Zagadnienia i zalecenia dotyczące subskrypcji
Subskrypcje to jednostka zarządzania, rozliczeń i skalowania na platformie Azure. Odgrywają one kluczową rolę podczas projektowania pod kątem wdrażania platformy Azure na dużą skalę. Ten artykuł może pomóc w przechwytywaniu wymagań dotyczących subskrypcji i projektowania subskrypcji docelowych na podstawie czynników krytycznych, które są oparte na:
- typ środowiska
- model własności i ładu
- struktura organizacyjna
- portfolio aplikacji
Napiwek
Omówiliśmy ten temat w niedawnym filmie w serwisie YouTube: Strefy docelowe platformy Azure — ile subskrypcji należy używać na platformie Azure?
Uwaga
Należy przejrzeć limity subskrypcji zgodnie z opisem w temacie Konta rozliczeniowe i zakresy w witrynie Azure Portal. Te wskazówki dotyczą głównie klientów korzystających z Umowa Enterprise, Umowa z Klientem Microsoft s (Enterprise) lub Umów partnerskich firmy Microsoft (CSP).
Zagadnienia dotyczące subskrypcji
Poniższe sekcje zawierają zagadnienia ułatwiające planowanie i tworzenie subskrypcji dla platformy Azure.
Zagadnienia dotyczące projektowania organizacji i ładu
Subskrypcje służą jako granice przypisań usługi Azure Policy.
Na przykład bezpieczne obciążenia, takie jak Payment Card Industry (PCI), zwykle wymagają innych zasad w celu zapewnienia zgodności. Zamiast używać grupy zarządzania do sortowania obciążeń wymagających zgodności PCI, można osiągnąć tę samą izolację z subskrypcją, bez konieczności posiadania zbyt wielu grup zarządzania z kilkoma subskrypcjami.
- Jeśli musisz zgrupować wiele subskrypcji tego samego archetypu obciążenia, utwórz je w grupie zarządzania.
Subskrypcje służą jako jednostka skalowania, dzięki czemu obciążenia składników mogą być skalowane w ramach limitów subskrypcji platformy. Podczas projektowania obciążeń należy wziąć pod uwagę limity zasobów subskrypcji.
Subskrypcje zapewniają granicę zarządzania dla ładu i izolacji, które wyraźnie oddzielają kwestie.
Utwórz oddzielne subskrypcje platformy do zarządzania (monitorowania), łączności i tożsamości, gdy są one wymagane.
- Ustanów dedykowaną subskrypcję zarządzania w grupie zarządzania platformą w celu obsługi globalnych funkcji zarządzania, takich jak obszary robocze usługi Azure Monitor Log Analytics i elementy Runbook usługi Azure Automation.
- Ustanów dedykowaną subskrypcję tożsamości w grupie zarządzania platformy do hostowania kontrolerów domeny usługi Active Directory systemu Windows Server w razie potrzeby.
- Ustanów dedykowaną subskrypcję łączności w grupie zarządzania platformą w celu hostowania centrum Usługi Azure Virtual WAN, prywatnego systemu nazw domen (DNS), obwodu usługi ExpressRoute i innych zasobów sieciowych. Dedykowana subskrypcja zapewnia, że wszystkie podstawowe zasoby sieciowe są rozliczane razem i odizolowane od innych obciążeń.
- Użyj subskrypcji jako zdemokratyzowanej jednostki zarządzania zgodnej z potrzebami i priorytetami biznesowymi.
- Ustanów dedykowaną subskrypcję zarządzania w grupie zarządzania platformą w celu obsługi globalnych funkcji zarządzania, takich jak obszary robocze usługi Azure Monitor Log Analytics i elementy Runbook usługi Azure Automation.
Użyj procesów ręcznych, aby ograniczyć dzierżawy firmy Microsoft tylko do Umowa Enterprise subskrypcji rejestracji. Korzystanie z procesu ręcznego uniemożliwia tworzenie subskrypcji usługi Microsoft Developer Network w zakresie głównej grupy zarządzania.
- Aby uzyskać pomoc techniczną, prześlij bilet pomocy technicznej platformy Azure.
