Zagadnienia i zalecenia dotyczące subskrypcji

Subskrypcje to jednostka zarządzania, rozliczeń i skalowania w obrębie platformy Azure. Odgrywają one kluczową rolę podczas projektowania na potrzeby wdrażania platformy Azure na dużą skalę. Ten artykuł ułatwia przechwytywanie wymagań dotyczących subskrypcji i projektowanie subskrypcji docelowych na podstawie krytycznych czynników, które różnią się w zależności od:

• Typy środowisk
• Modele własności i ładu
• Struktury organizacyjne
• Portfolio aplikacji
• Regiony

Zagadnienia dotyczące subskrypcji

Poniższe sekcje zawierają zagadnienia ułatwiające planowanie i tworzenie subskrypcji dla platformy Azure.

Zagadnienia dotyczące projektowania organizacji i ładu

• Subskrypcje służą jako granice skalowania, limitu przydziału, kosztów, ładu, zabezpieczeń i tożsamości dla zasobów platformy Azure, które znajdują się w nich.

  • Jeśli musisz zgrupować wiele subskrypcji tego samego archetypu obciążenia, utwórz je w grupie zarządzania. Aby uzyskać więcej informacji, zobacz Obszar projektowania grup zarządzania .

• Subskrypcje służą jako jednostka skalowania, dzięki czemu obciążenia składników mogą być skalowane w ramach limitów subskrypcji platformy. Podczas projektowania obciążeń należy wziąć pod uwagę limity zasobów subskrypcji.

• Subskrypcje zapewniają granicę zarządzania dla ładu i izolacji, które wyraźnie oddzielają kwestie.

• Utwórz oddzielne subskrypcje platformy do zarządzania (monitorowania), łączności i tożsamości, gdy są one wymagane.

  • Utwórz dedykowaną subskrypcję zarządzania w obszarze zarządzania grupą platform, aby obsługiwać globalne funkcje zarządzania, takie jak obszary robocze usługi Log Analytics i runbooki usługi Azure Automation.
  • Ustanów dedykowaną subskrypcję zabezpieczeń w obszarze grupy zarządzania platformą w celu obsługi globalnych funkcji zabezpieczeń, takich jak Microsoft Sentinel i obsługi integracji i zasobów rozwiązania SIEM.
  • Ustanów dedykowaną subskrypcję tożsamości w ramach grupy administracyjnej platformy, aby hostować kontrolery domen Active Directory systemu Windows Server w razie potrzeby.
  • Utwórz dedykowaną subskrypcję łączności w grupie zarządzania platformą w celu hostowania centrum Azure Virtual WAN, Prywatnego Systemu Nazw Domen (DNS), obwodów usługi Azure ExpressRoute i innych zasobów sieciowych.

• Użyj procesów ręcznych, aby ograniczyć dzierżawy firmy Microsoft tylko do Umowa Enterprise subskrypcji rejestracji. W przypadku korzystania z procesu ręcznego nie można tworzyć subskrypcji usługi Microsoft Developer Network (MSDN) w zakresie głównej grupy zarządzania.

  • Aby uzyskać pomoc techniczną, prześlij bilet pomoc techniczna platformy Azure.

• Aby uzyskać informacje o transferach subskrypcji między ofertami rozliczeniowymi platformy Azure, zobacz Subskrypcja platformy Azure i centrum transferu rezerwacji.

Zagadnienia dotyczące wielu regionów

• Podejście wieloregionowe można wdrożyć na poziomie pojedynczego obciążenia na potrzeby skalowania lub odzyskiwania po awarii geograficznej lub na poziomie globalnym (różne obciążenia w różnych regionach).

• Pojedyncza subskrypcja może zawierać zasoby z różnych regionów, w zależności od wymagań i architektury.

• W kontekście odzyskiwania po awarii geograficznej możesz użyć tej samej subskrypcji, aby zawierać zasoby z regionów podstawowych i pomocniczych, ponieważ są one logicznie częścią tego samego obciążenia.

• Możesz wdrożyć różne środowiska dla tego samego obciążenia w różnych regionach, aby zoptymalizować koszty i dostępność zasobów.

• W ramach subskrypcji zawierającej zasoby z wielu regionów można użyć grup zasobów do organizowania i przechowywania zasobów według regionów.

• Aby uzyskać więcej informacji na temat zagadnień dotyczących lokalizacji grupy zasobów, zapoznaj się ze wskazówkami w artykule Której lokalizacji należy użyć dla mojej grupy zasobów?

