你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

订阅注意事项和建议

订阅是 Azure 中管理、计费和缩放的一个单位。 在设计大规模 Azure 采用时，它们起着关键作用。 本文根据因以下因素而异，帮助你捕获订阅要求和设计目标订阅：

• 环境类型
• 所有权和治理模型
• 组织结构
• 应用程序组合
• 区域

提示

有关订阅的详细信息，请参阅 YouTube 视频： Azure 登陆区域 - 应在 Azure 中使用多少个订阅？

注意

如果使用企业协议、Microsoft 客户协议（企业版）或Microsoft 合作伙伴协议（CSP），请查看Azure 门户中的计费帐户和范围中的订阅限制。

订阅注意事项

以下部分包含可帮助你规划和创建 Azure 订阅的注意事项。

组织和治理设计注意事项

• 订阅会用作 Azure 策略分配的边界。

  例如，安全工作负载（如支付卡行业 (PCI) 工作负载）通常需要其他策略来实现合规性。 可使用订阅实现相同的隔离，而不是使用管理组来整理需要 PCI 合规性的工作负载，而无需拥有太多管理组和多个订阅。

  如果你需要将相同工作负载原型的多个订阅组合在一起，请在管理组下创建这些订阅。

• 订阅充当一个缩放单元，确保组件工作负载可以在平台订阅限制内进行缩放。 确保在工作负载设计会话期间考虑订阅资源限制。

• 订阅为治理和隔离提供了一个管理边界，明确区分了关注点。

• 在需要时为管理（监视）、连接和身份创建单独的平台订阅。

  • 在平台管理组中建立专用管理订阅，以支持 Azure Monitor 日志工作区和 Azure 自动化 Runbook 等全局管理功能。

  • 必要时在平台管理组中建立专用标识订阅，以托管 Windows Server Active Directory 域控制器。

  • 在平台管理组中建立专用连接订阅，以托管 Azure 虚拟 WAN 中心、专用域名系统（DNS）、Azure ExpressRoute 线路和其他网络资源。 专用订阅可确保对所有基础网络资源一起计费，并确保这些资源与其他工作负载隔离。

  • 使用订阅作为符合业务需求和优先级的民主化管理单元。

• 使用手动过程将 Microsoft Entra 租户限制为仅企业协议注册订阅。 使用手动过程时，无法在根管理组范围内创建Microsoft开发人员网络（MSDN）订阅。

  有关支持，请提交Azure 支持票证。

  有关 Azure 计费产品/服务之间的订阅转移的信息，请参阅 Azure 订阅和预留转移中心。

多个区域注意事项

重要

订阅未绑定到特定区域，你可以将其视为全局订阅。 它们是逻辑构造，用于为包含在其中的 Azure 资源提供计费、治理、安全性和标识控制。 因此，不需要为每个区域单独订阅。

• 可以在单个工作负荷级别采用多区域方法，以缩放或异地灾难恢复或全局级别（不同区域中的不同工作负荷）。

• 单个订阅可以包含来自不同区域的资源，具体取决于要求和体系结构。

• 在异地灾难恢复上下文中，可以使用同一订阅来包含主要区域和次要区域中的资源，因为它们在逻辑上属于同一工作负荷。

• 可以为不同区域中的同一工作负荷部署不同的环境，以优化成本和资源可用性。

• 在包含来自多个区域的资源的订阅中，可以使用资源组按区域组织和包含资源。

配额和容量设计注意事项

Azure 区域的资源可能有限。 因此，应使用多个资源跟踪 Azure 采用的可用容量和 SKU。

• 考虑工作负载所需的每个服务在 Azure 平台内的限制和配额。

• 考虑所选 Azure 区域内所需 SKU 的可用性。 例如，新功能可能仅在特定区域中可用。 给定资源（例如虚拟机（VM）的某些 SKU 的可用性可能因一个区域而异。

• 考虑到订阅配额不是容量保证，并且会按区域应用。

  有关虚拟机容量预留，请参阅按需容量预留。

• 请考虑重用未使用的或已停用的订阅。 有关详细信息，请参阅 创建或重复使用 Azure 订阅。

租户转移限制设计注意事项

每个 Azure 订阅都链接到单个 Microsoft Entra 租户，该租户充当 Azure 订阅的标识提供者 (IdP)。 使用 Microsoft Entra 租户对用户、服务和设备进行身份验证。

当任何用户具有所需的权限时，他们可以更改链接到 Azure 订阅的 Microsoft Entra 租户。 有关详细信息，请参阅：

• 将 Azure 订阅关联或添加到 Microsoft Entra 租户
• 将 Azure 订阅转移到其他 Microsoft Entra 目录

注意

无法转移到 Azure 云解决方案提供商 （CSP） 订阅的其他 Microsoft Entra 租户。

对于 Azure 登陆区域，可以设置要求，以防止用户将订阅转移到组织的Microsoft Entra 租户。 有关详细信息，请参阅管理 Azure 订阅策略。

通过提供豁免用户的列表来配置订阅策略。 允许免除的用户绕过策略中设置的限制。

重要

免除的用户列表不是 Azure Policy。

• 请考虑是否应允许拥有 Visual Studio 或 MSDN Azure 订阅 的用户将其订阅转移到 Microsoft Entra 租户或从其订阅。

• 只有具有Microsoft Entra 全局管理员角色 的用户才能配置租户传输设置。 这些用户必须具有 提升的访问权限 才能更改策略。

  • 只能将单个用户帐户指定为 豁免用户，而不是Microsoft Entra 组。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色，应仅限于无法使用现有角色的紧急情况。