Zobacz subskrypcję platformy Azure i centrum transferu rezerwacji na potrzeby transferów subskrypcji między ofertami rozliczeniowymi platformy Azure.
Zagadnienia dotyczące projektowania przydziału i pojemności
Regiony platformy Azure mogą mieć ograniczoną liczbę zasobów. W związku z tym dostępne pojemności i jednostki SKU powinny być śledzone dla wdrożenia platformy Azure obejmujących dużą liczbę zasobów.
Rozważ limity i limity przydziału w ramach platformy Azure dla każdej wymaganej usługi.
Rozważ dostępność wymaganych jednostek SKU w wybranych regionach świadczenia usługi Azure. Na przykład nowe funkcje mogą być dostępne tylko w niektórych regionach. Dostępność niektórych jednostek SKU dla określonych zasobów, takich jak maszyny wirtualne, może się różnić od jednego regionu do drugiego.
Należy wziąć pod uwagę, że limity przydziału subskrypcji nie są gwarancjami pojemności i są stosowane dla poszczególnych regionów.
- Aby uzyskać informacje o rezerwacjach pojemności maszyn wirtualnych, zobacz Rezerwacje pojemności na żądanie.
Rozważ ponowne użycie nieużywanych lub zlikwidowanych subskrypcji zgodnie ze wskazówkami w temacie Czy za każdym razem utworzymy nową subskrypcję platformy Azure lub możemy i powinniśmy ponownie użyć subskrypcji platformy Azure? — strefy docelowe platformy Azure — często zadawane pytania.
Zagadnienia dotyczące projektowania ograniczeń transferu dzierżawy
Każda subskrypcja platformy Azure jest połączona z jedną dzierżawą firmy Microsoft Entra, która działa jako dostawca tożsamości dla subskrypcji platformy Azure. Dzierżawa firmy Microsoft Entra służy do uwierzytelniania użytkowników, usług i urządzeń.
Dzierżawa firmy Microsoft Entra połączona z subskrypcją platformy Azure może zostać zmieniona przez dowolnego użytkownika z wymaganymi uprawnieniami. Ten proces został szczegółowo opisany w następujących artykułach:
- Kojarzenie lub dodawanie subskrypcji platformy Azure do dzierżawy usługi Microsoft Entra
- Przenoszenie subskrypcji platformy Azure do innego katalogu firmy Microsoft Entra
Uwaga
Przenoszenie do innej dzierżawy usługi Microsoft Entra nie jest obsługiwane w przypadku subskrypcji usługi Azure Dostawca rozwiązań w chmurze (CSP).
W przypadku stref docelowych platformy Azure można ustawić wymagania, aby uniemożliwić użytkownikom przenoszenie subskrypcji do dzierżawy firmy Microsoft Entra w organizacji. Zapoznaj się z procesem w temacie Zarządzanie zasadami subskrypcji platformy Azure.
Skonfiguruj zasady subskrypcji, podając listę wykluczonych użytkowników. Wykluczony użytkownicy mogą pomijać ograniczenia ustawione w zasadach.
Ważne
Lista wykluczonych użytkowników nie jest usługą Azure Policy.
Zastanów się, czy użytkownicy z subskrypcjami platformy Azure programu Visual Studio/MSDN powinni mieć możliwość przeniesienia subskrypcji do lub z dzierżawy firmy Microsoft Entra.
Ustawienia transferu dzierżawy można konfigurować tylko przez użytkowników z przypisaną rolą microsoft Entra Global Administracja istrator. Ci użytkownicy i muszą mieć podwyższony poziom dostępu , aby zmienić zasady.
- Można określić tylko pojedyncze konta użytkowników jako wykluczone użytkowników, a nie grupy firmy Microsoft Entra.
Wszyscy użytkownicy z dostępem do platformy Azure mogą wyświetlać zasady zdefiniowane dla dzierżawy firmy Microsoft Entra.
Użytkownicy nie mogą wyświetlać listy wykluczonych użytkowników .
Użytkownicy mogą wyświetlać administratorów globalnych w dzierżawie firmy Microsoft Entra.
Subskrypcje platformy Azure przeniesione do dzierżawy firmy Microsoft Entra są umieszczane w domyślnej grupie zarządzania dla tej dzierżawy.
