你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

订阅注意事项和建议

订阅是 Azure 中管理、计费和缩放的一个单位。 在设计大规模 Azure 采用时,它们起着关键作用。 本文根据因以下因素而异,帮助你捕获订阅要求和设计目标订阅:

  • 环境类型
  • 所有权和治理模型
  • 组织结构
  • 应用程序组合
  • 区域

提示

有关订阅的详细信息,请参阅 YouTube 视频: Azure 登陆区域 - 应在 Azure 中使用多少个订阅?

注意

如果使用企业协议、Microsoft 客户协议(企业版)或Microsoft 合作伙伴协议(CSP),请查看Azure 门户中的计费帐户和范围中的订阅限制

订阅注意事项

以下部分包含可帮助你规划和创建 Azure 订阅的注意事项。

组织和治理设计注意事项

  • 订阅会用作 Azure 策略分配的边界。

    例如,安全工作负载(如支付卡行业 (PCI) 工作负载)通常需要其他策略来实现合规性。 可使用订阅实现相同的隔离,而不是使用管理组来整理需要 PCI 合规性的工作负载,而无需拥有太多管理组和多个订阅。

    如果你需要将相同工作负载原型的多个订阅组合在一起,请在管理组下创建这些订阅。

  • 订阅充当一个缩放单元,确保组件工作负载可以在平台订阅限制内进行缩放。 确保在工作负载设计会话期间考虑订阅资源限制。

  • 订阅为治理和隔离提供了一个管理边界,明确区分了关注点。

  • 在需要时为管理(监视)、连接和身份创建单独的平台订阅。

    • 在平台管理组中建立专用管理订阅,以支持 Azure Monitor 日志工作区和 Azure 自动化 Runbook 等全局管理功能。

    • 必要时在平台管理组中建立专用标识订阅,以托管 Windows Server Active Directory 域控制器。

    • 在平台管理组中建立专用连接订阅,以托管 Azure 虚拟 WAN 中心、专用域名系统(DNS)、Azure ExpressRoute 线路和其他网络资源。 专用订阅可确保对所有基础网络资源一起计费,并确保这些资源与其他工作负载隔离。

    • 使用订阅作为符合业务需求和优先级的民主化管理单元。

  • 使用手动过程将 Microsoft Entra 租户限制为仅企业协议注册订阅。 使用手动过程时,无法在根管理组范围内创建Microsoft开发人员网络(MSDN)订阅。

    有关支持,请提交Azure 支持票证

    有关 Azure 计费产品/服务之间的订阅转移的信息,请参阅 Azure 订阅和预留转移中心

多个区域注意事项

重要

订阅未绑定到特定区域,你可以将其视为全局订阅。 它们是逻辑构造,用于为包含在其中的 Azure 资源提供计费、治理、安全性和标识控制。 因此,不需要为每个区域单独订阅。

  • 可以在单个工作负荷级别采用多区域方法,以缩放或异地灾难恢复或全局级别(不同区域中的不同工作负荷)。

  • 单个订阅可以包含来自不同区域的资源,具体取决于要求和体系结构。

  • 在异地灾难恢复上下文中,可以使用同一订阅来包含主要区域和次要区域中的资源,因为它们在逻辑上属于同一工作负荷。

  • 可以为不同区域中的同一工作负荷部署不同的环境,以优化成本和资源可用性。

  • 在包含来自多个区域的资源的订阅中,可以使用资源组按区域组织和包含资源。

配额和容量设计注意事项

Azure 区域的资源可能有限。 因此,应使用多个资源跟踪 Azure 采用的可用容量和 SKU。

  • 考虑工作负载所需的每个服务在 Azure 平台内的限制和配额

  • 考虑所选 Azure 区域内所需 SKU 的可用性。 例如,新功能可能仅在特定区域中可用。 给定资源(例如虚拟机(VM)的某些 SKU 的可用性可能因一个区域而异。

  • 考虑到订阅配额不是容量保证,并且会按区域应用。

    有关虚拟机容量预留,请参阅按需容量预留

  • 请考虑重用未使用的或已停用的订阅。 有关详细信息,请参阅 创建或重复使用 Azure 订阅

租户转移限制设计注意事项

每个 Azure 订阅都链接到单个 Microsoft Entra 租户,该租户充当 Azure 订阅的标识提供者 (IdP)。 使用 Microsoft Entra 租户对用户、服务和设备进行身份验证。

当任何用户具有所需的权限时,他们可以更改链接到 Azure 订阅的 Microsoft Entra 租户。 有关详细信息,请参阅:

注意

无法转移到 Azure 云解决方案提供商 (CSP) 订阅的其他 Microsoft Entra 租户。

对于 Azure 登陆区域,可以设置要求,以防止用户将订阅转移到组织的Microsoft Entra 租户。 有关详细信息,请参阅管理 Azure 订阅策略

通过提供豁免用户的列表来配置订阅策略。 允许免除的用户绕过策略中设置的限制。

重要

免除的用户列表不是 Azure Policy

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。

  • 有权访问 Azure 的所有用户都可以查看为 Microsoft Entra 租户定义的策略。

    • 用户无法查看你的豁免用户列表。

    • 用户可以在 Microsoft Entra 租户中查看全局管理员。

  • 传输到 Microsoft Entra 租户的 Azure 订阅将置于 该租户的默认管理组中

  • 如果组织批准,应用程序团队可以定义允许将 Azure 订阅转移到Microsoft Entra 租户的过程。

成本管理设计注意事项

每个大型企业组织都有管理成本透明度的挑战。 本部分探讨在大型 Azure 环境中实现成本透明度的关键方面。

  • 可能需要共享退款模型,例如App 服务环境和Azure Kubernetes 服务(AKS),以实现更高的密度。 退款模型可能会影响共享平台即服务(PaaS)资源。