• 有权访问 Azure 的所有用户都可以查看为 Microsoft Entra 租户定义的策略。

  • 用户无法查看你的豁免用户列表。

  • 用户可以在 Microsoft Entra 租户中查看全局管理员。

• 传输到 Microsoft Entra 租户的 Azure 订阅将置于 该租户的默认管理组中 。

• 如果组织批准，应用程序团队可以定义允许将 Azure 订阅转移到Microsoft Entra 租户的过程。

成本管理设计注意事项

每个大型企业组织都有管理成本透明度的挑战。 本部分探讨在大型 Azure 环境中实现成本透明度的关键方面。

• 可能需要共享退款模型，例如App 服务环境和Azure Kubernetes 服务（AKS），以实现更高的密度。 退款模型可能会影响共享平台即服务（PaaS）资源。

• 对非生产工作负载使用关闭计划以优化成本。

• 使用 Azure 顾问 获取优化成本的建议。

• 建立退款模型，以便更好地在整个组织中分配成本。

• 实施策略，使用户无法在组织的环境中部署未经授权的资源。

• 建立定期计划和节奏，查看工作负荷的成本和权限。

订阅建议

以下部分包含可帮助你规划和创建 Azure 订阅的建议。

组织和治理建议

• 将订阅视为符合业务需求和优先级的管理单元。

• 通知订阅所有者其角色和责任。

  • 对 Microsoft Entra Privileged Identity Management（PIM）进行季度或每年的访问评审，以确保用户在组织内移动时特权不会激增。

  • 完全拥有预算支出和资源。

  • 确保策略合规性并在必要时进行修正。

• 确定新订阅的要求时，请参考以下原则：

  • 缩放限制：订阅充当缩放单元，以便组件工作负载在平台订阅限制之内缩放。 大型专用工作负荷（如高性能计算、IoT 和 SAP）应使用单独的订阅来避免针对这些限制运行。

  • 管理边界：订阅为治理和隔离提供管理边界，允许明确分离关注点。 从管理的角度来看，通常会从管理角度删除各种环境，例如开发、测试和生产环境。

  • 策略边界：订阅充当 Azure Policy 分配的边界。 例如，安全工作负载（如 PCI 工作负载）通常需要其他策略才能实现合规性。 如果使用单独的订阅，则不会考虑其他开销。 与生产环境相比，开发环境的策略要求更加宽松。

  • 目标网络拓扑：不能跨订阅共享虚拟网络，但可以将它们与虚拟网络对等互连或 ExpressRoute 等不同技术连接。 确定是否需要新订阅时，请考虑哪些工作负载需要相互通信。

• 将订阅分组到管理组下，这些组与管理组的结构和策略要求一致。 组订阅，以确保具有相同策略集的订阅和 Azure 角色分配来自同一管理组。

• 在 Platform 管理组中建立专用管理订阅，以支持 Azure Monitor 日志工作区和自动化 Runbook 等全局管理功能。

• 必要时在 Platform 管理组中建立专用标识订阅，以托管 Windows Server Active Directory 域控制器。

• 在Platform管理组中建立专用连接订阅，以托管虚拟 WAN中心、专用 DNS、ExpressRoute 线路和其他网络资源。 专用订阅可确保对所有基础网络资源一起计费，并确保这些资源与其他工作负载隔离。

• 避免使用严格的订阅模型， 而是使用一组灵活的条件在整个组织内对订阅进行分组。 这种灵活性确保随着组织结构和工作负载组合发生变化，可以新建订阅组，而不是使用一组固定的现有订阅。 一种大小并不适合所有订阅，并且适用于一个业务部门的内容可能不适用于另一个业务部门。 某些应用程序可能会在同一登陆区域订阅中共存，而其他应用程序则可能需要自己的订阅。

  有关详细信息，请参阅 处理开发/测试/生产工作负荷登陆区域。

多个区域建议

• 仅当具有特定于区域的治理和管理要求（例如数据主权或超出配额限制）时，才为每个区域创建其他订阅。

• 如果缩放不涉及跨多个区域的异地灾难恢复环境，请对主要区域和次要区域资源使用相同的订阅。 某些 Azure 服务可能需要使用相同的订阅，具体取决于采用的业务连续性和灾难恢复（BCDR）策略和工具。 在主动-主动方案中，部署独立管理或生命周期不同，建议使用不同的订阅。

• 创建资源组的区域和包含的资源区域应匹配，因此它们不会影响复原和可靠性。

• 单个资源组不应包含来自不同区域的资源。 此方法可能会导致资源管理和可用性问题。

配额和容量建议

• 使用订阅作为缩放单元，并根据需要横向扩展资源和订阅。 然后，工作负荷可以使用所需的资源进行横向扩展，而无需在 Azure 平台中达到订阅限制。

• 使用容量预留来管理某些区域中的容量。 然后，工作负载可能具有特定区域中的高需求资源所需的容量。

• 建立一个仪表板，其中包含用于监视已使用容量级别的自定义视图，并在容量接近关键级别（例如 90% CPU 使用率）时设置警报。

• 根据订阅预配（如订阅中可用的 VM 核心总数）提出增加配额的支持请求。 确保在工作负载超过默认限制之前设置配额限制。

• 确保所需的服务和功能在所选部署区域中可用。

自动化建议

• 构建订阅自动售货过程，通过请求工作流自动创建应用程序团队的订阅。 有关详细信息，请参阅订阅自动售货。

租户转移限制建议

• 配置以下设置以防止用户向 Microsoft Entra 租户或从 Microsoft Entra 租户转移 Azure 订阅：

  • 将订阅设置为Microsoft Entra 目录Permit no one。

  • 将输入Microsoft Entra 目录的订阅设置为 。Permit no one

• 配置一组有限的豁免用户列表。

  • 包括 Azure 平台运营团队的成员。

  • 在豁免用户列表中包括不受限帐户。

下一步

采用策略驱动的防护措施