Langganan vending

Penjual langganan menyediakan mekanisme platform untuk mengeluarkan langganan secara terprogram ke tim aplikasi yang perlu menyebarkan beban kerja. Diagram berikut menunjukkan di mana penjual langganan cocok dalam platform dan siklus hidup beban kerja.

Langkah 1 adalah membuat langganan platform. Langkah 2 adalah membuat platform. Langkah 3 adalah membuat penjual langganan. Langkah 4 adalah menyebarkan beban kerja. Langkah 1 dan 2 selaras dengan platform. Langkah 3, penjual langganan, tumpang tindih dengan platform dan zona pendaratan aplikasi. Langkah 4 adalah langkah yang berfokus pada aplikasi.

Langganan vending dibangun berdasarkan konsep demokratisasi langganan dan menerapkannya ke zona pendaratan aplikasi. Dengan demokratisasi langganan, langganan, bukan grup sumber daya, adalah unit utama manajemen dan skala beban kerja. Untuk informasi selengkapnya, lihat:

• Zona pendaratan platform vs. zona pendaratan aplikasi
• Pendekatan demokratisasi untuk langganan
• Berapa banyak langganan yang harus saya gunakan di Azure (YouTube)?

Mengapa langganan vending?

Penjual langganan menawarkan beberapa manfaat bagi organisasi yang perlu menyebarkan beban kerja di Azure. Ini menstandarkan dan mengotomatiskan proses untuk meminta, menyebarkan, dan mengatur langganan untuk zona pendaratan aplikasi. Langganan vending menyederhanakan proses pembuatan langganan dan menempatkannya di bawah tata kelola organisasi, sehingga tim aplikasi dapat fokus pada penyebaran beban kerja mereka dengan keyakinan dan efisiensi yang lebih besar.

• Proses yang disederhanakan: Penjual langganan menyediakan front door resmi bagi tim aplikasi untuk meminta langganan, menghilangkan kebutuhan mereka untuk menavigasi proses langganan sendiri.
• Kecepatan yang ditingkatkan: Tim aplikasi dapat mengakses zona pendaratan aplikasi lebih cepat dan beban kerja onboard lebih cepat.
• Tata kelola yang efisien: Tim platform dapat memberlakukan tata kelola pada zona pendaratan aplikasi dengan overhead minimal.

Cara menerapkan penjual langganan

Penjual langganan melibatkan tiga tim. Cloud Center of Excellence (CCoE) menetapkan logika bisnis dan proses persetujuan. Setelah siap, tim aplikasi membuat permintaan langganan. Tim platform menggunakan permintaan untuk membuat dan mengonfigurasi langganan sebelum menyerahkan langganan ke tim aplikasi. Tim aplikasi memperbarui anggaran, menyebarkan beban kerja, dan menetapkan operasi. Panduan berikut ini memberikan detail selengkapnya tentang setiap langkah proses penjual langganan. Untuk informasi selengkapnya, lihat Panduan implementasi penjual langganan.

Membangun logika bisnis dan proses persetujuan

Untuk menerapkan model penjual langganan, Anda perlu membuat proses persetujuan yang mengumpulkan informasi langganan penting. Cloud Center of Excellence (CCoE) harus memprogram proses persetujuan dan menetapkan aturan bisnis sekeliling informasi yang akan dikumpulkan.

Mengotomatiskan proses. Anda harus mengotomatiskan proses pengambilan dan persetujuan permintaan langganan untuk provisi yang lebih cepat dan peningkatan kepatuhan.

Integrasikan dengan alat yang ada. Anda harus mengintegrasikan proses persetujuan penjual langganan ke dalam alat manajemen layanan IT (ITSM) yang ada. Integrasi dapat menyederhanakan proses persetujuan, mengurangi upaya manual, dan meningkatkan efisiensi sekaligus mengurangi kesalahan. Ini juga membuat pemeliharaan lebih mudah dari waktu ke waktu dan membantu pelaporan kepatuhan untuk audit.

Koneksi ke alur penyebaran. Ini adalah praktik terbaik untuk mengikat logika bisnis dari proses persetujuan ke dalam alur penyebaran langganan yang dikelola tim platform. Alur Kerja Azure Pipelines atau GitHub Actions adalah solusi umum untuk alur penyebaran langganan.

