Compartilhar via

Considerações e recomendações de assinatura

  • Artigo

As assinaturas são uma unidade de gerenciamento, cobrança e escala no Azure. Eles desempenham um papel crítico quando você projeta para adoção do Azure em larga escala. Este artigo ajuda você a capturar os requisitos de assinatura e criar assinaturas de destino com base em fatores críticos que variam dependendo de:

  • Tipos de ambiente
  • Modelos de propriedade e governança
  • Estruturas organizacionais
  • Portfólios de aplicativos
  • Regiões

Dica

Para obter mais informações sobre assinaturas, confira o vídeo do YouTube: Zonas de destino do Azure – Quantas assinaturas devo usar no Azure?

Observação

Se você usar Contratos Enterprise, Contratos de Cliente da Microsoft (Enterprise) ou CSP (Contratos de Parceiro da Microsoft), examine os limites de assinatura em Contas de cobrança e escopos no portal do Azure.

Considerações sobre assinatura

As seções a seguir contêm considerações para ajudar você a planejar e criar assinaturas para o Azure.

Considerações de design de governança e organização

  • As assinaturas servem como limites para as atribuições de políticas do Azure.

    Por exemplo, cargas de trabalho seguras, como cargas de trabalho PCI (Setor de cartões de pagamento), normalmente exigem outras políticas para atingir a conformidade. Em vez de usar um grupo de gerenciamento para agrupar cargas de trabalho que exigem conformidade com PCI, você pode obter o mesmo isolamento com uma assinatura, sem ter muitos grupos de gerenciamento com poucas assinaturas.

    Se você precisar agrupar muitas assinaturas do mesmo arquétipo de carga de trabalho, crie essas assinaturas em um grupo de gerenciamento.

  • As assinaturas servem como uma unidade de escala para que as cargas de trabalho de componentes possam ser escaladas nos limites de assinatura da plataforma. Verifique se você considera os limites de recursos de assinatura ao projetar suas cargas de trabalho.

  • As assinaturas fornecem um limite de gerenciamento para governança e isolamento, o que separa claramente as preocupações.

  • Crie assinaturas de plataforma separadas para gerenciamento (monitoramento), conectividade e identidade quando forem necessárias.

    • Estabeleça uma assinatura de gerenciamento dedicada em seu grupo de gerenciamento de plataforma para dar suporte a recursos de gerenciamento global, como workspaces de Logs do Azure Monitor e runbooks de Automação do Azure.

    • Estabeleça uma assinatura de identidade dedicada no seu grupo de gerenciamento da plataforma para hospedar os controladores de domínio do Active Directory do Windows Server, quando necessário.

    • Estabeleça uma assinatura de conectividade dedicada em seu grupo de gerenciamento de plataforma para hospedar um hub da WAN Virtual do Azure, DNS (Sistema de Nomes de Domínio) privado, circuito do Azure ExpressRoute e outros recursos de rede. Uma assinatura dedicada garante que todos os seus recursos de rede básicos sejam cobrados juntos e isolados de outras cargas de trabalho.

    • Use as assinaturas como uma unidade de gerenciamento democratizada que se alinha às suas necessidades e prioridades de negócios.

  • Use processos manuais para limitar os locatários do Microsoft Entra a apenas assinaturas de registro do Enterprise Agreement. Ao usar um processo manual, você não pode criar assinaturas do Microsoft Developer Network (MSDN) no escopo do grupo de gerenciamento raiz.

    Para obter suporte, envie um tíquete de suporte do Azure.

    Para obter informações sobre transferências de assinatura entre ofertas de cobrança do Azure, consulte Hub de transferência de assinatura e reserva do Azure.

Considerações sobre várias regiões

Importante

As assinaturas não estão vinculadas a uma região específica e você pode tratá-las como assinaturas globais. Eles são construções lógicas para fornecer controles de cobrança, governança, segurança e identidade para recursos do Azure contidos neles. Portanto, você não precisa de uma assinatura separada para cada região.

