إدارة المجموعة وتنظيم الاشتراك

مكتمل

يؤدي تنظيم الاشتراكات تنظيمًا صحيحًا إلى لعب دور رئيسي في حوكمة موارد السحابة لديك. كما يضمن لك إمكانية إدارة تكاليف الموارد والحصص النسبية للموارد المنشورة في مؤسستك.

حدد تدرجًا هرميًا لمجموعة إدارة

ينبغي النظر في التكوين الهيكلي لدعم بنية مجموعة إدارة ضمن مستأجر Azure Active Directory (Azure AD) بشكل كامل عندما تخطط مؤسسة لاعتماد Azure على نطاق واسع.

⁩يوضح المخطط التسلسل الهرمي لمجموعة الإدارة.⁧

عند تحديدك التسلسل الهرمي لمجموعة الإدارة، فكر في إمكانية تجميع مجموعات الإدارة حسب السياسة وتعيينات المبادرات عبر Azure Policy. تتيح هذه الإمكانية المرونة وتنظيم النهج عبر اشتراكات متعددة. ضع أيضًا في الاعتبار أن شجرة مجموعة الإدارة قد تدعم ما يصل إلى ستة مستويات من العمق. لا يتضمن هذا الحد مستوى قواعد المستأجر أو مستوى الاشتراك.

نوصي بالحفاظ على التسلسل الهرمي لمجموعة الإدارة بشكل معقول بما لا يزيد عن ثلاثة إلى أربعة مستويات، وهذا من الناحية المثالية. سوف يقلل هذا التقييد من الحمل الإداري والتعقيد. تجنب تكرار البنية التنظيمية الخاصة بك في التسلسل الهرمي لمجموعة الإدارة شديدة التداخل. ينبغي استخدام مجموعات الإدارة في تعيينات النهج مقابل أغراض الفوترة. يستلزم هذا النهج استخدام مجموعات الإدارة للغرض المقصود منها في الهيكل المؤسسي. يتمثل الغرض من ذلك في توفير نُهج Azure لأحمال العمل التي تتطلب النوع ذاته من الأمان والتوافق ضمن مستوى مجموعة الإدارة ذاته.

إنشاء مجموعات إدارة ضمن مجموعة الإدارة على مستوى الجذر لتمثيل أنواع أحمال العمل (النماذج الأصلية) التي سوف تستضيفها، وتلك التي تستضيفها استنادًا إلى الأمان والتوافق والاتصال واحتياجات الميزات الخاصة بها. تتيح لك بنية تحديد المجموعات هذه تطبيق مجموعة من نُهج Azure على مستوى مجموعة الإدارة لكل أحمال العمل التي تتطلب نفس إعدادات الأمان والتوافق والاتصال والمزايا.

استخدم علامات المورد، التي يمكن فرضها أو إلحاقها من خلال Azure Policy، للاستعلام والتنقل أفقيًا عبر التسلسل الهرمي لمجموعة الإدارة. ثم يمكنك بعد ذلك تجميع الموارد لاحتياجات البحث دون الحاجة إلى استخدام تسلسل هرمي لمجموعة الإدارة المُعقدة.

قم بإنشاء مجموعة إدارة آلية لبيئة الاختبار المعزولة ذات المستوى الأعلى للسماح للمستخدمين بالتجربة الفورية باستخدام Azure. يمكن للمستخدمين بعد ذلك تجربة الموارد التي قد لا يُسمح بها بعد في بيئات الإنتاج. يوفر وضع بيئة الاختبار المعزولة حالة العزلة عن بيئات التطوير والاختبار والإنتاج.

استخدم اسم خدمة أساسيًا (SPN) مُخصصًا لتنفيذ عمليات إدارة مجموعة الإدارة وعمليات إدارة الاشتراك وتعيين الأدوار. يقلل استخدام SPN من عدد المستخدمين الذين لديهم حقوق غير مُقيدة ويتبع الإرشادات الأقل امتيازًا.

