Venda de assinaturas

A venda de assinaturas fornece um mecanismo de plataforma para emitir assinaturas programaticamente para equipes de aplicativos que precisam implantar cargas de trabalho. O diagrama a seguir mostra onde a oferta de assinatura se encaixa nos ciclos de vida da plataforma e da carga de trabalho.

A etapa 1 é criar as assinaturas da plataforma. A etapa 2 é criar a plataforma. A etapa 3 é estabelecer a venda de assinaturas. A etapa 4 é implantar cargas de trabalho. As etapas 1 e 2 se alinham à plataforma. A etapa 3, a venda de assinaturas, se sobrepõe à plataforma e à zona de destino do aplicativo. A etapa 4 é uma etapa focada no aplicativo.

A venda por assinatura baseia-se no conceito de democratização da assinatura e aplica-o às zonas de pouso de aplicativos. Com a democratização da assinatura, as assinaturas, não os grupos de recursos, são as unidades primárias de gerenciamento e escala de carga de trabalho. Para obter mais informações, consulte:

• Zonas de destino da plataforma versus zonas de destino do aplicativo
• Abordagem democratizada para assinaturas
• Quantas assinaturas devo usar no Azure (YouTube)?

Por que a venda por assinatura?

A oferta de assinaturas oferece vários benefícios para organizações que precisam implementar cargas de trabalho no Azure. Ele padroniza e automatiza o processo de solicitação, implantação e controle de assinaturas para zonas de destino do aplicativo. A venda de assinaturas simplifica o processo de criação da assinatura e o coloca sob a governança da organização, para que as equipes de aplicativos possam se concentrar na implantação de suas cargas de trabalho com maior confiança e eficiência.

• Processo simplificado: A distribuição de assinaturas fornece uma porta de entrada oficial para as equipes de desenvolvimento de aplicativos solicitarem assinaturas, eliminando a necessidade de navegarem pelo processo de assinatura por conta própria.
• Velocidade aprimorada: As equipes de aplicativos podem acessar as zonas de destino do aplicativo mais rapidamente e integrar cargas de trabalho mais rapidamente.
• Governança eficiente: A equipe de plataforma pode impor a governança em zonas de destino do aplicativo com sobrecarga mínima.

Como implementar a venda de assinaturas

A venda de assinaturas envolve três equipes. O CCoE (Cloud Center of Excellence) estabelece a lógica de negócios e o processo de aprovação. Quando estiver pronto, as equipes de aplicativos fazem solicitações de assinatura. A equipe da plataforma usa a solicitação para criar e configurar a assinatura antes de entregar a assinatura à equipe de aplicativos. A equipe de aplicativos atualiza o orçamento, implanta a carga de trabalho e estabelece operações. As diretrizes a seguir fornecem mais detalhes sobre cada etapa do processo de comercialização de assinaturas. Para obter mais informações, confira Diretrizes de implementação de venda de assinaturas.

As equipes de plataforma podem oferecer muitas opções e tipos de assinatura para as equipes de desenvolvimento de aplicativos. Esses tipos são chamados de linhas de produto porque se relacionam com princípios e práticas de engenharia de plataforma. Para obter mais informações sobre como escolher a opção que melhor atende às suas necessidades, consulte Linhas de produtos de venda automática de assinatura comuns.

Estabelecer o processo de aprovação e lógica de negócios

Para implementar o modelo de venda automática de assinatura, é necessário estabelecer um processo de aprovação que colete informações essenciais da assinatura. O CCoE (Cloud Center of Excellence) deve programar o processo de aprovação e estabelecer regras de negócios em torno das informações a serem coletadas.

Automatizar o processo. Você deve automatizar o processo de captura e aprovação de solicitação de assinatura para provisionamento mais rápido e conformidade aprimorada.

Integração com as ferramentas existentes. Você deve integrar o processo de aprovação de venda de assinaturas à sua ferramenta de ITSM (gerenciamento de serviços de TI) existente. A integração pode simplificar o processo de aprovação, reduzir o esforço manual e melhorar a eficiência, reduzindo erros. Isso também facilita a manutenção ao longo do tempo e ajuda no relatório de conformidade para auditorias.

Conecte-se ao pipeline de implantação. É uma prática recomendada vincular a lógica de negócios do processo de aprovação ao pipeline de implantação de assinaturas que a equipe de plataforma gerencia. Os fluxos de trabalho do Azure Pipelines ou do GitHub Actions são soluções comuns para o pipeline de implantação de assinatura.

Reúna os requisitos na entrada. A lógica de negócios deve permitir que as equipes de aplicativos solicitem uma assinatura e forneçam requisitos de assinatura. Esses requisitos devem incluir orçamentos previstos, proprietários de assinatura, expectativas de rede e classificação de comercialidade e confidencialidade. Coletar essas informações no início do processo informa os parâmetros de implantação e as necessidades de aprovação dos stakeholders. O processo de entrada também deve fornecer à equipe de plataforma informações suficientes para colocar a carga de trabalho na hierarquia do grupo de gerenciamento.

