Udostępnij za pośrednictwem


Zagadnienia i zalecenia dotyczące subskrypcji

Subskrypcje to jednostka zarządzania, rozliczeń i skalowania w obrębie platformy Azure. Odgrywają one kluczową rolę podczas projektowania na potrzeby wdrażania platformy Azure na dużą skalę. Ten artykuł ułatwia przechwytywanie wymagań dotyczących subskrypcji i projektowanie subskrypcji docelowych na podstawie krytycznych czynników, które różnią się w zależności od:

  • Typy środowisk
  • Modele własności i ładu
  • Struktury organizacyjne
  • Portfolio aplikacji
  • Regiony

Napiwek

Aby uzyskać więcej informacji na temat subskrypcji, zobacz film wideo YouTube: Strefy docelowe platformy Azure — ile subskrypcji należy używać na platformie Azure?

Uwaga

Jeśli używasz Umowa Enterprise, Umowa z Klientem Microsoft s (Enterprise) lub Umów partnerskich firmy Microsoft (CSP), przejrzyj limity subskrypcji na kontach rozliczeniowych i zakresach w witrynie Azure Portal.

Zagadnienia dotyczące subskrypcji

Poniższe sekcje zawierają zagadnienia ułatwiające planowanie i tworzenie subskrypcji dla platformy Azure.

Zagadnienia dotyczące projektowania organizacji i ładu

  • Subskrypcje służą jako granice przypisań usługi Azure Policy.

    Na przykład bezpieczne obciążenia, takie jak Payment Card Industry (PCI), zwykle wymagają innych zasad w celu zapewnienia zgodności. Zamiast używać grupy zarządzania do sortowania obciążeń wymagających zgodności PCI, można osiągnąć tę samą izolację z subskrypcją, bez konieczności posiadania zbyt wielu grup zarządzania z kilkoma subskrypcjami.

    Jeśli musisz zgrupować wiele subskrypcji tego samego archetypu obciążenia, utwórz je w grupie zarządzania.

  • Subskrypcje służą jako jednostka skalowania, dzięki czemu obciążenia składników mogą być skalowane w ramach limitów subskrypcji platformy. Podczas projektowania obciążeń należy wziąć pod uwagę limity zasobów subskrypcji.

  • Subskrypcje zapewniają granicę zarządzania dla ładu i izolacji, które wyraźnie oddzielają kwestie.

  • Utwórz oddzielne subskrypcje platformy do zarządzania (monitorowania), łączności i tożsamości, gdy są one wymagane.

    • Ustanów dedykowaną subskrypcję zarządzania w grupie zarządzania platformą, aby obsługiwać globalne funkcje zarządzania, takie jak obszary robocze dzienników usługi Azure Monitor i elementy Runbook usługi Azure Automation.

    • Ustanów dedykowaną subskrypcję tożsamości w grupie zarządzania platformy do hostowania kontrolerów domeny usługi Active Directory systemu Windows Server w razie potrzeby.

    • Ustanów dedykowaną subskrypcję łączności w grupie zarządzania platformą w celu hostowania centrum Usługi Azure Virtual WAN, prywatnego systemu nazw domen (DNS), obwodu usługi Azure ExpressRoute i innych zasobów sieciowych. Dedykowana subskrypcja zapewnia, że wszystkie podstawowe zasoby sieciowe są rozliczane razem i odizolowane od innych obciążeń.

    • Użyj subskrypcji jako zdemokratyzowanej jednostki zarządzania, która jest zgodna z potrzebami i priorytetami biznesowymi.

  • Użyj procesów ręcznych, aby ograniczyć dzierżawy firmy Microsoft tylko do Umowa Enterprise subskrypcji rejestracji. W przypadku korzystania z procesu ręcznego nie można tworzyć subskrypcji usługi Microsoft Developer Network (MSDN) w zakresie głównej grupy zarządzania.

    Aby uzyskać pomoc techniczną, prześlij bilet pomoc techniczna platformy Azure.

    Aby uzyskać informacje o transferach subskrypcji między ofertami rozliczeniowymi platformy Azure, zobacz Subskrypcja platformy Azure i centrum transferu rezerwacji.

Zagadnienia dotyczące wielu regionów

Ważne

Subskrypcje nie są powiązane z określonym regionem i można je traktować jako subskrypcje globalne. Są to konstrukcje logiczne zapewniające mechanizmy kontroli rozliczeń, ładu, zabezpieczeń i tożsamości dla zawartych w nich zasobów platformy Azure. W związku z tym nie potrzebujesz oddzielnej subskrypcji dla każdego regionu.