  • Você pode adotar uma abordagem multirregional no nível de carga de trabalho único para dimensionamento ou recuperação de desastre geográfico ou em um nível global (cargas de trabalho diferentes em regiões diferentes).

  • Uma única assinatura pode conter recursos de diferentes regiões, dependendo dos requisitos e da arquitetura.

  • Em um contexto de recuperação de desastre geográfico, você pode usar a mesma assinatura para conter recursos de regiões primárias e secundárias porque eles são logicamente parte da mesma carga de trabalho.

  • Você pode implantar ambientes diferentes para a mesma carga de trabalho em regiões diferentes para otimizar os custos e a disponibilidade de recursos.

  • Em uma assinatura que contém recursos de várias regiões, você pode usar grupos de recursos para organizar e conter recursos por região.

Considerações sobre cota e design de capacidade

As regiões do Azure podem ter um número finito de recursos. Como resultado, você deve acompanhar a capacidade disponível e os SKUs para adoções do Azure com vários recursos.

  • Considere os limites e as cotas na plataforma do Azure para cada serviço exigido por suas cargas de trabalho.

  • Considere a disponibilidade dos SKUs necessários nas suas regiões do Azure escolhidas. Por exemplo, novos recursos podem estar disponíveis apenas em determinadas regiões. A disponibilidade de determinados SKUs para determinados recursos, como VMs (máquinas virtuais), pode variar de uma região para outra.

  • Saiba que as cotas de assinatura não são garantias de capacidade e são aplicadas por região.

    Para reservas de capacidade da máquina virtual, confira reserva de capacidade sob demanda.

  • Considere reutilizar assinaturas não utilizadas ou desativadas. Para obter mais informações, consulte Criar ou reutilizar assinaturas do Azure.

Considerações de design de restrição de transferência de locatário

Cada assinatura do Azure é vinculada a um só locatário do Microsoft Entra, que atua como um IdP (provedor de identidade) para a sua assinatura do Azure. Use o locatário do Microsoft Entra para autenticar usuários, serviços e dispositivos.

Quando qualquer usuário tiver as permissões necessárias, ele poderá alterar o locatário do Microsoft Entra vinculado à sua assinatura do Azure. Para saber mais, veja:

Observação

Você não pode transferir para um locatário diferente do Microsoft Entra para assinaturas do CSP (Provedor de Soluções na Nuvem) do Azure.

Para zonas de destino do Azure, você pode definir requisitos para impedir que os usuários transfiram assinaturas para o locatário do Microsoft Entra da sua organização. Para saber mais, confira Gerenciar políticas de assinatura do Azure.

Configure a sua política de assinatura fornecendo uma lista de usuários isentos. Os usuários isentos têm permissão para ignorar as restrições definidas na política.

Importante

Uma lista de usuários isentos não é um Azure Policy.

  • Considere se você deve permitir que os usuários que têm assinaturas do Visual Studio ou do MSDN Azure transfiram sua assinatura de ou para seu locatário do Microsoft Entra.

  • Somente usuários com a função de Administrador Global do Microsoft Entra podem definir as configurações de transferência de locatário. Esses usuários devem ter acesso elevado para alterar a política.

    • Você só pode especificar contas de usuário individuais como usuários isentos, não grupos do Microsoft Entra.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

  • Todos os usuários com acesso ao Azure podem exibir a política definida para seu locatário do Microsoft Entra.

    • Os usuários não podem visualizar sua lista de usuários isentos.

    • Os usuários podem exibir os administradores globais em seu locatário do Microsoft Entra.

  • As assinaturas do Azure que você transfere para um locatário do Microsoft Entra são colocadas no grupo de gerenciamento padrão desse locatário.

  • Se sua organização aprovar, sua equipe de aplicativos poderá definir um processo para permitir que as assinaturas do Azure sejam transferidas de ou para um locatário do Microsoft Entra.

