Prenumerationsöverväganden och rekommendationer

Prenumerationer är en hanterings-, fakturerings- och skalenhet i Azure. De spelar en viktig roll när du utformar för storskalig Azure-implementering. Den här artikeln hjälper dig att samla in prenumerationskrav och utforma målprenumerationer baserat på kritiska faktorer som varierar beroende på:

• Miljötyper
• Ägarskaps- och styrningsmodeller
• Organisationsstrukturer
• Programportföljer
• Regioner

Dricks

Mer information om prenumerationer finns i YouTube-videon: Azure-landningszoner – Hur många prenumerationer ska jag använda i Azure?

Kommentar

Om du använder ugovor za preduzeća, Microsoft korisnički ugovor (Enterprise) eller Microsoft Partner Agreements (CSP) granskar du prenumerationsgränserna i Faktureringskonton och omfång i Azure-portalen.

Prenumerationsöverväganden

Följande avsnitt innehåller överväganden som hjälper dig att planera och skapa prenumerationer för Azure.

Designöverväganden för organisation och styrning

• Prenumerationer fungerar som gränser för Azure Policy-tilldelningar.

  Till exempel kräver säkra arbetsbelastningar som PCI-arbetsbelastningar (Payment Card Industry) vanligtvis andra principer för att uppnå efterlevnad. I stället för att använda en hanteringsgrupp för att sortera arbetsbelastningar som kräver PCI-efterlevnad kan du uppnå samma isolering med en prenumeration, utan att ha för många hanteringsgrupper med några prenumerationer.

  Om du behöver gruppera många prenumerationer av samma arbetsbelastningsarketyp skapar du dem under en hanteringsgrupp.

• Prenumerationer fungerar som en skalningsenhet så att komponentarbetsbelastningar kan skalas inom plattformsprenumerationsgränser. Se till att du överväger prenumerationsresursgränser när du utformar dina arbetsbelastningar.

• Prenumerationer ger en hanteringsgräns för styrning och isolering som tydligt separerar problem.

• Skapa separata plattformsprenumerationer för hantering (övervakning), anslutning och identitet när de behövs.

  • Upprätta en dedikerad hanteringsprenumeration i din plattformshanteringsgrupp för att stödja globala hanteringsfunktioner som Azure Monitor Logs-arbetsytor och Azure Automation-runbooks.

  • Upprätta en dedikerad identitetsprenumeration i din plattformshanteringsgrupp som värd för Windows Server Active Directory-domänkontrollanter vid behov.

  • Upprätta en dedikerad anslutningsprenumeration i din plattformshanteringsgrupp för att vara värd för en Azure Virtual WAN-hubb, privat DNS (Domain Name System), Azure ExpressRoute-krets och andra nätverksresurser. En dedikerad prenumeration säkerställer att alla dina grundläggande nätverksresurser debiteras tillsammans och isoleras från andra arbetsbelastningar.

  • Använd prenumerationer som en demokratiserad hanteringsenhet som överensstämmer med dina affärsbehov och prioriteringar.

• Använd manuella processer för att begränsa Microsoft Entra-klientorganisationer till att endast ugovor za preduzeća registreringsprenumerationer. När du använder en manuell process kan du inte skapa MSDN-prenumerationer (Microsoft Developer Network) i rothanteringsgruppens omfång.

  Skicka ett Azure-supportärende för support.

  Information om prenumerationsöverföringar mellan Azure-faktureringserbjudanden finns i Azure-prenumeration och hubb för reservationsöverföring.

Överväganden för flera regioner

Viktigt!

Prenumerationer är inte knutna till en viss region och du kan behandla dem som globala prenumerationer. De är logiska konstruktioner för att tillhandahålla fakturerings-, styrnings-, säkerhets- och identitetskontroller för Azure-resurser som finns i dem. Därför behöver du ingen separat prenumeration för varje region.

