Prenumerationsöverväganden och rekommendationer

Prenumerationer är en enhet för hantering, fakturering och skalning i Azure. De spelar en viktig roll när du utformar för storskalig Azure-implementering. Den här artikeln kan hjälpa dig att samla in prenumerationskrav och utforma målprenumerationer baserat på kritiska faktorer som baseras på:

• miljötyp
• ägarskaps- och styrningsmodell
• Organisationsstruktur
• programportföljer

Dricks

Vi har diskuterat det här ämnet i en nyligen genomförd YouTube-video: Azure-landningszoner – Hur många prenumerationer ska jag använda i Azure?

Kommentar

Du bör granska prenumerationsgränserna enligt beskrivningen i Faktureringskonton och omfång i Azure-portalen. Den här vägledningen riktar sig främst till kunder som använder företagsavtal, Microsoft-kundavtal (Enterprise) eller Microsoft-partneravtal s (CSP).

Prenumerationsöverväganden

Följande avsnitt innehåller överväganden som hjälper dig att planera och skapa prenumerationer för Azure.

Designöverväganden för organisation och styrning

• Prenumerationer fungerar som gränser för Azure Policy-tilldelningar.

  • Till exempel kräver säkra arbetsbelastningar som PCI-arbetsbelastningar (Payment Card Industry) vanligtvis andra principer för att uppnå efterlevnad. I stället för att använda en hanteringsgrupp för att sortera arbetsbelastningar som kräver PCI-efterlevnad kan du uppnå samma isolering med en prenumeration, utan att ha för många hanteringsgrupper med några prenumerationer.

    • Om du behöver gruppera många prenumerationer av samma arbetsbelastningsarketyp skapar du dem under en hanteringsgrupp.

• Prenumerationer fungerar som en skalningsenhet så att komponentarbetsbelastningar kan skalas inom plattformsprenumerationsgränser. Se till att du överväger prenumerationsresursgränser när du utformar dina arbetsbelastningar.

• Prenumerationer ger en hanteringsgräns för styrning och isolering som tydligt separerar problem.

• Skapa separata plattformsprenumerationer för hantering (övervakning), anslutning och identitet när de behövs.

  • Upprätta en dedikerad hanteringsprenumeration i din plattformshanteringsgrupp för att stödja globala hanteringsfunktioner som Azure Monitor Log Analytics-arbetsytor och Azure Automation-runbooks.
    • Upprätta en dedikerad identitetsprenumeration i din plattformshanteringsgrupp som värd för Windows Server Active Directory-domänkontrollanter vid behov.
    • Upprätta en dedikerad anslutningsprenumeration i din plattformshanteringsgrupp för att vara värd för en Azure Virtual WAN-hubb, privat DNS (Domain Name System), ExpressRoute-krets och andra nätverksresurser. En dedikerad prenumeration säkerställer att alla dina grundläggande nätverksresurser debiteras tillsammans och isoleras från andra arbetsbelastningar.
    • Använd prenumerationer som en demokratiserad hanteringsenhet i enlighet med dina affärsbehov och prioriteringar.

• Använd manuella processer för att begränsa Microsoft Entra-klientorganisationer till att endast företagsavtal registreringsprenumerationer. Genom att använda en manuell process förhindras att Microsoft Developer Network-prenumerationer skapas i rothanteringsgruppens omfång.

  • Om du vill ha support skickar du ett Azure-supportärende.

• Se Azure-prenumerationen och hubben för reservationsöverföring för prenumerationsöverföringar mellan Azure-faktureringserbjudanden.

Designöverväganden för kvoter och kapacitet

Azure-regioner kan ha ett begränsat antal resurser. Därför bör tillgänglig kapacitet och SKU:er spåras för Azure-implementeringar som omfattar ett stort antal resurser.

• Överväg gränser och kvoter inom Azure-plattformen för varje tjänst som dina arbetsbelastningar kräver.

• Överväg tillgängligheten för nödvändiga SKU:er i dina valda Azure-regioner. Nya funktioner kan till exempel bara vara tillgängliga i vissa regioner. Tillgängligheten för vissa SKU:er för angivna resurser som virtuella datorer kan skilja sig från en region till en annan.

• Tänk på att prenumerationskvoter inte är kapacitetsgarantier och tillämpas per region.

  • Kapacitetsreservationer för virtuella datorer finns i Kapacitetsreservation på begäran.

• Överväg att återanvända oanvända eller inaktiverade prenumerationer enligt riktlinjerna i Ska vi skapa en ny Azure-prenumeration varje gång eller kan vi återanvända Azure-prenumerationer? – Vanliga frågor och svar om Azure-landningszoner.

