Considerações e recomendações de assinatura

As assinaturas são uma unidade de gerenciamento, cobrança e escala no Azure. Elas desempenham uma função crítica quando você está projetando a adoção do Azure em larga escala. Este artigo pode ajudar você a capturar requisitos de assinatura e criar assinaturas de destino com base em fatores críticos, que se baseiam em:

• tipo de ambiente
• Modelo de propriedade e governança
• Estrutura organizacional
• Portfólios de aplicativos

Dica

Discutimos este tópico em um vídeo recente do YouTube: Zonas de aterrissagem do Azure - Quantas assinaturas devo usar no Azure?

Observação

Você deve revisar os limites de assinatura conforme documentado em Contas e escopos de cobrança no portal do Azure. Essas diretrizes são voltadas principalmente para clientes que usam Contratos Empresariais, Contratos de Cliente da Microsoft (Enterprise) ou Contratos de Parceiro da Microsoft (CSP).

Considerações sobre assinaturas

As seções a seguir contêm considerações para ajudar você a planejar e criar assinaturas para o Azure.

Considerações de design de governança e organização

• As assinaturas servem como limites para as atribuições de políticas do Azure.

  • Por exemplo, cargas de trabalho seguras, como cargas de trabalho PCI (Setor de cartões de pagamento), normalmente exigem outras políticas para atingir a conformidade. Em vez de usar um grupo de gerenciamento para agrupar cargas de trabalho que exigem conformidade com PCI, você pode obter o mesmo isolamento com uma assinatura, sem ter muitos grupos de gerenciamento com poucas assinaturas.

    • Se você precisar agrupar muitas assinaturas do mesmo arquétipo de carga de trabalho, crie essas assinaturas em um grupo de gerenciamento.

• As assinaturas servem como uma unidade de escala para que as cargas de trabalho de componentes possam ser escaladas nos limites de assinatura da plataforma. Verifique se você considera os limites de recursos de assinatura ao projetar suas cargas de trabalho.

• As assinaturas fornecem um limite de gerenciamento para governança e isolamento, o que separa claramente as preocupações.

• Crie assinaturas de plataforma separadas para gerenciamento (monitoramento), conectividade e identidade quando forem necessárias.

  • Estabeleça uma assinatura de gerenciamento dedicada no seu grupo de gerenciamento da plataforma para dar suporte a funcionalidades de gerenciamento global, como o Azure Monitor, os workspaces do Log Analytics e os runbooks da Automação do Azure.
    • Estabeleça uma assinatura de identidade dedicada no seu grupo de gerenciamento da plataforma para hospedar os controladores de domínio do Active Directory do Windows Server, quando necessário.
    • Estabeleça uma assinatura de conectividade dedicada no seu grupo de gerenciamento da plataforma para hospedar um hub da WAN Virtual do Azure, um DNS (Sistema de Nomes de Domínio) privado, um circuito do ExpressRoute e outros recursos de rede. Uma assinatura dedicada garante que todos os seus recursos de rede básicos sejam cobrados juntos e isolados de outras cargas de trabalho.
    • Use as assinaturas como uma unidade de gerenciamento democratizada alinhada às suas necessidades e prioridades comerciais.

• Use processos manuais para limitar os locatários do Microsoft Entra apenas a assinaturas de registro do Enterprise Agreement. O uso de um processo manual impede a criação de assinaturas do Microsoft Developer Network no escopo do grupo de gerenciamento raiz.

  • Para obter suporte, envie um tíquete de suporte ao Azure.

• Confira o hub de transferência de assinatura e reserva do Azure para transferências de assinaturas entre as ofertas de cobrança do Azure.

Considerações sobre cota e design de capacidade

As regiões do Azure podem ter um número finito de recursos. Como resultado, a capacidade disponível e os SKUs devem ser acompanhados para adoções do Azure que envolvam uma grande quantidade de recursos.

• Considere os limites e as cotas na plataforma do Azure para cada serviço exigido por suas cargas de trabalho.

• Considere a disponibilidade dos SKUs necessários nas suas regiões do Azure escolhidas. Por exemplo, novos recursos podem estar disponíveis apenas em determinadas regiões. A disponibilidade de determinados SKUs para recursos especificados, como VMs, pode ser diferente de uma região para outra.

• Saiba que as cotas de assinatura não são garantias de capacidade e são aplicadas por região.

  • Para reservas de capacidade da máquina virtual, confira reserva de capacidade sob demanda.

• Reutilize assinaturas não usadas ou desativadas de acordo com as diretrizes em Devemos criar uma nova Assinatura do Azure todas as vezes ou podemos, e devemos, reutilizar assinaturas do Azure? – Perguntas frequentes sobre zonas de destino do Azure.