  • Podejście wieloregionowe można wdrożyć na poziomie pojedynczego obciążenia na potrzeby skalowania lub odzyskiwania po awarii geograficznej lub na poziomie globalnym (różne obciążenia w różnych regionach).

  • Pojedyncza subskrypcja może zawierać zasoby z różnych regionów, w zależności od wymagań i architektury.

  • W kontekście odzyskiwania po awarii geograficznej możesz użyć tej samej subskrypcji, aby zawierać zasoby z regionów podstawowych i pomocniczych, ponieważ są one logicznie częścią tego samego obciążenia.

  • Możesz wdrożyć różne środowiska dla tego samego obciążenia w różnych regionach, aby zoptymalizować koszty i dostępność zasobów.

  • W ramach subskrypcji zawierającej zasoby z wielu regionów można użyć grup zasobów do organizowania i przechowywania zasobów według regionów.

Zagadnienia dotyczące projektowania przydziału i pojemności

Regiony platformy Azure mogą mieć ograniczoną liczbę zasobów. W związku z tym należy śledzić dostępną pojemność i jednostki SKU dla wdrożenia platformy Azure z kilkoma zasobami.

  • Rozważ limity i limity przydziału w ramach platformy Azure dla każdej wymaganej usługi.

  • Rozważ dostępność wymaganych jednostek SKU w wybranych regionach świadczenia usługi Azure. Na przykład nowe funkcje mogą być dostępne tylko w określonych regionach. Dostępność niektórych jednostek SKU dla określonych zasobów, takich jak maszyny wirtualne, może się różnić w zależności od regionu do drugiego.

  • Należy wziąć pod uwagę, że limity przydziału subskrypcji nie są gwarancjami pojemności i są stosowane dla poszczególnych regionów.

    Aby uzyskać informacje o rezerwacjach pojemności maszyn wirtualnych, zobacz Rezerwacje pojemności na żądanie.

  • Rozważ ponowne użycie nieużywanych lub zlikwidowanych subskrypcji. Aby uzyskać więcej informacji, zobacz Tworzenie lub ponowne używanie subskrypcji platformy Azure.

Zagadnienia dotyczące projektowania ograniczeń transferu dzierżawy

Każda subskrypcja platformy Azure jest połączona z jedną dzierżawą firmy Microsoft Entra, która działa jako dostawca tożsamości dla subskrypcji platformy Azure. Użyj dzierżawy firmy Microsoft Entra do uwierzytelniania użytkowników, usług i urządzeń.

Jeśli dowolny użytkownik ma wymagane uprawnienia, może zmienić dzierżawę firmy Microsoft Entra połączoną z subskrypcją platformy Azure. Aby uzyskać więcej informacji, zobacz:

Uwaga

Nie można przenieść do innej dzierżawy usługi Microsoft Entra dla subskrypcji usługi Azure Dostawca rozwiązań w chmurze (CSP).

W przypadku stref docelowych platformy Azure można ustawić wymagania, aby uniemożliwić użytkownikom przenoszenie subskrypcji do dzierżawy firmy Microsoft Entra w organizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami subskrypcji platformy Azure.

Skonfiguruj zasady subskrypcji, podając listę wykluczonych użytkowników. Wykluczony użytkownicy mogą pomijać ograniczenia ustawione w zasadach.

Ważne

Lista wykluczonych użytkowników nie jest usługą Azure Policy.

Ważne

Firma Microsoft zaleca używanie ról z najmniejszymi uprawnieniami. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

  • Wszyscy użytkownicy z dostępem do platformy Azure mogą wyświetlać zasady zdefiniowane dla dzierżawy firmy Microsoft Entra.

    • Użytkownicy nie mogą wyświetlać listy wykluczonych użytkowników .

    • Użytkownicy mogą wyświetlać administratorów globalnych w dzierżawie firmy Microsoft Entra.

  • Subskrypcje platformy Azure przenoszone do dzierżawy usługi Microsoft Entra są umieszczane w domyślnej grupie zarządzania dla tej dzierżawy.

  • Jeśli Twoja organizacja zatwierdzi, zespół aplikacji może zdefiniować proces zezwalania na przenoszenie subskrypcji platformy Azure do lub z dzierżawy firmy Microsoft Entra.

Zagadnienia dotyczące projektowania usługi Cost Management

Każda duża organizacja przedsiębiorstwa ma wyzwanie dotyczące zarządzania przejrzystością kosztów. W tej sekcji omówiono kluczowe aspekty w celu uzyskania przejrzystości kosztów w dużych środowiskach platformy Azure.

