergroep in om Windows Server Active Directory-domeincontrollers te hosten wanneer dat nodig is.
    • Maak een toegewezen connectiviteitsabonnement in uw platformbeheergroep om een Azure Virtual WAN-hub, een DNS (Private Domain Name System), een ExpressRoute-circuit en andere netwerkresources te hosten. Een toegewezen abonnement zorgt ervoor dat al uw basisnetwerkbronnen samen worden gefactureerd en geïsoleerd van andere workloads.
    • Gebruik abonnementen als een ge democratiseerde beheereenheid die is afgestemd op de behoeften en prioriteiten van uw bedrijf.

• Gebruik handmatige processen om Microsoft Entra-tenants te beperken tot alleen Enterprise Overeenkomst inschrijvingsabonnementen. Als u een handmatig proces gebruikt, voorkomt u dat microsoft Developer Network-abonnementen worden gemaakt in het bereik van de hoofdbeheergroep.

  • Voor ondersteuning dient u een Azure-ondersteuningsticket in.

• Zie de Azure-abonnements - en reserveringsoverdrachthub voor abonnementsoverdracht tussen Azure-factureringsaanbiedingen.

Overwegingen bij het ontwerpen van quota en capaciteit

Azure-regio's hebben mogelijk een beperkt aantal resources. Als gevolg hiervan moeten de beschikbare capaciteit en SKU's worden bijgehouden voor Azure-acceptaties met een groot aantal resources.

• Overweeg limieten en quota binnen het Azure-platform voor elke service die uw workloads nodig hebben.

• Overweeg de beschikbaarheid van vereiste SKU's binnen uw gekozen Azure-regio's. Nieuwe functies zijn bijvoorbeeld mogelijk alleen beschikbaar in bepaalde regio's. De beschikbaarheid van bepaalde SKU's voor bepaalde resources, zoals VM's, kan verschillen van de ene regio naar de andere.

• Houd er rekening mee dat abonnementsquota geen capaciteitsgaranties zijn en per regio worden toegepast.

  • Zie Capaciteitsreservering op aanvraag voor reserveringen voor virtuele machines.

• Overweeg om ongebruikte of buiten gebruik gestelde abonnementen te hergebruiken volgens de richtlijnen in Als we elke keer een nieuw Azure-abonnement maken of kunnen we, en moeten we Azure-abonnementen opnieuw gebruiken? - Veelgestelde vragen over Azure-landingszones.

Ontwerpoverwegingen voor tenantoverdrachtbeperkingen

Elk Azure-abonnement is gekoppeld aan één Microsoft Entra-tenant, die fungeert als een id-provider (IdP) voor uw Azure-abonnement. De Microsoft Entra-tenant wordt gebruikt om gebruikers, services en apparaten te verifiëren.

De Microsoft Entra-tenant die is gekoppeld aan uw Azure-abonnement, kan worden gewijzigd door elke gebruiker met de vereiste machtigingen. Dit proces wordt beschreven in de volgende artikelen:

• Een Azure-abonnement koppelen aan of toevoegen aan uw Microsoft Entra-tenant
• Een Azure-abonnement overdragen naar een andere Microsoft Entra-directory

Notitie

Overdracht naar een andere Microsoft Entra-tenant wordt niet ondersteund voor CSP-abonnementen (Azure Cloud Solution Provider).

Met Azure-landingszones kunt u vereisten instellen om te voorkomen dat gebruikers abonnementen overdragen naar de Microsoft Entra-tenant van uw organisatie. Controleer het proces in Azure-abonnementsbeleid beheren.

Configureer uw abonnementsbeleid door een lijst met uitgesloten gebruikers op te geven. Uitgesloten gebruikers mogen beperkingen omzeilen die zijn ingesteld in het beleid.

Belangrijk

Een uitgesloten gebruikerslijst is geen Azure Policy.

• Overweeg of gebruikers met Visual Studio/MSDN Azure-abonnementen hun abonnement mogen overdragen naar of van uw Microsoft Entra-tenant.

• Tenantoverdrachtsinstellingen kunnen alleen worden geconfigureerd door gebruikers met de rol Microsoft Entra Global Beheer istrator toegewezen. Deze gebruikers en moeten verhoogde toegang hebben om het beleid te wijzigen.

