Considerações e recomendações de assinatura

As assinaturas são uma unidade de gerenciamento, cobrança e escala no Azure. Eles desempenham um papel crítico quando você projeta para adoção do Azure em larga escala. Este artigo ajuda você a capturar os requisitos de assinatura e criar assinaturas de destino com base em fatores críticos que variam dependendo de:

• Tipos de ambiente
• Modelos de propriedade e governança
• Estruturas organizacionais
• Portfólios de aplicativos
• Regiões

Considerações sobre assinatura

As seções a seguir contêm considerações para ajudar você a planejar e criar assinaturas para o Azure.

Considerações de design de governança e organização

• As assinaturas servem como limites para escala, cota, custo, governança, segurança e controles de identidade para recursos do Azure contidos neles.

  • Se você precisar agrupar muitas assinaturas do mesmo arquétipo de carga de trabalho, crie essas assinaturas em um grupo de gerenciamento. Consulte a área de design de grupos de gerenciamento para obter mais informações.

• As assinaturas servem como uma unidade de escala para que as cargas de trabalho de componentes possam ser escaladas nos limites de assinatura da plataforma. Verifique se você considera os limites de recursos de assinatura ao projetar suas cargas de trabalho.

• As assinaturas fornecem um limite de gerenciamento para governança e isolamento, o que separa claramente as preocupações.

• Crie assinaturas de plataforma separadas para gerenciamento (monitoramento), conectividade e identidade quando forem necessárias.

  • Estabeleça uma assinatura de gerenciamento dedicada na área de grupo de gerenciamento de plataforma para dar suporte a recursos de gerenciamento global, como Espaços de Trabalho do Log Analytics e roteiros de Automação do Azure.
  • Estabeleça uma assinatura de segurança dedicada em sua área de grupo de gerenciamento de plataforma para dar suporte a recursos de segurança global, como o Microsoft Sentinel, e dar suporte a integrações e recursos SIEM.
  • Estabeleça uma assinatura de identidade dedicada na área do grupo de gerenciamento de plataforma para hospedar controladores de domínio do Active Directory do Windows Server quando necessário.
  • Estabeleça uma assinatura de conectividade dedicada na área do grupo de gerenciamento de plataforma para hospedar um hub de WAN Virtual do Azure, DNS (Sistema de Nomes de Domínio privado), circuitos do Azure ExpressRoute e outros recursos de rede.

• Use processos manuais para limitar os locatários do Microsoft Entra a apenas assinaturas de registro do Enterprise Agreement. Ao usar um processo manual, você não pode criar assinaturas do Microsoft Developer Network (MSDN) no escopo do grupo de gerenciamento raiz.

  • Para obter suporte, envie um tíquete de suporte do Azure.

• Para obter informações sobre transferências de assinatura entre ofertas de cobrança do Azure, consulte Hub de transferência de assinatura e reserva do Azure.

Considerações sobre várias regiões

• Você pode adotar uma abordagem multirregional no nível de carga de trabalho único para dimensionamento ou recuperação de desastre geográfico ou em um nível global (cargas de trabalho diferentes em regiões diferentes).

• Uma única assinatura pode conter recursos de diferentes regiões, dependendo dos requisitos e da arquitetura.

• Em um contexto de recuperação de desastre geográfico, você pode usar a mesma assinatura para conter recursos de regiões primárias e secundárias porque eles são logicamente parte da mesma carga de trabalho.

• Você pode implantar ambientes diferentes para a mesma carga de trabalho em regiões diferentes para otimizar os custos e a disponibilidade de recursos.

• Em uma assinatura que contém recursos de várias regiões, você pode usar grupos de recursos para organizar e conter recursos por região.

• Examine as diretrizes em Qual local devo usar para meu grupo de recursos? Para obter mais informações sobre considerações sobre o local do grupo de recursos.

Considerações sobre cota e design de capacidade

As regiões do Azure podem ter um número finito de recursos. Como resultado, você deve acompanhar a capacidade disponível e os SKUs para adoções do Azure com vários recursos.

• Considere os limites e as cotas na plataforma do Azure para cada serviço exigido por suas cargas de trabalho.

• Considere automatizar solicitações de cota usando a API REST de Cota do Azure.

• Considere a disponibilidade dos SKUs necessários nas suas regiões do Azure escolhidas. Por exemplo, novos recursos podem estar disponíveis apenas em determinadas regiões. A disponibilidade de determinados SKUs para determinados recursos, como VMs (máquinas virtuais), pode variar de uma região para outra.

• Saiba que as cotas de assinatura não são garantias de capacidade e são aplicadas por região.

  Para reservas de capacidade da máquina virtual, confira reserva de capacidade sob demanda.

• Considere reutilizar assinaturas não utilizadas ou desativadas. Para obter mais informações, consulte Criar ou reutilizar assinaturas do Azure.

• Considere o uso de Grupos de Cotas para gerenciar e compartilhar cotas em várias assinaturas.

