Prenumerationsautomater

Prenumerationsautomater tillhandahåller en plattformsmekanism för programmatiskt utfärdande av prenumerationer till programteam som behöver distribuera arbetsbelastningar. Följande diagram visar var prenumerationsautomater passar i plattformens och arbetsbelastningens livscykel.

Steg 1 är att skapa plattformsprenumerationer. Steg 2 är att skapa plattformen. Steg 3 är att upprätta en prenumerationsautomat. Steg 4 är att distribuera arbetsbelastningar. Steg 1 och 2 överensstämmer med plattformen. Steg 3, prenumerationsautomater, överlappar både plattforms- och programlandningszonen. Steg 4 är ett programfokuserat steg.

Prenumerationsautomater bygger på begreppet prenumerationsdemokratisering och tillämpar det på programlandningszoner. Med prenumerationsdemokratisering är prenumerationer, inte resursgrupper, de primära enheterna för arbetsbelastningshantering och skalning. Mer information finns i:

• Plattformslandningszoner jämfört med programlandningszoner
• Demokratiserad metod för prenumerationer
• Hur många prenumerationer ska jag använda i Azure (YouTube)?

Varför prenumerationsautomater?

Prenumerationsautomater erbjuder flera fördelar för organisationer som behöver distribuera arbetsbelastningar i Azure. Den standardiserar och automatiserar processen för att begära, distribuera och styra prenumerationer för programlandningszoner. Prenumerationsautomater förenklar processen för att skapa prenumerationer och placerar den under organisationens styrning, så att appteamen kan fokusera på att distribuera sina arbetsbelastningar med större förtroende och effektivitet.

• Effektiviserad process: Prenumerationsautomater ger en officiell ytterdörr för programteam att begära prenumerationer, vilket eliminerar behovet av att de navigerar i prenumerationsprocessen på egen hand.
• Förbättrad hastighet: Programteamen kan komma åt programlandningszoner snabbare och registrera arbetsbelastningar snabbare.
• Effektiv styrning: Plattformsteamet kan framtvinga styrning i programlandningszoner med minimala omkostnader.

Implementera prenumerationsautomater

Prenumerationsautomater omfattar tre team. Cloud Center of Excellence (CCoE) upprättar affärslogik och godkännandeprocessen. När de är klara gör programteamen prenumerationsbegäranden. Plattformsteamet använder begäran för att skapa och konfigurera prenumerationen innan prenumerationen överlämnas till programteamet. Programteamet uppdaterar budgeten, distribuerar arbetsbelastningen och etablerar åtgärder. Följande vägledning innehåller mer information om varje steg i prenumerationsautomatprocessen. Mer information finns i Implementeringsvägledning för prenumerationsautomater.

Plattformsteam kan skicka många alternativ och prenumerationstyper till programteam. Dessa typer kallas produktlinjer eftersom de relaterar till plattformstekniska principer och metoder. Mer information om hur du väljer det alternativ som bäst passar dina behov finns i Vanliga produktrader för prenumerationsautomater.

Upprätta affärslogik och godkännandeprocess

För att implementera prenumerationsautomatmodellen måste du upprätta en godkännandeprocess som samlar in viktig prenumerationsinformation. Cloud Center of Excellence (CCoE) bör programmera godkännandeprocessen och upprätta affärsregler kring den information som ska samlas in.

Automatisera processen. Du bör automatisera processen för insamling och godkännande av prenumerationsbegäran för snabbare etablering och förbättrad efterlevnad.

Integrera med befintliga verktyg. Du bör integrera processen för godkännande av prenumerationsautomater i ditt befintliga IT-tjänsthanteringsverktyg (ITSM). Integreringen kan förenkla godkännandeprocessen, minska den manuella ansträngningen och förbättra effektiviteten samtidigt som felen minskar. Det gör också underhåll enklare över tid och hjälper till med efterlevnadsrapportering för granskningar.

Anslut till distributionspipelinen. Det är bästa praxis att koppla affärslogik för godkännandeprocessen till den distributionspipeline för prenumerationer som plattformsteamet hanterar. Azure Pipelines- eller GitHub Actions-arbetsflöden är vanliga lösningar för distributionspipelinen för prenumerationer.

Samla in krav vid intag. Affärslogik bör göra det möjligt för programteam att begära en prenumeration och tillhandahålla prenumerationskrav. Dessa krav bör omfatta förväntade budgetar, prenumerationsägare, nätverksförväntningar och klassificering av affärskritiskhet och sekretess. Insamlingen av den här informationen i början av processen informerar dina distributionsparametrar och intressenternas godkännandebehov. Intagsprocessen bör också ge plattformsteamet tillräckligt med information för att placera arbetsbelastningen i hanteringsgruppshierarkin.

Med godkännandeprocessen på plats kan programteam börja göra prenumerationsbegäranden.

