Compartilhar via

Considerações e recomendações de assinatura

  • Artigo

As assinaturas são uma unidade de gerenciamento, cobrança e escala no Azure. Eles desempenham um papel crítico quando você projeta para adoção em larga escala do Azure. Este artigo ajuda você a capturar requisitos de assinatura e projetar assinaturas de destino com base em fatores críticos que variam dependendo de:

  • Tipos de ambiente
  • Modelos de propriedade e governança
  • Estruturas organizacionais
  • Portfólios de aplicativos
  • Regiões

Dica

Para obter mais informações sobre assinaturas, consulte o vídeo do YouTube: Zonas de aterrissagem do Azure - Quantas assinaturas devo usar no Azure?

Observação

Se você usar Enterprise Agreements, Microsoft Customer Agreements (Enterprise) ou Microsoft Partner Agreements (CSP), revise os limites de assinatura em Contas de cobrança e escopos no portal do Azure.

Considerações sobre assinatura

As seções a seguir contêm considerações para ajudar você a planejar e criar assinaturas para o Azure.

Considerações de design de governança e organização

  • As assinaturas servem como limites para as atribuições de políticas do Azure.

    Por exemplo, cargas de trabalho seguras, como cargas de trabalho PCI (Setor de cartões de pagamento), normalmente exigem outras políticas para atingir a conformidade. Em vez de usar um grupo de gerenciamento para agrupar cargas de trabalho que exigem conformidade com PCI, você pode obter o mesmo isolamento com uma assinatura, sem ter muitos grupos de gerenciamento com poucas assinaturas.

    Se você precisar agrupar muitas assinaturas do mesmo arquétipo de carga de trabalho, crie essas assinaturas em um grupo de gerenciamento.

  • As assinaturas servem como uma unidade de escala para que as cargas de trabalho de componentes possam ser escaladas nos limites de assinatura da plataforma. Verifique se você considera os limites de recursos de assinatura ao projetar suas cargas de trabalho.

  • As assinaturas fornecem um limite de gerenciamento para governança e isolamento, o que separa claramente as preocupações.

  • Crie assinaturas de plataforma separadas para gerenciamento (monitoramento), conectividade e identidade quando forem necessárias.

    • Estabeleça uma assinatura de gerenciamento dedicada em seu grupo de gerenciamento de plataforma para dar suporte a recursos de gerenciamento global, como espaços de trabalho de Logs do Azure Monitor e runbooks de Automação do Azure.

    • Estabeleça uma assinatura de identidade dedicada no seu grupo de gerenciamento da plataforma para hospedar os controladores de domínio do Active Directory do Windows Server, quando necessário.

    • Estabeleça uma assinatura de conectividade dedicada em seu grupo de gerenciamento de plataforma para hospedar um hub de WAN Virtual do Azure, DNS (Sistema de Nomes de Domínio) privado, circuito da Rota Expressa do Azure e outros recursos de rede. Uma assinatura dedicada garante que todos os seus recursos de rede básicos sejam cobrados juntos e isolados de outras cargas de trabalho.

    • Use as assinaturas como uma unidade democratizada de gerenciamento que se alinha às necessidades e prioridades da sua empresa.

  • Use processos manuais para limitar os locatários do Microsoft Entra a apenas assinaturas de registro do Enterprise Agreement. Quando você usa um processo manual, não é possível criar assinaturas do MSDN (Microsoft Developer Network) no escopo do grupo de gerenciamento raiz.

    Para obter suporte, envie um tíquete de suporte do Azure.

    Para obter informações sobre transferências de assinatura entre ofertas de cobrança do Azure, consulte Hub de transferência de assinatura e reserva do Azure.

Considerações sobre várias regiões

Importante

As assinaturas não estão vinculadas a uma região específica e você pode tratá-las como assinaturas globais. Eles são construções lógicas para fornecer controles de cobrança, governança, segurança e identidade para os recursos do Azure contidos neles. Portanto, você não precisa de uma assinatura separada para cada região.

