訂閱自動售貨
訂閱自動販賣提供平台機制,以程式設計方式向需要部署工作負載的應用程式小組發出訂用帳戶。 下圖顯示 訂閱自動販賣 適合平臺和工作負載生命週期的位置。
訂用帳戶販賣是以訂用帳戶民主化的概念為基礎,並將其套用至應用程式登陸區域。 使用訂用帳戶民主化時,訂用帳戶而非資源群組是工作負載管理和規模的主要單位。 如需詳細資訊,請參閱
為什麼要 訂閱自動販賣?
訂用帳戶自動售貨為需要在 Azure 中部署工作負載的組織提供數個優點。 它會標準化並自動化要求、部署及控管應用程式登陸區域的訂用帳戶的程式。 訂用帳戶自動銷售可簡化訂用帳戶建立程式,並將其置於組織的控管之下,因此應用程式小組可以專注於以更高的信心和效率部署其工作負載。
- 簡化程式: 訂用帳戶自動販賣提供應用程式小組要求訂用帳戶的官方前門,而不需要他們自行瀏覽訂用帳戶程式。
- 改善的速度: 應用程式小組可以更快存取應用程式登陸區域,並更快速地上架工作負載。
- 有效率的治理: 平臺小組可以在應用程式登陸區域上強制執行治理,而額外負荷最低。
如何實作 訂閱自動販賣
訂用帳戶的販賣涉及三個團隊。 卓越雲端中心 (CCoE) 會建立商業規則和核准程式。 準備好時,應用程式小組會提出訂用帳戶要求。 平臺小組會使用要求來建立和設定訂用帳戶,再將訂用帳戶交給應用程式小組。 應用程式小組會更新預算、部署工作負載,以及建立作業。 下列指引提供 訂閱自動販賣 程式每個步驟的詳細數據。 如需詳細資訊,請參閱 訂閱自動售貨實作指引。
建立商業規則和核准程式
若要實作 訂閱自動販賣 模型,您必須建立可收集基本訂用帳戶資訊的核准程式。 卓越雲端中心(CCoE)應規劃核准程式,並建立要收集之資訊的商業規則。
自動化程式。 您應該將訂用帳戶要求擷取和核准的程式自動化,以加快布建和改善合規性。
與現有的工具整合。 您應該將 訂閱自動販賣 核准程式整合到現有的IT服務管理 (ITSM) 工具中。 整合可以簡化核准程式、減少手動工作,以及在減少錯誤的同時提高效率。 它也可讓維護在一段時間內更容易,並協助進行稽核的合規性報告。
連線 至部署管線。 最佳做法是將核准程式的商業規則系結至平臺小組所管理的訂用帳戶部署管線。 Azure Pipelines 或 GitHub Actions 工作流程是訂用帳戶部署管線的常見解決方案。
收集取用時的需求。 商業規則應允許應用程式小組要求訂用帳戶並提供訂用帳戶需求。 這些需求應包括預期的預算、訂用帳戶擁有者、網路預期,以及業務關鍵性和機密性分類。 在程序開始時收集這項資訊會通知您的部署參數和項目關係人核准需求。 取用程式也應該為平臺小組提供足夠的資訊,以將工作負載放在管理群組階層中。
在核准程式就緒後,應用程式小組就可以開始提出訂用帳戶要求。
提出訂用帳戶要求
訂閱自動售貨提供應用程式小組要求訂用帳戶的標準程式。 請務必將 訂閱自動販賣 的可用性社交化,並確保訂用帳戶要求易於提出。 在應用程式小組提交訂用帳戶要求之後,平臺小組會假設控制程式。 平臺小組會維持控制權,直到他們建立訂用帳戶,並將訂用帳戶傳遞給應用程式小組為止。
設定網路
訂用帳戶自動化需要設定必要的網路元件,而且它必須有足夠的彈性來滿足每個應用程式小組的需求。 一般指引一律不要在單一路由網域中使用重疊的IP位址。 如果您的大小需求變更,您可以新增或刪除虛擬網路的位址空間,而不需要停機。 如需詳細資訊,請參閱
使用IP位址管理 (IPAM) 工具。 您應該使用IPAM系統並將IPAM系統整合到自動售貨程式中,以簡化IP位址指派。 如需詳細資訊和IPAM指引,請參閱 IP 位址管理 (IPAM) 工具。
授與應用程式小組自主性。 您應該將許可權授與應用程式小組,以在訂用帳戶中建立子網,甚至是某些虛擬網路。 平臺小組應該一律建立與中央中樞對等互連的虛擬網路。
強制執行網路控管。 平臺小組應透過指派給管理群組階層或 (2) Azure 虛擬網絡 管理員和安全性 管理員 規則的 Azure 原則,強制執行虛擬網路治理。 如需詳細資訊,請參閱 原則導向治理 和 如何封鎖高風險埠。
判斷訂用帳戶放置
平臺小組應使用網路和治理需求,將訂用帳戶放在管理群組階層中。 他們也應該先檢閱訂用帳戶配額限制,再建立訂用帳戶。 如需詳細資訊,請參閱 量身打造 Azure 登陸區域架構以符合需求。
識別正確的管理群組。 管理群組可協助您組織和控管訂用帳戶和工作負載部署。 找出或建立管理群組,以強制執行每個工作負載分類和需求所需的原則。
建置彈性自動化。 您的自動化應該有足夠的彈性 (1) 來部署多個訂用帳戶,而 (2) 則適用於訂用帳戶服務限制。
