訂用帳戶考慮和建議
訂用帳戶是 Azure 中管理、計費、縮放的單位。 當您設計大規模的 Azure 採用時,訂用帳戶扮演著重要的角色。 本文可協助您根據下列重要因素來擷取訂用帳戶需求和設計目標訂用帳戶:
- 環境類型
- 擁有權和治理模型
- 組織結構
- 應用程式組合
提示
我們在最近的 YouTube 影片中討論了本主題: Azure 登陸區域 - 我應該在 Azure 中使用多少個訂用帳戶?
注意
您應該檢閱訂用帳戶限制,如帳單帳戶和Azure 入口網站 中的範圍所述 。 本指南主要以使用 Enterprise 合約、Microsoft 客戶合約 (Enterprise) 或 Microsoft 合作夥伴合約 (CSP) 的客戶為目標。
訂用帳戶考慮
下列各節包含可協助您規劃和建立 Azure 訂用帳戶的考慮。
組織和治理設計考量
訂用帳戶可作為 Azure 原則指派的界限。
例如,安全的工作負載 (例如支付卡產業 (PCI) 工作負載) 通常需仰賴其他原則以達到合規性。 與其使用管理群組來整理需要 PCI 合規性的工作負載,您只需一個訂用帳戶即可達到相同的隔離效果,而無須使用太多管理群組搭配數個訂用帳戶。
- 如果您需要將屬於相同工作負載原型的許多訂用帳戶群組在一起,請將其建立在管理群組下。
訂用帳戶可作為縮放單位,讓元件工作負載可以在平臺 訂用帳戶限制 內進行調整。 設計工作負載時請務必考量訂用帳戶資源限制。
訂用帳戶提供了治理和隔離的管理界限,可明確區隔關注點。
在必要時,為管理 (監視)、連線和身分識別等用途建立個別的平台訂用帳戶。
- 在您的平台管理群組中建立專用的管理訂用帳戶,以支援 Azure 監視器 Log Analytics 工作區和、Azure 自動化 Runbook 等全域管理功能。
- 必要時,在您的平台管理群組中建立專用的身分識別訂用帳戶,以裝載 Windows Server Active Directory 網域控制站。
- 在您的平台管理群組中建立專用的連線訂用帳戶,以裝載 Azure 虛擬 WAN 中樞、私人網域名稱系統 (DNS)、ExpressRoute 線路和其他網路資源。 專用的訂用帳戶可確保您所有的基礎網路資源會一起計費,並且與其他工作負載隔離。
- 將訂用帳戶用作符合您的商務需求和優先事項的大眾化管理單位。
- 在您的平台管理群組中建立專用的管理訂用帳戶,以支援 Azure 監視器 Log Analytics 工作區和、Azure 自動化 Runbook 等全域管理功能。
使用手動程式將 Microsoft Entra 租使用者限制為僅Enterprise 合約註冊訂用帳戶。 使用手動程序,防止在根管理群組範圍建立 Microsoft 開發人員網路訂用帳戶。
- 如需支援,請提交 Azure 支援票證 。
配額和容量設計考量
Azure 區域可能有有限的資源數目。 因此,應針對涉及大量資源的 Azure 採用,追蹤可用的容量和 SKU。
針對工作負載所需的每個服務,請考慮 Azure 平臺內的限制和配額 。
考量您選擇的 Azure 區域內所需 SKU 的可用性。 例如,新功能只能在特定區域中使用。 指定資源 (例如 VM) 的特定 SKU 可用性可能會隨著區域而不同。
請考慮訂用帳戶配額不是容量保證,而且會依每個區域套用。
- 如需虛擬機器容量保留,請參閱 隨選容量保留 。
請考慮依照我們應每次都建立新的 Azure 訂用帳戶,還是可以 (且應該) 重複使用 Azure 訂用帳戶?- Azure 登陸區域常見問題集中的指引,重複使用未使用或已解除委任的訂用帳戶。
租用戶轉移限制設計考量
每個 Azure 訂用帳戶都會連結到單一 Microsoft Entra 租使用者,該租使用者會作為 Azure 訂用帳戶的識別提供者(IdP)。 Microsoft Entra 租使用者可用來驗證使用者、服務和裝置。
任何具有必要許可權的使用者都可以變更連結到您 Azure 訂用帳戶的 Microsoft Entra 租使用者。 此程式詳述于下列文章:
注意
Azure 雲端解決方案提供者 (CSP) 訂用帳戶不支援轉移至另一個 Microsoft Entra 租使用者。
使用 Azure 登陸區域,您可以設定需求,以防止使用者將訂用帳戶轉移至組織的 Microsoft Entra 租使用者。 檢閱管理 Azure 訂用帳戶原則 中的 程式。
提供豁免的使用者清單 ,以設定您的訂用帳戶原則 。 已豁免使用者可以略過原則中設定的限制。
重要
豁免的使用者清單不是 Azure 原則 。
請考慮是否應允許具有 Visual Studio/MSDN Azure 訂 用帳戶的使用者,將其訂用帳戶轉移至 Microsoft Entra 租使用者或從您的 Microsoft Entra 租使用者轉移。
租使用者轉移設定只能由指派 Microsoft Entra Global 管理員istrator 角色的使用者設定。 這些使用者和 必須具有 更高許可權的存取 權,才能變更原則。
- 您只能將個別使用者帳戶指定為 豁免的使用者 ,而不是 Microsoft Entra 群組。
具有 Azure 存取權的所有使用者都可以檢視為 Microsoft Entra 租使用者定義的原則。
使用者無法檢視豁免 的使用者 清單。
使用者可以檢視 Microsoft Entra 租使用者內的全域管理員。
