Рекомендации и рекомендации по подписке

Подписка — это единица управления, выставления счетов и масштабирования в Azure. Подписки играют важную роль при проектировании для крупномасштабного внедрения Azure. Эта статья поможет вам записать требования к подписке и разработать целевые подписки на основе критически важных факторов, основанных на следующих факторах:

• тип среды
• модель владения и управления
• структура организации
• Портфели приложений

Совет

Мы обсудили эту тему в недавнем видео YouTube: Целевые зоны Azure — сколько подписок следует использовать в Azure?

Примечание.

В портал Azure следует просмотреть ограничения подписки, как описано в учетных записях выставления счетов и область. Это руководство предназначено в первую очередь для клиентов, использующих Соглашение Enterprise, Клиентское соглашение Майкрософт (Enterprise) или Соглашение с партнером Майкрософт (CSP).

Рекомендации по подпискам

В следующих разделах содержатся рекомендации по планированию и созданию подписок для Azure.

Рекомендации по проектированию организации и управления

• Подписки служат границами для назначений Политика Azure.

  • Например, для обеспечения соответствия требованиям обычно требуются безопасные рабочие нагрузки, такие как индустрия карт оплаты (PCI). Вместо использования группы управления для сортировки рабочих нагрузок, требующих соответствия PCI, можно добиться такой же изоляции с подпиской, не имея слишком много групп управления с несколькими подписками.

    • Если необходимо объединить множество подписок одного и того же архетипа рабочей нагрузки, создайте их в группе управления.

• Подписки служат единицей масштабирования, чтобы рабочие нагрузки компонентов могли масштабироваться в пределах ограничений подписки платформы. Убедитесь, что вы считаете ограничения ресурсов подписки при разработке рабочих нагрузок.

• Подписки предоставляют границу управления для управления и изоляции, которая четко разделяет проблемы.

• Создайте отдельные подписки платформы для управления (мониторинга), подключения и удостоверения при необходимости.

  • Создайте выделенную подписку на управление в группе управления платформой для поддержки глобальных возможностей управления, таких как рабочие области Azure Monitor Log Analytics и служба автоматизации Azure модули Runbook.
    • Установите выделенную подписку на удостоверение в группе управления платформой для размещения контроллеров домена Windows Server Active Directory при необходимости.
    • Создайте подписку на выделенное подключение в группе управления платформой для размещения концентратора azure Виртуальная глобальная сеть, частной системы доменных имен (DNS), канала ExpressRoute и других сетевых ресурсов. Выделенная подписка гарантирует, что все сетевые ресурсы фонда выставляются вместе и изолированы от других рабочих нагрузок.
    • Используйте подписки как демократизованную единицу управления, согласованную с вашими бизнес-потребностями и приоритетами.

• Использование ручных процессов для ограничения клиентов Microsoft Entra только Соглашение Enterprise подписок на регистрацию. Использование ручного процесса предотвращает создание подписок Сети разработчиков Майкрософт в корневой группе управления область.

  • Для поддержки отправьте запрос в службу поддержки Azure.

• Ознакомьтесь с центром передачи подписок и резервирования Azure для передачи подписок между предложениями выставления счетов Azure.

Рекомендации по проектированию квот и емкости

Регионы Azure могут иметь ограниченное количество ресурсов. В результате доступные номера SKU и емкость должны отслеживаться для внедрения Azure с большим количеством ресурсов.

• Рассмотрите ограничения и квоты на платформе Azure для каждой службы, необходимой для каждой рабочей нагрузки.

• Рассмотрите доступность необходимых номеров SKU в выбранных регионах Azure. Например, новые функции могут быть доступны только в определенных регионах. Доступность определенных номеров SKU для определенных ресурсов, таких как виртуальные машины, может отличаться от одного региона к другому.

• Помните, что квоты подписки не гарантируют емкость и применяются для каждого региона.

  • Сведения о резервировании емкости виртуальных машин см. в разделе о резервировании емкости по запросу.

• Рассмотрите возможность повторного использования неиспользуемых или неиспользуемых подписок в соответствии с рекомендациями, приведенными в статье Если мы создадим новую подписку Azure каждый раз или можем ли мы, повторно использовать подписки Azure? — часто задаваемые вопросы о целевых зонах Azure.