• Du kan använda en metod för flera regioner på samma arbetsbelastningsnivå för skalning eller geo-haveriberedskap eller på global nivå (olika arbetsbelastningar i olika regioner).

• En enskild prenumeration kan innehålla resurser från olika regioner, beroende på krav och arkitektur.

• I en geo-haveriberedskapskontext kan du använda samma prenumeration för att innehålla resurser från primära och sekundära regioner eftersom de är logiskt en del av samma arbetsbelastning.

• Du kan distribuera olika miljöer för samma arbetsbelastning i olika regioner för att optimera kostnader och resurstillgänglighet.

• I en prenumeration som innehåller resurser från flera regioner kan du använda resursgrupper för att organisera och innehålla resurser efter region.

Designöverväganden för kvoter och kapacitet

Azure-regioner kan ha ett begränsat antal resurser. Därför bör du spåra den tillgängliga kapaciteten och SKU:erna för Azure-implementeringar med flera resurser.

• Överväg gränser och kvoter inom Azure-plattformen för varje tjänst som dina arbetsbelastningar kräver.

• Överväg tillgängligheten för nödvändiga SKU:er i dina valda Azure-regioner. Nya funktioner kanske exempelvis endast är tillgängliga i vissa regioner. Tillgängligheten för vissa SKU:er för angivna resurser som virtuella datorer kan variera från en region till en annan.

• Tänk på att prenumerationskvoter inte är kapacitetsgarantier och tillämpas per region.

  Kapacitetsreservationer för virtuella datorer finns i Kapacitetsreservation på begäran.

• Överväg att återanvända oanvända eller inaktiverade prenumerationer. Mer information finns i Skapa eller återanvända Azure-prenumerationer.

Designöverväganden för klientöverföringsbegränsning

Varje Azure-prenumeration är länkad till en enda Microsoft Entra-klientorganisation som fungerar som identitetsprovider (IdP) för din Azure-prenumeration. Använd Microsoft Entra-klientorganisationen för att autentisera användare, tjänster och enheter.

När någon användare har de behörigheter som krävs kan de ändra Den Microsoft Entra-klientorganisation som är länkad till din Azure-prenumeration. Mer information finns i:

• Associera eller lägga till en Azure-prenumeration till din Microsoft Entra-klientorganisation
• Se Överföra en Azure-prenumeration till en annan Microsoft Entra-katalog.

Kommentar

Du kan inte överföra till en annan Microsoft Entra-klientorganisation för Azure Dobavljač rešenja u oblaku-prenumerationer (CSP).

För Azure-landningszoner kan du ställa in krav för att förhindra att användare överför prenumerationer till organisationens Microsoft Entra-klientorganisation. Mer information finns i Hantera principer för Azure-prenumerationer.

Konfigurera din prenumerationsprincip genom att ange en lista över undantagna användare. Undantagna användare tillåts kringgå begränsningar som anges i principen.

Viktigt!

En lista över undantagna användare är inte en Azure-princip.

• Fundera på om du bör tillåta användare som har Visual Studio- eller MSDN Azure-prenumerationer att överföra sin prenumeration till eller från din Microsoft Entra-klientorganisation.

• Endast användare med rollen Global Administratör för Microsoft Entra kan konfigurera inställningar för klientöverföring. Dessa användare måste ha förhöjd åtkomst för att ändra principen.

  • Du kan bara ange enskilda användarkonton som undantagna användare, inte Microsoft Entra-grupper.

Viktigt!

Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

• Alla användare med åtkomst till Azure kan visa principen som har definierats för din Microsoft Entra-klientorganisation.

  • Användare kan inte visa listan över undantagna användare .

  • Användare kan visa globala administratörer i din Microsoft Entra-klientorganisation.

• Azure-prenumerationer som du överför till en Microsoft Entra-klientorganisation placeras i standardhanteringsgruppen för den klientorganisationen.

• Om din organisation godkänner kan programteamet definiera en process som gör att Azure-prenumerationer kan överföras till eller från en Microsoft Entra-klientorganisation.