Considerações de design de restrição de transferência de locatário

Cada assinatura do Azure é vinculada a um só locatário do Microsoft Entra, que atua como um IdP (provedor de identidade) para a sua assinatura do Azure. Use o locatário do Microsoft Entra para autenticar usuários, serviços e dispositivos.

Quando qualquer usuário tiver as permissões necessárias, ele poderá alterar o locatário do Microsoft Entra vinculado à sua assinatura do Azure. Para saber mais, veja:

• Associar ou adicionar uma assinatura do Azure ao locatário do Microsoft Entra
• Transferir uma assinatura do Azure para um diretório do Microsoft Entra diferente

Para zonas de destino do Azure, você pode definir requisitos para impedir que os usuários transfiram assinaturas para o locatário do Microsoft Entra da sua organização. Para saber mais, confira Gerenciar políticas de assinatura do Azure.

Configure a sua política de assinatura fornecendo uma lista de usuários isentos. Os usuários isentos têm permissão para ignorar as restrições definidas na política.

• Considere se você deve permitir que os usuários que têm assinaturas do Visual Studio ou do MSDN Azure transfiram sua assinatura de ou para seu locatário do Microsoft Entra.

• Somente usuários com a função de Administrador Global do Microsoft Entra podem definir as configurações de transferência de locatário. Esses usuários devem ter acesso elevado para alterar a política.

  • Você só pode especificar contas de usuário individuais como usuários isentos, não grupos do Microsoft Entra.

• Todos os usuários com acesso ao Azure podem exibir a política definida para seu locatário do Microsoft Entra.

  • Os usuários não podem visualizar sua lista de usuários isentos.

  • Os usuários podem exibir os administradores globais em seu locatário do Microsoft Entra.

• As assinaturas do Azure que você transfere para um locatário do Microsoft Entra são colocadas no grupo de gerenciamento padrão desse locatário.

• Se sua organização aprovar, sua equipe de aplicativos poderá definir um processo para permitir que as assinaturas do Azure sejam transferidas de ou para um locatário do Microsoft Entra.

Considerações sobre o design do gerenciamento de custos

Toda grande organização empresarial tem o desafio de gerenciar a transparência de custos. Esta seção explora os principais aspectos para obter transparência de custos em grandes ambientes do Azure.

• Talvez seja necessário compartilhar modelos de estorno, como o Ambiente do Serviço de Aplicativo e o AKS (Serviço de Kubernetes do Azure), para obter uma densidade mais alta. Os modelos de estorno podem afetar os recursos de PaaS (plataforma como serviço) compartilhada.

• Use um agendamento de desligamento para cargas de trabalho de não produção a fim de otimizar os custos.

• Use o Assistente do Azure para obter recomendações para otimizar custos.

• Estabeleça um modelo de estorno para melhor distribuição de custos em toda a sua organização.

• Implemente a política para que os usuários não possam implantar recursos não autorizados no ambiente da sua organização.

• Estabeleça um cronograma e uma cadência regulares para revisar o custo e dimensionar corretamente os recursos para cargas de trabalho.

Recomendações de assinatura

As seções a seguir contêm recomendações para ajudar você a planejar e criar assinaturas para o Azure.

Recomendações de organização e governança

• Trate as assinaturas como uma unidade de gerenciamento que se alinha às suas necessidades e prioridades de negócios.

• Informe os proprietários de assinaturas sobre suas funções e responsabilidades.

  • Faça uma revisão de acesso trimestral ou anual para o Microsoft Entra Privileged Identity Management (PIM) para garantir que os privilégios não proliferem quando os usuários se movem dentro de sua organização.
  • Assuma propriedade total dos gastos e dos recursos do orçamento.
  • Garanta a conformidade da política e corrija-a quando necessário.

• Ao identificar os requisitos para novas assinaturas, consulte os seguintes princípios:

• • Limites de escala: as assinaturas servem como uma unidade de escala para que as cargas de trabalho de componentes sejam escaladas nos limites de assinatura da plataforma. Grandes cargas de trabalho especializadas, como computação de alto desempenho, IoT e SAP, devem usar assinaturas separadas para evitar ultrapassar esses limites.
  • Limite de gerenciamento: as assinaturas fornecem um limite de gerenciamento para governança e isolamento, o que permite uma separação clara de preocupações. Vários ambientes, como ambientes de desenvolvimento, teste e produção, geralmente são removidos de uma perspectiva de gerenciamento.
  • Limite de política: as assinaturas servem como um limite para as atribuições do Azure Policy. Por exemplo, cargas de trabalho seguras, como cargas de trabalho PCI, normalmente exigem outras políticas para alcançar a conformidade. A outra sobrecarga não será considerada se você usar uma assinatura separada. Os ambientes de desenvolvimento têm requisitos de política mais relaxados do que os ambientes de produção.
  • Topologia de rede de destino: você não pode compartilhar redes virtuais entre assinaturas, mas pode conectá-las a diferentes tecnologias, como emparelhamento de rede virtual ou ExpressRoute. Ao decidir se você precisa de uma nova assinatura, considere quais cargas de trabalho precisam se comunicar entre si.