Kumpulkan persyaratan saat asupan. Logika bisnis harus memungkinkan tim aplikasi untuk meminta langganan dan memberikan persyaratan langganan. Persyaratan ini harus mencakup anggaran yang diantisipasi, pemilik langganan, harapan jaringan, dan kritisitas bisnis & klasifikasi kerahasiaan. Mengumpulkan informasi ini di awal proses menginformasikan parameter penyebaran dan kebutuhan persetujuan pemangku kepentingan Anda. Proses asupan juga harus memberikan informasi yang cukup kepada tim platform untuk menempatkan beban kerja dalam hierarki grup manajemen.

Dengan proses persetujuan di tempat, tim aplikasi dapat mulai membuat permintaan langganan.

Membuat permintaan langganan

Langganan vending menyediakan proses standar bagi tim aplikasi untuk meminta langganan. Penting bahwa Anda mensosialisasikan ketersediaan penjual langganan dan memastikan permintaan langganan mudah dibuat. Setelah tim aplikasi mengirimkan permintaan langganan, tim platform mengasumsikan kontrol atas proses tersebut. Tim platform mempertahankan kontrol hingga mereka membuat langganan dan mengirimkan langganan ke tim aplikasi.

Mengonfigurasi jaringan

Otomatisasi langganan perlu menyiapkan komponen jaringan yang diperlukan, dan perlu cukup fleksibel untuk memenuhi kebutuhan setiap tim aplikasi. Sebagai panduan umum, jangan pernah menggunakan alamat IP yang tumpang tindih dalam satu domain perutean. Anda dapat menambahkan atau menghapus ruang alamat jaringan virtual tanpa waktu henti jika persyaratan ukuran Anda berubah. Untuk informasi selengkapnya, lihat:

• Pembatasan alamat IP
• Memperbarui ruang alamat jaringan virtual yang di-peering
• Menambahkan atau menghapus rentang alamat

Gunakan alat manajemen alamat IP (IPAM). Anda harus menggunakan dan mengintegrasikan sistem IPAM ke dalam proses penjual otomatis untuk menyederhanakan penetapan alamat IP. Untuk informasi selengkapnya dan panduan IPAM, lihat alat IP Address Management (IPAM).

Berikan otonomi tim aplikasi. Anda harus memberi tim aplikasi hak untuk membuat subnet dan bahkan beberapa jaringan virtual dalam langganan. Tim platform harus selalu membuat jaringan virtual yang melakukan peering ke hub pusat.

Menerapkan tata kelola jaringan. Tim platform harus memberlakukan tata kelola jaringan virtual melalui (1) kebijakan Azure yang ditetapkan ke hierarki grup manajemen atau (2) Azure Virtual Network Manager dan Aturan Admin Keamanan. Untuk informasi selengkapnya, lihat Tata kelola berbasis kebijakan dan Cara memblokir port berisiko tinggi.

Menentukan penempatan langganan

Tim platform harus menggunakan persyaratan jaringan dan tata kelola untuk menempatkan langganan dalam hierarki grup manajemen. Mereka juga harus meninjau batas kuota langganan sebelum membuat langganan. Untuk informasi selengkapnya, lihat Menyesuaikan arsitektur zona pendaratan Azure untuk memenuhi persyaratan.

Identifikasi grup manajemen yang tepat. Grup manajemen membantu Anda mengatur dan mengatur langganan dan penyebaran beban kerja. Temukan atau buat grup manajemen yang memberlakukan kebijakan yang diperlukan untuk klasifikasi dan kebutuhan setiap beban kerja.

Bangun otomatisasi fleksibel. Otomatisasi Anda harus cukup fleksibel (1) untuk menyebarkan beberapa langganan dan (2) beradaptasi dengan batas layanan langganan.

• Beberapa langganan: Beberapa beban kerja memerlukan beberapa langganan. Misalnya, beberapa beban kerja memiliki beberapa instans yang dipisahkan oleh langganan. Atau, arsitektur SaaS yang menggunakan sumber daya khusus per pelanggan sering menggunakan puluhan langganan.

• Batas layanan langganan: Perusahaan dengan beberapa ribu langganan harus memiliki otomatisasi yang dapat disebarkan ke langganan lama atau mengalokasikan beban kerja dalam langganan untuk menghindari batas. Untuk informasi selengkapnya, lihat FAQ zona pendaratan Azure.