تعيين دور User Access Administrator التي توفرها Azure من أجل التحكم في الوصول استنادًا إلى الدور (RBAC) على أساس الدور في نطاق مجموعة إدارة الجذر (⁧/⁩) لمنح الوصول إلى SPN فقط المذكورة على مستوى الجذر. بعد منح SPN الأذونات، يمكن إزالة دور User Access Administrator بأمان. باستخدام هذه الطريقة، يكون SPN فقط جزءًا من دور User Access Administrator.

تعيين دور المساهم إلى SPN المذكورة سابقًا في نطاق مجموعة إدارة الجذر (⁧/⁩)، والذي يسمح بالتشغيل على مستوى المستأجر. يضمن مستوى الإذن هذا وجود إمكانية لاستخدام SPN لتوزيع الموارد وإدارتها في أي اشتراك داخل المؤسسة.

قم بإنشاء مجموعة إدارة النظام الأساسي ضمن مجموعة إدارة الجذر لدعم نهج النظام الأساسي المشترك وتعيين RBAC. تضمن بنية التجميع هذه وجود إمكانية لتطبيق نُهج مختلفة على الاشتراكات المستخدمة في مؤسسة Azure. كما يضمن أن تكون فواتير الموارد المشتركة مركزية في مجموعة واحدة من الاشتراكات التأسيسية.

حدد أيضًا عدد تعيينات Azure Policy التي تم إجراؤها في نطاق مجموعة إدارة الجذر (⁧/⁩). يقلل هذا القيد تصحيح أخطاء النُّهج المنتقلة إلى مجموعات إدارة المستوى الأدنى. لا تقم بإنشاء أي اشتراكات ضمن مجموعة إدارة الجذر. يضمن هذا التسلسل الهرمي عدم انتقال الاشتراكات سوى لمجموعة صغيرة من نُهج Azure المُعينة في مجموعة الإدارة على مستوى الجذر، والتي لا توفر مجموعة كاملة ضرورية لحمل العمل.

تنظيم الاشتراكات والحوكمة

تُعد الاشتراكات وحدة الإدارة، والفوترة، والحجم داخل Azure. يلعب ذلك دورًا حاسمًا عندما تقوم بتصميم اعتماد Azure على نطاق واسع. يقدم ذلك المساعدة للقسم في متابعة متطلبات الاشتراك وتصميم الاشتراكات المُستهدفة استنادًا إلى العوامل المهمة. تتمثل العوامل في نوع البيئة، ونموذج الملكية والحوكمة، والهيكل التنظيمي، وحوافظ التطبيقات.

تذكر أن الاشتراكات تمثل حدودًا لتعيين نُهج Azure. على سبيل المثال، تتطلب أحمال العمل الآمنة مثل أحمال العمل Payment Card Industry (PCI) عادةً سياسات إضافية لتحقيق التوافق. بدلاً من استخدام مجموعة إدارة لتجميع أحمال العمل التي تتطلب الامتثال PCI، يمكنك تحقيق العزلة ذاتها باستخدام اشتراك. باستخدام هذه الطريقة، لن يكون لديك الكثير من مجموعات الإدارة التي تحتوي على عددٍ قليلٍ من الاشتراكات.

كما تعمل الاشتراكات في شكل وحدة للقياس بحيث يمكن توسيع أحمال عمل المكونات ضمن حدود اشتراك النظام الأساسي. تأكد من مراعاة حدود موارد الاشتراك في أثناء جلسات عمل تصميم حمل العمل. توفر الاشتراكات حدودًا إدارية للإدارة والعزلة، الأمر الذي يؤدي إلى فصل واضح بين المشكلات.

عند تحديد تنظيم الاشتراك والحوكمة، تعامل مع الاشتراكات باعتبارها وحدة إدارة ديمقراطية تتماشى مع احتياجات العمل وأولوياته. أطلع أصحاب الاشتراكات على أدوارهم ومسؤولياتهم:

  • راجع الوصول إلى Azure AD Privileged Identity Management بشكل ربع سنوي أو نصف سنوي للتأكد من عدم توزيع الامتيازات مع انتقال المستخدمين داخل مؤسسة العملاء.
  • تمتع بالملكية الكاملة الخاصة بإنفاق الميزانية واستخدام الموارد.
  • اضمن الامتثال للسياسات وإصلاحها عند الضرورة.

