Subskrypcja z automatem

Subskrypcja automatyzuje mechanizm platformy do programowego wydawania subskrypcji zespołom aplikacji, które muszą wdrażać obciążenia. Na poniższym diagramie pokazano, gdzie sprzedaż abonamentów pasuje do cykli życia platformy i obciążenia.

Krok 1 polega na utworzeniu subskrypcji platformy. Krok 2 polega na utworzeniu platformy. Krok 3 polega na ustanowieniu sprzedaż abonamentów. Krok 4 polega na wdrożeniu obciążeń. Kroki 1 i 2 są zgodne z platformą. Krok 3, sprzedaż abonamentów nakłada się zarówno na platformę, jak i strefę docelową aplikacji. Krok 4 to krok ukierunkowany na aplikację.

Subskrypcja automatyzuje koncepcję demokratyzacji subskrypcji i stosuje ją do stref docelowych aplikacji. Dzięki demokratyzacji subskrypcji subskrypcje, a nie grupy zasobów, są podstawowymi jednostkami zarządzania obciążeniami i skalowania. Aby uzyskać więcej informacji, zobacz:

• Strefy docelowe platformy a strefy docelowe aplikacji
• Demokratyzowane podejście do subskrypcji
• Ile subskrypcji należy używać na platformie Azure (YouTube)?

Dlaczego sprzedaż abonamentów?

Subskrypcja automatyzuje kilka korzyści dla organizacji, które muszą wdrażać obciążenia na platformie Azure. Umożliwia standaryzację i automatyzację procesu żądania, wdrażania i zarządzania subskrypcjami dla stref docelowych aplikacji. Automat subskrypcji upraszcza proces tworzenia subskrypcji i umieszcza go w ramach ładu organizacji, dzięki czemu zespoły aplikacji mogą skupić się na wdrażaniu obciążeń z większą pewnością i wydajnością.

• Usprawniony proces: subskrypcja automatyzuje oficjalną usługę front door dla zespołów aplikacji w celu żądania subskrypcji, eliminując konieczność samodzielnego poruszania się po procesie subskrypcji.
• Większa szybkość: zespoły aplikacji mogą szybciej uzyskiwać dostęp do stref docelowych aplikacji i szybciej dołączać obciążenia.
• Wydajny ład: zespół platformy może wymusić nadzór w strefach docelowych aplikacji z minimalnym obciążeniem.

Jak zaimplementować sprzedaż abonamentów

Subskrypcja automatyzuje trzy zespoły. Centrum doskonałości w chmurze (CCoE) ustanawia logikę biznesową i proces zatwierdzania. Gdy będą gotowe, zespoły aplikacji wysyłają żądania subskrypcji. Zespół platformy używa żądania do utworzenia i skonfigurowania subskrypcji przed przekazaniem subskrypcji zespołowi aplikacji. Zespół aplikacji aktualizuje budżet, wdraża obciążenie i ustanawia operacje. Poniższe wskazówki zawierają więcej szczegółowych informacji na temat każdego kroku procesu sprzedaż abonamentów. Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące implementacji sprzedaży subskrypcji.

Ustanawianie logiki biznesowej i procesu zatwierdzania

Aby zaimplementować model sprzedaż abonamentów, należy ustanowić proces zatwierdzania zbierający podstawowe informacje o subskrypcji. Centrum doskonałości w chmurze (CCoE) powinno programować proces zatwierdzania i ustanawiać reguły biznesowe dotyczące zbieranych informacji.

Automatyzowanie procesu. Należy zautomatyzować proces przechwytywania i zatwierdzania żądań subskrypcji w celu szybszej aprowizacji i poprawy zgodności.

Integracja z istniejącymi narzędziami. Należy zintegrować proces zatwierdzania sprzedaż abonamentów z istniejącym narzędziem do zarządzania usługami IT (ITSM). Integracja może uprościć proces zatwierdzania, zmniejszyć nakład pracy ręcznej i zwiększyć wydajność przy jednoczesnym zmniejszeniu błędów. Ułatwia również konserwację w czasie i pomaga w raportowaniu zgodności inspekcji.