  • U kunt alleen afzonderlijke gebruikersaccounts opgeven als uitgesloten gebruikers, niet Microsoft Entra-groepen.

• Alle gebruikers met toegang tot Azure kunnen het beleid bekijken dat is gedefinieerd voor uw Microsoft Entra-tenant.

  • Gebruikers kunnen de lijst met uitgesloten gebruikers niet weergeven.

  • Gebruikers kunnen de globale beheerders in uw Microsoft Entra-tenant bekijken.

• Azure-abonnementen die worden overgedragen naar een Microsoft Entra-tenant, worden in de standaardbeheergroep voor die tenant geplaatst.

• Als dit is goedgekeurd door uw organisatie, kan uw toepassingsteam een proces definiëren waarmee Azure-abonnementen kunnen worden overgedragen naar of van een Microsoft Entra-tenant.

Ontwerpoverwegingen voor kostenbeheer vaststellen

Kostentransparantie is een kritieke beheeruitdaging voor elke grote onderneming. In dit gedeelte van het artikel worden de belangrijkste aspecten besproken van het bereiken van kostentransparantie in grote Azure-omgevingen.

• Terugstortingsmodellen, zoals Azure-app Service Environment en Azure Kubernetes Service, moeten mogelijk worden gedeeld om een hogere dichtheid te bereiken. PaaS-resources (Shared Platform as a Service) kunnen worden beïnvloed door chargeback-modellen.

• Gebruik een afsluitschema voor niet-productieworkloads om de kosten te optimaliseren.

• Gebruik Azure Advisor om aanbevelingen te controleren voor het optimaliseren van kosten.

• Stel een terugstortingsmodel in voor een betere verdeling van de kosten in uw organisatie.

• Implementeer beleid om te voorkomen dat resources die niet zijn geautoriseerd om te worden geïmplementeerd in de omgeving van uw organisatie.

• Stel een regelmatig schema en frequentie vast om de kosten en de juiste grootte van resources voor workloads te controleren.

Aanbevelingen voor abonnementen

De volgende secties bevatten aanbevelingen om u te helpen abonnementen voor Azure te plannen en te maken.

Aanbevelingen voor organisatie en governance

• Abonnementen behandelen als een beheereenheid die is afgestemd op uw bedrijfsbehoeften en -prioriteiten.

• Maak abonnementseigenaren op de hoogte van hun rollen en verantwoordelijkheden.

  • Voer een kwartaal- of jaarlijkse toegangsbeoordeling uit voor Microsoft Entra Privileged Identity Management om ervoor te zorgen dat bevoegdheden niet worden verspreid wanneer gebruikers zich binnen uw organisatie verplaatsen.
  • Neem het volledige eigendom van budgetuitgaven en resources.
  • Zorg voor naleving van het beleid en herstel indien nodig.

• Raadpleeg de volgende principes wanneer u vereisten voor nieuwe abonnementen identificeert:

  • Schaallimieten: Abonnementen fungeren als een schaaleenheid voor onderdeelworkloads om te schalen binnen de limieten van het platformabonnement. Grote gespecialiseerde workloads, zoals high-performance computing, IoT en SAP, moeten afzonderlijke abonnementen gebruiken om te voorkomen dat deze limieten worden uitgevoerd.
  • Beheergrens: Abonnementen bieden een beheergrens voor governance en isolatie, waardoor een duidelijke scheiding van zorgen mogelijk is. Verschillende omgevingen, zoals ontwikkeling, testen en productie, worden vaak verwijderd vanuit het beheerperspectief.
  • Beleidsgrens: Abonnementen fungeren als een grens voor de Azure Policy-toewijzingen. Voor beveiligde workloads zoals PCI is bijvoorbeeld doorgaans ander beleid vereist om naleving te bereiken. De andere overhead wordt niet overwogen als u een afzonderlijk abonnement gebruikt. Ontwikkelomgevingen hebben meer ontspannen beleidsvereisten dan productieomgevingen.
  • Doelnetwerktopologie: u kunt geen virtuele netwerken delen tussen abonnementen, maar u kunt ze verbinden met verschillende technologieën, zoals peering van virtuele netwerken of Azure ExpressRoute. Wanneer u besluit of u een nieuw abonnement nodig hebt, moet u overwegen welke workloads met elkaar moeten communiceren.