Jeśli organizacja zatwierdziła, zespół aplikacji może zdefiniować proces zezwalania na przenoszenie subskrypcji platformy Azure do dzierżawy firmy Microsoft Entra lub z tej dzierżawy.
Ustalanie zagadnień dotyczących projektowania zarządzania kosztami
Przejrzystość kosztów to krytyczne wyzwanie w zakresie zarządzania, przed jakim stoi każda duża organizacja przedsiębiorstwa. W tej sekcji artykułu omówiono kluczowe aspekty osiągania przejrzystości kosztów w dużych środowiskach platformy Azure.
Modele obciążenia zwrotnego, takie jak aplikacja systemu Azure Service Environment i Azure Kubernetes Service, mogą być udostępniane, aby osiągnąć większą gęstość. Na udostępnione zasoby platformy jako usługi (PaaS) mogą mieć wpływ modele obciążenia zwrotnego.
Użyj harmonogramu zamknięcia dla obciążeń nieprodukcyjnych, aby zoptymalizować koszty.
Użyj usługi Azure Advisor , aby sprawdzić zalecenia dotyczące optymalizowania kosztów.
Ustanów model obciążenia zwrotnego w celu lepszego rozkładu kosztów w całej organizacji.
Zaimplementuj zasady, aby zapobiec wdrażaniu zasobów, które nie są autoryzowane w środowisku organizacji.
Ustanów regularny harmonogram i cykl, aby przejrzeć koszty i odpowiedni rozmiar zasobów dla obciążeń.
Zalecenia dotyczące subskrypcji
Poniższe sekcje zawierają zalecenia ułatwiające planowanie i tworzenie subskrypcji dla platformy Azure.
Zalecenia dotyczące organizacji i ładu
Traktuj subskrypcje jako jednostkę zarządzania zgodną z potrzebami i priorytetami biznesowymi.
Uświadom właścicielom subskrypcji o swoich rolach i obowiązkach.
- Przejrzyj kwartalny lub roczny przegląd dostępu dla usługi Microsoft Entra Privileged Identity Management, aby upewnić się, że uprawnienia nie są dystrybuowane w miarę przenoszenia użytkowników w organizacji.
- Przejmij pełną własność wydatków i zasobów budżetowych.
- W razie potrzeby upewnij się, że zasady są zgodne i korygowane.
W miarę identyfikowania wymagań dotyczących nowych subskrypcji należy odwołać się do następujących zasad:
- Limity skalowania: Subskrypcje służą jako jednostka skalowania dla obciążeń składników do skalowania w ramach limitów subskrypcji platformy. Duże wyspecjalizowane obciążenia, takie jak obliczenia o wysokiej wydajności, IoT i sap, powinny używać oddzielnych subskrypcji, aby uniknąć uruchamiania tych limitów.
- Granica zarządzania: Subskrypcje zapewniają granicę zarządzania dla ładu i izolacji, co pozwala na wyraźne rozdzielenie problemów. Różne środowiska, takie jak programowanie, testowanie i produkcja, są często usuwane z perspektywy zarządzania.
- Granica zasad: Subskrypcje służą jako granica przypisań usługi Azure Policy. Na przykład bezpieczne obciążenia, takie jak PCI, zwykle wymagają innych zasad w celu zapewnienia zgodności. Inne koszty nie są brane pod uwagę, jeśli używasz oddzielnej subskrypcji. Środowiska deweloperskie mają bardziej złagodzone wymagania dotyczące zasad niż środowiska produkcyjne.
- Topologia sieci docelowej: nie można udostępniać sieci wirtualnych w ramach subskrypcji, ale można połączyć je z różnymi technologiami, takimi jak komunikacja równorzędna sieci wirtualnych lub usługa Azure ExpressRoute. Podczas podejmowania decyzji, czy potrzebujesz nowej subskrypcji, rozważ, które obciążenia muszą komunikować się ze sobą.
Grupuj subskrypcje razem w grupach zarządzania, które są zgodne ze strukturą grupy zarządzania i wymaganiami zasad. Grupowanie subskrypcji zapewnia, że subskrypcje z tym samym zestawem zasad i przypisań ról platformy Azure pochodzą z grupy zarządzania.