Considerações sobre o design do gerenciamento de custos

Toda grande organização empresarial tem o desafio de gerenciar a transparência de custos. Esta seção explora os principais aspectos para obter transparência de custos em grandes ambientes do Azure.

  • Talvez seja necessário compartilhar modelos de estorno, como o Ambiente do Serviço de Aplicativo e o AKS (Serviço de Kubernetes do Azure), para obter uma densidade mais alta. Os modelos de estorno podem afetar os recursos de PaaS (plataforma como serviço) compartilhada.

  • Use um agendamento de desligamento para cargas de trabalho de não produção a fim de otimizar os custos.

  • Use o Assistente do Azure para obter recomendações para otimizar custos.

  • Estabeleça um modelo de estorno para melhor distribuição de custos em toda a sua organização.

  • Implemente a política para que os usuários não possam implantar recursos não autorizados no ambiente da sua organização.

  • Estabeleça um cronograma e uma cadência regulares para revisar o custo e dimensionar corretamente os recursos para cargas de trabalho.

Recomendações de assinatura

As seções a seguir contêm recomendações para ajudar você a planejar e criar assinaturas para o Azure.

Recomendações de organização e governança

  • Trate as assinaturas como uma unidade de gerenciamento que se alinha às suas necessidades e prioridades de negócios.

  • Informe os proprietários de assinaturas sobre suas funções e responsabilidades.

    • Faça uma revisão de acesso trimestral ou anual para o Microsoft Entra Privileged Identity Management (PIM) para garantir que os privilégios não proliferem quando os usuários se movem dentro de sua organização.

    • Assuma propriedade total dos gastos e dos recursos do orçamento.

    • Garanta a conformidade da política e corrija-a quando necessário.

  • Ao identificar os requisitos para novas assinaturas, consulte os seguintes princípios:

    • Limites de escala: as assinaturas servem como uma unidade de escala para que as cargas de trabalho de componentes sejam escaladas nos limites de assinatura da plataforma. Grandes cargas de trabalho especializadas, como computação de alto desempenho, IoT e SAP, devem usar assinaturas separadas para evitar ultrapassar esses limites.

    • Limite de gerenciamento: as assinaturas fornecem um limite de gerenciamento para governança e isolamento, o que permite uma separação clara de preocupações. Vários ambientes, como ambientes de desenvolvimento, teste e produção, geralmente são removidos de uma perspectiva de gerenciamento.

    • Limite de política: as assinaturas servem como um limite para as atribuições do Azure Policy. Por exemplo, cargas de trabalho seguras, como cargas de trabalho PCI, normalmente exigem outras políticas para alcançar a conformidade. A outra sobrecarga não será considerada se você usar uma assinatura separada. Os ambientes de desenvolvimento têm requisitos de política mais relaxados do que os ambientes de produção.

    • Topologia de rede de destino: você não pode compartilhar redes virtuais entre assinaturas, mas pode conectá-las a diferentes tecnologias, como emparelhamento de rede virtual ou ExpressRoute. Ao decidir se você precisa de uma nova assinatura, considere quais cargas de trabalho precisam se comunicar entre si.

  • Agrupe assinaturas em grupos de gerenciamento, que estão alinhados com a estrutura do seu grupo de gerenciamento e os requisitos de política. Assinaturas de grupo para garantir que as assinaturas com o mesmo conjunto de políticas e atribuições de função do Azure venham do mesmo grupo de gerenciamento.

  • Estabeleça uma assinatura de gerenciamento dedicada em seu Platform grupo de gerenciamento para dar suporte a recursos de gerenciamento global, como workspaces de Logs do Azure Monitor e runbooks de Automação.

  • Estabeleça uma assinatura de identidade dedicada no seu grupo de gerenciamento Platform para hospedar os controladores de domínio do Windows Server Active Directory, quando necessário.

