Zagadnienia i zalecenia dotyczące subskrypcji

Subskrypcje to jednostka zarządzania, rozliczeń i skalowania na platformie Azure. Odgrywają one kluczową rolę podczas projektowania pod kątem wdrażania platformy Azure na dużą skalę. Ten artykuł może pomóc w przechwytywaniu wymagań dotyczących subskrypcji i projektowania subskrypcji docelowych na podstawie czynników krytycznych, które są oparte na:

• typ środowiska
• model własności i ładu
• struktura organizacyjna
• portfolio aplikacji

Napiwek

Omówiliśmy ten temat w niedawnym filmie w serwisie YouTube: Strefy docelowe platformy Azure — ile subskrypcji należy używać na platformie Azure?

Uwaga

Należy przejrzeć limity subskrypcji zgodnie z opisem w temacie Konta rozliczeniowe i zakresy w witrynie Azure Portal. Te wskazówki dotyczą głównie klientów korzystających z Umowa Enterprise, Umowa z Klientem Microsoft s (Enterprise) lub Umów partnerskich firmy Microsoft (CSP).

Zagadnienia dotyczące subskrypcji

Poniższe sekcje zawierają zagadnienia ułatwiające planowanie i tworzenie subskrypcji dla platformy Azure.

Zagadnienia dotyczące projektowania organizacji i ładu

• Subskrypcje służą jako granice przypisań usługi Azure Policy.

  • Na przykład bezpieczne obciążenia, takie jak Payment Card Industry (PCI), zwykle wymagają innych zasad w celu zapewnienia zgodności. Zamiast używać grupy zarządzania do sortowania obciążeń wymagających zgodności PCI, można osiągnąć tę samą izolację z subskrypcją, bez konieczności posiadania zbyt wielu grup zarządzania z kilkoma subskrypcjami.

    • Jeśli musisz zgrupować wiele subskrypcji tego samego archetypu obciążenia, utwórz je w grupie zarządzania.

• Subskrypcje służą jako jednostka skalowania, dzięki czemu obciążenia składników mogą być skalowane w ramach limitów subskrypcji platformy. Podczas projektowania obciążeń należy wziąć pod uwagę limity zasobów subskrypcji.

• Subskrypcje zapewniają granicę zarządzania dla ładu i izolacji, które wyraźnie oddzielają kwestie.

• Utwórz oddzielne subskrypcje platformy do zarządzania (monitorowania), łączności i tożsamości, gdy są one wymagane.

  • Ustanów dedykowaną subskrypcję zarządzania w grupie zarządzania platformą w celu obsługi globalnych funkcji zarządzania, takich jak obszary robocze usługi Azure Monitor Log Analytics i elementy Runbook usługi Azure Automation.
    • Ustanów dedykowaną subskrypcję tożsamości w grupie zarządzania platformy do hostowania kontrolerów domeny usługi Active Directory systemu Windows Server w razie potrzeby.
    • Ustanów dedykowaną subskrypcję łączności w grupie zarządzania platformą w celu hostowania centrum Usługi Azure Virtual WAN, prywatnego systemu nazw domen (DNS), obwodu usługi ExpressRoute i innych zasobów sieciowych. Dedykowana subskrypcja zapewnia, że wszystkie podstawowe zasoby sieciowe są rozliczane razem i odizolowane od innych obciążeń.
    • Użyj subskrypcji jako zdemokratyzowanej jednostki zarządzania zgodnej z potrzebami i priorytetami biznesowymi.

• Użyj procesów ręcznych, aby ograniczyć dzierżawy firmy Microsoft tylko do Umowa Enterprise subskrypcji rejestracji. Korzystanie z procesu ręcznego uniemożliwia tworzenie subskrypcji usługi Microsoft Developer Network w zakresie głównej grupy zarządzania.

  • Aby uzyskać pomoc techniczną, prześlij bilet pomocy technicznej platformy Azure.

• Zobacz subskrypcję platformy Azure i centrum transferu rezerwacji na potrzeby transferów subskrypcji między ofertami rozliczeniowymi platformy Azure.