Ustanów dedykowaną subskrypcję zarządzania w
Platform
grupie zarządzania, aby obsługiwać globalne funkcje zarządzania, takie jak obszary robocze usługi Azure Monitor Log Analytics i elementy Runbook usługi Azure Automation.W razie potrzeby ustanów dedykowaną subskrypcję tożsamości w
Platform
grupie zarządzania do hostowania kontrolerów domeny usługi Active Directory systemu Windows Server.Ustanów dedykowaną subskrypcję łączności w
Platform
grupie zarządzania w celu hostowania centrum Usługi Azure Virtual WAN, prywatnego systemu nazw domen (DNS), obwodu usługi ExpressRoute i innych zasobów sieciowych. Dedykowana subskrypcja zapewnia, że wszystkie podstawowe zasoby sieciowe są rozliczane razem i odizolowane od innych obciążeń.Unikaj sztywnego modelu subskrypcji. Zamiast tego użyj zestawu elastycznych kryteriów, aby grupować subskrypcje w całej organizacji. Ta elastyczność zapewnia, że wraz ze zmianami struktury organizacji i kompozycji obciążenia można tworzyć nowe grupy subskrypcji zamiast używać stałego zestawu istniejących subskrypcji. Jeden rozmiar nie pasuje do wszystkich subskrypcji i to, co działa w przypadku jednej jednostki biznesowej, może nie działać dla innej. Niektóre aplikacje mogą współistnieć w ramach tej samej subskrypcji strefy docelowej, podczas gdy inne mogą wymagać własnej subskrypcji.
- Aby uzyskać więcej informacji, zobacz Jak obsługiwać strefy docelowe obciążeń "tworzenie/testowanie/produkcja" w architekturze strefy docelowej platformy Azure?.
Zalecenia dotyczące limitu przydziału i pojemności
Używaj subskrypcji jako jednostek skalowania i skaluj zasoby i subskrypcje w poziomie zgodnie z potrzebami. Obciążenie może następnie używać wymaganych zasobów do skalowania w poziomie bez osiągnięcia limitów subskrypcji na platformie Azure.
Rezerwacje pojemności umożliwiają zarządzanie pojemnością w niektórych regionach. Obciążenie może mieć wymaganą pojemność dla zasobów o wysokim zapotrzebowaniu w określonym regionie.
Ustanów pulpit nawigacyjny z widokami niestandardowymi, aby monitorować używane poziomy pojemności i konfigurować alerty, jeśli pojemność zbliża się do krytycznych poziomów (90 procent użycia procesora CPU).
Zgłaszanie żądań pomocy technicznej dotyczących zwiększenia limitu przydziału w ramach aprowizacji subskrypcji, takich jak łączna liczba dostępnych rdzeni maszyn wirtualnych w ramach subskrypcji. Upewnij się, że limity przydziału są ustawione przed przekroczeniem limitów domyślnych obciążeń.
Upewnij się, że wszystkie wymagane usługi i funkcje są dostępne w wybranych regionach wdrażania.
Zalecenia dotyczące automatyzacji
- Utwórz proces sprzedaży subskrypcji, aby zautomatyzować tworzenie subskrypcji dla zespołów aplikacji za pośrednictwem przepływu pracy żądania zgodnie z opisem w temacie Subskrypcja vending.
Zalecenia dotyczące ograniczeń transferu dzierżawy
Skonfiguruj następujące ustawienia, aby uniemożliwić użytkownikom przenoszenie subskrypcji platformy Azure do lub z dzierżawy firmy Microsoft Entra:
Ustaw pozycję Subskrypcja pozostawiając katalog Microsoft Entra na wartość
Permit no one
.Ustaw pozycję Subskrypcja wprowadzająca katalog Microsoft Entra na
Permit no one
wartość .
Skonfiguruj ograniczoną listę wykluczonych użytkowników.
- Dołącz członków z zespołu ds. operacji platformy Azure.Include members from an Azure PlatformOps (platform operations) team (dołączanie członków z zespołu operacji platformy Azure).
- Uwzględnij konta ze szkła break-glass na liście wykluczonych użytkowników.