Рекомендации по проектированию ограничений на передачу клиента

Каждая подписка Azure связана с одним клиентом Microsoft Entra, который выступает в качестве поставщика удостоверений (IdP) для подписки Azure. Клиент Microsoft Entra используется для проверки подлинности пользователей, служб и устройств.

Клиент Microsoft Entra, связанный с подпиской Azure, может быть изменен любым пользователем с необходимыми разрешениями. Этот процесс подробно описан в следующих статьях:

• Связывание или добавление подписки Azure в клиент Microsoft Entra
• Передача подписки Azure в другой каталог Microsoft Entra

Примечание.

Перенос в другой клиент Microsoft Entra не поддерживается для подписок Azure поставщик облачных решений (CSP).

С помощью целевых зон Azure можно задать требования, чтобы запретить пользователям передавать подписки в клиент Microsoft Entra вашей организации. Ознакомьтесь с этим процессом в разделе Управление политиками подписок Azure.

Настройте политику подписки, указав список исключенных пользователей. Исключенные пользователи могут обходить ограничения, заданные в политике.

Важно!

Список исключенных пользователей не является Политика Azure.

• Рассмотрите, должны ли пользователи с подписками Visual Studio или MSDN Azure передавать свою подписку в клиент Microsoft Entra или из нее.

• Параметры передачи клиента настраиваются только пользователями с назначенной ролью Microsoft Entra Global Администратор istrator. Эти пользователи и должны иметь повышенный доступ для изменения политики.

  • Вы можете указать только отдельные учетные записи пользователей в качестве исключенных пользователей, а не группы Microsoft Entra.

• Все пользователи с доступом к Azure могут просматривать политику, определенную для клиента Microsoft Entra.

  • Пользователи не могут просматривать список исключенных пользователей .

  • Пользователи могут просматривать глобальных администраторов в клиенте Microsoft Entra.

• Подписки Azure, передаваемые в клиент Microsoft Entra, помещаются в группу управления по умолчанию для этого клиента.

• Если ваша организация утверждена, ваша команда приложений может определить процесс, позволяющий передавать подписки Azure в клиент Microsoft Entra или из нее.

Вопросы, касающиеся проектирования управления затратами

Прозрачность затрат — это критически важный вызов для управления каждой крупной корпоративной организацией. В этом разделе статьи рассматриваются ключевые аспекты обеспечения прозрачности затрат в крупных средах Azure.

• Для повышения плотности может потребоваться совместное использование моделей, таких как приложение Azure среда обслуживания и Служба Azure Kubernetes. Ресурсы общей платформы как услуги (PaaS) могут влиять на модели возвратной оплаты.

• Используйте график отключения для непроизводственных рабочих нагрузок, чтобы оптимизировать расходы.

• Используйте Помощник по Azure для проверка рекомендаций по оптимизации затрат.

• Создайте модель обратной оплаты для лучшего распределения затрат по всей организации.

• Реализуйте политику, чтобы предотвратить развертывание ресурсов, не авторизованных для развертывания в среде вашей организации.

• Создайте регулярное расписание и периодичность для просмотра затрат и правильных ресурсов размера для рабочих нагрузок.

Рекомендации по подпискам

В следующих разделах содержатся рекомендации по планированию и созданию подписок для Azure.

Рекомендации по организации и управлению

• Рассматривайте подписки как единицу управления, согласованную с вашими бизнес-потребностями и приоритетами.

• Сделать владельцев подписок осведомленным о своих ролях и обязанностях.

  • Выполните ежеквартальный или годовой обзор доступа для Microsoft Entra управление привилегированными пользователями, чтобы гарантировать, что привилегии не движутся по мере перемещения пользователей в организации.
  • Примите на себя полное право владения бюджетными тратами и ресурсами.
  • Обеспечьте соблюдение политик и исправление ошибок при необходимости.

