Előfizetés-automatika

Az előfizetés-átvétel platformmechanizmust biztosít az előfizetések programozott kiadásához olyan alkalmazáscsapatoknak, amelyeknek számítási feladatokat kell üzembe helyezniük. Az alábbi ábra azt mutatja be, hogy előfizetéses értékesítés hol illeszkedik a platform és a számítási feladatok életciklusába.

Az 1. lépés a platform-előfizetések létrehozása. A 2. lépés a platform létrehozása. A 3. lépés a előfizetéses értékesítés létrehozása. A 4. lépés a számítási feladatok üzembe helyezése. Az 1. és a 2. lépés igazodik a platformhoz. A 3. lépés előfizetéses értékesítés átfedésben van a platformmal és az alkalmazás kezdőzónájával is. A 4. lépés egy alkalmazásközpontú lépés.

Az előfizetés-automatizáció az előfizetések demokratizálásának koncepciójára épül, és alkalmazza az alkalmazás kezdőzónáira. Az előfizetések demokratizálása esetén az előfizetések, nem pedig az erőforráscsoportok a számítási feladatok kezelésének és méretezésének elsődleges egységei. További információk:

• Platform-célzónák és alkalmazás-célzónák
• Az előfizetések demokratizált megközelítése
• Hány előfizetést érdemes használni az Azure-ban (YouTube)?

Miért előfizetéses értékesítés?

Az előfizetés-átvétel számos előnyt kínál azoknak a szervezeteknek, amelyeknek számítási feladatokat kell üzembe helyezniük az Azure-ban. Szabványosítja és automatizálja az alkalmazás kezdőzónáihoz tartozó előfizetések kérésének, üzembe helyezésének és szabályozásának folyamatát. Az előfizetés-átvétel leegyszerűsíti az előfizetés-létrehozási folyamatot, és a szervezet irányítása alá helyezi, így az alkalmazáscsapatok nagyobb magabiztossággal és hatékonysággal helyezhetik üzembe számítási feladataikat.

• Egyszerűsített folyamat: Az előfizetés-automatizálás hivatalos bejárati ajtót biztosít az alkalmazáscsapatoknak az előfizetések lekéréséhez, így nincs szükség arra, hogy önállóan navigáljanak az előfizetési folyamaton.
• Továbbfejlesztett sebesség: Az alkalmazáscsapatok gyorsabban férhetnek hozzá az alkalmazás kezdőzónáihoz, és gyorsabban helyezhetik üzembe a számítási feladatokat.
• Hatékony szabályozás: A platformcsapat minimális többletterheléssel kényszerítheti az alkalmazás-kezdőzónák szabályozását.

Előfizetéses értékesítés implementálása

Az előfizetés-áthárítás három csapatból áll. A Cloud Center of Excellence (CCoE) létrehozza az üzleti logikát és a jóváhagyási folyamatot. Ha elkészült, az alkalmazáscsapatok előfizetési kéréseket intéznek. A platformcsapat a kéréssel hozza létre és konfigurálja az előfizetést, mielőtt átadja az előfizetést az alkalmazáscsapatnak. Az alkalmazás csapata frissíti a költségvetést, üzembe helyezi a számítási feladatot, és műveleteket hoz létre. Az alábbi útmutató további részleteket tartalmaz a előfizetéses értékesítés folyamat egyes lépéseiről. További információ: Előfizetés-átvezetés implementálási útmutatója.

Üzleti logika és jóváhagyási folyamat létrehozása

A előfizetéses értékesítés modell implementálásához létre kell hoznia egy jóváhagyási folyamatot, amely összegyűjti az alapvető előfizetési adatokat. A Cloud Center of Excellence (CCoE) programozza a jóváhagyási folyamatot, és üzleti szabályokat hoz létre az összegyűjtendő információk köré.

Folyamat automatizálása. A gyorsabb üzembe helyezés és a jobb megfelelőség érdekében automatizálnia kell az előfizetési kérelmek rögzítésének és jóváhagyásának folyamatát.

Integrálható a meglévő eszközökkel. Integrálnia kell a előfizetéses értékesítés jóváhagyási folyamatot a meglévő INFORMATIKAI szolgáltatásfelügyeleti (ITSM) eszközbe. Az integráció egyszerűsítheti a jóváhagyási folyamatot, csökkentheti a manuális munkát, és javíthatja a hatékonyságot a hibák csökkentése mellett. Emellett megkönnyíti a karbantartást az idő múlásával, és segít az auditok megfelelőségi jelentéseinek elkészítésében.