Zagadnienia dotyczące projektowania przydziału i pojemności

Regiony platformy Azure mogą mieć ograniczoną liczbę zasobów. W związku z tym dostępne pojemności i jednostki SKU powinny być śledzone dla wdrożenia platformy Azure obejmujących dużą liczbę zasobów.

• Rozważ limity i limity przydziału w ramach platformy Azure dla każdej wymaganej usługi.

• Rozważ dostępność wymaganych jednostek SKU w wybranych regionach świadczenia usługi Azure. Na przykład nowe funkcje mogą być dostępne tylko w niektórych regionach. Dostępność niektórych jednostek SKU dla określonych zasobów, takich jak maszyny wirtualne, może się różnić od jednego regionu do drugiego.

• Należy wziąć pod uwagę, że limity przydziału subskrypcji nie są gwarancjami pojemności i są stosowane dla poszczególnych regionów.

  • Aby uzyskać informacje o rezerwacjach pojemności maszyn wirtualnych, zobacz Rezerwacje pojemności na żądanie.

• Rozważ ponowne użycie nieużywanych lub zlikwidowanych subskrypcji zgodnie ze wskazówkami w temacie Czy za każdym razem utworzymy nową subskrypcję platformy Azure lub możemy i powinniśmy ponownie użyć subskrypcji platformy Azure? — strefy docelowe platformy Azure — często zadawane pytania.

Zagadnienia dotyczące projektowania ograniczeń transferu dzierżawy

Każda subskrypcja platformy Azure jest połączona z jedną dzierżawą firmy Microsoft Entra, która działa jako dostawca tożsamości dla subskrypcji platformy Azure. Dzierżawa firmy Microsoft Entra służy do uwierzytelniania użytkowników, usług i urządzeń.

Dzierżawa firmy Microsoft Entra połączona z subskrypcją platformy Azure może zostać zmieniona przez dowolnego użytkownika z wymaganymi uprawnieniami. Ten proces został szczegółowo opisany w następujących artykułach:

• Kojarzenie lub dodawanie subskrypcji platformy Azure do dzierżawy usługi Microsoft Entra
• Przenoszenie subskrypcji platformy Azure do innego katalogu firmy Microsoft Entra

Uwaga

Przenoszenie do innej dzierżawy usługi Microsoft Entra nie jest obsługiwane w przypadku subskrypcji usługi Azure Dostawca rozwiązań w chmurze (CSP).

W przypadku stref docelowych platformy Azure można ustawić wymagania, aby uniemożliwić użytkownikom przenoszenie subskrypcji do dzierżawy firmy Microsoft Entra w organizacji. Zapoznaj się z procesem w temacie Zarządzanie zasadami subskrypcji platformy Azure.

Skonfiguruj zasady subskrypcji, podając listę wykluczonych użytkowników. Wykluczony użytkownicy mogą pomijać ograniczenia ustawione w zasadach.

Ważne

Lista wykluczonych użytkowników nie jest usługą Azure Policy.

• Zastanów się, czy użytkownicy z subskrypcjami platformy Azure programu Visual Studio/MSDN powinni mieć możliwość przeniesienia subskrypcji do lub z dzierżawy firmy Microsoft Entra.

• Ustawienia transferu dzierżawy można konfigurować tylko przez użytkowników z przypisaną rolą microsoft Entra Global Administracja istrator. Ci użytkownicy i muszą mieć podwyższony poziom dostępu , aby zmienić zasady.

  • Można określić tylko pojedyncze konta użytkowników jako wykluczone użytkowników, a nie grupy firmy Microsoft Entra.

• Wszyscy użytkownicy z dostępem do platformy Azure mogą wyświetlać zasady zdefiniowane dla dzierżawy firmy Microsoft Entra.

  • Użytkownicy nie mogą wyświetlać listy wykluczonych użytkowników .

  • Użytkownicy mogą wyświetlać administratorów globalnych w dzierżawie firmy Microsoft Entra.

• Subskrypcje platformy Azure przeniesione do dzierżawy firmy Microsoft Entra są umieszczane w domyślnej grupie zarządzania dla tej dzierżawy.

• Jeśli organizacja zatwierdziła, zespół aplikacji może zdefiniować proces zezwalania na przenoszenie subskrypcji platformy Azure do dzierżawy firmy Microsoft Entra lub z tej dzierżawy.