  • 对非生产工作负载使用关闭计划以优化成本。

  • 使用 Azure 顾问 获取优化成本的建议。

  • 建立退款模型,以便更好地在整个组织中分配成本。

  • 实施策略,使用户无法在组织的环境中部署未经授权的资源。

  • 建立定期计划和节奏,查看工作负荷的成本和权限。

订阅建议

以下部分包含可帮助你规划和创建 Azure 订阅的建议。

组织和治理建议

  • 将订阅视为符合业务需求和优先级的管理单元。

  • 通知订阅所有者其角色和责任。

    • 对 Microsoft Entra Privileged Identity Management(PIM)进行季度或每年的访问评审,以确保用户在组织内移动时特权不会激增。

    • 完全拥有预算支出和资源。

    • 确保策略合规性并在必要时进行修正。

  • 确定新订阅的要求时,请参考以下原则:

    • 缩放限制:订阅充当缩放单元,以便组件工作负载在平台订阅限制之内缩放。 大型专用工作负荷(如高性能计算、IoT 和 SAP)应使用单独的订阅来避免针对这些限制运行。

    • 管理边界:订阅为治理和隔离提供管理边界,允许明确分离关注点。 从管理的角度来看,通常会从管理角度删除各种环境,例如开发、测试和生产环境。

    • 策略边界:订阅充当 Azure Policy 分配的边界。 例如,安全工作负载(如 PCI 工作负载)通常需要其他策略才能实现合规性。 如果使用单独的订阅,则不会考虑其他开销。 与生产环境相比,开发环境的策略要求更加宽松。

    • 目标网络拓扑:不能跨订阅共享虚拟网络,但可以将它们与虚拟网络对等互连或 ExpressRoute 等不同技术连接。 确定是否需要新订阅时,请考虑哪些工作负载需要相互通信。

  • 将订阅分组到管理组下,这些组与管理组的结构和策略要求一致。 组订阅,以确保具有相同策略集的订阅和 Azure 角色分配来自同一管理组。

  • Platform 管理组中建立专用管理订阅,以支持 Azure Monitor 日志工作区和自动化 Runbook 等全局管理功能。

  • 必要时在 Platform 管理组中建立专用标识订阅,以托管 Windows Server Active Directory 域控制器。

  • Platform管理组中建立专用连接订阅,以托管虚拟 WAN中心、专用 DNS、ExpressRoute 线路和其他网络资源。 专用订阅可确保对所有基础网络资源一起计费,并确保这些资源与其他工作负载隔离。

  • 避免使用严格的订阅模型, 而是使用一组灵活的条件在整个组织内对订阅进行分组。 这种灵活性确保随着组织结构和工作负载组合发生变化,可以新建订阅组,而不是使用一组固定的现有订阅。 一种大小并不适合所有订阅,并且适用于一个业务部门的内容可能不适用于另一个业务部门。 某些应用程序可能会在同一登陆区域订阅中共存,而其他应用程序则可能需要自己的订阅。

    有关详细信息,请参阅 处理开发/测试/生产工作负荷登陆区域

多个区域建议

  • 仅当具有特定于区域的治理和管理要求(例如数据主权或超出配额限制)时,才为每个区域创建其他订阅。

  • 如果缩放不涉及跨多个区域的异地灾难恢复环境,请对主要区域和次要区域资源使用相同的订阅。 某些 Azure 服务可能需要使用相同的订阅,具体取决于采用的业务连续性和灾难恢复(BCDR)策略和工具。 在主动-主动方案中,部署独立管理或生命周期不同,建议使用不同的订阅。

  • 创建资源组的区域和包含的资源区域应匹配,因此它们不会影响复原和可靠性。

  • 单个资源组不应包含来自不同区域的资源。 此方法可能会导致资源管理和可用性问题。

配额和容量建议

  • 使用订阅作为缩放单元,并根据需要横向扩展资源和订阅。 然后,工作负荷可以使用所需的资源进行横向扩展,而无需在 Azure 平台中达到订阅限制。

  • 使用容量预留来管理某些区域中的容量。 然后,工作负载可能具有特定区域中的高需求资源所需的容量。

  • 建立一个仪表板,其中包含用于监视已使用容量级别的自定义视图,并在容量接近关键级别(例如 90% CPU 使用率)时设置警报。

  • 根据订阅预配(如订阅中可用的 VM 核心总数)提出增加配额的支持请求。 确保在工作负载超过默认限制之前设置配额限制。

  • 确保所需的服务和功能在所选部署区域中可用。

自动化建议

  • 构建订阅自动售货过程,通过请求工作流自动创建应用程序团队的订阅。 有关详细信息,请参阅订阅自动售货

租户转移限制建议

  • 配置以下设置以防止用户向 Microsoft Entra 租户或从 Microsoft Entra 租户转移 Azure 订阅:

    • 订阅设置为Microsoft Entra 目录Permit no one

    • 将输入Microsoft Entra 目录的订阅设置为 。Permit no one

  • 配置一组有限的豁免用户列表。

    • 包括 Azure 平台运营团队的成员。

    • 豁免用户列表中包括不受限帐户。

下一步

采用策略驱动的防护措施