  • Você pode adotar uma abordagem multirregional no nível de carga de trabalho único para dimensionamento ou recuperação de desastres geográficos ou em um nível global (cargas de trabalho diferentes em regiões diferentes).

  • Uma única assinatura pode conter recursos de diferentes regiões, dependendo dos requisitos e da arquitetura.

  • Em um contexto de recuperação de desastres geográficos, você pode usar a mesma assinatura para conter recursos de regiões primárias e secundárias porque eles são logicamente parte da mesma carga de trabalho.

  • Você pode implantar ambientes diferentes para a mesma carga de trabalho em regiões diferentes para otimizar os custos e a disponibilidade de recursos.

  • Em uma assinatura que contém recursos de várias regiões, você pode usar grupos de recursos para organizar e conter recursos por região.

Considerações sobre cota e design de capacidade

As regiões do Azure podem ter um número finito de recursos. Como resultado, você deve controlar a capacidade disponível e as SKUs para adoções do Azure com vários recursos.

  • Considere os limites e as cotas na plataforma do Azure para cada serviço exigido por suas cargas de trabalho.

  • Considere a disponibilidade dos SKUs necessários nas suas regiões do Azure escolhidas. Por exemplo, novos recursos podem estar disponíveis apenas em determinadas regiões. A disponibilidade de determinadas SKUs para determinados recursos, como máquinas virtuais (VMs), pode variar de uma região para outra.

  • Saiba que as cotas de assinatura não são garantias de capacidade e são aplicadas por região.

    Para reservas de capacidade da máquina virtual, confira reserva de capacidade sob demanda.

  • Considere reutilizar assinaturas não utilizadas ou descomissionadas. Para obter mais informações, consulte Criar ou reutilizar assinaturas do Azure.

Considerações de design de restrição de transferência de locatário

Cada assinatura do Azure é vinculada a um só locatário do Microsoft Entra, que atua como um IdP (provedor de identidade) para a sua assinatura do Azure. Use o locatário do Microsoft Entra para autenticar usuários, serviços e dispositivos.

Quando qualquer usuário tiver as permissões necessárias, ele poderá alterar o locatário do Microsoft Entra vinculado à sua assinatura do Azure. Para saber mais, veja:

Observação

Não é possível transferir para um locatário diferente do Microsoft Entra para assinaturas do CSP (Provedor de Soluções em Nuvem) do Azure.

Para zonas de aterrissagem do Azure, você pode definir requisitos para impedir que os usuários transfiram assinaturas para o locatário do Microsoft Entra da sua organização. Para saber mais, confira Gerenciar políticas de assinatura do Azure.

Configure a sua política de assinatura fornecendo uma lista de usuários isentos. Os usuários isentos têm permissão para ignorar as restrições definidas na política.

Importante

Uma lista de usuários isentos não é uma Política do Azure.

  • Considere se você deve permitir que os usuários que têm assinaturas do Visual Studio ou MSDN Azure transfiram suas assinaturas de ou para seu locatário do Microsoft Entra.

  • Somente usuários com a função de Administrador Global do Microsoft Entra podem definir as configurações de transferência de locatário. Esses usuários devem ter acesso elevado para alterar a política.

    • Você só pode especificar contas de usuário individuais como usuários isentos, não grupos do Microsoft Entra.

  • Todos os usuários com acesso ao Azure podem exibir a política definida para seu locatário do Microsoft Entra.

    • Os usuários não podem visualizar sua lista de usuários isentos.

    • Os usuários podem exibir os administradores globais em seu locatário do Microsoft Entra.

  • As assinaturas do Azure que você transfere para um locatário do Microsoft Entra são colocadas no grupo de gerenciamento padrão desse locatário.

  • Se sua organização aprovar, sua equipe de aplicativos poderá definir um processo para permitir que as assinaturas do Azure sejam transferidas de ou para um locatário do Microsoft Entra.