  • Aby osiągnąć większą gęstość, może być konieczne współużytkowanie modeli obciążenia zwrotnego, takich jak środowisko App Service i usługa Azure Kubernetes Service (AKS). Modele obciążenia zwrotnego mogą mieć wpływ na zasoby udostępnionej platformy jako usługi (PaaS).

  • Aby zoptymalizować koszty, użyj harmonogramu zamykania w przypadku obciążeń nieprodukcyjnych.

  • Skorzystaj z usługi Azure Advisor , aby uzyskać zalecenia dotyczące optymalizowania kosztów.

  • Ustanów model obciążenia zwrotnego w celu lepszego rozkładu kosztów w całej organizacji.

  • Zaimplementuj zasady, aby użytkownicy nie mogli wdrażać nieautoryzowanych zasobów w środowisku organizacji.

  • Ustanów regularny harmonogram i cykl, aby przejrzeć koszty i odpowiednie rozmiary zasobów dla obciążeń.

Zalecenia dotyczące subskrypcji

Poniższe sekcje zawierają zalecenia ułatwiające planowanie i tworzenie subskrypcji dla platformy Azure.

Zalecenia dotyczące organizacji i ładu

  • Traktuj subskrypcje jako jednostkę zarządzania, która jest zgodna z potrzebami i priorytetami biznesowymi.

  • Poinformuj właścicieli subskrypcji o swoich rolach i obowiązkach.

    • Wykonaj kwartalny lub roczny przegląd dostępu dla usługi Microsoft Entra Privileged Identity Management (PIM), aby upewnić się, że uprawnienia nie są dystrybuowane podczas przenoszenia użytkowników w organizacji.

    • Przejmij pełną własność wydatków i zasobów budżetowych.

    • Zapewnienie zgodności zasad i korygowanie ich w razie potrzeby.

  • W przypadku identyfikowania wymagań dotyczących nowych subskrypcji zapoznaj się z następującymi zasadami:

    • Limity skalowania: Subskrypcje służą jako jednostka skalowania dla obciążeń składników do skalowania w ramach limitów subskrypcji platformy. Duże wyspecjalizowane obciążenia, takie jak obliczenia o wysokiej wydajności, IoT i SAP, powinny używać oddzielnych subskrypcji, aby uniknąć uruchamiania tych limitów.

    • Granica zarządzania: Subskrypcje zapewniają granicę zarządzania dla ładu i izolacji, co umożliwia wyraźne rozdzielenie problemów. Różne środowiska, takie jak środowiska programistyczne, testowe i produkcyjne, są często usuwane z perspektywy zarządzania.

    • Granica zasad: Subskrypcje służą jako granica przypisań usługi Azure Policy. Na przykład bezpieczne obciążenia, takie jak obciążenia PCI, zwykle wymagają innych zasad w celu zapewnienia zgodności. Inne koszty nie są brane pod uwagę, jeśli używasz oddzielnej subskrypcji. Środowiska deweloperskie mają bardziej złagodzone wymagania dotyczące zasad niż środowiska produkcyjne.

    • Topologia sieci docelowej: nie można udostępniać sieci wirtualnych w ramach subskrypcji, ale można połączyć je z różnymi technologiami, takimi jak komunikacja równorzędna sieci wirtualnych lub usługa ExpressRoute. Jeśli zdecydujesz, czy potrzebujesz nowej subskrypcji, rozważ, które obciążenia muszą komunikować się ze sobą.

  • Grupuj subskrypcje razem w grupach zarządzania, które są zgodne ze strukturą grupy zarządzania i wymaganiami zasad. Subskrypcje grup, aby upewnić się, że subskrypcje z tym samym zestawem zasad i przypisań ról platformy Azure pochodzą z tej samej grupy zarządzania.

  • Ustanów dedykowaną subskrypcję zarządzania w Platform grupie zarządzania, aby obsługiwać globalne funkcje zarządzania, takie jak obszary robocze dzienników usługi Azure Monitor i elementy Runbook usługi Automation.

  • W razie potrzeby ustanów dedykowaną subskrypcję tożsamości w Platform grupie zarządzania do hostowania kontrolerów domeny usługi Active Directory systemu Windows Server.

  • Ustanów dedykowaną subskrypcję łączności w Platform grupie zarządzania w celu hostowania koncentratora usługi Virtual WAN, prywatnego obwodu DNS, obwodu usługi ExpressRoute i innych zasobów sieciowych. Dedykowana subskrypcja zapewnia, że wszystkie podstawowe zasoby sieciowe są rozliczane razem i odizolowane od innych obciążeń.

