Рекомендации и рекомендации по подписке

Подписка — это единица управления, выставления счетов и масштабирования в Azure. Они играют важную роль при разработке для крупномасштабного внедрения Azure. В этой статье описаны требования к подписке и разработка целевых подписок на основе критически важных факторов, которые зависят от следующих факторов:

  • Типы сред
  • Модели владения и управления
  • Организационные структуры
  • Портфели приложений
  • Регионы

Совет

Дополнительные сведения о подписках см. в видео YouTube: целевые зоны Azure. Сколько подписок следует использовать в Azure?

Примечание.

Если вы используете Соглашение Enterprise, Клиентское соглашение Майкрософт (Корпоративная) или Соглашение с партнером Майкрософт (CSP), просмотрите ограничения подписки в учетных записях и областях выставления счетов в портал Azure.

Рекомендации по подписке

В следующих разделах содержатся рекомендации по планированию и созданию подписок для Azure.

Рекомендации по проектированию организации и управления

  • Подписки служат границами для назначений Политика Azure.

    Например, для обеспечения соответствия требованиям обычно требуются безопасные рабочие нагрузки, такие как индустрия карт оплаты (PCI). Вместо использования группы управления для сортировки рабочих нагрузок, требующих соответствия PCI, можно добиться такой же изоляции с подпиской, не имея слишком много групп управления с несколькими подписками.

    Если необходимо объединить множество подписок одного и того же архетипа рабочей нагрузки, создайте их в группе управления.

  • Подписки служат единицей масштабирования, чтобы рабочие нагрузки компонентов могли масштабироваться в пределах ограничений подписки платформы. Убедитесь, что вы считаете ограничения ресурсов подписки при разработке рабочих нагрузок.

  • Подписки предоставляют границу управления для управления и изоляции, которая четко разделяет проблемы.

  • Создайте отдельные подписки платформы для управления (мониторинга), подключения и удостоверения при необходимости.

    • Создайте выделенную подписку на управление в группе управления платформой для поддержки глобальных возможностей управления, таких как рабочие области журналов Azure Monitor и служба автоматизации Azure модули Runbook.

    • Установите выделенную подписку на удостоверение в группе управления платформой для размещения контроллеров домена Windows Server Active Directory при необходимости.

    • Создайте подписку на выделенное подключение в группе управления платформой для размещения концентратора Azure Виртуальная глобальная сеть, частной системы доменных имен (DNS), канала Azure ExpressRoute и других сетевых ресурсов. Выделенная подписка гарантирует, что все сетевые ресурсы фонда выставляются вместе и изолированы от других рабочих нагрузок.

    • Используйте подписки в качестве демократизированной единицы управления, которая соответствует вашим бизнес-потребностям и приоритетам.

  • Использование ручных процессов для ограничения клиентов Microsoft Entra только Соглашение Enterprise подписок на регистрацию. При использовании ручного процесса вы не можете создавать подписки Microsoft Developer Network (MSDN) в области корневой группы управления.

    Для поддержки отправьте запрос поддержка Azure.

    Сведения о передаче подписок между предложениями выставления счетов Azure см. в статье "Подписка Azure" и концентратор передачи резервирования.

Рекомендации по нескольким регионам

Внимание

Подписки не привязаны к определенному региону, и их можно рассматривать как глобальные подписки. Они являются логическими конструкциями для предоставления средств выставления счетов, управления, безопасности и удостоверений для ресурсов Azure, содержащихся в них. Поэтому для каждого региона не требуется отдельная подписка.

  • Вы можете применить многорегионный подход на уровне одной рабочей нагрузки для масштабирования или геокатасизма или глобального уровня (разные рабочие нагрузки в разных регионах).

  • Одна подписка может содержать ресурсы из разных регионов в зависимости от требований и архитектуры.

  • В контексте геоизбытого восстановления можно использовать ту же подписку, чтобы содержать ресурсы из основных и вторичных регионов, так как они логически являются частью одной рабочей нагрузки.

  • Вы можете развертывать разные среды для одной рабочей нагрузки в разных регионах для оптимизации затрат и доступности ресурсов.

  • В подписке, содержащей ресурсы из нескольких регионов, можно использовать группы ресурсов для упорядочивания и хранения ресурсов по регионам.

Рекомендации по проектированию квот и емкости

Регионы Azure могут иметь ограниченное количество ресурсов. В результате необходимо отслеживать доступную емкость и номера SKU для внедрения Azure с несколькими ресурсами.

  • Используйте ограничения и квоты на платформе Azure для каждой службы, необходимой для рабочих нагрузок.