• При определении требований для новых подписок следует ссылать на следующие принципы:

  • Ограничения масштабирования. Подписки служат в качестве единицы масштабирования для рабочих нагрузок компонентов, чтобы масштабироваться в пределах подписки платформы. Крупные специализированные рабочие нагрузки, такие как высокопроизводительные вычисления, IoT и SAP, должны использовать отдельные подписки, чтобы избежать выполнения этих ограничений.
  • Граница управления: подписки предоставляют границу управления для управления и изоляции, что позволяет четко разделить проблемы. Различные среды, такие как разработка, тестирование и производство, часто удаляются с точки зрения управления.
  • Граница политики: подписки служат границей для назначений Политика Azure. Например, для обеспечения соответствия требованиям обычно требуются безопасные рабочие нагрузки, такие как PCI. Другие затраты не учитываются, если вы используете отдельную подписку. Среды разработки имеют менее строгие требования к политике, чем рабочие среды.
  • Целевая топология сети. Вы не можете совместно использовать виртуальные сети между подписками, но их можно подключить с различными технологиями, такими как пиринг виртуальных сетей или Azure ExpressRoute. При выборе необходимости новой подписки рассмотрите, какие рабочие нагрузки должны взаимодействовать друг с другом.

• Группы подписок вместе в группах управления, которые соответствуют структуре группы управления и требованиям политики. Группирование подписок гарантирует, что подписки с одинаковым набором политик и назначения ролей Azure приходят из группы управления.

• Создайте выделенную подписку управления в Platform группе управления для поддержки глобальных возможностей управления, таких как рабочие области Azure Monitor Log Analytics и служба автоматизации Azure модули Runbook.

• Установите выделенную подписку на удостоверение в Platform группе управления для размещения контроллеров домена Windows Server Active Directory при необходимости.

• Создайте подписку на выделенное подключение в Platform группе управления для размещения концентратора azure Виртуальная глобальная сеть, частной системы доменных имен (DNS), канала ExpressRoute и других сетевых ресурсов. Выделенная подписка гарантирует, что все сетевые ресурсы фонда выставляются вместе и изолированы от других рабочих нагрузок.

• Старайтесь не использовать модель жесткой подписки. Вместо этого используйте набор гибких критериев для группирования подписок в организации. Такая гибкость гарантирует, что по мере изменения структуры организации и состава рабочих нагрузок вы сможете создавать новые группы подписок вместо использования фиксированного набора существующих подписок. Один размер не подходит для всех подписок, и то, что работает для одного бизнес-подразделения, может не работать для другого. Некоторые приложения могут сосуществовать в одной подписке целевой зоны, а для других может потребоваться собственная подписка.

  • Дополнительные сведения см. в статье "Как обрабатывать целевые зоны рабочей нагрузки dev/test/production" в архитектуре целевой зоны Azure?

Рекомендации по квоте и емкости

• Используйте подписки в качестве единиц масштабирования, а также масштабируйте ресурсы и подписки по мере необходимости. Затем рабочая нагрузка может использовать необходимые ресурсы для масштабирования без ограничения подписки на платформе Azure.

• Используйте резервирования емкости для управления емкостью в некоторых регионах. Затем рабочая нагрузка может иметь необходимую емкость для ресурсов с высоким спросом в определенном регионе.

• Установите панель мониторинга с пользовательскими представлениями для мониторинга используемых уровней емкости и настройте оповещения, если емкость приближается к критическим уровням (90 процентов использования ЦП).

• Создайте запросы на поддержку для увеличения квоты при подготовке подписки, например для общих доступных ядер виртуальных машин в подписке. Убедитесь, что ограничения квоты устанавливаются до превышения ограничений по умолчанию для рабочих нагрузок.

• Убедитесь, что все необходимые службы и функции доступны в выбранных регионах развертывания.

Рекомендации по автоматизации

• Создайтепроцессный подписку, чтобы автоматизировать создание подписок для групп приложений с помощью рабочего процесса запроса, как описано в разделе "Vending подписки".

Рекомендации по ограничению передачи клиента

• Настройте следующие параметры, чтобы запретить пользователям передавать подписки Azure в клиент Microsoft Entra или из нее:

  • Задайте для подписки, входящей в каталогPermit no oneMicrosoft Entra.

  • Задайте для подписки, введя каталог Permit no one Microsoft Entra.

• Настройте ограниченный список исключенных пользователей.

  • Включите туда членов команды PlatformOps Azure (операции платформы).
  • Включите в список исключенных пользователей учетные записи с экстренным доступом.

Следующие шаги

Внедрение защищений, управляемых политикой