Designöverväganden för klientöverföringsbegränsning

Varje Azure-prenumeration är länkad till en enda Microsoft Entra-klientorganisation som fungerar som identitetsprovider (IdP) för din Azure-prenumeration. Microsoft Entra-klientorganisationen används för att autentisera användare, tjänster och enheter.

Microsoft Entra-klientorganisationen som är länkad till din Azure-prenumeration kan ändras av alla användare med nödvändiga behörigheter. Den här processen beskrivs i följande artiklar:

• Associera eller lägga till en Azure-prenumeration till din Microsoft Entra-klientorganisation
• Överföra en Azure-prenumeration till en annan Microsoft Entra-katalog

Kommentar

Överföring till en annan Microsoft Entra-klient stöds inte för Azure Molnlösningsleverantör-prenumerationer (CSP).

Med Azure-landningszoner kan du ställa in krav för att förhindra att användare överför prenumerationer till organisationens Microsoft Entra-klientorganisation. Granska processen i Hantera Azure-prenumerationsprinciper.

Konfigurera din prenumerationsprincip genom att ange en lista över undantagna användare. Undantagna användare tillåts kringgå begränsningar som anges i principen.

Viktigt!

En lista över undantagna användare är inte en Azure Policy.

• Fundera på om användare med Visual Studio/MSDN Azure-prenumerationer ska kunna överföra sin prenumeration till eller från din Microsoft Entra-klientorganisation.

• Inställningar för klientöverföring kan endast konfigureras av användare med rollen Global Administratör för Microsoft Entra tilldelad. Dessa användare och måste ha förhöjd åtkomst för att ändra principen.

  • Du kan bara ange enskilda användarkonton som undantagna användare, inte Microsoft Entra-grupper.

• Alla användare med åtkomst till Azure kan visa principen som definierats för din Microsoft Entra-klientorganisation.

  • Användare kan inte visa listan över undantagna användare .

  • Användare kan visa globala administratörer i din Microsoft Entra-klientorganisation.

• Azure-prenumerationer som överförs till en Microsoft Entra-klientorganisation placeras i standardhanteringsgruppen för den klientorganisationen.

• Om det godkänns av din organisation kan programteamet definiera en process som gör att Azure-prenumerationer kan överföras till eller från en Microsoft Entra-klientorganisation.

Fastställa designöverväganden för kostnadshantering

Kostnadstransparens är en viktig hanteringsutmaning som alla stora företagsorganisationer står inför. Det här avsnittet i artikeln utforskar viktiga aspekter av att uppnå kostnadstransparens i stora Azure-miljöer.

• Återbetalningsmodeller som Azure App Service-miljön och Azure Kubernetes Service kan behöva delas för att uppnå högre densitet. Resurser för delad plattform som en tjänst (PaaS) kan påverkas av Återbetalningsmodeller.

• Använd ett avstängningsschema för icke-produktionsarbetsbelastningar för att optimera kostnaderna.

• Använd Azure Advisor för att kontrollera rekommendationer för att optimera kostnader.

• Upprätta en modell för återbetalning av avgifter för bättre kostnadsfördelning i organisationen.

• Implementera en princip för att förhindra distribution av resurser som inte har behörighet att distribueras i organisationens miljö.

• Upprätta ett regelbundet schema och en takt för att granska kostnader och rätt storleksresurser för arbetsbelastningar.

Prenumerationsrekommendationer

Följande avsnitt innehåller rekommendationer som hjälper dig att planera och skapa prenumerationer för Azure.

Rekommendationer för organisation och styrning

• Behandla prenumerationer som en hanteringsenhet som är anpassad efter dina affärsbehov och prioriteringar.

• Gör prenumerationsägare medvetna om sina roller och ansvarsområden.

  • Gör en kvartals- eller årsåtkomstgranskning för Microsoft Entra Privileged Identity Management för att säkerställa att privilegier inte sprids när användare flyttar inom din organisation.
  • Ta fullt ansvar för budgetutgifter och resurser.
  • Se till att principen följs och åtgärdas vid behov.