Designöverväganden för kostnadshantering

Varje stor företagsorganisation har utmaningen att hantera kostnadstransparens. Det här avsnittet utforskar viktiga aspekter för att uppnå kostnadstransparens i stora Azure-miljöer.

• Du kan behöva dela återbetalningsmodeller som App Service Environment och Azure Kubernetes Service (AKS) för att uppnå högre densitet. Återbetalningsmodeller kan påverka paaS-resurser (delad plattform som en tjänst).

• Använd ett avstängningsschema för icke-produktionsarbetsbelastningar för att optimera kostnaderna.

• Använd Azure Advisor för att få rekommendationer för att optimera kostnaderna.

• Upprätta en återbetalningsmodell för bättre kostnadsfördelning i organisationen.

• Implementera principen så att användarna inte kan distribuera obehöriga resurser i organisationens miljö.

• Upprätta ett regelbundet schema och en takt för att granska kostnader och rightsize-resurser för arbetsbelastningar.

Prenumerationsrekommendationer

Följande avsnitt innehåller rekommendationer som hjälper dig att planera och skapa prenumerationer för Azure.

Rekommendationer för organisation och styrning

• Behandla prenumerationer som en hanteringsenhet som överensstämmer med dina affärsbehov och prioriteringar.

• Informera prenumerationsägare om deras roller och ansvarsområden.

  • Gör en kvartals- eller årsåtkomstgranskning för Microsoft Entra Privileged Identity Management (PIM) för att säkerställa att privilegierna inte förökar sig när användare flyttar inom din organisation.

  • Ta fullt ansvar för budgetutgifter och resurser.

  • Kontrollera principefterlevnad och åtgärda när det behövs.

• När du identifierar krav för nya prenumerationer bör du referera till följande principer:

  • Skalningsgränser: Prenumerationer fungerar som en skalningsenhet för komponentarbetsbelastningar som skalar inom plattformsprenumerationsgränser. Stora specialiserade arbetsbelastningar, till exempel databehandling med höga prestanda, IoT och SAP, bör använda separata prenumerationer för att undvika att köra upp mot dessa gränser.

  • Hanteringsgräns: Prenumerationer ger en hanteringsgräns för styrning och isolering, vilket möjliggör en tydlig uppdelning av problem. Olika miljöer, till exempel utvecklings-, test- och produktionsmiljöer, tas ofta bort ur ett hanteringsperspektiv.

  • Principgräns: Prenumerationer fungerar som en gräns för Azure Policy-tilldelningar. Till exempel kräver säkra arbetsbelastningar som PCI-arbetsbelastningar vanligtvis andra principer för att uppnå efterlevnad. De andra omkostnaderna beaktas inte om du använder en separat prenumeration. Utvecklingsmiljöer har mer avslappnade policykrav än produktionsmiljöer.

  • Målnätverkstopologi: Du kan inte dela virtuella nätverk mellan prenumerationer, men du kan ansluta dem med olika tekniker som peering för virtuella nätverk eller ExpressRoute. När du bestämmer dig för om du behöver en ny prenumeration bör du överväga vilka arbetsbelastningar som behöver kommunicera med varandra.

• Gruppera prenumerationer under hanteringsgrupper, som är anpassade till din hanteringsgruppsstruktur och principkrav. Gruppera prenumerationer för att säkerställa att prenumerationer med samma uppsättning principer och Azure-rolltilldelningar kommer från samma hanteringsgrupp.

• Upprätta en dedikerad hanteringsprenumeration i hanteringsgruppen Platform för att stödja globala hanteringsfunktioner som Arbetsytor för Azure Monitor-loggar och Automation-runbooks.

• Upprätta en dedikerad identitetsprenumeration i hanteringsgruppen Platform som värd för Windows Server Active Directory-domänkontrollanter vid behov.