استخدم المبادئ التالية في حال تحديد متطلبات الاشتراكات الجديدة:

  • ⁩حدود الحجم⁧⁩: تعمل الاشتراكات باعتبارها وحدة مقياس لأحمال عمل المكونات التي تُقاس ضمن حدود اشتراك النظام الأساسي. على سبيل المثال، تكون أحمال العمل الكبيرة المُتخصصة مثل الحوسبة عالية الأداء وإنترنت الأشياء وSAP ملائمة بشكل أفضل لاستخدام اشتراكات مُنفصلة لتجنب الحدود (مثل الحد الأقصى لـتكميلات بعدد 50 من Azure Data Factory).
  • ⁩حدود الإدارة⁧⁩: توفر الاشتراكات حدودًا إدارية للإدارة والفصل، الأمر الذي يسمح بالفصل الواضح بين المشكلات. على سبيل المثال، تُعزل غالبًا بيئات مختلفة مثل التطوير والاختبار والإنتاج من منظور الإدارة.
  • ⁩حد السياسة:⁧⁩تعتبر الاشتراكات حدًا لتعيين Azure Policy. على سبيل المثال، تتطلب أحمال العمل الآمنة مثل PCI عادةً نُهجًا إضافية لتحقيق التوافق. لا توجد حاجة لاعتبار تلك النفقات الإضافية شاملةً في حال استخدام اشتراك مُنفصل. وعلى غرار ذلك، قد يكون لبيئات التطوير متطلبات أكثر ملاءمة للنهج فيما يتعلق ببيئات الإنتاج.
  • ⁩طبولوجيا الشبكة المُستهدفة:⁧⁩تتعذر مشاركة الشبكات الظاهرية عبر الاشتراكات، ولكن يمكنها الاتصال بتقنيات مختلفة مثل نظير الشبكة الظاهرية أو Azure ExpressRoute. عليك مراعاة أعباء العمل التي ينبغي أن تتصل ببعضها البعض عند تحديد ما إذا كان الاشتراك الجديد مطلوبًا أم لا.

ضع الاشتراكات في مجموعات معًا ضمن مجموعات الإدارة المُحاذَية ضمن بنية مجموعة الإدارة ومتطلبات السياسة على نطاق واسع. تتضمن عملية الوضع في مجموعات إمكانية نقل الاشتراكات التي لها نفس مجموعة من النهج وتعيينات RBAC من مجموعة إدارة، ما يؤدي إلى تجنب التعيينات المُكررة.

قم بإنشاء اشتراك إدارة مُخصص في مجموعة إدارة النظام الأساسي لدعم قدرات الإدارة العالمية مثل مساحات عمل Azure Monitor Log Analytics وأدلة قواعد أتمتة Azure. قم بإنشاء اشتراك هوية مُخصصة في مجموعة إدارة النظام الأساسي لاستضافة وحدات تحكم مجال Windows Server Active Directory عند الضرورة. قم بإنشاء اشتراك اتصال مخصص في مجموعة إدارة النظام الأساسي لاستضافة لوحة Azure Virtual WAN، ونظام أسماء المجال الخاص (DNS) ودائرة ExpressRoute وموارد شبكة الاتصال الأخرى. يضمن الاشتراك المخصص فوترة جميع موارد شبكة الأساس معًا وعزلها عن أحمال العمل الأخرى.

تجنب نموذج الاشتراك الصارم، واختر بدلاً من ذلك مجموعة من المعايير المرنة لوضع الاشتراكات في مجموعات عبر المؤسسة. تضمن هذه المرونة أنه مع تغيّر بنية المؤسسة وتكوين حمل العمل لديك، يمكنك إنشاء مجموعات اشتراك جديدة بدلاً من استخدام مجموعة ثابتة من الاشتراكات الموجودة. لا يتناسب مقاس واحد لكل الاشتراكات. ما يصلح لوحدة عمل قد لا يصلح لأخرى. قد تتواجد بعض التطبيقات ضمن اشتراك منطقة الهبوط ذاتها، بينما قد تتطلب تطبيقات أخرى وجود اشتراكها الخاص.