Zagadnienia dotyczące projektowania przydziału i pojemności

Regiony platformy Azure mogą mieć ograniczoną liczbę zasobów. W związku z tym należy śledzić dostępną pojemność i jednostki SKU dla wdrożenia platformy Azure z kilkoma zasobami.

• Rozważ limity i limity przydziału w ramach platformy Azure dla każdej wymaganej usługi.

• Rozważ automatyzację żądań przydziału przy użyciu Azure Quota REST API.

• Rozważ dostępność wymaganych jednostek SKU w wybranych regionach świadczenia usługi Azure. Na przykład nowe funkcje mogą być dostępne tylko w określonych regionach. Dostępność niektórych jednostek SKU dla określonych zasobów, takich jak maszyny wirtualne, może się różnić w zależności od regionu do drugiego.

• Należy wziąć pod uwagę, że limity przydziału subskrypcji nie są gwarancjami pojemności i są stosowane dla poszczególnych regionów.

  Aby uzyskać informacje o rezerwacjach pojemności maszyn wirtualnych, zobacz Rezerwacje pojemności na żądanie.

• Rozważ ponowne użycie nieużywanych lub zlikwidowanych subskrypcji. Aby uzyskać więcej informacji, zobacz Tworzenie lub ponowne używanie subskrypcji platformy Azure.

• Rozważ użycie grup przydziałów do zarządzania limitami przydziału i udostępniania ich w wielu subskrypcjach.

Zagadnienia dotyczące projektowania ograniczeń transferu dzierżawy

Każda subskrypcja platformy Azure jest połączona z jedną dzierżawą firmy Microsoft Entra, która działa jako dostawca tożsamości dla subskrypcji platformy Azure. Użyj dzierżawy firmy Microsoft Entra do uwierzytelniania użytkowników, usług i urządzeń.

Jeśli dowolny użytkownik ma wymagane uprawnienia, może zmienić dzierżawę firmy Microsoft Entra połączoną z subskrypcją platformy Azure. Aby uzyskać więcej informacji, zobacz:

• Kojarzenie lub dodawanie subskrypcji platformy Azure do dzierżawy usługi Microsoft Entra
• Przenieś subskrypcję Azure do innego katalogu Microsoft Entra

W przypadku stref docelowych platformy Azure można ustawić wymagania, aby uniemożliwić użytkownikom przenoszenie subskrypcji do dzierżawy firmy Microsoft Entra w organizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami subskrypcji platformy Azure.

Skonfiguruj zasady subskrypcji, podając listę wykluczonych użytkowników. Wykluczony użytkownicy mogą pomijać ograniczenia ustawione w zasadach.

• Zastanów się, czy należy zezwolić użytkownikom z subskrypcjami programu Visual Studio lub MSDN platformy Azure na przeniesienie subskrypcji do lub z dzierżawy firmy Microsoft Entra.

• Tylko użytkownicy z rolą administratora globalnego firmy Microsoft Entra mogą konfigurować ustawienia transferu dzierżawy. Ci użytkownicy muszą mieć podwyższony poziom dostępu , aby zmienić zasady.

  • Można określić tylko pojedyncze konta użytkowników jako wykluczone użytkowników, a nie grupy firmy Microsoft Entra.

• Wszyscy użytkownicy z dostępem do platformy Azure mogą wyświetlać zasady zdefiniowane dla dzierżawy firmy Microsoft Entra.

  • Użytkownicy nie mogą wyświetlać listy wykluczonych użytkowników .

  • Użytkownicy mogą wyświetlać administratorów globalnych w dzierżawie firmy Microsoft Entra.

• Subskrypcje platformy Azure przenoszone do dzierżawy usługi Microsoft Entra są umieszczane w domyślnej grupie zarządzania dla tej dzierżawy.

• Jeśli Twoja organizacja zatwierdzi, zespół aplikacji może zdefiniować proces zezwalania na przenoszenie subskrypcji platformy Azure do lub z dzierżawy firmy Microsoft Entra.

Zagadnienia dotyczące projektowania usługi Cost Management

Każda duża organizacja przedsiębiorstwa ma wyzwanie dotyczące zarządzania przejrzystością kosztów. W tej sekcji omówiono kluczowe aspekty w celu uzyskania przejrzystości kosztów w dużych środowiskach platformy Azure.

• Aby osiągnąć większą gęstość, może być konieczne współużytkowanie modeli obciążenia zwrotnego, takich jak środowisko App Service i usługa Azure Kubernetes Service (AKS). Modele obciążenia zwrotnego mogą mieć wpływ na zasoby udostępnionej platformy jako usługi (PaaS).