  • Рассмотрите доступность необходимых номеров SKU в выбранных регионах Azure. Например, новые функции могут быть доступны только в определенных регионах. Доступность определенных номеров SKU для определенных ресурсов, таких как виртуальные машины, может отличаться от одного региона к другому.

  • Помните, что квоты подписки не гарантируют емкость и применяются для каждого региона.

    Сведения о резервировании емкости виртуальных машин см. в разделе о резервировании емкости по запросу.

  • Рассмотрите возможность повторного использования неиспользуемых или списанных подписок. Дополнительные сведения см. в статье "Создание или повторное использование подписок Azure".

Рекомендации по проектированию ограничений на передачу клиента

Каждая подписка Azure связана с одним клиентом Microsoft Entra, который выступает в качестве поставщика удостоверений (IdP) для подписки Azure. Используйте клиент Microsoft Entra для проверки подлинности пользователей, служб и устройств.

Если у любого пользователя есть необходимые разрешения, он может изменить клиент Microsoft Entra, связанный с вашей подпиской Azure. Дополнительные сведения см. в разделе:

Примечание.

Вы не можете перенести другой клиент Microsoft Entra для подписок Azure поставщик облачных решений (CSP).

Для целевых зон Azure можно задать требования, чтобы запретить пользователям передавать подписки в клиент Microsoft Entra вашей организации. Дополнительные сведения см. в статье Управление политиками подписок Azure.

Настройте политику подписки, указав список исключенных пользователей. Исключенные пользователи могут обходить ограничения, заданные в политике.

Внимание

Список исключенных пользователей не является Политика Azure.

Внимание

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это высоко привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

  • Все пользователи с доступом к Azure могут просматривать политику, определенную для клиента Microsoft Entra.

  • Подписки Azure, передаваемые в клиент Microsoft Entra, помещаются в группу управления по умолчанию для этого клиента.

  • Если ваша организация утверждает, ваша команда приложений может определить процесс, позволяющий передавать подписки Azure в клиент Microsoft Entra или из нее.

Рекомендации по управлению затратами

Каждая крупная корпоративная организация сталкивается с проблемой управления прозрачностью затрат. В этом разделе рассматриваются ключевые аспекты обеспечения прозрачности затрат в крупных средах Azure.

  • Для повышения плотности может потребоваться совместно использовать модели обратной оплаты, такие как Среда службы приложений и Служба Azure Kubernetes (AKS). Модели обратной оплаты могут повлиять на ресурсы общей платформы как услуги (PaaS).

  • Используйте график отключения для непроизводственных рабочих нагрузок, чтобы оптимизировать расходы.

  • Используйте Помощник по Azure, чтобы получить рекомендации по оптимизации затрат.

  • Создайте модель обратной оплаты для лучшего распределения затрат по всей организации.

  • Реализуйте политику, чтобы пользователи не могли развертывать несанкционированные ресурсы в среде вашей организации.

  • Создайте регулярное расписание и периодичность для просмотра затрат и прав ресурсов для рабочих нагрузок.

Рекомендации по подписке

В следующих разделах содержатся рекомендации по планированию и созданию подписок для Azure.

Рекомендации по организации и управлению

  • Рассматривайте подписки как единицу управления, которая соответствует вашим бизнес-потребностям и приоритетам.

  • Сообщите владельцам подписок о своих ролях и обязанностях.

    • Выполните ежеквартальный или годовой обзор доступа для Microsoft Entra управление привилегированными пользователями (PIM), чтобы гарантировать, что привилегии не будут распространяться при перемещении пользователей в организации.

    • Примите на себя полное право владения бюджетными тратами и ресурсами.

    • Обеспечьте соблюдение политик и исправление ошибок при необходимости.

  • При определении требований для новых подписок см. следующие принципы:

    • Ограничения масштабирования. Подписки служат в качестве единицы масштабирования для рабочих нагрузок компонентов, чтобы масштабироваться в пределах подписки платформы. Крупные специализированные рабочие нагрузки, такие как высокопроизводительные вычисления, IoT и SAP, должны использовать отдельные подписки, чтобы избежать выполнения этих ограничений.

    • Граница управления: подписки предоставляют границу управления для управления и изоляции, что позволяет четко разделить проблемы. Различные среды, такие как разработка, тестирование и рабочие среды, часто удаляются с точки зрения управления.

    • Граница политики: подписки служат границей для назначений Политика Azure. Например, для обеспечения соответствия требованиям обычно требуются безопасные рабочие нагрузки, такие как рабочие нагрузки PCI. Другие затраты не учитываются, если вы используете отдельную подписку. Среды разработки имеют менее строгие требования к политике, чем рабочие среды.