Połączenie do potoku wdrażania. Najlepszym rozwiązaniem jest powiązanie logiki biznesowej procesu zatwierdzania z potokiem wdrażania subskrypcji zarządzanym przez zespół platformy. Przepływy pracy usługi Azure Pipelines lub GitHub Actions to typowe rozwiązania dla potoku wdrażania subskrypcji.

Zbierz wymagania podczas wprowadzania. Logika biznesowa powinna zezwalać zespołom aplikacji na żądanie subskrypcji i dostarczać wymagania dotyczące subskrypcji. Te wymagania powinny obejmować przewidywane budżety, właścicieli subskrypcji, oczekiwania dotyczące sieci oraz klasyfikację poufności i krytyczne dla działania firmy. Zebranie tych informacji na początku procesu informuje o parametrach wdrożenia i potrzebach zatwierdzenia uczestników projektu. Proces wprowadzania powinien również zapewnić zespołowi platformy wystarczającą ilość informacji, aby umieścić obciążenie w hierarchii grup zarządzania.

Po wprowadzeniu procesu zatwierdzania zespoły aplikacji mogą rozpocząć tworzenie żądań subskrypcji.

Wysyłanie żądania subskrypcji

Subskrypcja automatyzuje standardowy proces dla zespołów aplikacji w celu zażądania subskrypcji. Ważne jest, aby zapewnić dostępność sprzedaż abonamentów i upewnić się, że żądania subskrypcji są łatwe do wykonania. Po przesłaniu żądania subskrypcji przez zespół ds. aplikacji zespół platformy przejmuje kontrolę nad procesem. Zespół platformy utrzymuje kontrolę, dopóki nie utworzy subskrypcji i nie dostarczy subskrypcji do zespołu aplikacji.

Konfigurowanie sieci

Automatyzacja subskrypcji musi skonfigurować wymagane składniki sieciowe i musi być wystarczająco elastyczna, aby zaspokoić potrzeby każdego zespołu aplikacji. Ogólnie rzecz biorąc, nigdy nie używaj nakładających się adresów IP w jednej domenie routingu. W razie zmiany wymagań dotyczących rozmiaru można dodać lub usunąć przestrzeń adresową sieci wirtualnej bez przestoju. Aby uzyskać więcej informacji, zobacz:

• Ograniczenia adresów IP
• Aktualizowanie przestrzeni adresowej równorzędnej sieci wirtualnej
• Dodawanie lub usuwanie zakresu adresów

Użyj narzędzia do zarządzania adresami IP (IPAM). Należy użyć i zintegrować system IPAM z procesem sprzedaży, aby usprawnić przypisywanie adresów IP. Aby uzyskać więcej informacji i wskazówek dotyczących usługi IPAM, zobacz narzędzia Zarządzanie adresami IP (IPAM).

Udziel autonomii zespołu aplikacji. Zespoły aplikacji powinny mieć uprawnienia do tworzenia podsieci, a nawet niektórych sieci wirtualnych w ramach subskrypcji. Zespół platformy powinien zawsze tworzyć sieci wirtualne, które są równorzędne z centralnym koncentratorem.

Wymuszanie ładu w sieci. Zespół ds. platformy powinien wymusić nadzór nad siecią wirtualną za pośrednictwem zasad platformy Azure przypisanych do hierarchii grup zarządzania lub (2) Menedżera sieci wirtualnej platformy Azure i reguł Administracja zabezpieczeń. Aby uzyskać więcej informacji, zobacz Zarządzanie oparte na zasadach i Jak zablokować porty wysokiego ryzyka.

Określanie umieszczania subskrypcji

Zespół ds. platformy powinien używać wymagań dotyczących sieci i ładu, aby umieścić subskrypcję w hierarchii grup zarządzania. Przed utworzeniem subskrypcji należy również przejrzeć limity przydziału subskrypcji. Aby uzyskać więcej informacji, zobacz Dostosowywanie architektury strefy docelowej platformy Azure w celu spełnienia wymagań.

Zidentyfikuj odpowiednią grupę zarządzania. Grupy zarządzania ułatwiają organizowanie subskrypcji i wdrożeń obciążeń oraz zarządzanie nimi. Znajdź lub utwórz grupę zarządzania, która wymusza zasady wymagane do klasyfikacji i potrzeb każdego obciążenia.