轉移至 Microsoft Entra 租使用者的 Azure 訂用帳戶會放入 該租使用者的預設管理群組 中。
如果貴組織核准,您的應用程式小組可以定義一個程式,以允許將 Azure 訂用帳戶傳送至 Microsoft Entra 租使用者或從中轉移。
建立成本管理設計考慮
成本透明度是每個大型企業組織都會面臨的重大管理挑戰。 本文的這一節探討在大型 Azure 環境中實現成本透明度的重要層面。
若要獲得更高的資訊密度,可能需要共用退款模型,例如 Azure App Service 環境和 Azure Kubernetes Service。 共用的平台即服務 (PaaS) 資源可能會受到退款模型的影響。
對非商業執行的工作負載使用「關閉排程」,將成本最佳化。
使用 Azure Advisor 來檢查優化成本的建議。
建立退款模型,以更妥善地分配整個組織的成本。
實作相關原則,以防止資源未經授權部署在您的組織環境中。
建立定期排程和頻率,以檢閱工作負載的成本,並將其資源調整為適當大小。
訂用帳戶建議
下列各節包含可協助您規劃和建立 Azure 訂用帳戶的建議。
組織和治理建議
將訂用帳戶視為符合您的商務需求和優先事項的管理單位。
讓訂用帳戶擁有者知道其角色和責任。
- 針對 Microsoft Entra Privileged Identity Management 進行每季或每年的存取權檢閱,以確保當使用者在組織內移動時,許可權不會激增。
- 取得預算支出和資源的完整擁有權。
- 確保原則合規性,並在必要時進行補救。
識別新訂用帳戶的需求時,請參考下列準則:
- 調整限制: 訂用帳戶可作為元件工作負載的縮放單位,以在平臺訂用帳戶限制內進行調整。 大型特製化工作負載,例如高效能運算、IoT 和 SAP 應該使用不同的訂用帳戶,以避免針對這些限制執行。
- 管理界限:訂用帳戶提供治理和隔離的管理界限,可明確區隔關注點。 管理的觀點常會忽視不同的環境,例如開發、測試和實際執行環境。
- 原則界限:訂用帳戶可作為 Azure 原則指派的界限。 例如,PCI 之類的安全工作負載通常需仰賴其他原則以達到合規性。 如果您使用個別的訂用帳戶,則不會考量其他額外負荷。 開發環境比生產環境更寬鬆的原則需求。
- 目標網路拓撲: 您無法跨訂用帳戶共用虛擬網路,但您可以使用虛擬網路對等互連或 Azure ExpressRoute 等不同技術加以連線。 決定是否需要新的訂用帳戶時,請考量有哪些工作負載需要互相通訊。
依據您的管理群組結構和原則需求,將訂用帳戶分組到管理群組下。 將訂用帳戶分組,可確保具有同一組原則和 Azure 角色指派的訂用帳戶全都會屬於一個管理群組。
在您的
Platform
管理群組中建立專用的管理訂用帳戶,以支援 Azure 監視器 Log Analytics 工作區和Azure 自動化 Runbook 等全域管理功能。在
Platform
管理群組中建立專用的身分識別訂用帳戶,以在必要時裝載 Windows Server Active Directory 網域控制站。在您的
Platform
管理群組中建立專用的連線訂用帳戶,以裝載 Azure 虛擬 WAN 中樞、私人網域名稱系統(DNS)、ExpressRoute 線路和其他網路資源。 專用的訂用帳戶可確保您所有的基礎網路資源會一起計費,並且與其他工作負載隔離。避免使用固定的訂用帳戶模型。 請使用一組彈性準則,以將組織內的訂用帳戶分組。 這種彈性可確保當您的組織結構和工作負載組成變更時,您可以建立新的訂用帳戶群組,而不是使用一組固定的現有訂閱。 訂用帳戶無法一體適用,而某個業務單位適用的,在另一個業務單位不一定可行。 有些應用程式能在相同的登陸區域訂用帳戶中並存,有些則需要自己的訂用帳戶。
- 如需詳細資訊,請參閱 如何在 Azure 登陸區域架構中處理「開發/測試/生產」工作負載登陸區域? 。
配額和容量建議
視需要使用訂用帳戶作為縮放單位,以及相應放大資源和訂用帳戶。 您的工作負載後續將可使用所需的資源進行擴增,而不會觸及 Azure 平台中的訂用帳戶限制。
使用容量保留來管理某些區域中的容量。 您的工作負載後續將可在特定區域獲得高需求資源所需的容量。
建立具有自訂檢視的儀表板,以監視已使用的容量層級,並設定在容量接近關鍵層級 (90% CPU 使用率) 時發出警示。
在訂用帳戶佈建期間提出增加配額的支援要求,例如,訂用帳戶內可用的 VM 核心總數。 確定您的配額限制是在工作負載超過預設限制之前設定的。
確定任何必要的服務和功能在您選擇的部署區域中均適用。
自動化建議
- 建置訂用帳戶自動販賣程序,以透過要求工作流程自動建立應用程式小組的訂用帳戶,如訂用帳戶自動販賣中所述。
租用戶轉移限制建議
設定下列設定,以防止使用者將 Azure 訂用帳戶轉移至 Microsoft Entra 租使用者或從您的 Microsoft Entra 租使用者:
將 [訂用帳戶] 設定 為
Permit no one
[保留 Microsoft Entra 目錄 ]。將 [訂用帳戶] 輸入 Microsoft Entra 目錄 設定為
Permit no one
。
設定受限的 豁免使用者 清單。
- 包含來自 Azure PlatformOps(平臺作業)小組的成員。
- 在免套用使用者 清單中 加入分鏡帳戶。