Considerações de design de restrição de transferência de locatário

Cada assinatura do Azure é vinculada a um único locatário do Microsoft Entra, que atua como um provedor de identidade (IdP) para sua assinatura do Azure. O locatário do Microsoft Entra é usado para autenticar usuários, serviços e dispositivos.

O locatário do Microsoft Entra vinculado à sua assinatura do Azure pode ser alterado por qualquer usuário com as permissões necessárias. Esse processo é detalhado nos seguintes artigos:

• Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra
• Transferir uma assinatura do Azure para um diretório diferente do Microsoft Entra

Observação

Não há suporte para a transferência para outro locatário do Microsoft Entra para assinaturas do CSP (Provedor de Soluções de Nuvem) do Azure.

Com as zonas de aterrissagem do Azure, você pode definir requisitos para impedir que os usuários transfiram assinaturas para o locatário do Microsoft Entra da sua organização. Revise o processo em Gerenciar políticas de assinatura do Azure.

Configure a sua política de assinatura fornecendo uma lista de usuários isentos. Os usuários isentos têm permissão para ignorar as restrições definidas na política.

Importante

Uma lista de usuários isentos não é um Azure Policy.

• Considere se os usuários com assinaturas do Visual Studio/MSDN Azure devem ter permissão para transferir sua assinatura de ou para seu locatário do Microsoft Entra.

• As configurações de transferência de locatário só são configuráveis por usuários com a função de Administrador Global do Microsoft Entra atribuída. Esses usuários precisam ter acesso elevado para alterar a política.

  • Você só pode especificar contas de usuário individuais como usuários isentos, não grupos do Microsoft Entra.

• Todos os usuários com acesso ao Azure podem exibir a política definida para seu locatário do Microsoft Entra.

  • Os usuários não podem visualizar sua lista de usuários isentos.

  • Os usuários podem exibir os administradores globais em seu locatário do Microsoft Entra.

• As assinaturas do Azure transferidas para um locatário do Microsoft Entra são colocadas no grupo de gerenciamento padrão desse locatário.

• Se aprovado por sua organização, sua equipe de aplicativos poderá definir um processo para permitir que as assinaturas do Azure sejam transferidas de ou para um locatário do Microsoft Entra.

Estabelecer considerações de design de gerenciamento de custos

A transparência de custos é um desafio de gerenciamento crítico enfrentado por todas as grandes organizações empresariais. Esta seção do artigo explora os principais aspectos de obtenção de transparência de custos em grandes ambientes do Azure.

• Talvez seja necessário compartilhar modelos de estorno, como o Ambiente do Serviço de Aplicativo do Azure e o Serviço de Kubernetes do Azure, para obter maior densidade. Os recursos de PaaS (plataforma como serviço) compartilhados podem ser afetados por modelos de estorno.

• Use um agendamento de desligamento para cargas de trabalho de não produção a fim de otimizar os custos.

• Use o Assistente do Azure para verificar as recomendações de otimização de custos.

• Estabeleça um modelo de cobrança de volta para uma melhor distribuição de custo em toda a sua organização.

• Implemente a política para impedir a implantação de recursos não autorizados a serem implantados no ambiente da sua organização.

• Estabeleça uma agenda e uma cadência regulares para examinar os recursos de custo e tamanho certo para cargas de trabalho.

Recomendações de assinaturas

As seções a seguir contêm recomendações para ajudar você a planejar e criar assinaturas para o Azure.

Recomendações de organização e governança

• Trate as assinaturas como uma unidade de gerenciamento alinhada às suas necessidades e prioridades comerciais.

• Conscientize os proprietários da assinatura das respectivas funções e responsabilidades.

  • Faça uma revisão de acesso trimestral ou anual para o Microsoft Entra Privileged Identity Management para garantir que os privilégios não proliferem à medida que os usuários se movem dentro de sua organização.
  • Assuma propriedade total dos gastos e dos recursos do orçamento.
  • Garanta a conformidade da política e corrija-a quando necessário.