Gör en prenumerationsbegäran

Prenumerationsautomater tillhandahåller en standardprocess för programteam att begära en prenumeration. Det är viktigt att du socialiserar tillgängligheten för prenumerationsautomater och ser till att prenumerationsbegäranden är enkla att göra. När programteamet har skickat en prenumerationsbegäran tar plattformsteamet kontroll över processen. Plattformsteamet har kontroll tills de skapar prenumerationen och levererar prenumerationen till programteamet.

Konfigurera nätverksfunktioner

Prenumerationsautomationen måste konfigurera nödvändiga nätverkskomponenter, och den måste vara tillräckligt flexibel för att uppfylla behoven hos varje programteam. Som allmän vägledning använder du aldrig överlappande IP-adresser i en enda routningsdomän. Du kan lägga till eller ta bort adressutrymmet för ett virtuellt nätverk utan stilleståndstid om storlekskraven ändras. Mer information finns i:

• IP-adressbegränsningar
• Uppdatera adressutrymmet för ett peer-kopplat virtuellt nätverk
• Lägga till eller ta bort adressintervall

Använd ip-adresshanteringsverktyget (IPAM). Du bör använda och integrera ett IPAM-system i varuautomatprocessen för att effektivisera IP-adresstilldelningen. Mer information och IPAM-vägledning finns i IPAM-verktyg (IP Address Management).

Bevilja appteamet autonomi. Du bör ge programteamen behörighet att skapa undernät och även vissa virtuella nätverk i prenumerationen. Plattformsteamet bör alltid skapa virtuella nätverk som är peer-kopplade till en central hubb.

Framtvinga nätverksstyrning. Plattformsteamet bör framtvinga styrning av virtuella nätverk via (1) Azure-princip som tilldelats till hanteringsgruppshierarkin eller (2) Azure Virtual Network Manager och säkerhetsadministratörsregler. Mer information finns i Principdriven styrning och Blockera högriskportar.

Fastställa prenumerationsplacering

Plattformsteamet bör använda nätverks- och styrningskraven för att placera prenumerationen i hanteringsgruppshierarkin. De bör också granska prenumerationskvotgränserna innan de skapar prenumerationen. Mer information finns i Anpassa Arkitekturen för Azure-landningszoner för att uppfylla kraven.

Identifiera rätt hanteringsgrupp. Hanteringsgrupper hjälper dig att organisera och styra prenumerationer och arbetsbelastningsdistributioner. Leta upp eller skapa en hanteringsgrupp som tillämpar de principer som behövs för klassificering och behov för varje arbetsbelastning.

Skapa flexibel automatisering. Din automatisering bör vara tillräckligt flexibel (1) för att distribuera flera prenumerationer och (2) anpassa sig till prenumerationstjänstgränser.

• Flera prenumerationer: Vissa arbetsbelastningar behöver flera prenumerationer. Vissa arbetsbelastningar har till exempel flera instanser avgränsade med prenumeration. Alternativt använder SaaS-arkitekturer som använder dedikerade resurser per kund ofta dussintals prenumerationer.

• Begränsningar för prenumerationstjänsten: Ett företag med flera tusen prenumerationer ska ha automatisering som kan distribueras till en gammal prenumeration eller samlokalisera arbetsbelastningar i en prenumeration för att undvika gränserna. Mer information finns i Vanliga frågor och svar om Azure-landningszoner.

  Du kan begära kvotökningar manuellt med hjälp av Azure-portalen efter etableringen. Det är enklare om du automatiserar den här processen med hjälp av tillgängliga API:er. Kvotbegäran kan dock misslyckas, så du bör köra ett skript för att hantera eventuella fel. Mer information finns i Microsoft.Capacity, Microsoft.Quota och Microsoft.Support

Skapa och konfigurera prenumeration

Nu kan du skapa och konfigurera den begärda prenumerationen. Målet är att skapa en upprepningsbar, konsekvent process. Automatisera så mycket av processen för att skapa och konfigurera prenumerationer som möjligt.

Använd infrastruktur som kod (IaC). En vanlig strategi för prenumerationsautomater är att skapa och konfigurera prenumerationen programmatiskt med hjälp av IaC. Du behöver ett kommersiellt avtal för att skapa en Azure-prenumeration programmatiskt, men du kan automatisera alla aspekter av prenumerationskonfigurationen utan ett kommersiellt avtal. Mer information finns i:

• EA-obligatorisk roll
• MCA-obligatoriska roller
• MPA-obligatorisk roll

Det finns exempel på Bicep- och Terraform-moduler för prenumerationsautomater som hjälper dig att införa en modell för prenumerationsautomater oavsett din registrering i ett kommersiellt avtal. Du bör använda GitHub Actions eller Azure Pipelines för att samordna automatiseringen.