Csatlakozás üzembehelyezési folyamatba. Ajánlott eljárás a jóváhagyási folyamat üzleti logikájának összekapcsolása a platformcsapat által kezelt előfizetés-üzembe helyezési folyamattal. Az Azure Pipelines vagy a GitHub Actions munkafolyamatok gyakori megoldások az előfizetés üzembehelyezési folyamatához.

Gyűjtse össze a követelményeket a bevitelkor. Az üzleti logikának lehetővé kell tennie, hogy az alkalmazáscsapatok előfizetést kérjenek, és megadják az előfizetési követelményeket. Ezeknek a követelményeknek tartalmazniuk kell a várható költségvetéseket, az előfizetések tulajdonosait, a hálózatkezelési elvárásokat, valamint az üzleti kritikusság és a bizalmasság besorolását. Az információk a folyamat elején való összegyűjtése tájékoztatja az üzembehelyezési paramétereket és az érdekelt felek jóváhagyási igényeit. A beviteli folyamatnak elegendő információt kell adnia a platformcsapatnak ahhoz, hogy a számítási feladatot a felügyeleti csoport hierarchiájában helyezze el.

A jóváhagyási folyamat beiktatásával az alkalmazáscsapatok megkezdhetik az előfizetési kérelmek benyújtását.

Előfizetési kérelem kérése

Az előfizetés-feldolgozás szabványos folyamatot biztosít az alkalmazáscsapatok számára az előfizetés igényléséhez. Fontos, hogy szocializálja a előfizetéses értékesítés rendelkezésre állását, és gondoskodjon arról, hogy az előfizetési kérések egyszerűen intézhetőek legyenek. Miután az alkalmazás csapata elküldte az előfizetési kérelmet, a platformcsapat átveszi a folyamat irányítását. A platformcsapat addig tartja fenn az irányítást, amíg létre nem hozzák az előfizetést, és el nem adják az előfizetést az alkalmazáscsapatnak.

Hálózatkezelés beállítása

Az előfizetés automatizálásának be kell állítania a szükséges hálózati összetevőket, és elég rugalmasnak kell lennie ahhoz, hogy megfeleljen az egyes alkalmazáscsapatok igényeinek. Általános útmutatásként soha ne használjon átfedésben lévő IP-címeket egyetlen útválasztási tartományban. A virtuális hálózatok címterét állásidő nélkül is hozzáadhatja vagy törölheti, ha a méretkövetelmények változnak. További információk:

• IP-címkorlátozások
• Társhálózat címterének frissítése
• Címtartomány hozzáadása vagy eltávolítása

Használjon IP-címkezelési (IPAM) eszközt. Az IP-címek hozzárendelésének egyszerűsítése érdekében ipam-rendszert kell használnia és integrálnia az automatizálási folyamatba. További információ és IPAM-útmutató: IP-címkezelés (IPAM) eszközök.

Adjon önállóságot az alkalmazáscsapatnak. Meg kell adnia az alkalmazáscsapatoknak az alhálózatok és még néhány virtuális hálózat létrehozására vonatkozó jogosultságot az előfizetésben. A platformcsapatnak mindig létre kell hoznia egy központi központtal társviszonyban lévő virtuális hálózatokat.

A hálózatkezelés kényszerítése. A platformcsapatnak (1) a felügyeleti csoport hierarchiához rendelt Azure-szabályzaton vagy (2) az Azure Virtual Network Manager és a biztonsági Rendszergazda szabályokon keresztül kell kikényszerítenie a virtuális hálózat irányítását. További információ: Szabályzatalapú szabályozás és a magas kockázatú portok letiltása.

Az előfizetés elhelyezésének meghatározása

A platformcsapatnak a hálózatkezelési és szabályozási követelmények alapján kell elhelyeznie az előfizetést a felügyeleti csoport hierarchiájában. Az előfizetés létrehozása előtt át kell tekinteniük az előfizetés kvótakorlátait is. További információ: Az Azure célzóna architektúrájának testreszabása a követelményeknek megfelelően.

Azonosítsa a megfelelő felügyeleti csoportot. A felügyeleti csoportok segítenek az előfizetések és számítási feladatok üzembe helyezésének rendszerezésében és szabályozásában. Keresse meg vagy hozzon létre egy felügyeleti csoportot, amely kikényszeríti az egyes számítási feladatok besorolásához és igényeihez szükséges szabályzatokat.

