Előfizetéssel kapcsolatos szempontok és javaslatok

Az előfizetések az Azure-ban a felügyelet, a számlázás és a skálázás egységei. Kritikus szerepet játszanak a nagy léptékű Azure-bevezetés tervezésekor. Ez a cikk segíthet rögzíteni az előfizetési követelményeket, és kritikus tényezők alapján megtervezni a célelőfizetéseket, amelyek a következőkre épülnek:

• környezet típusa
• tulajdonosi és szabályozási modell
• szervezeti struktúra
• alkalmazásportfóliók

Tipp.

Ezt a témakört egy közelmúltbeli YouTube-videóban ismertettük: Azure Landing Zones – Hány előfizetést érdemes használni az Azure-ban?

Megjegyzés:

Tekintse át az előfizetés korlátait az Azure Portal számlázási fiókjaiban és hatóköreiben dokumentált módon. Ez az útmutató elsősorban a Nagyvállalati Szerződés, Microsoft Ügyfélszerződés (Nagyvállalati) vagy Microsoft Partnerszerződés (CSP) szolgáltatást használó ügyfeleknek szól.

Előfizetésekkel kapcsolatos szempontok

Az alábbi szakaszok olyan szempontokat tartalmaznak, amelyek segítenek az Azure-előfizetések megtervezésében és létrehozásában.

Szervezeti és irányítási tervezési szempontok

• Az előfizetések határként szolgálnak az Azure Policy-hozzárendelésekhez.

  • Például az olyan biztonságos számítási feladatok, mint a Payment Card Industry (PCI) számítási feladatai általában más szabályzatokat igényelnek a megfelelőség eléréséhez. A pci-megfelelőséget igénylő számítási feladatok rendezése helyett ugyanazt az elkülönítést érheti el egy előfizetéssel, anélkül, hogy túl sok felügyeleti csoport lenne néhány előfizetéssel.

    • Ha több, azonos számításifeladat-archetípusú előfizetést kell csoportosítania, hozzon létre egy felügyeleti csoport alatt.

• Az előfizetések skálázási egységként szolgálnak, így az összetevők számítási feladatai a platform előfizetési korlátain belül méretezhetők. Ügyeljen arra, hogy a számítási feladatok tervezésekor vegye figyelembe az előfizetés erőforráskorlátjait.

• Az előfizetések felügyeleti határt biztosítanak az irányításhoz és az elkülönítéshez, amely egyértelműen elválasztja az aggályokat.

• Szükség esetén hozzon létre külön platform-előfizetéseket a felügyelethez (monitorozáshoz), a kapcsolathoz és az identitáshoz.

  • Hozzon létre egy dedikált felügyeleti előfizetést a platformfelügyeleti csoportban olyan globális felügyeleti képességek támogatásához, mint az Azure Monitor Log Analytics-munkaterületek és az Azure Automation-runbookok.
    • Hozzon létre egy dedikált identitás-előfizetést a platformfelügyeleti csoportban a Windows Server Active Directory-tartományvezérlők szükség esetén történő üzemeltetéséhez.
    • Hozzon létre egy dedikált kapcsolati előfizetést a platformfelügyeleti csoportban egy Azure Virtual WAN-központ, a privát tartománynévrendszer (DNS), az ExpressRoute-kapcsolatcsoport és más hálózati erőforrások üzemeltetéséhez. A dedikált előfizetés biztosítja, hogy az alapszintű hálózati erőforrások számlázása együtt és más számítási feladatoktól elkülönítve legyen.
    • Az előfizetéseket az üzleti igényekhez és prioritásokhoz igazodó demokratizált felügyeleti egységként használhatja.

• Manuális folyamatokkal a Microsoft Entra-bérlőket csak Nagyvállalati Szerződés regisztrációs előfizetésekre korlátozhatja. A manuális folyamat megakadályozza a Microsoft Developer Network-előfizetések létrehozását a gyökérszintű felügyeleti csoport hatókörében.

  • Támogatásért küldjön be egy Azure-támogatási jegyet.

• Az Azure számlázási ajánlatai közötti előfizetés-átvitelről az Azure-előfizetés és a foglalásátviteli központ nyújt információt.