Använd taggar för kostnadshantering. Du bör automatisera den konsekventa tilldelningen av taggar till varje prenumeration i kostnadshanterings- och rapporteringssyfte i Microsoft Cost Management. Även om du får faktureringsrapporter med dina kommersiella avtal ger Cost Management bättre funktioner. Du kan till exempel skapa rapporter för prenumerationer med specifika taggar. Mer information finns i Använda taggar i kostnads- och användningsdata och Gruppera och allokera kostnader med hjälp av taggarv

Använd produktions- och icke-produktionsprenumerationer. I begäran om en ny prenumeration måste du ange om arbetsbelastningen är för Produktion eller DevTest. DevTest-miljöer resulterar i lägre resursavgifter men har andra termer. Obs! DevTest-erbjudandet är inte tillgängligt för MPA. Mer information finns i:

• Azure-faktureringserbjudanden och Active Directory-klientorganisationer
• Översikt över resursorganisationens designområde
• Skapa Azure-prenumerationer programmatiskt

Konfigurera identitets- och rollbaserade åtkomstkontroller (RBAC). Det är viktigt att hantera åtkomsten till resurser i en Azure-prenumeration för att upprätthålla en säker och kompatibel miljö. För att styra åtkomsten är det viktigt att konfigurera identiteter och RBACs. Den här konfigurationen omfattar att utse en prenumerationsägare, skapa Microsoft Entra-grupper för att hantera åtkomst och upprätta automationskonton för att distribuera arbetsbelastningar.

• Utse en prenumerationsägare. Automatiseringen av prenumerationsautomationen måste utse en prenumerationsägare när den skapas. Prenumerationsbegäran bör samla in den här informationen vid intaget. Prenumerationsägare kan bara vara användare eller tjänstens huvudnamn i den valda prenumerationskatalogen. Du kan inte välja gästkataloganvändare. Om du väljer ett tjänsthuvudnamn anger du dess app-ID.

• Skapa Microsoft Entra-grupper. Förutom prenumerationsägaren bör du se till att varuautomatsprocessen använder din Microsoft Entra-gruppstruktur för att hantera åtkomsten till prenumerationen. För förhöjd åtkomst (till exempel skrivning) rekommenderar vi att du använder PIM för grupper. Att automatisera den här skapandeprocessen bör inte strida mot bästa praxis, till exempel att begränsa antalet prenumerationsägare och använda den lägsta åtkomstnivå som krävs.

• Upprätta arbetsbelastningsidentiteter. Arbetsbelastningsidentiteter (tjänstprinciper) som används för arbetsbelastningsdistribution har ofta utökade behörigheter i prenumerationsomfånget. Processen för prenumerationsbegäran bör samla in arbetsbelastningsidentitetsbehov vid intag. Din varuautomatsprocess bör skapa dessa identiteter och tilldela lämplig prenumerationsåtkomst. Det är viktigt att observera att arbetsbelastningsidentiteten inte kan använda PIM och får stående åtkomst till resurser. Vi rekommenderar att du använder hanterade identiteter för att undvika behovet av att hantera hemligheter. Mer information finns i området för identitetsdesign.

Lämna över till programteamet. När plattformsteamet har skapat prenumerationen bör de lämna över prenumerationen till programteamet.

Uppdatera prenumerationsbudget

Plattforms- och arbetsbelastningsteamen delar ansvaret för prenumerationens ekonomiska hälsa. Distributionen bör skapa en prenumerationsbudget baserat på informationen i prenumerationsbegäran. Programmet bör uppdatera budgeten så att den uppfyller deras behov när de tar emot prenumerationen. Budgetar är användbara för granskning av utgifter mot aktuell och prognostiserad användning, men de är inte hårda gränser. Du bör skapa budgetaviseringar för att meddela prenumerationsägarna om arbetsbelastningen är på väg att överskrida budgettröskelvärdet. För delade tjänster, till exempel API Management, bör du överväga att använda Azures kostnadsallokeringsregler för att omdistribuera kostnader mellan prenumerationer som används.

Distribuera arbetsbelastning och drift

Programteamet bör ha självbestämmande för att skapa de resurser de behöver för sin arbetsbelastning och hantera åtgärder. Plattformsteamet ansvarar fortfarande för prenumerationsstyrning. När styrningskraven för en arbetsbelastning ändras bör plattformsteamet flytta prenumerationer till den hanteringsgrupp som bäst uppfyller arbetsbelastningsbehoven. Du kan automatisera flytten med hjälp av Bicep eller Terraform. Mer information finns i:

• Översikt över hanteringsgrupper
• Flytta prenumeration till ny hanteringsgrupp (Bicep)
• Flytta prenumeration till ny hanteringsgrupp (Terraform)
• Skräddarsy Azure-landningszonen för att uppfylla dina krav

Nästa steg

Granska de prenumerationer eller produktrader som du kan skicka till programteam. Upprätta en bra utgångspunkt så att du kan hantera ett antal olika scenarier.

Upprätta vanliga produktrader för prenumerationsautomater