Rugalmas automatizálás létrehozása. Az automatizálásnak elég rugalmasnak kell lennie (1) több előfizetés üzembe helyezéséhez, és (2) alkalmazkodnia kell az előfizetési szolgáltatás korlátaihoz.

• Több előfizetés: Egyes számítási feladatokhoz több előfizetésre van szükség. Egyes számítási feladatok például előfizetéssel elválasztott példányokkal rendelkeznek. Alternatív megoldásként az ügyfélenként dedikált erőforrásokat használó SaaS-architektúrák gyakran több tucat előfizetést használnak.

• Előfizetési szolgáltatási korlátok: A több ezer előfizetéssel rendelkező vállalatnak olyan automatizálással kell rendelkeznie, amely üzembe helyezhető egy régi előfizetésben, vagy számítási feladatokat helyezhet üzembe az előfizetésben a korlátok elkerülése érdekében. További információkért tekintse meg az Azure-beli célzónákra vonatkozó gyakori kérdéseket.

  A kvótanövelést manuálisan is kérheti az Azure Portalon a kiépítés után. Egyszerűbb, ha ezt a folyamatot a rendelkezésre álló API-k használatával automatizálja. A kvótakérelem azonban sikertelen lehet, ezért futtasson egy szkriptet a hibák kezeléséhez. További információ: Microsoft.Capacity, Microsoft.Quota és Microsoft.Support

Előfizetés létrehozása és konfigurálása

Most már létrehozhatja és konfigurálhatja a kért előfizetést. A cél egy megismételhető, konzisztens folyamat létrehozása. Automatizálja az előfizetések létrehozásának és konfigurálásának lehető legtöbb folyamatát.

Infrastruktúra használata kódként (IaC). A előfizetéses értékesítés közös stratégiája az előfizetés programozott módon történő létrehozása és konfigurálása az IaC használatával. Az Azure-előfizetés programozott létrehozásához kereskedelmi szerződésre van szüksége, de az előfizetés konfigurációjának minden aspektusát automatizálhatja kereskedelmi szerződés nélkül. További információk:

• EA-hez szükséges szerepkör
• MCA szükséges szerepkör(ek)
• MPA szükséges szerepkör

Példák előfizetéses értékesítés Bicep- és Terraform-modulokra, amelyek segítenek egy előfizetéses értékesítés modell bevezetésében, függetlenül attól, hogy a kereskedelmi szerződésben regisztrált-e. Az automatizálás vezényléséhez a GitHub-műveleteket vagy az Azure Pipelinest kell használnia.

Címkék használata a költségkezeléshez. A Microsoft Cost Managementben automatizálnia kell a címkék egységes hozzárendelését az egyes előfizetésekhez költségkezelési és jelentéskészítési célokra. Bár a kereskedelmi szerződéseivel számlázási jelentéseket kap, a Cost Management nagyobb funkcionalitást biztosít. Létrehozhat például jelentéseket adott címkékkel rendelkező előfizetésekhez. További információ: Címkék használata a költség- és használati adatokban, valamint a költségek csoportosítása és lefoglalása címkeöröklés használatával

Éles és nem éles előfizetések használata. Az új előfizetésre vonatkozó kérelemben meg kell adnia, hogy a számítási feladat éles vagy DevTest típusú-e. A DevTest-környezetek alacsonyabb erőforrásköltségeket eredményeznek, de más feltételekkel rendelkeznek. Megjegyzés: A DevTest-ajánlat nem érhető el az MPA-hoz. További információk:

• Azure számlázási ajánlatok és Active Directory-bérlők
• Erőforrás-szervezési tervezési terület áttekintése
• Azure-előfizetések létrehozása programozott módon

Identitás- és szerepköralapú hozzáférés-vezérlők (RBAC-k) beállítása. Az Azure-előfizetésen belüli erőforrásokhoz való hozzáférés kezelése kritikus fontosságú a biztonságos és megfelelő környezet fenntartása szempontjából. A hozzáférés szabályozásához elengedhetetlen az identitás és az RBAC beállítása. Ez a beállítás magában foglalja az előfizetés tulajdonosának kiválasztását, a hozzáférés kezeléséhez szükséges Microsoft Entra-csoportok létrehozását és a számítási feladatok üzembe helyezéséhez szükséges automatizálási fiókok létrehozását.