• Aby zoptymalizować koszty, użyj harmonogramu zamykania w przypadku obciążeń nieprodukcyjnych.

• Skorzystaj z usługi Azure Advisor , aby uzyskać zalecenia dotyczące optymalizowania kosztów.

• Ustanów model obciążenia zwrotnego w celu lepszego rozkładu kosztów w całej organizacji.

• Zaimplementuj zasady, aby użytkownicy nie mogli wdrażać nieautoryzowanych zasobów w środowisku organizacji.

• Ustanów regularny harmonogram i cykl, aby przejrzeć koszty i odpowiednie rozmiary zasobów dla obciążeń.

Zalecenia dotyczące subskrypcji

Poniższe sekcje zawierają zalecenia ułatwiające planowanie i tworzenie subskrypcji dla platformy Azure.

Zalecenia dotyczące organizacji i ładu

• Traktuj subskrypcje jako jednostkę zarządzania, która jest zgodna z potrzebami i priorytetami biznesowymi.

• Poinformuj właścicieli subskrypcji o swoich rolach i obowiązkach.

  • Wykonaj kwartalny lub roczny przegląd dostępu dla usługi Microsoft Entra Privileged Identity Management (PIM), aby upewnić się, że uprawnienia nie są dystrybuowane podczas przenoszenia użytkowników w organizacji.
  • Przejmij pełną własność wydatków i zasobów budżetowych.
  • Zapewnienie zgodności zasad i korygowanie ich w razie potrzeby.

• W przypadku identyfikowania wymagań dotyczących nowych subskrypcji zapoznaj się z następującymi zasadami:

• • Limity skalowania: Subskrypcje służą jako jednostka skalowania dla obciążeń składników do skalowania w ramach limitów subskrypcji platformy. Duże wyspecjalizowane obciążenia, takie jak obliczenia o wysokiej wydajności, IoT i SAP, powinny używać oddzielnych subskrypcji, aby uniknąć uruchamiania tych limitów.
  • Granica zarządzania: Subskrypcje zapewniają granicę zarządzania dla ładu i izolacji, co umożliwia wyraźne rozdzielenie problemów. Różne środowiska, takie jak środowiska programistyczne, testowe i produkcyjne, są często usuwane z perspektywy zarządzania.
  • Granica zasad: Subskrypcje służą jako granica przypisań usługi Azure Policy. Na przykład bezpieczne obciążenia, takie jak obciążenia PCI, zwykle wymagają innych zasad w celu zapewnienia zgodności. Inne koszty nie są brane pod uwagę, jeśli używasz oddzielnej subskrypcji. Środowiska deweloperskie mają bardziej złagodzone wymagania dotyczące zasad niż środowiska produkcyjne.
  • Topologia sieci docelowej: nie można udostępniać sieci wirtualnych w ramach subskrypcji, ale można połączyć je z różnymi technologiami, takimi jak komunikacja równorzędna sieci wirtualnych lub usługa ExpressRoute. Jeśli zdecydujesz, czy potrzebujesz nowej subskrypcji, rozważ, które obciążenia muszą komunikować się ze sobą.

• Grupuj subskrypcje razem w grupach zarządzania, które są zgodne ze strukturą grupy zarządzania i wymaganiami zasad. Subskrypcje grup, aby upewnić się, że subskrypcje z tym samym zestawem zasad i przypisań ról platformy Azure pochodzą z tej samej grupy zarządzania. Aby uzyskać więcej informacji, zobacz Obszar projektowania grup zarządzania .

• Ustanów oddzielne, dedykowane subskrypcje platform dla management, security, connectivity i identity.

  • Nie należy łączyć obowiązków platformy w jedną subskrypcję. Takie podejście gwarantuje, że można zastosować różne zasady i przypisania ról do każdego obszaru platformy. Gwarantuje to również, że rozliczenia są oddzielone dla każdego obszaru.

• Utwórz proces dystrybucji subskrypcji, aby zautomatyzować tworzenie subskrypcji dla zespołów zajmujących się aplikacjami za pośrednictwem samoobsługowego przepływu żądania. Aby uzyskać więcej informacji, zobacz Subskrypcja vending.