Ustalanie zagadnień dotyczących projektowania zarządzania kosztami

Przejrzystość kosztów to krytyczne wyzwanie w zakresie zarządzania, przed jakim stoi każda duża organizacja przedsiębiorstwa. W tej sekcji artykułu omówiono kluczowe aspekty osiągania przejrzystości kosztów w dużych środowiskach platformy Azure.

• Modele obciążenia zwrotnego, takie jak aplikacja systemu Azure Service Environment i Azure Kubernetes Service, mogą być udostępniane, aby osiągnąć większą gęstość. Na udostępnione zasoby platformy jako usługi (PaaS) mogą mieć wpływ modele obciążenia zwrotnego.

• Użyj harmonogramu zamknięcia dla obciążeń nieprodukcyjnych, aby zoptymalizować koszty.

• Użyj usługi Azure Advisor , aby sprawdzić zalecenia dotyczące optymalizowania kosztów.

• Ustanów model obciążenia zwrotnego w celu lepszego rozkładu kosztów w całej organizacji.

• Zaimplementuj zasady, aby zapobiec wdrażaniu zasobów, które nie są autoryzowane w środowisku organizacji.

• Ustanów regularny harmonogram i cykl, aby przejrzeć koszty i odpowiedni rozmiar zasobów dla obciążeń.

Zalecenia dotyczące subskrypcji

Poniższe sekcje zawierają zalecenia ułatwiające planowanie i tworzenie subskrypcji dla platformy Azure.

Zalecenia dotyczące organizacji i ładu

• Traktuj subskrypcje jako jednostkę zarządzania zgodną z potrzebami i priorytetami biznesowymi.

• Uświadom właścicielom subskrypcji o swoich rolach i obowiązkach.

  • Przejrzyj kwartalny lub roczny przegląd dostępu dla usługi Microsoft Entra Privileged Identity Management, aby upewnić się, że uprawnienia nie są dystrybuowane w miarę przenoszenia użytkowników w organizacji.
  • Przejmij pełną własność wydatków i zasobów budżetowych.
  • W razie potrzeby upewnij się, że zasady są zgodne i korygowane.

• W miarę identyfikowania wymagań dotyczących nowych subskrypcji należy odwołać się do następujących zasad:

  • Limity skalowania: Subskrypcje służą jako jednostka skalowania dla obciążeń składników do skalowania w ramach limitów subskrypcji platformy. Duże wyspecjalizowane obciążenia, takie jak obliczenia o wysokiej wydajności, IoT i sap, powinny używać oddzielnych subskrypcji, aby uniknąć uruchamiania tych limitów.
  • Granica zarządzania: Subskrypcje zapewniają granicę zarządzania dla ładu i izolacji, co pozwala na wyraźne rozdzielenie problemów. Różne środowiska, takie jak programowanie, testowanie i produkcja, są często usuwane z perspektywy zarządzania.
  • Granica zasad: Subskrypcje służą jako granica przypisań usługi Azure Policy. Na przykład bezpieczne obciążenia, takie jak PCI, zwykle wymagają innych zasad w celu zapewnienia zgodności. Inne koszty nie są brane pod uwagę, jeśli używasz oddzielnej subskrypcji. Środowiska deweloperskie mają bardziej złagodzone wymagania dotyczące zasad niż środowiska produkcyjne.
  • Topologia sieci docelowej: nie można udostępniać sieci wirtualnych w ramach subskrypcji, ale można połączyć je z różnymi technologiami, takimi jak komunikacja równorzędna sieci wirtualnych lub usługa Azure ExpressRoute. Podczas podejmowania decyzji, czy potrzebujesz nowej subskrypcji, rozważ, które obciążenia muszą komunikować się ze sobą.

• Grupuj subskrypcje razem w grupach zarządzania, które są zgodne ze strukturą grupy zarządzania i wymaganiami zasad. Grupowanie subskrypcji zapewnia, że subskrypcje z tym samym zestawem zasad i przypisań ról platformy Azure pochodzą z grupy zarządzania.