  • Unikaj sztywnego modelu subskrypcji. Zamiast tego użyj zestawu elastycznych kryteriów, aby grupować subskrypcje w całej organizacji. Ta elastyczność zapewnia, że ​​w miarę zmiany struktury organizacji i kompozycji obciążenia można tworzyć nowe grupy subskrypcji zamiast korzystać ze stałego zestawu istniejących subskrypcji. Jeden rozmiar nie pasuje do wszystkich subskrypcji i to, co działa w przypadku jednej jednostki biznesowej, może nie działać dla innej. Niektóre aplikacje mogą współistnieć w tej samej subskrypcji strefy docelowej, podczas gdy inne mogą wymagać własnej subskrypcji.

    Aby uzyskać więcej informacji, zobacz Handle dev/test/production workload landing zones (Obsługa stref docelowych obciążeń deweloperskich/testowych/produkcyjnych).

Zalecenia dotyczące wielu regionów

  • Utwórz dodatkowe subskrypcje dla każdego regionu tylko wtedy, gdy masz wymagania dotyczące ładu i zarządzania specyficzne dla regionu, na przykład niezależność danych lub skalowanie poza limity przydziału.

  • Jeśli skalowanie nie jest problemem dla środowiska odzyskiwania po awarii geograficznej obejmującego wiele regionów, użyj tej samej subskrypcji dla zasobów podstawowych i pomocniczych regionów. Niektóre usługi platformy Azure, w zależności od strategii ciągłości działania i odzyskiwania po awarii (BCDR, business continuity and disaster recovery) i narzędzi, które wdrażasz, mogą wymagać użycia tej samej subskrypcji. W scenariuszu aktywny-aktywny, w którym wdrożenia są zarządzane niezależnie lub mają różne cykle życia, zalecamy korzystanie z różnych subskrypcji.

  • Region, w którym tworzysz grupę zasobów i region zawartych zasobów, powinien być zgodny, aby nie wpływały one na odporność i niezawodność.

  • Pojedyncza grupa zasobów nie powinna zawierać zasobów z różnych regionów. Takie podejście może prowadzić do problemów z zarządzaniem zasobami i dostępnością.

Zalecenia dotyczące limitu przydziału i pojemności

  • Używaj subskrypcji jako jednostek skalowania i skaluj zasoby i subskrypcje w poziomie zgodnie z potrzebami. Obciążenie może następnie używać wymaganych zasobów do skalowania w poziomie bez osiągnięcia limitów subskrypcji na platformie Azure.

  • Rezerwacje pojemności umożliwiają zarządzanie pojemnością w niektórych regionach. Obciążenie może mieć wymaganą pojemność dla zasobów o wysokim zapotrzebowaniu w określonym regionie.

  • Ustanów pulpit nawigacyjny, który ma niestandardowe widoki do monitorowania używanych poziomów pojemności, i skonfiguruj alerty, jeśli pojemność zbliża się do krytycznych poziomów, takich jak użycie procesora CPU w 90%.

  • Zgłaszanie żądań pomocy technicznej dotyczących zwiększenia limitu przydziału w ramach aprowizacji subskrypcji, takich jak łączna liczba dostępnych rdzeni maszyn wirtualnych w ramach subskrypcji. Upewnij się, że limity przydziału są ustawione przed przekroczeniem limitów domyślnych obciążeń.

  • Upewnij się, że wszystkie wymagane usługi i funkcje są dostępne w wybranych regionach wdrażania.

Zalecenia dotyczące automatyzacji

  • Utwórz proces sprzedaż abonamentów w celu zautomatyzowania tworzenia subskrypcji dla zespołów aplikacji za pośrednictwem przepływu pracy żądania. Aby uzyskać więcej informacji, zobacz Subskrypcja vending.

Zalecenia dotyczące ograniczeń transferu dzierżawy

  • Skonfiguruj następujące ustawienia, aby uniemożliwić użytkownikom przenoszenie subskrypcji platformy Azure do lub z dzierżawy firmy Microsoft Entra:

    • Ustaw pozycję Subskrypcja pozostawiając katalog Microsoft Entra na wartość Permit no one.

    • Ustaw pozycję Subskrypcja wprowadzająca katalog Microsoft Entra na Permit no onewartość .

  • Skonfiguruj ograniczoną listę wykluczonych użytkowników.

    • Dołącz członków z zespołu ds. operacji platformy Azure.

    • Uwzględnij konta ze szkła break-glass na liście wykluczonych użytkowników.

Następny krok

Wdrażanie barier zabezpieczających opartych na zasadach