  • Estabeleça uma assinatura de conectividade dedicada em seu Platform grupo de gerenciamento para hospedar um hub de WAN Virtual, DNS privado, circuito do ExpressRoute e outros recursos de rede. Uma assinatura dedicada garante que todos os seus recursos de rede básicos sejam cobrados juntos e isolados de outras cargas de trabalho.

  • Evite um modelo de assinatura rígido. Em vez disso, opte por um conjunto de critérios flexíveis para agrupar as assinaturas em toda a sua organização. Essa flexibilidade garante que, à medida que a estrutura da sua organização e a composição da carga de trabalho forem alteradas, você poderá criar grupos de assinaturas em vez de usar um conjunto fixo de assinaturas existentes. Um tamanho não se ajusta a todas as assinaturas e o que funciona para uma unidade de negócios pode não funcionar para outra. Alguns aplicativos podem coexistir na mesma assinatura da zona de destino, enquanto outros podem exigir a própria assinatura.

    Para obter mais informações, consulte Lidar com zonas de destino de carga de trabalho de desenvolvimento/teste/produção.

Recomendações de várias regiões

  • Crie assinaturas adicionais para cada região somente se você tiver requisitos de governança e gerenciamento específicos da região, por exemplo, soberania de dados ou para escalar além dos limites de cota.

  • Se o dimensionamento não for uma preocupação para um ambiente de recuperação de desastre geográfico que abrange várias regiões, use a mesma assinatura para os recursos da região primária e secundária. Alguns serviços do Azure, dependendo da estratégia e das ferramentas de BCDR (continuidade dos negócios e recuperação de desastre) que você adotar, talvez precisem usar a mesma assinatura. Em um cenário ativo-ativo, em que as implantações são gerenciadas de forma independente ou têm ciclos de vida diferentes, recomendamos que você use assinaturas diferentes.

  • A região em que você cria um grupo de recursos e a região dos recursos contidos devem corresponder para que não afetem a resiliência e a confiabilidade.

  • Um único grupo de recursos não deve conter recursos de regiões diferentes. Essa abordagem pode levar a problemas com o gerenciamento e a disponibilidade de recursos.

Recomendações de capacidade e cota

  • Use assinaturas como unidades de escala e escale horizontalmente os recursos e assinaturas, conforme o necessário. Sua carga de trabalho pode usar os recursos necessários para escalar horizontalmente sem atingir os limites de assinatura na plataforma do Azure.

  • Use reservas de capacidade para gerenciar a capacidade em algumas regiões. Sua carga de trabalho pode ter a capacidade necessária para recursos de alta demanda em uma região específica.

  • Estabeleça um painel que tenha exibições personalizadas para monitorar os níveis de capacidade usados e configure alertas se a capacidade se aproximar de níveis críticos, como 90% de uso da CPU.

  • Aumente as solicitações de suporte para aumentos de cota no provisionamento de assinatura, como para o total de núcleos de VM disponíveis em uma assinatura. Garanta que os limites de cota estejam definidos antes que suas cargas de trabalho excedam os limites padrão.

  • Verifique se os serviços e recursos necessários estão disponíveis nas regiões de implantação escolhidas.

Recomendações de automação

  • Crie um processo de venda automática de assinaturas para automatizar a criação de assinaturas para equipes de aplicativos por meio de um fluxo de trabalho de solicitação. Para saber mais, confira Venda de assinaturas.

Recomendações de restrição de transferência de locatário

  • Defina as seguintes configurações para impedir que os usuários transfiram assinaturas do Azure de ou para seu locatário do Microsoft Entra:

    • Defina Assinatura saindo do diretório Microsoft Entra como Permit no one.

    • Defina Assinatura entrando no diretório do Microsoft Entra como Permit no one.

  • Configure uma lista limitada de usuários isentos.

    • Inclua membros de uma equipe de operações da plataforma Azure.

    • Inclua contas de emergência na lista de usuários isentos.

Próxima etapa

Adote proteções orientadas por políticas