تكوين الحصة النسبية للاشتراك والقدرة الإنتاجية

تحتوي كل منطقة في Azure على عددٍ محدودٍ من الموارد. عند النظر في اعتماد Azure على نطاق المؤسسة، والذي يتضمن كمًا هائلًا من الموارد، تأكد من أن السعة الكافية ووحدات SKU متوفرة، مع إمكانية فهم القدرة التي تم تحقيقها ومراقبتها.

ضع في الاعتبار الحدود والحصص النسبية داخل النظام الأساسي في Azure لكل خدمة تتطلب أحمال عمل خاصة بك. عليك أيضًا مراعاة توفر وحدات SKU المطلوبة داخل مناطق Azure المُختارة. على سبيل المثال، قد تتوفر مزايا جديدة في مناطق مُعينة فقط. قد يختلف توفر وحدات SKU مُعينة لبعض الموارد مثل VMs من منطقة إلى أخرى. عليك مراعاة أن حصص الاشتراك ليست ضمانات للسعة، ويتم تطبيقها على أساس كل منطقة.

عند التخطيط للحصص النسبية والسعة، استخدم الاشتراكات كوحدات مقياس، وموارد توسيع النطاق والاشتراكات حسب الحاجة. يمكن أن يستخدم حمل العمل الخاص بك بعد ذلك الموارد المطلوبة للتوسع، عند الحاجة، دون تجاوز حدود الاشتراك في النظام الأساسي في Azure. استخدم المثيلات المحجوزة لتحديد أولويات السعة المحجوزة في المناطق المطلوبة. سيكون لعبء العمل الخاص بك بعد ذلك السعة المطلوبة حتى عند وجود طلب كبير على هذا المورد في منطقة مُعينة.

قم بإنشاء لوحة معلومات من خلال عروض مُخصصة لمراقبة مستويات السعة المُستخدمة. قم بإعداد التنبيهات إذا كان استخدام السعة يصل إلى مستويات شديدة (على سبيل المثال، 90 بالمئة من استخدام المعالج).

ارفع طلبات الدعم لزيادة الحصة النسبية كجزء من توفير الاشتراك (على سبيل المثال، إجمالي أساسيات VM المُتوفرة داخل أحد الاشتراكات). يضمن ذلك الأسلوب تعيين حدود الحصة النسبية قبل أن تتطلب أحمال العمل تجاوز الحدود الافتراضية.

تأكد من توفر الخدمات والمزايا المطلوبة داخل مناطق التوزيع المُختارة.

إنشاء إدارة التكاليف

تمثل شفافية التكلفة عبر الممتلكات التقنية تحديًا إداريًا وحاسمًا، حيث تواجهه كل مؤسسة كبيرة. يوضح هذا القسم الجوانب الرئيسية المرتبطة بكيفية تحقيق شفافية التكلفة عبر البيئات الكبيرة Azure.

ضع في الاعتبار الحاجة المُحتملة إلى نماذج استرداد الرسوم عندما يتعلق الأمر بموارد الخدمة (PaaS)، مثل Azure App Environment، وخدمة Azure Kubernetes، والتي قد تحتاج إلى المشاركة لتحقيق كثافة أعلى. استخدم جدولة إيقاف التشغيل لأحمال العمل غير المُنتجة لتحسين التكاليف. استخدم Azure Advisor للتحقق من توصيات تحسين التكلفة.

نوصي باستخدام Cost Management + فوترة تجميع التكاليف. إتاحة ذلك لأصحاب التطبيقات. استخدم علامات موارد Azure لتصنيف التكاليف ووضع الموارد في مجموعات. يتيح لك استخدام العلامات إمكانية الحصول على آلية استرداد رسوم أحمال العمل التي تشترك في اشتراك أو حمل عمل معين يمتد عبر عدة اشتراكات.

اختبر معلوماتك

1.

أي مما يلي يُعد استخدامًا صحيحًا لمجموعات الإدارة؟

2.

تُعد الاشتراكات وحدة الإدارة، والفوترة، والحجم داخل Azure. أي من العناصر التالية يتبع Microsoft Cloud Adoption Framework باعتباره تصميمًا أو توصية صالحة؟