Tworzenie elastycznej automatyzacji. Automatyzacja powinna być wystarczająco elastyczna (1), aby wdrożyć wiele subskrypcji i (2) dostosować się do limitów usługi subskrypcji.

• Wiele subskrypcji: niektóre obciążenia wymagają kilku subskrypcji. Na przykład niektóre obciążenia mają kilka wystąpień oddzielonych subskrypcją. Alternatywnie architektury SaaS korzystające z dedykowanych zasobów na klienta często korzystają z kilkudziesięciu subskrypcji.

• Limity usługi subskrypcji: przedsiębiorstwo z kilkoma tysiącami subskrypcji powinno mieć automatyzację, która może zostać wdrożona w starej subskrypcji lub kolokacji obciążeń w subskrypcji, aby uniknąć limitów. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące stref docelowych platformy Azure.

  Możesz zażądać zwiększenia limitu przydziału ręcznie przy użyciu witryny Azure Portal po aprowizacji. Automatyzacja tego procesu jest łatwiejsza przy użyciu dostępnych interfejsów API. Żądanie limitu przydziału może jednak zakończyć się niepowodzeniem, dlatego należy uruchomić skrypt, aby obsłużyć wszelkie błędy. Aby uzyskać więcej informacji, zobacz Microsoft.Capacity, Microsoft.Quota i Microsoft.Support

Tworzenie i konfigurowanie subskrypcji

Teraz możesz utworzyć i skonfigurować żądaną subskrypcję. Celem jest utworzenie powtarzalnego, spójnego procesu. Automatyzuj jak najwięcej procesu tworzenia i konfigurowania subskrypcji.

Użyj infrastruktury jako kodu (IaC). Typową strategią sprzedaż abonamentów jest programowe tworzenie i konfigurowanie subskrypcji przy użyciu IaC. Aby programowo utworzyć subskrypcję platformy Azure, potrzebna jest umowa komercyjna, ale możesz zautomatyzować wszystkie aspekty konfiguracji subskrypcji bez umowy komercyjnej. Aby uzyskać więcej informacji, zobacz:

• Wymagana rola umowy EA
• Wymagane role mcA
• Wymagana rola MPA

Istnieją przykładowe moduły sprzedaż abonamentów Bicep i Terraform, które ułatwiają wdrożenie modelu sprzedaż abonamentów niezależnie od rejestracji w umowie handlowej. Aby zorganizować automatyzację, należy użyć akcji usługi GitHub lub usługi Azure Pipelines.

Użyj tagów do zarządzania kosztami. Należy zautomatyzować spójne przypisywanie tagów do każdej subskrypcji na potrzeby zarządzania kosztami i raportowania w usłudze Azure Cost Management. Chociaż otrzymujesz raporty dotyczące rozliczeń z umowami komercyjnymi, usługa Azure Cost Management zapewnia większą funkcjonalność. Można na przykład tworzyć raporty dla subskrypcji z określonymi tagami. Aby uzyskać więcej informacji, zobacz Jak używać tagów w danych kosztów i użycia oraz Grupowanie i przydzielanie kosztów przy użyciu dziedziczenia tagów

Używaj subskrypcji produkcyjnych i nieprodukcyjnych. W żądaniu nowej subskrypcji należy określić, czy obciążenie dotyczy środowiska produkcyjnego, czy devTest. Środowiska DevTest powodują niższe opłaty za zasoby, ale mają inne terminy. Uwaga Oferta DevTest nie jest dostępna dla umowy MPA. Aby uzyskać więcej informacji, zobacz:

• Oferty rozliczeniowe platformy Azure i dzierżawy usługi Active Directory
• Omówienie obszaru projektowania organizacji zasobów
• Programowe tworzenie subskrypcji platformy Azure

Konfigurowanie mechanizmów kontroli dostępu opartej na rolach i tożsamości (RBACs). Zarządzanie dostępem do zasobów w ramach subskrypcji platformy Azure ma kluczowe znaczenie dla utrzymania bezpiecznego i zgodnego środowiska. Aby kontrolować dostęp, niezbędne jest skonfigurowanie tożsamości i kontroli dostępu. Ta konfiguracja obejmuje wyznaczenie właściciela subskrypcji, utworzenie grup firmy Microsoft Entra w celu zarządzania dostępem i ustanowienie kont automatyzacji w celu wdrożenia obciążeń.