• Unikaj sztywnego modelu subskrypcji. Zamiast tego użyj zestawu elastycznych kryteriów, aby grupować subskrypcje w całej organizacji. Ta elastyczność zapewnia, że ​​w miarę zmiany struktury organizacji i kompozycji obciążenia można tworzyć nowe grupy subskrypcji zamiast korzystać ze stałego zestawu istniejących subskrypcji. Jeden rozmiar nie pasuje do wszystkich subskrypcji i to, co działa w przypadku jednej jednostki biznesowej, może nie działać dla innej. Niektóre aplikacje mogą współistnieć w tej samej subskrypcji strefy docelowej, podczas gdy inne mogą wymagać własnej subskrypcji.

  • Aby uzyskać więcej informacji, zobacz sekcję Obsługa stref docelowych obciążeń deweloperskich/testowych/produkcyjnych i Wspólne linie produktów z subskrypcją.

Zalecenia dotyczące doskonałości operacyjnej

• Zawsze włączaj usługę Azure Service Health dla każdej subskrypcji, aby otrzymywać alerty i wskazówki, gdy problemy z usługą platformy Azure wpływają na zasoby w subskrypcjach.

Zalecenia dotyczące wielu regionów

• Utwórz dodatkowe subskrypcje dla każdego regionu tylko wtedy, gdy masz wymagania dotyczące ładu i zarządzania specyficzne dla regionu, na przykład niezależność danych lub skalowanie poza limity przydziału.

• Jeśli skalowanie nie jest problemem dla środowiska odzyskiwania po awarii geograficznej obejmującego wiele regionów, użyj tej samej subskrypcji dla zasobów podstawowych i pomocniczych regionów. Niektóre usługi platformy Azure, w zależności od strategii ciągłości działania i odzyskiwania po awarii (BCDR, business continuity and disaster recovery) i narzędzi, które wdrażasz, mogą wymagać użycia tej samej subskrypcji. W scenariuszu aktywny-aktywny, w którym wdrożenia są zarządzane niezależnie lub mają różne cykle życia, zalecamy korzystanie z różnych subskrypcji.

• Region, w którym tworzysz grupę zasobów i region zawartych zasobów, powinien być zgodny, aby nie wpływały one na odporność i niezawodność.

• Pojedyncza grupa zasobów nie powinna zawierać zasobów z różnych regionów. Takie podejście może prowadzić do problemów z zarządzaniem zasobami i dostępnością.

Zalecenia dotyczące limitu przydziału i pojemności

• Używaj subskrypcji jako jednostek skalowania i skaluj zasoby i subskrypcje w poziomie zgodnie z potrzebami. Obciążenie może następnie używać wymaganych zasobów do skalowania w poziomie bez osiągnięcia limitów subskrypcji na platformie Azure.

• Rezerwacje pojemności umożliwiają zarządzanie pojemnością w niektórych regionach. Obciążenie może mieć wymaganą pojemność dla zasobów o wysokim zapotrzebowaniu w określonym regionie.

• Ustanów pulpit nawigacyjny, który ma niestandardowe widoki do monitorowania używanych poziomów pojemności, i skonfiguruj alerty, jeśli pojemność zbliża się do krytycznych poziomów, takich jak użycie procesora CPU w 90%.

• Zgłaszanie żądań pomocy technicznej dotyczących zwiększenia limitu przydziału w ramach aprowizacji subskrypcji, takich jak łączna liczba dostępnych rdzeni maszyn wirtualnych w ramach subskrypcji. Upewnij się, że limity przydziału są ustawione przed przekroczeniem limitów domyślnych obciążeń.

• Upewnij się, że wszystkie wymagane usługi i funkcje są dostępne w wybranych regionach wdrażania.

• Użyj grup kwot aby zarządzać i współdzielić limity w wielu subskrypcjach.

• Automatyzuj żądania limitów przydziału, jeśli to możliwe, przy użyciu interfejsu API REST limitów przydziału platformy Azure.

• Skonfiguruj alerty dotyczące limitów przydziału , aby powiadamiać właścicieli subskrypcji o zbliżaniu się do limitów przydziału.

Zalecenia dotyczące ograniczeń transferu dzierżawy

• Skonfiguruj następujące ustawienia, aby uniemożliwić użytkownikom przenoszenie subskrypcji platformy Azure do lub z dzierżawy firmy Microsoft Entra:

  • Ustaw pozycję Subskrypcja pozostawiając katalog Microsoft Entra na wartość Permit no one.

  • Ustaw pozycję Subskrypcja wprowadzająca katalog Microsoft Entra na Permit no onewartość .

• Skonfiguruj ograniczoną listę wykluczonych użytkowników.

  • Dołącz członków z zespołu ds. operacji platformy Azure.

  • Uwzględnij konta ze szkła break-glass na liście wykluczonych użytkowników.

Następny krok