• Jelöljön ki egy előfizetés-tulajdonost. A előfizetéses értékesítés automatizálásnak ki kell jelölnie egy előfizetés tulajdonosát a létrehozáskor. Az előfizetési kérelemnek ezt az információt a bevitelkor kell rögzítenie. Az előfizetés-tulajdonosok csak a kiválasztott előfizetési címtárban lehetnek felhasználók vagy szolgáltatásnevek. Nem választhat ki vendégcímtár-felhasználókat. Alkalmazáspéldány kiválasztásakor adja meg annak alkalmazásazonosítóját.

• Microsoft Entra-csoportok létrehozása. Az előfizetés tulajdonosán kívül győződjön meg arról, hogy az előfizetéshez való hozzáférés kezeléséhez az előfizetéshez való hozzáférés a Microsoft Entra-csoport struktúráját használja. Emelt szintű (például írási) hozzáférés esetén a PIM használatát javasoljuk csoportokhoz. A létrehozási folyamat automatizálása nem sértheti az ajánlott eljárásokat, például az előfizetés-tulajdonosok számának korlátozását és a minimálisan szükséges hozzáférési szint használatát.

• Számítási feladatok identitásainak létrehozása. A számítási feladatok üzembe helyezéséhez használt számítási feladatok identitásai (szolgáltatási alapelvei) gyakran emelt szintű engedélyekkel rendelkeznek az előfizetés hatókörében. Az előfizetés-kérelem folyamatának be kell gyűjtenie a számítási feladatok identitásigényét a bevitelkor. Az átadási folyamatnak létre kell hoznia ezeket az identitásokat, és hozzá kell rendelnie a megfelelő előfizetési hozzáférést. Fontos megjegyezni, hogy a számítási feladat identitása nem tudja használni a PIM-et, és folyamatos hozzáférést kap az erőforrásokhoz. Azt javasoljuk, hogy a titkos kulcsok kezelésének elkerülése érdekében felügyelt identitásokat használjon. További információkért tekintse meg az identitástervezési területet.

Adja át az alkalmazás csapatának. Miután a platformcsapat létrehozta az előfizetést, le kell adnia az előfizetést az alkalmazáscsapatnak.

Előfizetés költségvetésének frissítése

A platform- és számítási feladatokért felelős csapatok osztoznak az előfizetés pénzügyi állapotáért. Az üzembe helyezésnek létre kell hoznia egy előfizetési költségvetést az előfizetési kérelemben szereplő információk alapján. Az alkalmazásnak frissítenie kell a költségvetést, hogy megfeleljen az igényeiknek, amikor megkapják az előfizetést. A költségvetések hasznosak az aktuális és az előrejelzési használattal kapcsolatos kiadások naplózásához, de nem nehéz korlátok. Költségvetési riasztásokat kell létrehoznia, hogy értesítse az előfizetés tulajdonosait, ha a számítási feladat meg fogja haladni a költségvetési küszöbértéket. Megosztott szolgáltatások, például az API Management esetében fontolja meg az Azure költségfelosztási szabályainak használatát a költségek újraelosztásához az előfizetések felhasználása között.

Számítási feladat üzembe helyezése és üzemeltetése

Az alkalmazáscsapatnak önállóan kell létrehoznia a számítási feladathoz és a műveletek kezeléséhez szükséges erőforrásokat. A platformcsapat továbbra is felelős az előfizetések szabályozásáért. A számítási feladatok szabályozási követelményeinek változásával a platformcsapatnak át kell helyeznie az előfizetéseket a számítási feladatok igényeinek leginkább megfelelő felügyeleti csoportba. Az áthelyezést a Bicep vagy a Terraform használatával automatizálhatja. További információk:

• Felügyeleti csoportok áttekintése
• Előfizetés áthelyezése új felügyeleti csoportba (Bicep)
• Előfizetés áthelyezése új felügyeleti csoportba (Terraform)
• Az Azure kezdőzónájának testreszabása a követelményeknek megfelelően

Következő lépések

A legjobb eredmény érdekében a lehető legnagyobb mértékben automatizálja a előfizetéses értékesítés folyamatot. Használja a előfizetéses értékesítés automatizálás implementálásával kapcsolatos útmutatót.

Előfizetés-automaták implementálási útmutatója