• Ustanów dedykowaną subskrypcję zarządzania w Platform grupie zarządzania, aby obsługiwać globalne funkcje zarządzania, takie jak obszary robocze usługi Azure Monitor Log Analytics i elementy Runbook usługi Azure Automation.

• W razie potrzeby ustanów dedykowaną subskrypcję tożsamości w Platform grupie zarządzania do hostowania kontrolerów domeny usługi Active Directory systemu Windows Server.

• Ustanów dedykowaną subskrypcję łączności w Platform grupie zarządzania w celu hostowania centrum Usługi Azure Virtual WAN, prywatnego systemu nazw domen (DNS), obwodu usługi ExpressRoute i innych zasobów sieciowych. Dedykowana subskrypcja zapewnia, że wszystkie podstawowe zasoby sieciowe są rozliczane razem i odizolowane od innych obciążeń.

• Unikaj sztywnego modelu subskrypcji. Zamiast tego użyj zestawu elastycznych kryteriów, aby grupować subskrypcje w całej organizacji. Ta elastyczność zapewnia, że wraz ze zmianami struktury organizacji i kompozycji obciążenia można tworzyć nowe grupy subskrypcji zamiast używać stałego zestawu istniejących subskrypcji. Jeden rozmiar nie pasuje do wszystkich subskrypcji i to, co działa w przypadku jednej jednostki biznesowej, może nie działać dla innej. Niektóre aplikacje mogą współistnieć w ramach tej samej subskrypcji strefy docelowej, podczas gdy inne mogą wymagać własnej subskrypcji.

  • Aby uzyskać więcej informacji, zobacz Jak obsługiwać strefy docelowe obciążeń "tworzenie/testowanie/produkcja" w architekturze strefy docelowej platformy Azure?.

Zalecenia dotyczące limitu przydziału i pojemności

• Używaj subskrypcji jako jednostek skalowania i skaluj zasoby i subskrypcje w poziomie zgodnie z potrzebami. Obciążenie może następnie używać wymaganych zasobów do skalowania w poziomie bez osiągnięcia limitów subskrypcji na platformie Azure.

• Rezerwacje pojemności umożliwiają zarządzanie pojemnością w niektórych regionach. Obciążenie może mieć wymaganą pojemność dla zasobów o wysokim zapotrzebowaniu w określonym regionie.

• Ustanów pulpit nawigacyjny z widokami niestandardowymi, aby monitorować używane poziomy pojemności i konfigurować alerty, jeśli pojemność zbliża się do krytycznych poziomów (90 procent użycia procesora CPU).

• Zgłaszanie żądań pomocy technicznej dotyczących zwiększenia limitu przydziału w ramach aprowizacji subskrypcji, takich jak łączna liczba dostępnych rdzeni maszyn wirtualnych w ramach subskrypcji. Upewnij się, że limity przydziału są ustawione przed przekroczeniem limitów domyślnych obciążeń.

• Upewnij się, że wszystkie wymagane usługi i funkcje są dostępne w wybranych regionach wdrażania.

Zalecenia dotyczące automatyzacji

• Utwórz proces sprzedaży subskrypcji, aby zautomatyzować tworzenie subskrypcji dla zespołów aplikacji za pośrednictwem przepływu pracy żądania zgodnie z opisem w temacie Subskrypcja vending.

Zalecenia dotyczące ograniczeń transferu dzierżawy

• Skonfiguruj następujące ustawienia, aby uniemożliwić użytkownikom przenoszenie subskrypcji platformy Azure do lub z dzierżawy firmy Microsoft Entra:

  • Ustaw pozycję Subskrypcja pozostawiając katalog Microsoft Entra na wartość Permit no one.

  • Ustaw pozycję Subskrypcja wprowadzająca katalog Microsoft Entra na Permit no onewartość .

• Skonfiguruj ograniczoną listę wykluczonych użytkowników.

  • Dołącz członków z zespołu ds. operacji platformy Azure.Include members from an Azure PlatformOps (platform operations) team (dołączanie członków z zespołu operacji platformy Azure).
  • Uwzględnij konta ze szkła break-glass na liście wykluczonych użytkowników.

Następne kroki

Wdrażanie barier zabezpieczających opartych na zasadach