Com o processo de aprovação em vigor, as equipes de aplicativos podem começar a fazer solicitações de assinatura.

Fazer uma solicitação de assinatura

A venda de assinaturas fornece um processo padrão para as equipes de aplicativos solicitarem uma assinatura. É importante que você comunique a disponibilidade da venda de assinaturas e verifique se as solicitações de assinatura são fáceis de fazer. Depois que a equipe de aplicativos envia uma solicitação de assinatura, a equipe da plataforma assume o controle do processo. A equipe da plataforma mantém o controle até criar a assinatura e entregá-la à equipe de aplicativos.

Configurar a rede

A automação de assinatura precisa configurar os componentes de rede necessários e precisa ser flexível o suficiente para atender às necessidades de cada equipe de aplicativos. Como orientação geral, nunca use endereços IP sobrepostos em um único domínio de roteamento. Você pode adicionar ou excluir o espaço de endereçamento de uma rede virtual sem interrupção, caso os seus requisitos de tamanho mudem. Para obter mais informações, consulte:

• Restrições de endereço IP
• Atualizar o espaço de endereço de uma rede virtual emparelhada
• Adicionar ou remover intervalo de endereços

Use a ferramenta IPAM (gerenciamento de endereço IP). Você deve usar e integrar um sistema IPAM ao processo de venda automática para simplificar a atribuição de endereço IP. Para obter mais informações e diretrizes do IPAM, consulte as ferramentas de IPAM (Gerenciamento de Endereços IP).

Conceda a autonomia da equipe do aplicativo. Você deve conceder às equipes de aplicativos os direitos de criar sub-redes e até mesmo algumas redes virtuais na assinatura. A equipe de plataforma deve sempre criar redes virtuais que se conectam a um hub central.

Impor a governança de rede. A equipe de plataforma deve impor a governança de rede virtual por meio da política do Azure (1) atribuída à hierarquia do grupo de gerenciamento ou (2) ao Gerenciador de Rede Virtual do Azure e às Regras de Administrador de Segurança. Para obter mais informações, consulte Governança controlada por políticas e Como bloquear portas de alto risco.

Determinar o posicionamento da assinatura

A equipe de plataforma deve usar os requisitos de rede e governança para posicionar a assinatura na hierarquia do grupo de gerenciamento. Eles também devem examinar os limites de cota de assinatura antes de criar a assinatura. Para obter mais informações, consulte Personalizar a arquitetura da zona de destino do Azure para atender aos requisitos.

Identifique o grupo de gerenciamento correto. Os grupos de gerenciamento ajudam você a organizar e controlar assinaturas e implantações de carga de trabalho. Localize ou crie um grupo de gerenciamento que imponha as políticas necessárias para a classificação e as necessidades de cada carga de trabalho.

Criar automação flexível. Sua automação deve ser flexível o suficiente (1) para implantar várias assinaturas e (2) adaptar-se aos limites do serviço de assinatura.

• Várias assinaturas: Algumas cargas de trabalho precisam de várias assinaturas. Por exemplo, algumas cargas de trabalho têm várias instâncias separadas por assinatura. Como alternativa, as arquiteturas de SaaS que usam recursos dedicados por cliente geralmente usam dezenas de assinaturas.

• Limites do serviço de assinatura: Uma empresa com milhares de assinaturas deve ter automação que possa ser implantada em uma assinatura antiga ou colocar cargas de trabalho em uma assinatura para evitar os limites. Para obter mais informações, consulte perguntas frequentes sobre zonas de destino do Azure.

  Você pode solicitar aumentos de cota manualmente usando o portal do Azure após o provisionamento. É mais fácil se você automatizar esse processo usando as APIs disponíveis. No entanto, a solicitação de cota pode falhar, portanto, você deve executar um script para lidar com erros. Para obter mais informações, consulte Microsoft.Capacity, Microsoft.Quota e Microsoft.Support

Criar e configurar a assinatura

Agora você pode criar e configurar a assinatura solicitada. O objetivo é criar um processo repetível e consistente. Automatize o máximo possível do processo de criação e configuração da assinatura.

Use a infraestrutura como código (IaC). Uma estratégia comum para a venda automática de assinatura é criar e configurar a assinatura programaticamente usando IaC. Você precisa de um contrato comercial para criar uma Assinatura do Azure programaticamente, mas pode automatizar todos os aspectos da configuração da assinatura sem um contrato comercial. Para obter mais informações, consulte:

• Função necessária do EA
• Funções requeridas do MCA
• Função necessária para MPA

Há exemplos de módulos Bicep e Terraform de venda de assinaturas para ajudar você a adotar um modelo de venda de assinaturas, independentemente do seu registro em um contrato comercial. Você deve usar as ações do GitHub ou o Azure Pipelines para orquestrar a automação.