Kvóta- és kapacitástervezési szempontok

Az Azure-régiók véges számú erőforrással rendelkezhetnek. Ennek eredményeképpen a rendelkezésre álló kapacitást és termékváltozatokat nyomon kell követni a nagy számú erőforrást érintő Azure-bevezetések esetében.

• Fontolja meg az Azure-platformon belüli korlátokat és kvótákat minden olyan szolgáltatáshoz, amelyhez a számítási feladatok szükségesek.

• Fontolja meg a szükséges termékváltozatok rendelkezésre állását a kiválasztott Azure-régiókban. Előfordulhat például, hogy az új funkciók csak bizonyos régiókban érhetők el. Bizonyos termékváltozatok rendelkezésre állása adott erőforrásokhoz, például virtuális gépekhez eltérő lehet az egyik régiótól a másikig.

• Vegye figyelembe, hogy az előfizetési kvóták nem kapacitásgaranciák, és régiónként vannak alkalmazva.

  • A virtuálisgép-kapacitásfoglalások esetében lásd az igény szerinti kapacitásfoglalást.

• Fontolja meg a fel nem használt vagy leszerelt előfizetések újrafelhasználását a Minden alkalommal hozzunk létre új Azure-előfizetést című útmutatóban leírtak szerint, vagy újra felhasználhatjuk az Azure-előfizetéseket? – Azure-beli kezdőzónák – gyakori kérdések.

Bérlőátviteli korlátozás tervezési szempontjai

Minden Azure-előfizetés egyetlen Microsoft Entra-bérlőhöz van társítva, amely identitásszolgáltatóként (IdP) működik az Azure-előfizetéshez. A Microsoft Entra-bérlő a felhasználók, szolgáltatások és eszközök hitelesítésére szolgál.

Az Azure-előfizetéshez társított Microsoft Entra-bérlőt bármely, a szükséges engedélyekkel rendelkező felhasználó módosíthatja. A folyamat részletes leírása a következő cikkekben található:

• Azure-előfizetés társítása vagy hozzáadása a Microsoft Entra-bérlőhöz
• Azure-előfizetés átvitele másik Microsoft Entra-címtárba

Megjegyzés:

Az Azure Felhőszolgáltató (CSP) előfizetések nem támogatják a másik Microsoft Entra-bérlőre való átvitelt.

Az Azure-beli kezdőzónákkal követelményeket állíthat be, amelyek megakadályozzák, hogy a felhasználók előfizetéseket továbbítjanak a szervezet Microsoft Entra-bérlőjéhez. Tekintse át az Azure-előfizetési szabályzatok kezelésének folyamatát.

Konfigurálja az előfizetési szabályzatot a mentesített felhasználók listájának megadásával. A kivételt élvező felhasználók megkerülhetik a szabályzatban meghatározott korlátozásokat.

Fontos

A kivételt élvező felhasználók listája nem Azure-szabályzat.

• Fontolja meg, hogy a Visual Studio/MSDN Azure-előfizetéssel rendelkező felhasználók átvihetik-e az előfizetésüket a Microsoft Entra-bérlőbe vagy onnan.

• A bérlőátviteli beállításokat csak a Microsoft Entra Global Rendszergazda istrator szerepkörrel rendelkező felhasználók konfigurálhatják. Ezek a felhasználók emelt szintű hozzáféréssel rendelkeznek a szabályzat módosításához.

  • Az egyes felhasználói fiókokat csak kivételt élvező felhasználóként adhatja meg, a Microsoft Entra-csoportokat nem.

• Az Azure-hoz hozzáféréssel rendelkező felhasználók megtekinthetik a Microsoft Entra-bérlőhöz definiált szabályzatot.

  • A felhasználók nem tekinthetik meg a mentesített felhasználók listáját.

  • A felhasználók megtekinthetik a globális rendszergazdákat a Microsoft Entra-bérlőn belül.

• A Microsoft Entra-bérlőbe átvitt Azure-előfizetések az adott bérlő alapértelmezett felügyeleti csoportjába kerülnek.

• Ha a szervezet jóváhagyja, az alkalmazás csapata meghatározhat egy folyamatot, amely lehetővé teszi az Azure-előfizetések Átvitelét egy Microsoft Entra-bérlőbe vagy onnan.