• Referera till följande principer när du identifierar krav för nya prenumerationer:

  • Skalningsgränser: Prenumerationer fungerar som en skalningsenhet för komponentarbetsbelastningar som skalar inom plattformsprenumerationsgränser. Stora specialiserade arbetsbelastningar som databehandling med höga prestanda, IoT och SAP bör använda separata prenumerationer för att undvika att köra upp mot dessa gränser.
  • Hanteringsgräns: Prenumerationer ger en hanteringsgräns för styrning och isolering, vilket möjliggör en tydlig uppdelning av problem. Olika miljöer, till exempel utveckling, testning och produktion, tas ofta bort ur ett hanteringsperspektiv.
  • Principgräns: Prenumerationer fungerar som en gräns för Azure Policy-tilldelningar. Till exempel kräver säkra arbetsbelastningar som PCI vanligtvis andra principer för att uppnå efterlevnad. De andra omkostnaderna beaktas inte om du använder en separat prenumeration. Utvecklingsmiljöer har mer avslappnade policykrav än produktionsmiljöer.
  • Målnätverkstopologi: Du kan inte dela virtuella nätverk mellan prenumerationer, men du kan ansluta dem med olika tekniker som peering för virtuella nätverk eller Azure ExpressRoute. När du bestämmer dig för om du behöver en ny prenumeration bör du överväga vilka arbetsbelastningar som behöver kommunicera med varandra.

• Gruppera prenumerationer under hanteringsgrupper, som är anpassade till din hanteringsgruppsstruktur och principkrav. Grupperingsprenumerationer säkerställer att prenumerationer med samma uppsättning principer och Azure-rolltilldelningar kommer från en hanteringsgrupp.

• Upprätta en dedikerad hanteringsprenumeration i hanteringsgruppen Platform för att stödja globala hanteringsfunktioner som Azure Monitor Log Analytics-arbetsytor och Azure Automation-runbooks.

• Upprätta en dedikerad identitetsprenumeration i hanteringsgruppen Platform som värd för Windows Server Active Directory-domänkontrollanter vid behov.

• Upprätta en dedikerad anslutningsprenumeration i din Platform hanteringsgrupp som värd för en Azure Virtual WAN-hubb, ett privat dns-system (Domain Name System), ExpressRoute-krets och andra nätverksresurser. En dedikerad prenumeration säkerställer att alla dina grundläggande nätverksresurser debiteras tillsammans och isoleras från andra arbetsbelastningar.

• Undvik en fast prenumerationsmodell. Använd i stället en uppsättning flexibla kriterier för att gruppera prenumerationer i hela organisationen. Den här flexibiliteten säkerställer att när organisationens struktur och arbetsbelastningssammansättning ändras kan du skapa nya prenumerationsgrupper i stället för att använda en fast uppsättning befintliga prenumerationer. En storlek passar inte alla för prenumerationer och det som fungerar för en affärsenhet kanske inte fungerar för en annan. Vissa program kan samexistera i samma landningszonprenumeration, medan andra kan kräva en egen prenumeration.

  • Mer information finns i How do we handle "dev/test/production" workload landing zones in Azure landing zone architecture?.

Kvot- och kapacitetsrekommendationer

• Använd prenumerationer som skalningsenheter och skala ut resurser och prenumerationer efter behov. Din arbetsbelastning kan sedan använda de resurser som krävs för att skala ut utan att överskrida prenumerationsgränserna på Azure-plattformen.

• Använd kapacitetsreservationer för att hantera kapacitet i vissa regioner. Din arbetsbelastning kan sedan ha den kapacitet som krävs för resurser med hög efterfrågan i en viss region.

• Upprätta en instrumentpanel med anpassade vyer för att övervaka använda kapacitetsnivåer och konfigurera aviseringar om kapaciteten närmar sig kritiska nivåer (90 procent CPU-användning).

• Skapa supportbegäranden om kvotökningar under prenumerationsetablering, till exempel för totala tillgängliga VM-kärnor i en prenumeration. Kontrollera att dina kvotgränser har angetts innan dina arbetsbelastningar överskrider standardgränserna.

• Se till att alla nödvändiga tjänster och funktioner är tillgängliga i dina valda distributionsregioner.

Automatiseringsrekommendationer

• Skapa en prenumerationsautomatprocess för att automatisera skapandet av prenumerationer för programteam via ett arbetsflöde för begäranden enligt beskrivningen i Prenumerationsautomater.

Rekommendationer för begränsning av klientöverföring

• Konfigurera följande inställningar för att förhindra att användare överför Azure-prenumerationer till eller från din Microsoft Entra-klientorganisation:

  • Ange Prenumeration som lämnar Microsoft Entra-katalogen till Permit no one.

  • Ange Prenumeration som Microsoft Entra-katalog till Permit no one.

• Konfigurera en begränsad lista över undantagna användare.

  • Inkludera medlemmar från ett Azure PlatformOps-team (plattformsåtgärder).
  • Inkludera break-glass-konton i listan över undantagna användare.

Nästa steg

Anta principdrivna skyddsräcken