    • Целевая топология сети. Вы не можете совместно использовать виртуальные сети между подписками, но их можно подключить с различными технологиями, такими как пиринг между виртуальными сетями или ExpressRoute. Когда вы решите, требуется ли новая подписка, рассмотрите, какие рабочие нагрузки должны взаимодействовать друг с другом.

  • Группы подписок вместе в группах управления, которые соответствуют структуре группы управления и требованиям политики. Группировать подписки, чтобы гарантировать, что подписки с одинаковым набором политик и назначений ролей Azure приходят из той же группы управления.

  • Создайте выделенную подписку управления в Platform группе управления для поддержки глобальных возможностей управления, таких как рабочие области журналов Azure Monitor и модули Runbook службы автоматизации.

  • Установите выделенную подписку на удостоверение в Platform группе управления для размещения контроллеров домена Windows Server Active Directory при необходимости.

  • Создайте выделенную подписку на подключение в Platform группе управления для размещения Виртуальная глобальная сеть концентратора, частного канала DNS, канала ExpressRoute и других сетевых ресурсов. Выделенная подписка гарантирует, что все сетевые ресурсы фонда выставляются вместе и изолированы от других рабочих нагрузок.

  • Старайтесь не использовать модель жесткой подписки. Вместо этого используйте набор гибких критериев для группирования подписок в организации. Такая гибкость гарантирует, что по мере изменения структуры организации и состава рабочих нагрузок вы сможете создавать новые группы подписок вместо использования фиксированного набора существующих подписок. Один размер не подходит для всех подписок, и то, что работает для одного бизнес-подразделения, может не работать для другого. Некоторые приложения могут сосуществовать в одной подписке целевой зоны, а для других может потребоваться собственная подписка.

    Дополнительные сведения см. в разделе "Обработка целевых зон рабочей нагрузки разработки/тестирования и рабочей рабочей нагрузки".

Рекомендации по нескольким регионам

  • Создайте дополнительные подписки для каждого региона только в том случае, если у вас есть требования к управлению и управлению регионами, например суверенитет данных или масштабирование за пределы квоты.

  • Если масштабирование не является проблемой для среды геокамерного восстановления, охватывающей несколько регионов, используйте одну и ту же подписку для ресурсов основного и дополнительного региона. Некоторые службы Azure, в зависимости от стратегии непрерывности бизнес-процессов и аварийного восстановления (BCDR), могут потребоваться использовать ту же подписку. В активном сценарии, где развертывания управляются независимо или имеют разные жизненные циклы, рекомендуется использовать разные подписки.

  • Регион, в котором создается группа ресурсов и регион содержащихся ресурсов, должен соответствовать таким образом, чтобы они не влияли на устойчивость и надежность.

  • Одна группа ресурсов не должна содержать ресурсы из разных регионов. Такой подход может привести к проблемам с управлением ресурсами и доступностью.

Рекомендации по квоте и емкости

  • Используйте подписки в качестве единиц масштабирования, а также масштабируйте ресурсы и подписки по мере необходимости. Затем рабочая нагрузка может использовать необходимые ресурсы для масштабирования без достижения ограничений подписки на платформе Azure.

  • Используйте резервирования емкости для управления емкостью в некоторых регионах. Затем рабочая нагрузка может иметь необходимую емкость для ресурсов с высоким спросом в определенном регионе.

  • Установите панель мониторинга с пользовательскими представлениями для мониторинга используемых уровней емкости и настройте оповещения, если емкость приближается к критическим уровням, например 90 % использования ЦП.

  • Создайте запросы на поддержку для увеличения квоты при подготовке подписки, например для общих доступных ядер виртуальных машин в подписке. Убедитесь, что ограничения квоты устанавливаются до превышения ограничений по умолчанию для рабочих нагрузок.

  • Убедитесь, что все необходимые службы и функции доступны в выбранных регионах развертывания.

Рекомендации по автоматизации

  • Создайте процесс вендинг по подписке для автоматизации создания подписок для команд приложений с помощью рабочего процесса запроса. Дополнительные сведения см. в разделе "Виртуальные серверы подписки".

Рекомендации по ограничению передачи клиента

  • Настройте следующие параметры, чтобы запретить пользователям передавать подписки Azure в клиент Microsoft Entra или из нее:

    • Задайте для подписки, входящей в каталог Permit no oneMicrosoft Entra.

    • Задайте для подписки, введя каталог Permit no one Microsoft Entra.

  • Настройте ограниченный список исключенных пользователей.

    • Включите участников из группы операций платформы Azure.

    • Включите в список исключенных пользователей учетные записи с экстренным доступом.

Следующий шаг

Внедрение защищений, управляемых политикой