• Groepeer abonnementen samen onder beheergroepen, die zijn afgestemd op uw beheergroepstructuur en beleidsvereisten. Het groeperen van abonnementen zorgt ervoor dat abonnementen met dezelfde set beleidsregels en Azure-roltoewijzingen allemaal afkomstig zijn van een beheergroep.

• Stel een speciaal beheerabonnement in uw Platform beheergroep in om globale beheermogelijkheden te ondersteunen, zoals Azure Monitor Log Analytics-werkruimten en Azure Automation-runbooks.

• Stel zo nodig een toegewezen identiteitsabonnement in uw Platform beheergroep in om Windows Server Active Directory-domeincontrollers te hosten.

• Maak een toegewezen connectiviteitsabonnement in uw Platform beheergroep voor het hosten van een Azure Virtual WAN-hub, een DNS (Private Domain Name System), een ExpressRoute-circuit en andere netwerkresources. Een toegewezen abonnement zorgt ervoor dat al uw basisnetwerkbronnen samen worden gefactureerd en geïsoleerd van andere workloads.

• Vermijd een star abonnementsmodel. Gebruik in plaats daarvan een set flexibele criteria om abonnementen in uw organisatie te groeperen. Deze flexibiliteit zorgt ervoor dat wanneer de structuur en workloadsamenstelling van uw organisatie verandert, u nieuwe abonnementsgroepen kunt maken in plaats van een vaste set bestaande abonnementen te gebruiken. De ene grootte past niet op alle abonnementen en wat voor één bedrijfseenheid werkt, werkt mogelijk niet voor een andere. Sommige toepassingen kunnen naast elkaar bestaan binnen hetzelfde landingszoneabonnement, terwijl andere mogelijk hun eigen abonnement vereisen.

  • Zie Hoe kunnen we landingszones voor workloads ontwikkelen/testen/productie verwerken in de Architectuur van de Azure-landingszone voor meer informatie.

Aanbevelingen voor quota en capaciteit

• Gebruik abonnementen als schaaleenheden en schaal resources en abonnementen zo nodig uit. Uw workload kan vervolgens de vereiste resources gebruiken om uit te schalen zonder abonnementslimieten in het Azure-platform te bereiken.

• Gebruik capaciteitsreserveringen om capaciteit in sommige regio's te beheren. Uw workload kan vervolgens de vereiste capaciteit hebben voor resources met een hoge vraag in een specifieke regio.

• Stel een dashboard met aangepaste weergaven in om gebruikte capaciteitsniveaus te bewaken en stel waarschuwingen in als de capaciteit kritieke niveaus nadert (cpu-gebruik van 90 procent).

• Verhoog ondersteuningsaanvragen voor quotumverhogingen onder abonnementsinrichting, zoals voor het totale aantal beschikbare VM-kernen binnen een abonnement. Zorg ervoor dat uw quotumlimieten zijn ingesteld voordat uw workloads de standaardlimieten overschrijden.

• Zorg ervoor dat alle vereiste services en functies beschikbaar zijn binnen de gekozen implementatieregio's.

Automatiseringsaan aanbevelingen

• Bouw een verkoopproces voor abonnementen om het maken van abonnementen voor toepassingsteams te automatiseren via een aanvraagwerkstroom, zoals wordt beschreven in abonnementsverkoop.

Aanbevelingen voor beperkingen voor tenantoverdracht

• Configureer de volgende instellingen om te voorkomen dat gebruikers Azure-abonnementen overdragen naar of van uw Microsoft Entra-tenant:

  • Stel Abonnement in waarin u de Microsoft Entra-map verlaat op Permit no one.

  • Stel abonnement in dat u de Microsoft Entra-map invoert op Permit no one.

• Configureer een beperkte lijst met uitgesloten gebruikers.

  • Neem leden op van een Azure PlatformOps-team (platformbewerkingen).
  • Neem break-glass-accounts op in de lijst met uitgesloten gebruikers.

Volgende stappen

Beleidgestuurde kaders aannemen