Considerações sobre o design do gerenciamento de custos

Toda grande organização empresarial tem o desafio de gerenciar a transparência de custos. Esta seção explora os principais aspectos para obter transparência de custos em grandes ambientes do Azure.

  • Talvez seja necessário compartilhar modelos de chargeback, como o Ambiente do Serviço de Aplicativo e o Serviço de Kubernetes do Azure (AKS), para obter maior densidade. Os modelos de estorno podem afetar os recursos de PaaS (plataforma como serviço) compartilhados.

  • Use um agendamento de desligamento para cargas de trabalho de não produção a fim de otimizar os custos.

  • Use o Azure Advisor para obter recomendações para otimizar custos.

  • Estabeleça um modelo de estorno para uma melhor distribuição do custo em toda a sua organização.

  • Implemente a política para que os usuários não possam implantar recursos não autorizados no ambiente da sua organização.

  • Estabeleça um cronograma e uma cadência regulares para revisar o custo e os recursos do tamanho certo para cargas de trabalho.

Recomendações de assinatura

As seções a seguir contêm recomendações para ajudar você a planejar e criar assinaturas para o Azure.

Recomendações de organização e governança

  • Trate as assinaturas como uma unidade de gerenciamento que se alinha às suas necessidades e prioridades de negócios.

  • Informe os proprietários de assinaturas sobre suas funções e responsabilidades.

    • Faça uma revisão de acesso trimestral ou anual para o Microsoft Entra Privileged Identity Management (PIM) para garantir que os privilégios não proliferem quando os usuários se movem dentro de sua organização.

    • Assuma propriedade total dos gastos e dos recursos do orçamento.

    • Garanta a conformidade da política e corrija-a quando necessário.

  • Ao identificar requisitos para novas assinaturas, faça referência aos seguintes princípios:

    • Limites de escala: as assinaturas servem como uma unidade de escala para que as cargas de trabalho de componentes sejam escaladas nos limites de assinatura da plataforma. Grandes cargas de trabalho especializadas, como computação de alto desempenho, IoT e SAP, devem usar assinaturas separadas para evitar esbarrar nesses limites.

    • Limite de gerenciamento: as assinaturas fornecem um limite de gerenciamento para governança e isolamento, o que permite uma separação clara de preocupações. Vários ambientes, como ambientes de desenvolvimento, teste e produção, geralmente são removidos de uma perspectiva de gerenciamento.

    • Limite de política: as assinaturas servem como um limite para as atribuições do Azure Policy. Por exemplo, cargas de trabalho seguras, como cargas de trabalho PCI, geralmente exigem outras políticas para obter conformidade. A outra sobrecarga não será considerada se você usar uma assinatura separada. Os ambientes de desenvolvimento têm requisitos de política mais relaxados do que os ambientes de produção.

    • Topologia de rede de destino: você não pode compartilhar redes virtuais entre assinaturas, mas pode conectá-las a diferentes tecnologias, como emparelhamento de rede virtual ou Rota Expressa. Quando você decidir se precisa de uma nova assinatura, considere quais cargas de trabalho precisam se comunicar entre si.

  • Agrupe assinaturas em grupos de gerenciamento, que estão alinhados com a estrutura do seu grupo de gerenciamento e os requisitos de política. Assinaturas de grupo para garantir que as assinaturas com o mesmo conjunto de políticas e atribuições de função do Azure venham do mesmo grupo de gerenciamento.

  • Estabeleça uma assinatura de gerenciamento dedicada em seu Platform grupo de gerenciamento para dar suporte a recursos de gerenciamento global, como espaços de trabalho de Logs do Monitor do Azure e runbooks de automação.

  • Estabeleça uma assinatura de identidade dedicada no seu grupo de gerenciamento Platform para hospedar os controladores de domínio do Windows Server Active Directory, quando necessário.