• Agrupe assinaturas em grupos de gerenciamento, que estão alinhados com a estrutura do seu grupo de gerenciamento e os requisitos de política. Assinaturas de grupo para garantir que as assinaturas com o mesmo conjunto de políticas e atribuições de função do Azure venham do mesmo grupo de gerenciamento. Consulte a área de design de grupos de gerenciamento para obter mais informações.

• Estabelecer assinaturas de plataforma dedicadas separadas para management, security, connectivity e identity.

  • Não combine responsabilidades de plataforma em uma única assinatura. Essa abordagem garante que você possa aplicar políticas e atribuições de função diferentes a cada área da plataforma. Ele também garante que a cobrança seja separada para cada área.

• Crie um processo de venda automática de assinatura para automatizar a criação de assinaturas para equipes de aplicativos por meio de um fluxo de trabalho de solicitação de autoatendimento. Para saber mais, confira Venda de assinaturas.

• Evite um modelo de assinatura rígido. Em vez disso, opte por um conjunto de critérios flexíveis para agrupar as assinaturas em toda a sua organização. Essa flexibilidade garante que, à medida que a estrutura da sua organização e a composição da carga de trabalho forem alteradas, você poderá criar grupos de assinaturas em vez de usar um conjunto fixo de assinaturas existentes. Um tamanho não se ajusta a todas as assinaturas e o que funciona para uma unidade de negócios pode não funcionar para outra. Alguns aplicativos podem coexistir na mesma assinatura da zona de destino, enquanto outros podem exigir a própria assinatura.

  • Para obter mais informações, consulte Gerencie zonas de aterrissagem de cargas de trabalho de desenvolvimento/teste/produção e Estabeleça linhas de produtos comuns de assinatura.

Recomendações de excelência operacional

• Sempre habilite a Integridade do Serviço do Azure em cada assinatura para obter alertas e diretrizes quando problemas de serviço do Azure afetam os recursos em suas assinaturas.

Recomendações de várias regiões

• Crie assinaturas adicionais para cada região somente se você tiver requisitos de governança e gerenciamento específicos da região, por exemplo, soberania de dados ou para escalar além dos limites de cota.

• Se o dimensionamento não for uma preocupação para um ambiente de recuperação de desastre geográfico que abrange várias regiões, use a mesma assinatura para os recursos da região primária e secundária. Alguns serviços do Azure, dependendo da estratégia e das ferramentas de BCDR (continuidade dos negócios e recuperação de desastre) que você adotar, talvez precisem usar a mesma assinatura. Em um cenário ativo-ativo, em que as implantações são gerenciadas de forma independente ou têm ciclos de vida diferentes, recomendamos que você use assinaturas diferentes.

• A região em que você cria um grupo de recursos e a região dos recursos contidos devem corresponder para que não afetem a resiliência e a confiabilidade.

• Um único grupo de recursos não deve conter recursos de regiões diferentes. Essa abordagem pode levar a problemas com o gerenciamento e a disponibilidade de recursos.

Recomendações de capacidade e cota

• Use assinaturas como unidades de escala e escale horizontalmente os recursos e assinaturas, conforme o necessário. Sua carga de trabalho pode usar os recursos necessários para escalar horizontalmente sem atingir os limites de assinatura na plataforma do Azure.

• Use reservas de capacidade para gerenciar a capacidade em algumas regiões. Sua carga de trabalho pode ter a capacidade necessária para recursos de alta demanda em uma região específica.

• Estabeleça um painel que tenha exibições personalizadas para monitorar os níveis de capacidade usados e configure alertas se a capacidade se aproximar de níveis críticos, como 90% de uso da CPU.

• Aumente as solicitações de suporte para aumentos de cota no provisionamento de assinatura, como para o total de núcleos de VM disponíveis em uma assinatura. Garanta que os limites de cota estejam definidos antes que suas cargas de trabalho excedam os limites padrão.

• Verifique se os serviços e recursos necessários estão disponíveis nas regiões de implantação escolhidas.

• Use Grupos de Cotas para gerenciar e compartilhar cotas em várias assinaturas.

• Automatize solicitações de cota, sempre que possível, usando a API REST de Cota do Azure.

• Configure alertas de cota para notificar os proprietários da assinatura quando eles estiverem se aproximando de seus limites de cota.

Recomendações de restrição de transferência de locatário

• Defina as seguintes configurações para impedir que os usuários transfiram assinaturas do Azure de ou para seu locatário do Microsoft Entra:

  • Defina Assinatura saindo do diretório Microsoft Entra como Permit no one.

  • Defina Assinatura entrando no diretório do Microsoft Entra como Permit no one.

• Configure uma lista limitada de usuários isentos.

  • Inclua membros de uma equipe de operações da plataforma Azure.

  • Inclua contas de emergência na lista de usuários isentos.

Próxima etapa