Use etiquetas para gerenciamento de custos. Você deve automatizar a atribuição consistente de tags a cada assinatura para fins de gerenciamento e relatórios de custos no Microsoft Cost Management. Embora você receba relatórios de cobrança com seus contratos comerciais, o Gerenciamento de Custos fornece maior funcionalidade. Por exemplo, você pode criar relatórios para assinaturas com etiquetas específicas. Para obter mais informações, consulte Como usar tags em dados de custo e uso e Agrupar e alocar custos usando herança de tags

Use assinaturas de produção e não produção. Na solicitação de uma nova assinatura, você deve especificar se a carga de trabalho é para Produção ou DevTest. Os ambientes de DevTest resultam em encargos de recursos mais baixos, mas têm outros termos. Observe que a oferta de DevTest não está disponível para MPA. Para obter mais informações, consulte:

• Ofertas de faturamento do Azure e clientes do Microsoft Entra
• Visão geral da área de design da organização de recursos
• Criar assinaturas do Azure programaticamente

Configurar RBACs (controles de acesso baseados em função e identidade). Gerenciar o acesso a recursos em uma assinatura do Azure é fundamental para manter um ambiente seguro e em conformidade. Para controlar o acesso, é essencial configurar a identidade e os RBACs. Essa configuração envolve designar um proprietário de assinatura, criar grupos do Microsoft Entra para gerenciar o acesso e estabelecer identidades de automação para implantar cargas de trabalho.

• Designe um proprietário de assinatura. A automação de venda de assinaturas precisa designar um proprietário de assinatura na criação. A solicitação de assinaturas deve capturar essas informações na entrada. Os proprietários de assinatura só podem ser usuários ou entidades de serviço no diretório de assinatura selecionado. Você não pode selecionar usuários do diretório convidado. Se você selecionar uma entidade de serviço, insira a ID do Aplicativo.

• Crie grupos do Microsoft Entra. Além do titular da assinatura, você deve garantir que o processo de venda use sua estrutura de grupo do Microsoft Entra para gerenciar o acesso à assinatura. Para acesso elevado (por exemplo, gravação), recomendamos o uso do PIM para grupos. Automatizar esse processo de criação não deve violar as práticas recomendadas, como limitar o número de proprietários de assinatura e usar o nível mínimo de acesso necessário.

• Estabeleça identidades de carga de trabalho. As identidades de carga de trabalho (entidades de serviço) usadas para a implantação de cargas de trabalho geralmente têm permissões elevadas no escopo da assinatura. O processo de solicitação de assinatura deve reunir as necessidades de identidade da carga de trabalho na entrada. Seu processo de vendas deve criar essas identidades e atribuir o acesso apropriado à assinatura. É importante observar que a identidade da carga de trabalho não pode usar o PIM e recebe acesso permanente aos recursos. Recomendamos que você use identidades gerenciadas para evitar a necessidade de gerenciar segredos. Para obter mais informações, consulte a área de design de identidade.

Entregue à equipe de aplicativos. Depois que a equipe de plataforma criar a assinatura, ela deverá entregar a assinatura à equipe de aplicativos.

Atualizar o orçamento da assinatura

As equipes de plataforma e carga de trabalho compartilham a responsabilidade pela saúde financeira da assinatura. A implantação deve criar um orçamento de assinatura com base nas informações da solicitação de assinatura. O aplicativo deve atualizar o orçamento para atender às suas necessidades quando receber a assinatura. Os orçamentos são úteis para auditar os gastos em relação ao uso atual e de previsão, mas não são limites rígidos. Você deve criar alertas de orçamento para notificar os proprietários da assinatura se a carga de trabalho estiver prestes a exceder o limite de orçamento. Para serviços compartilhados, como o Gerenciamento de API, considere usar regras de alocação de custos do Azure para redistribuir os custos entre o consumo de assinaturas.

Implantar carga de trabalho e operar

A equipe de aplicativos deve ter autonomia para criar os recursos necessários para sua carga de trabalho e gerenciar operações. A equipe da plataforma continua responsável pela governança de assinatura. À medida que os requisitos de governança de uma carga de trabalho mudam, a equipe da plataforma deve mover assinaturas para o grupo de gerenciamento que melhor atenda às necessidades de carga de trabalho. Você pode automatizar a movimentação usando o Bicep ou o Terraform. Para obter mais informações, consulte:

• Visão geral dos grupos de gerenciamento
• Mover a assinatura para o novo grupo de gerenciamento (Bicep)
• Mover a assinatura para o novo grupo de gerenciamento (Terraform)
• Personalizar a zona de destino do Azure para atender aos seus requisitos

Próximas etapas

Examine as assinaturas ou linhas de produto que podem ser vendidas para as equipes de aplicativos. Estabeleça um ótimo ponto de partida para que você possa atender a vários cenários diferentes.

Estabeleça linhas comuns de produtos de venda automática por assinatura