  • Estabeleça uma assinatura de conectividade dedicada em seu Platform grupo de gerenciamento para hospedar um hub WAN Virtual, DNS privado, circuito de Rota Expressa e outros recursos de rede. Uma assinatura dedicada garante que todos os seus recursos de rede básicos sejam cobrados juntos e isolados de outras cargas de trabalho.

  • Evite um modelo de assinatura rígido. Em vez disso, opte por um conjunto de critérios flexíveis para agrupar as assinaturas em toda a sua organização. Essa flexibilidade garante que, à medida que a estrutura da sua organização e a composição da carga de trabalho forem alteradas, você poderá criar grupos de assinaturas em vez de usar um conjunto fixo de assinaturas existentes. Um tamanho não se ajusta a todas as assinaturas e o que funciona para uma unidade de negócios pode não funcionar para outra. Alguns aplicativos podem coexistir na mesma assinatura da zona de destino, enquanto outros podem exigir a própria assinatura.

    Para obter mais informações, consulte Manipular zonas de aterrissagem de carga de trabalho de desenvolvimento/teste/produção.

Recomendações de várias regiões

  • Crie assinaturas adicionais para cada região somente se você tiver requisitos de governança e gerenciamento específicos da região, por exemplo, soberania de dados ou para dimensionar além dos limites de cota.

  • Se o dimensionamento não for uma preocupação para um ambiente de recuperação de desastres geográficos que abrange várias regiões, use a mesma assinatura para os recursos da região primária e secundária. Alguns serviços do Azure, dependendo da estratégia e das ferramentas de continuidade de negócios e recuperação de desastres (BCDR) que você adota, talvez precisem usar a mesma assinatura. Em um cenário ativo-ativo, em que as implantações são gerenciadas independentemente ou têm ciclos de vida diferentes, recomendamos que você use assinaturas diferentes.

  • A região onde você cria um grupo de recursos e a região dos recursos contidos devem corresponder para que não afetem a resiliência e a confiabilidade.

  • Um único grupo de recursos não deve conter recursos de regiões diferentes. Essa abordagem pode levar a problemas com o gerenciamento e a disponibilidade de recursos.

Recomendações de capacidade e cota

  • Use assinaturas como unidades de escala e escale horizontalmente os recursos e assinaturas, conforme o necessário. Sua carga de trabalho pode usar os recursos necessários para dimensionamento sem atingir os limites de assinatura na plataforma Azure.

  • Use reservas de capacidade para gerenciar a capacidade em algumas regiões. Sua carga de trabalho pode ter a capacidade necessária para recursos de alta demanda em uma região específica.

  • Estabeleça um painel que tenha exibições personalizadas para monitorar os níveis de capacidade usados e configure alertas se a capacidade se aproximar de níveis críticos, como 90% de uso da CPU.

  • Aumente as solicitações de suporte para aumentos de cota no provisionamento de assinatura, como para o total de núcleos de VM disponíveis em uma assinatura. Garanta que os limites de cota estejam definidos antes que suas cargas de trabalho excedam os limites padrão.

  • Verifique se os serviços e recursos necessários estão disponíveis nas regiões de implantação escolhidas.

Recomendações de automação

  • Crie um processo de venda automática de assinaturas para automatizar a criação de assinaturas para equipes de aplicativos por meio de um fluxo de trabalho de solicitação. Para saber mais, confira Venda de assinaturas.

Recomendações de restrição de transferência de locatário

  • Defina as seguintes configurações para impedir que os usuários transfiram assinaturas do Azure de ou para seu locatário do Microsoft Entra:

    • Defina Assinatura deixando o diretório Microsoft Entra como Permit no one.

    • Defina Assinatura inserindo o diretório Microsoft Entra como Permit no one.

  • Configure uma lista limitada de usuários isentos.

    • Inclua membros de uma equipe de operações da plataforma Azure.

    • Inclua contas de emergência na lista de usuários isentos.

Próxima etapa

Adote guarda-corpos orientados por políticas