• Upprätta en dedikerad anslutningsprenumeration i hanteringsgruppen Platform som värd för en Virtuell WAN-hubb, privat DNS, ExpressRoute-krets och andra nätverksresurser. En dedikerad prenumeration säkerställer att alla dina grundläggande nätverksresurser debiteras tillsammans och isoleras från andra arbetsbelastningar.

• Undvik en fast prenumerationsmodell. Använd i stället en uppsättning flexibla kriterier för att gruppera prenumerationer i hela organisationen. Den här flexibiliteten säkerställer att du, när organisationens struktur- och arbetsbelastningssammansättning ändras, kan skapa nya prenumerationsgrupper i stället för att använda en fast uppsättning befintliga prenumerationer. En storlek passar inte alla för prenumerationer och det som fungerar för en affärsenhet kanske inte fungerar för en annan. Vissa program kan samexistera i samma landningszonsprenumeration medan andra kan kräva en egen prenumeration.

  Mer information finns i Hantera landningszoner för utvecklings-/test-/produktionsarbetsbelastningar.

Rekommendationer för flera regioner

• Skapa ytterligare prenumerationer för varje region endast om du har regionspecifika styrnings- och hanteringskrav, till exempel datasuveränitet eller för att skala bortom kvotgränser.

• Om skalning inte är ett problem för en geo-haveriberedskapsmiljö som omfattar flera regioner använder du samma prenumeration för resurserna för den primära och sekundära regionen. Vissa Azure-tjänster, beroende på bcdr-strategin och verktygen för affärskontinuitet och haveriberedskap, kan behöva använda samma prenumeration. I ett aktivt-aktivt scenario, där distributioner hanteras oberoende av varandra eller har olika livscykel, rekommenderar vi att du använder olika prenumerationer.

• Den region där du skapar en resursgrupp och regionen för de inneslutna resurserna bör matcha så att de inte påverkar motståndskraft och tillförlitlighet.

• En enskild resursgrupp får inte innehålla resurser från olika regioner. Den här metoden kan leda till problem med resurshantering och tillgänglighet.

Kvot- och kapacitetsrekommendationer

• Använd prenumerationer som skalningsenheter och skala ut resurser och prenumerationer efter behov. Din arbetsbelastning kan sedan använda de resurser som krävs för att skala ut utan att nå prenumerationsgränserna på Azure-plattformen.

• Använd kapacitetsreservationer för att hantera kapacitet i vissa regioner. Din arbetsbelastning kan sedan ha den kapacitet som krävs för resurser med hög efterfrågan i en viss region.

• Upprätta en instrumentpanel som har anpassade vyer för att övervaka använda kapacitetsnivåer och konfigurera aviseringar om kapaciteten närmar sig kritiska nivåer, till exempel 90 % CPU-användning.

• Skapa supportbegäranden om kvotökningar under prenumerationsetablering, till exempel för totala tillgängliga VM-kärnor i en prenumeration. Kontrollera att dina kvotgränser har angetts innan dina arbetsbelastningar överskrider standardgränserna.

• Se till att alla nödvändiga tjänster och funktioner är tillgängliga i dina valda distributionsregioner.

Automatiseringsrekommendationer

• Skapa en prenumerationsautomatprocess för att automatisera skapandet av prenumerationer för programteam via ett arbetsflöde för begäranden. Mer information finns i Prenumerationsautomater.

Rekommendationer för begränsning av klientöverföring

• Konfigurera följande inställningar för att förhindra att användare överför Azure-prenumerationer till eller från din Microsoft Entra-klientorganisation:

  • Ange Prenumeration som lämnar Microsoft Entra-katalogen till Permit no one.

  • Ange Prenumeration som Microsoft Entra-katalog till Permit no one.

• Konfigurera en begränsad lista över undantagna användare.

  • Inkludera medlemmar från ett Azure-plattformsdriftsteam.

  • Inkludera break-glass-konton i listan över undantagna användare.

Gå vidare

Anta principdrivna skyddsräcken