Költségkezelési tervezési szempontok meghatározása

A költségek átláthatósága kritikus felügyeleti kihívást jelent minden nagyvállalati szervezet számára. A cikk ezen szakasza a költségek átláthatóságának a nagy Azure-környezetekben való elérésének főbb szempontjait ismerteti.

• Előfordulhat, hogy a terhelés-visszaterhelési modelleket, például Azure-alkalmazás service environmentet és az Azure Kubernetes Service-t, meg kell osztani a nagyobb sűrűség eléréséhez. A szolgáltatásként megosztott platform (PaaS) erőforrásait a Chargeback-modellek befolyásolhatják.

• A költségek optimalizálásához használjon leállítási ütemezést a nem gyártási számítási feladatokhoz.

• Az Azure Advisor használatával ellenőrizheti a költségek optimalizálására vonatkozó javaslatokat.

• Hozzon létre egy költségvisszafizetési modellt a költségek szervezeten belüli jobb elosztásához.

• Szabályzat implementálása a szervezet környezetében nem engedélyezett erőforrások üzembe helyezésének megakadályozása érdekében.

• Rendszeres ütemezést és ütemezést hozhat létre a számítási feladatok költségeinek és megfelelő méretű erőforrásainak áttekintéséhez.

Előfizetésekre vonatkozó javaslatok

Az alábbi szakaszok javaslatokat tartalmaznak az Azure-előfizetések megtervezéséhez és létrehozásához.

Szervezeti és irányítási javaslatok

• Az előfizetéseket az üzleti igényekhez és prioritásokhoz igazodó felügyeleti egységként kezelheti.

• Vegye figyelembe az előfizetés-tulajdonosok szerepköreit és feladatait.

  • Negyedéves vagy éves hozzáférési felülvizsgálatot végez a Microsoft Entra Privileged Identity Management szolgáltatásban, hogy a jogosultságok ne szaporodjanak el a felhasználók szervezeten belüli mozgása során.
  • A költségvetési kiadások és erőforrások teljes tulajdonjogának átvétele.
  • Gondoskodjon a szabályzatoknak való megfelelőségről, és szükség esetén szervizelje azokat.

• Az új előfizetések követelményeinek azonosításakor tekintse át az alábbi alapelveket:

  • Skálázási korlátok: Az előfizetések skálázási egységként szolgálnak az összetevők számítási feladatai számára a platform-előfizetés korlátain belüli skálázáshoz. A nagy specializált számítási feladatoknak, például a nagy teljesítményű számítástechnikának, az IoT-nek és az SAP-nak külön előfizetéseket kell használniuk, hogy ne fussanak ezen korlátokon.
  • Felügyeleti határ: Az előfizetések felügyeleti határt biztosítanak az irányításhoz és az elkülönítéshez, lehetővé téve az aggodalmak egyértelmű elkülönítését. A különböző környezeteket, például a fejlesztést, a tesztelést és az éles környezetet gyakran eltávolítják a felügyeleti szempontból.
  • Szabályzathatár: Az előfizetések határként szolgálnak az Azure Policy-hozzárendelésekhez. Például az olyan biztonságos számítási feladatok, mint a PCI, általában más szabályzatokat igényelnek a megfelelőség eléréséhez. A másik többletterhelést nem veszi figyelembe, ha külön előfizetést használ. A fejlesztési környezetek alacsonyabb házirendkövetelményeket támasztanak, mint az éles környezetek.
  • Célhálózat-topológia: Nem oszthat meg virtuális hálózatokat előfizetések között, de csatlakoztathatja őket különböző technológiákkal, például virtuális hálózatok közötti társviszony-létesítéssel vagy az Azure ExpressRoute-tal. Amikor eldönti, hogy új előfizetésre van-e szüksége, fontolja meg, hogy mely számítási feladatoknak kell kommunikálniuk egymással.

• Csoportosítsa az előfizetéseket a felügyeleti csoportok alatt, amelyek igazodnak a felügyeleti csoport struktúrájához és házirendkövetelményeihez. Az előfizetések csoportosítása biztosítja, hogy az azonos szabályzatokkal és Azure-szerepkör-hozzárendelésekkel rendelkező előfizetések mindegyike felügyeleti csoportból származik.

