你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

订阅注意事项和建议

订阅是 Azure 中管理、计费和缩放的一个单位。 针对大规模 Azure 采用进行设计时，它们将发挥至关重要的作用。 本文可帮助捕获订阅要求并根据关键因素设计目标订阅，而这些关键因素基于：

• 环境类型
• 所有权和治理模式
• 组织结构
• 应用程序组合

提示

我们在最近的 YouTube 视频中讨论了本主题： Azure 登陆区域 - 应在 Azure 中使用多少个订阅？

注意

应查看订阅限制，如计费帐户和Azure 门户中的作用域中所述。 本指南主要面向使用企业协议、Microsoft 客户协议（企业）或 Microsoft 合作伙伴协议 (CSP) 的客户。

订阅注意事项

以下部分包含可帮助你规划和创建 Azure 订阅的注意事项。

组织和治理设计注意事项

• 订阅会用作 Azure 策略分配的边界。

  • 例如，安全工作负载（如支付卡行业 (PCI) 工作负载）通常需要其他策略来实现合规性。 可使用订阅实现相同的隔离，而不是使用管理组来整理需要 PCI 合规性的工作负载，而无需拥有太多管理组和多个订阅。

    • 如果你需要将相同工作负载原型的多个订阅组合在一起，请在管理组下创建这些订阅。

• 订阅充当一个缩放单元，确保组件工作负载可以在平台订阅限制内进行缩放。 确保在工作负载设计会话期间考虑订阅资源限制。

• 订阅为治理和隔离提供了一个管理边界，明确区分了关注点。

• 在需要时为管理（监视）、连接和身份创建单独的平台订阅。

  • 在平台管理组中建立一个专用管理订阅，用于支持全局管理功能，例如 Azure Monitor Log Analytics 工作区和 Azure 自动化 Runbook。
    • 必要时在平台管理组中建立专用标识订阅，以托管 Windows Server Active Directory 域控制器。
    • 在平台管理组中建立一个专用连接订阅，用于托管 Azure 虚拟 WAN 中心、专用域名系统 (DNS)、ExpressRoute 线路和其他网络资源。 专用订阅可确保对所有基础网络资源一起计费，并确保这些资源与其他工作负载隔离。
    • 将订阅用作与业务需求和优先级一致的民主化管理单元。

• 使用手动过程将 Microsoft Entra 租户限制为仅企业协议注册订阅。 使用手动过程可阻止在根管理组作用域创建 Microsoft 开发人员网络订阅。

  • 如需支持，请提交 Azure 支持票证。

• 有关在 Azure 计费套餐之间转移订阅的信息，请参阅 Azure 订阅和预留转移中心。

配额和容量设计注意事项

Azure 区域的资源可能有限。 因此，应为具有大量资源的 Azure 采用跟踪可用容量和 SKU。

• 考虑工作负载所需的每个服务在 Azure 平台内的限制和配额。

• 考虑所选 Azure 区域内所需 SKU 的可用性。 例如，新功能可能仅在特定区域中可用。 在不同区域，给定资源（例如 VM）的某些 SKU 的可用性可能有所不同。

• 考虑到订阅配额不是容量保证，并且会按区域应用。

  • 有关虚拟机容量预留，请参阅按需容量预留。

• 请考虑根据“每次是否应或是否可以创建新的 Azure 订阅，以及是否应重复使用 Azure 订阅？- Azure 登陆区域常见问题解答”中的指导，重新使用未使用或已停用的订阅。

租户转移限制设计注意事项

每个 Azure 订阅都链接到单个 Microsoft Entra 租户，该租户充当 Azure 订阅的标识提供者（IdP）。 Microsoft Entra 租户用于对用户、服务和设备进行身份验证。

任何具有所需权限的用户都可以更改链接到 Azure 订阅的 Microsoft Entra 租户。 以下文章中详细介绍了此过程：

• 将 Azure 订阅关联或添加到 Microsoft Entra 租户
• 将 Azure 订阅转移到其他 Microsoft Entra 目录

注意

Azure 云解决方案提供商 （CSP） 订阅不支持转移到另一个 Microsoft Entra 租户。

使用 Azure 登陆区域，可以设置要求，以防止用户将订阅转移到组织的 Microsoft Entra 租户。 请参阅管理 Azure 订阅策略中的流程。

通过提供豁免用户的列表来配置订阅策略。 允许豁免用户绕过策略中设置的指令。

重要

豁免用户列表不是 Azure Policy。

• 请考虑是否应允许具有 Visual Studio/MSDN Azure 订阅 的用户将其订阅转移到 Microsoft Entra 租户或从你的 Microsoft Entra 租户转移订阅。

• 租户传输设置只能由分配有 Microsoft Entra Global 管理员istrator 角色的用户进行配置。 这些用户必须具有提升的访问权限才能更改策略。