多個訂用帳戶: 某些工作負載需要數個訂用帳戶。 例如,某些工作負載有數個以訂用帳戶分隔的實例。 或者,每個客戶使用專用資源的 SaaS 架構通常會使用數十個訂用帳戶。
訂用帳戶服務限制: 具有數千個訂用帳戶的企業應該具有可部署到舊訂用帳戶或共置訂用帳戶工作負載的自動化,以避免限制。 如需詳細資訊,請參閱 Azure 登陸區域常見問題。
您可以在布建之後,使用 Azure 入口網站 手動要求增加配額。 如果您使用可用的 API 將此程式自動化,則比較容易。 不過,配額要求可能會失敗,因此您應該執行腳本來處理任何錯誤。 如需詳細資訊,請參閱 Microsoft.Capacity、 Microsoft.Quota 和 Microsoft.Support
建立及設定訂用帳戶
您現在可以建立及設定要求的訂用帳戶。 目標是建立可重複且一致的程式。 盡可能自動化訂用帳戶建立和設定程式。
使用基礎結構即程式碼 (IaC)。 訂閱自動販賣 的常見策略是使用 IaC 以程式設計方式建立和設定訂用帳戶。 您需要商業合約,以程式設計方式建立 Azure 訂用帳戶,但您可以自動化訂用帳戶設定的所有層面,而不需要商業合約。 如需詳細資訊,請參閱
有範例 訂閱自動販賣 Bicep 和 Terraform 模組可協助您採用 訂閱自動販賣 模型,而不論您在商業合約中註冊為何。 您應該使用 GitHub 動作或 Azure Pipelines 來協調自動化。
使用標籤進行成本管理。 您應該針對 Azure 成本管理中的成本管理和報告目的,自動將標記指派給每個訂用帳戶的一致指派。 雖然您收到商業合約的計費報告,但 Azure 成本管理提供更大的功能。 例如,您可以為具有特定標籤的訂用帳戶建立報告。 如需詳細資訊,請參閱 如何在成本和使用量數據 中使用標籤,以及 使用標記繼承來分組及配置成本
使用生產和非生產訂用帳戶。 在新的訂用帳戶要求中,您必須指定工作負載是用於生產環境或 DevTest。 DevTest 環境會產生較低的資源費用,但有其他 條款。 注意 DevTest 供應專案不適用於 MPA。 如需詳細資訊,請參閱
設定身分識別和角色型訪問控制(RBAC)。 管理 Azure 訂用帳戶內資源的存取權對於維護安全且符合規範的環境非常重要。 若要控制存取權,請務必設定身分識別和 RBAC。 此設定牽涉到指定訂用帳戶擁有者、建立 Microsoft Entra 群組來管理存取權,以及建立自動化帳戶來部署工作負載。
指定訂用帳戶擁有者。 訂閱自動販賣 自動化需要在建立時指定訂用帳戶擁有者。 訂用帳戶要求應該在接收時擷取此資訊。 訂用帳戶擁有者只能是所選訂用帳戶目錄中的用戶或服務主體。 您無法選取來賓目錄使用者。 如果您選取服務主體,請輸入其 App ID。
建立 Microsoft Entra 群組。 除了訂用帳戶擁有者之外,您應該確定自動販賣程式會使用您的 Microsoft Entra 群組結構來管理訂用帳戶的存取權。 針對提高許可權的存取權(例如寫入),我們建議針對群組使用 PIM。 自動化此建立程式不應違反最佳做法,例如限制訂用帳戶擁有者的數目,以及使用最低必要存取層級。
建立工作負載身分識別。 用於工作負載部署的工作負載身分識別(服務原則)通常會在訂用帳戶範圍上擁有較高的許可權。 訂用帳戶要求程序應該在接收時收集工作負載身分識別需求。 您的販賣程式應該建立這些身分識別,並指派適當的訂用帳戶存取權。 請務必注意,工作負載身分識別無法使用 PIM 並接收資源的常設存取權。 建議您使用受控識別,以避免需要管理秘密。 如需詳細資訊,請參閱 身分識別設計區域。
交給應用程式小組。 平臺小組建立訂用帳戶之後,應該將訂用帳戶交給應用程式小組。
更新訂用帳戶預算
平臺和工作負載小組會共同負責訂用帳戶的財務健康情況。 部署應該根據訂用帳戶要求中的資訊來建立訂用帳戶預算。 應用程式應更新預算,以符合其收到訂用帳戶時的需求。 預算對於針對目前和預測使用量進行稽核支出很有用,但並非硬性限制。 如果工作負載即將超過預算閾值,您應該建立預算警示來通知訂用帳戶擁有者。 對於共享服務,例如 API 管理,請考慮使用 Azure 成本配置規則 (預覽) 來重新分配取用訂用帳戶之間的成本。
部署工作負載並運作
應用程式小組應具有自主權,以建立工作負載和管理作業所需的資源。 平臺小組仍負責訂用帳戶治理。 隨著工作負載的治理需求變更,平臺小組應該將訂用帳戶移至最符合工作負載需求的管理群組。 您可以使用 Bicep 或 Terraform 將移動自動化。 如需詳細資訊,請參閱
下一步
為了獲得最佳結果,您應該盡可能自動化 訂閱自動販賣 程式。 使用有關實作 訂閱自動販賣 自動化的隨附指引。