• Hozzon létre egy dedikált felügyeleti előfizetést a felügyeleti csoportban olyan Platform globális felügyeleti képességek támogatásához, mint az Azure Monitor Log Analytics-munkaterületek és az Azure Automation-runbookok.

• Hozzon létre egy dedikált identitás-előfizetést a Platform felügyeleti csoportban a Windows Server Active Directory tartományvezérlők üzemeltetéséhez, ha szükséges.

• Hozzon létre egy dedikált kapcsolati előfizetést a Platform felügyeleti csoportban az Azure Virtual WAN-központ, a privát tartománynévrendszer (DNS), az ExpressRoute-kapcsolatcsoport és más hálózati erőforrások üzemeltetéséhez. A dedikált előfizetés biztosítja, hogy az alapszintű hálózati erőforrások számlázása együtt és más számítási feladatoktól elkülönítve legyen.

• Kerülje a merev előfizetési modellt. Ehelyett rugalmas feltételekkel csoportosíthatja az előfizetéseket a szervezeten belül. Ez a rugalmasság biztosítja, hogy a szervezet struktúrájának és a számítási feladatok összetételének változásakor a meglévő előfizetések rögzített készlete helyett új előfizetési csoportokat hozzon létre. Az egyik méret nem felel meg az összes előfizetésnek, és előfordulhat, hogy az egyik üzleti egység nem működik egy másiknál. Előfordulhat, hogy egyes alkalmazások ugyanazon a kezdőzóna-előfizetésen belül élnek, míg másoknak saját előfizetésre van szükségük.

  • További információ: Hogyan kezeljük a "dev/test/production" számítási feladat kezdőzónáinak kezelését az Azure célzóna architektúrájában?.

Kvóta- és kapacitásjavaslatok

• Az előfizetéseket skálázási egységekként használhatja, és igény szerint felskálázhatók az erőforrások és az előfizetések. A számítási feladat ezután a szükséges erőforrásokat használhatja a horizontális felskálázáshoz anélkül, hogy túllépte az Előfizetési korlátokat az Azure-platformon.

• Kapacitásfoglalások használata egyes régiókban a kapacitás kezeléséhez. Ezután a számítási feladat rendelkezhet a szükséges kapacitással a nagy igényű erőforrásokhoz egy adott régióban.

• Hozzon létre egy irányítópultot egyéni nézetekkel a használt kapacitásszintek monitorozásához, és riasztásokat állítson be, ha a kapacitás megközelíti a kritikus szinteket (90 százalékos processzorhasználat).

• Támogatási kérések kérése kvótanövelésre az előfizetés kiépítésekor, például az előfizetésen belüli összes rendelkezésre álló virtuálisgép-mag esetében. Győződjön meg arról, hogy a kvótakorlátok azelőtt vannak beállítva, hogy a számítási feladatok túllépik az alapértelmezett korlátokat.

• Győződjön meg arról, hogy a szükséges szolgáltatások és szolgáltatások elérhetők a kiválasztott üzembehelyezési régiókban.

Automation-javaslatok

• Előfizetés-automatizálási folyamat létrehozása az alkalmazáscsapatok előfizetéseinek létrehozásának automatizálásához egy kérési munkafolyamaton keresztül, az előfizetés-automatizálásban leírtak szerint.

Bérlőátviteli korlátozásokra vonatkozó javaslatok

• Konfigurálja a következő beállításokat, hogy a felhasználók ne ruházzák át az Azure-előfizetéseket a Microsoft Entra-bérlőbe vagy onnan:

  • A Microsoft Entra könyvtárat elhagyó előfizetés beállítása a következőrePermit no one: .

  • Állítsa be a Microsoft Entra könyvtárba beírt előfizetést a következőre Permit no one: .

• A kivételt élvező felhasználók korlátozott listájának konfigurálása.

  • Az Azure PlatformOps (platformműveletek) csapatának tagjait is bevonja.
  • A kivétel alá tartozó felhasználók listájába belefoglalja az üvegtöréses fiókokat.

Következő lépések

Szabályzatalapú védőkorlátok bevezetése