  • 只能将单个用户帐户指定为 豁免用户，而不是 Microsoft Entra 组。

• 有权访问 Azure 的所有用户都可以查看为 Microsoft Entra 租户定义的策略。

  • 用户无法查看你的豁免用户列表。

  • 用户可以在 Microsoft Entra 租户中查看全局管理员。

• 传输到 Microsoft Entra 租户的 Azure 订阅将置于该租户的默认管理组中 。

• 如果组织批准，应用程序团队可以定义允许将 Azure 订阅转移到 Microsoft Entra 租户或从 Microsoft Entra 租户转移的过程。

建立成本管理设计注意事项

成本透明度是每个大型企业组织面临的一项关键管理挑战。 本文的这一部分探讨了在大型 Azure 环境中实现成本透明度的关键方面。

• 可能需要共享退款模型（如 Azure 应用服务环境和 Azure Kubernetes 服务）才能实现更高的密度。 共享平台即服务 (PaaS) 资源可能会受退款模型的影响。

• 对非生产工作负载使用关闭计划以优化成本。

• 使用 Azure 顾问检查优化成本的建议。

• 建立一个退款模型，以便在你的组织中更好地分配成本。

• 实施策略以防止在你的组织环境中部署未经授权的资源。

• 建立一个定期的计划和节奏，以审查工作负载的成本和适当大小的资源。

订阅建议

以下部分包含可帮助你规划和创建 Azure 订阅的建议。

组织和治理建议

• 将订阅视为与业务需求和优先级一致的管理单元。

• 让订阅所有者了解其角色和职责。

  • 对 Microsoft Entra Privileged Identity Management 进行季度或每年的访问评审，以确保随着用户在你的组织中移动，特权不会激增。
  • 完全拥有预算支出和资源。
  • 确保策略合规性并在必要时进行修正。

• 在确定新订阅的要求时，请参考以下原则：

  • 缩放限制：订阅充当缩放单元，以便组件工作负载在平台订阅限制之内缩放。 大型专用工作负载（如高性能计算、IoT 和 SAP）应使用单独的订阅以避免遇到这些限制。
  • 管理边界：订阅为治理和隔离提供了管理边界，从而支持使用清晰的关注点分离。 从管理角度来看，通常会删除不同的环境（如开发、测试和生产）。
  • 策略边界：订阅充当 Azure Policy 分配的边界。 例如，PCI 等安全工作负载通常需要其他策略来实现合规性。 如果使用单独的订阅，则不会考虑其他开销。 与生产环境相比，开发环境的策略要求更加宽松。
  • 目标网络拓扑：用户不能跨订阅共享虚拟网络，但可以使用不同的技术将虚拟网络连接起来，例如虚拟网络对等互连或 Azure ExpressRoute。 在决定是否需要新订阅时，请考虑哪些工作负载必须相互通信。

• 将订阅分组到管理组下，这些组与管理组的结构和策略要求一致。 分组订阅可确保具有相同策略集和 Azure 角色分配的订阅来自管理组。

• 在 Platform 管理组中建立一个专用管理订阅，用于支持全局管理功能，例如 Azure Monitor Log Analytics 工作区和 Azure 自动化 Runbook。

• 必要时在 Platform 管理组中建立专用标识订阅，以托管 Windows Server Active Directory 域控制器。

• 在 Platform 管理组中建立一个专用连接订阅，用于托管 Azure 虚拟 WAN 中心、专用域名系统 (DNS)、ExpressRoute 线路和其他网络资源。 专用订阅可确保对所有基础网络资源一起计费，并确保这些资源与其他工作负载隔离。

• 避免使用严格的订阅模型， 而是使用一组灵活的条件在整个组织内对订阅进行分组。 这种灵活性确保随着组织结构和工作负载组合发生变化，可以新建订阅组，而不是使用一组固定的现有订阅。 一种大小并不适合所有订阅，并且适用于一个业务部门的内容可能不适用于另一个业务部门。 某些应用程序可能会在同一登陆区域订阅中共存，而其他应用程序则可能需要自己的订阅。

  • 有关详细信息，请参阅我们如何处理 Azure 登陆区域体系结构中的“开发/测试/生产”工作负载登陆区域？。

配额和容量建议

• 使用订阅作为缩放单元，并根据需要横向扩展资源和订阅。 然后，工作负载可能会使用所需的资源进行横向扩展，而不会达到 Azure 平台中的订阅限制。

• 使用容量预留来管理某些区域中的容量。 然后，工作负载可能具有特定区域中的高需求资源所需的容量。

• 创建一个仪表板并在其中包含自定义视图，以监视已用容量级别，并在容量达到临界级别（90% 的 CPU 使用率）时设置警报。

• 根据订阅预配（如订阅中可用的 VM 核心总数）提出增加配额的支持请求。 确保在工作负载超过默认限制之前设置配额限制。

• 确保所需的服务和功能在所选部署区域中可用。

自动化建议

• 构建订阅自动售货流程，以通过请求工作流自动创建应用程序团队的订阅，如订阅自动售货中所述。

租户转移限制建议

• 配置以下设置以防止用户向 Microsoft Entra 租户或从 Microsoft Entra 租户转移 Azure 订阅：

  • 将订阅设置为 将 Microsoft Entra 目录 保留为 Permit no one。

  • 将输入 Microsoft Entra 目录的订阅设置为 。Permit no one

• 配置一组有限的豁免用户列表。

  • 包括来自 Azure PlatformOps（平台运营）团队的成员。
  • 在豁免用户列表中包括不受限帐户。

后续步骤

采用策略驱动的防护措施