• Wyznaczanie właściciela subskrypcji. Automatyzacja sprzedaż abonamentów musi wyznaczyć właściciela subskrypcji podczas tworzenia. Żądanie subskrypcji powinno przechwytywać te informacje podczas pobierania. Właściciele subskrypcji mogą być tylko użytkownikami lub jednostkami usługi w wybranym katalogu subskrypcji. Nie można wybierać użytkowników-gości katalogu. Jeśli wybierzesz jednostkę usługi, wprowadź jej identyfikator aplikacji.

• Utwórz grupy entra firmy Microsoft. Oprócz właściciela subskrypcji należy upewnić się, że proces sprzedaży używa struktury grupy Microsoft Entra do zarządzania dostępem do subskrypcji. W przypadku dostępu z podwyższonym poziomem uprawnień (na przykład zapisu) zalecamy użycie usługi PIM dla grup. Automatyzacja tego procesu tworzenia nie powinna naruszać najlepszych rozwiązań, takich jak ograniczenie liczby właścicieli subskrypcji i użycie minimalnego wymaganego poziomu dostępu.

• Ustanów tożsamości obciążeń. Tożsamości obciążeń (zasady usługi) używane do wdrażania obciążeń często mają podwyższone uprawnienia w zakresie subskrypcji. Proces żądania subskrypcji powinien zbierać wymagania dotyczące tożsamości obciążenia podczas pobierania. Proces sprzedaży powinien utworzyć te tożsamości i przypisać odpowiedni dostęp do subskrypcji. Należy pamiętać, że tożsamość obciążenia nie może używać usługi PIM i odbiera stały dostęp do zasobów. Zalecamy używanie tożsamości zarządzanych, aby uniknąć konieczności zarządzania wpisami tajnymi. Aby uzyskać więcej informacji, zobacz obszar projektowania tożsamości.

Przekaż zespołowi aplikacji. Po utworzeniu subskrypcji przez zespół platformy powinien przekazać subskrypcję zespołowi aplikacji.

Aktualizowanie budżetu subskrypcji

Zespoły ds. platformy i obciążeń współdzielą odpowiedzialność za kondycję finansową subskrypcji. Wdrożenie powinno utworzyć budżet subskrypcji na podstawie informacji w żądaniu subskrypcji. Aplikacja powinna zaktualizować budżet, aby spełniała swoje potrzeby po otrzymaniu subskrypcji. Budżety są przydatne do przeprowadzania inspekcji wydatków względem bieżącego i prognozowanego użycia, ale nie są to twarde limity. Należy utworzyć alerty budżetowe, aby powiadomić właścicieli subskrypcji, jeśli obciążenie przekroczy próg budżetu. W przypadku usług udostępnionych, takich jak usługa API Management, rozważ użycie reguł alokacji kosztów platformy Azure (wersja zapoznawcza) w celu ponownego dystrybuowania kosztów między subskrypcjami korzystającymi z usługi.

Wdrażanie obciążenia i obsługa

Zespół ds. aplikacji powinien mieć autonomię w celu utworzenia potrzebnych zasobów dla obciążeń i zarządzania operacjami. Zespół platformy pozostaje odpowiedzialny za nadzór nad subskrypcjami. W miarę zmiany wymagań dotyczących ładu w obciążeniu zespół platformy powinien przenieść subskrypcje do grupy zarządzania, która najlepiej odpowiada potrzebom obciążeń. Przenoszenie można zautomatyzować przy użyciu narzędzia Bicep lub Terraform. Aby uzyskać więcej informacji, zobacz:

• Omówienie grup zarządzania
• Przenoszenie subskrypcji do nowej grupy zarządzania (Bicep)
• Przenoszenie subskrypcji do nowej grupy zarządzania (Terraform)
• Dostosowywanie strefy docelowej platformy Azure w celu spełnienia wymagań

Następne kroki

Aby uzyskać najlepsze wyniki, należy zautomatyzować jak najwięcej procesu sprzedaż abonamentów. Skorzystaj z wskazówek towarzyszących dotyczących implementowania automatyzacji sprzedaż abonamentów.

Wskazówki dotyczące implementacji sprzedaży subskrypcji