• Faça referência aos seguintes princípios à medida que você identifica os requisitos para novas assinaturas:

  • Limites de escala: as assinaturas servem como uma unidade de escala para que as cargas de trabalho de componentes sejam escaladas nos limites de assinatura da plataforma. Cargas de trabalho grandes e especializadas, como computação de alto desempenho, IoT e SAP, devem usar assinaturas separadas para evitar a extrapolação desses limites.
  • Limite de gerenciamento: as assinaturas fornecem um limite de gerenciamento para governança e isolamento, permitindo uma separação clara de preocupações. Ambientes diferentes – como desenvolvimento, teste e produção – costumam ser removidos de uma perspectiva de gerenciamento.
  • Limite de política: as assinaturas servem como um limite para as atribuições do Azure Policy. Por exemplo, cargas de trabalho seguras, como PCI, normalmente exigem outras políticas para atingir a conformidade. A outra sobrecarga não será considerada se você usar uma assinatura separada. Os ambientes de desenvolvimento têm requisitos de política mais relaxados do que os ambientes de produção.
  • Topologia de rede de destino: você não pode compartilhar redes virtuais entre assinaturas, mas pode conectá-las com tecnologias diferentes, como o emparelhamento de rede virtual ou o Azure ExpressRoute. Ao decidir se você precisa de uma nova assinatura, considere quais cargas de trabalho precisam se comunicar entre si.

• Agrupe assinaturas em grupos de gerenciamento, que estão alinhados com a estrutura do seu grupo de gerenciamento e os requisitos de política. O agrupamento de assinaturas garante que aquelas com o mesmo conjunto de políticas e atribuições de função do Azure venham de um grupo de gerenciamento.

• Estabeleça uma assinatura de gerenciamento dedicada no seu grupo de gerenciamento Platform para dar suporte a funcionalidades de gerenciamento global, como o Azure Monitor, os workspaces do Log Analytics e os runbooks da Automação do Azure.

• Estabeleça uma assinatura de identidade dedicada no seu grupo de gerenciamento Platform para hospedar os controladores de domínio do Windows Server Active Directory, quando necessário.

• Estabeleça uma assinatura de conectividade dedicada no seu grupo de gerenciamento Platform para hospedar um hub da WAN Virtual do Azure, um DNS (Sistema de Nomes de Domínio) privado, um circuito do ExpressRoute e outros recursos de rede. Uma assinatura dedicada garante que todos os seus recursos de rede básicos sejam cobrados juntos e isolados de outras cargas de trabalho.

• Evite um modelo de assinatura rígido. Em vez disso, opte por um conjunto de critérios flexíveis para agrupar as assinaturas em toda a sua organização. Essa flexibilidade garante que, à medida que a estrutura da sua organização e a composição da carga de trabalho forem alteradas, você poderá criar grupos de assinaturas em vez de usar um conjunto fixo de assinaturas existentes. Um tamanho não se ajusta a todas as assinaturas e o que funciona para uma unidade de negócios pode não funcionar para outra. Alguns aplicativos podem coexistir na mesma assinatura da zona de destino, enquanto outros podem exigir a própria assinatura.

  • Para saber mais, confira Como as zonas de destino de cargas de trabalho de desenvolvimento/teste/produção são manipuladas na arquitetura de zona de destino do Azure?.

Recomendações de capacidade e cota

• Use assinaturas como unidades de escala e escale horizontalmente os recursos e assinaturas, conforme o necessário. Sua carga de trabalho pode usar os recursos necessários para escalar horizontalmente, sem atingir os limites de assinatura na plataforma do Azure.

• Use reservas de capacidade para gerenciar a capacidade em algumas regiões. Sua carga de trabalho pode ter a capacidade necessária para recursos de alta demanda em uma região específica.

• Estabeleça um painel com exibições personalizadas para monitorar os níveis de capacidade usados e configurar alertas se a capacidade estiver se aproximando de níveis críticos (90% de uso da CPU).

• Aumente as solicitações de suporte para aumentos de cota no provisionamento de assinatura, como para o total de núcleos de VM disponíveis em uma assinatura. Garanta que os limites de cota estejam definidos antes que suas cargas de trabalho excedam os limites padrão.

• Verifique se os serviços e recursos necessários estão disponíveis nas regiões de implantação escolhidas.

Recomendações de automação

• Crie um processo de venda automática de assinaturas para automatizar a criação de Assinaturas para equipes de aplicativos por meio de um fluxo de trabalho de solicitação, conforme descrito em Venda de assinaturas.

Recomendações de restrição de transferência de locatário

• Defina as seguintes configurações para impedir que os usuários transfiram assinaturas do Azure de ou para seu locatário do Microsoft Entra:

  • Defina Assinatura deixando o diretório Microsoft Entra como Permit no one.

  • Defina Assinatura inserindo o diretório Microsoft Entra como Permit no one.

• Configure uma lista limitada de usuários isentos.

  • Inclua membros de uma equipe do Azure PlatformOps (operações de plataforma).
  • Inclua contas de emergência na lista de usuários isentos.

Próximas etapas

Adote guarda-corpos orientados por políticas