  Anda dapat meminta penambahan kuota secara manual menggunakan portal Azure setelah provisi. Lebih mudah jika Anda mengotomatiskan proses ini dengan menggunakan API yang tersedia. Namun, permintaan kuota dapat gagal, jadi Anda harus menjalankan skrip untuk menangani kesalahan apa pun. Untuk informasi selengkapnya, lihat Microsoft.Capacity, Microsoft.Quota, dan Microsoft.Support

Membuat dan mengonfigurasi langganan

Sekarang Anda dapat membuat dan mengonfigurasi langganan yang diminta. Tujuannya adalah untuk menciptakan proses yang berulang dan konsisten. Mengotomatiskan sebanyak mungkin proses pembuatan dan konfigurasi langganan.

Gunakan infrastruktur sebagai kode (IaC). Strategi umum untuk penjual langganan adalah membuat dan mengonfigurasi langganan secara terprogram dengan menggunakan IaC. Anda memerlukan perjanjian komersial untuk membuat Langganan Azure secara terprogram, tetapi Anda dapat mengotomatiskan semua aspek konfigurasi langganan tanpa perjanjian komersial. Untuk informasi selengkapnya, lihat:

• Peran yang diperlukan EA
• Peran yang diperlukan MCA
• Peran yang diperlukan MPA

Ada contoh langganan yang menggunakan modul Bicep dan Terraform untuk membantu Anda mengadopsi model penjual otomatis langganan terlepas dari pendaftaran Anda dalam perjanjian komersial. Anda harus menggunakan tindakan GitHub atau Azure Pipelines untuk mengatur otomatisasi.

Gunakan tag untuk manajemen biaya. Anda harus mengotomatiskan penetapan tag yang konsisten ke setiap langganan untuk tujuan manajemen biaya dan pelaporan di Azure Cost Management. Meskipun Anda menerima laporan penagihan dengan perjanjian komersial Anda, Azure Cost Management menyediakan fungsionalitas yang lebih besar. Misalnya, Anda dapat membuat laporan untuk langganan dengan tag tertentu. Untuk informasi selengkapnya, lihat Cara menggunakan tag dalam data biaya dan penggunaan serta Mengelompokkan dan mengalokasikan biaya menggunakan pewarisan tag

Gunakan langganan produksi dan non-produksi. Dalam permintaan langganan baru, Anda harus menentukan apakah beban kerja tersebut untuk Produksi atau DevTest. Lingkungan DevTest mengakibatkan biaya sumber daya yang lebih rendah tetapi memiliki istilah lain. Perhatikan penawaran DevTest tidak tersedia untuk MPA. Untuk informasi selengkapnya, lihat:

• Penawaran penagihan Azure dan penyewa Active Directory
• Gambaran umum area desain organisasi sumber daya
• Membuat langganan secara terprogram

Siapkan kontrol akses berbasis identitas dan peran (RBAC). Mengelola akses ke sumber daya dalam langganan Azure sangat penting untuk mempertahankan lingkungan yang aman dan sesuai. Untuk mengontrol akses, penting untuk menyiapkan identitas dan RBAC. Penyiapan ini melibatkan penentuan pemilik langganan, membuat grup Microsoft Entra untuk mengelola akses, dan membuat akun otomatisasi untuk menyebarkan beban kerja.

• Menunjuk pemilik langganan. Otomatisasi penjual langganan perlu menunjuk pemilik langganan saat pembuatan. Permintaan langganan harus mengambil informasi ini saat masuk. Pemilik langganan hanya dapat menjadi pengguna atau perwakilan layanan di direktori langganan yang dipilih. Anda tidak dapat memilih pengguna direktori tamu. Jika Anda memilih perwakilan layanan, masukkan ID Aplikasinya.

• Membuat grup Microsoft Entra. Selain pemilik langganan, Anda harus memastikan proses vending menggunakan struktur grup Microsoft Entra Anda untuk mengelola akses ke langganan. Untuk akses yang ditingkatkan (misalnya, tulis), sebaiknya gunakan PIM untuk grup. Mengotomatiskan proses pembuatan ini tidak boleh melanggar praktik terbaik seperti membatasi jumlah pemilik langganan dan menggunakan tingkat akses minimum yang diperlukan.

• Menetapkan identitas beban kerja. Identitas beban kerja (prinsip layanan) yang digunakan untuk penyebaran beban kerja sering kali memiliki izin yang ditingkatkan pada cakupan langganan. Proses permintaan langganan harus mengumpulkan kebutuhan identitas beban kerja saat asupan. Proses penjual otomatis Anda harus membuat identitas ini dan menetapkan akses langganan yang sesuai. Penting untuk dicatat bahwa identitas beban kerja tidak dapat menggunakan PIM dan menerima akses berdiri ke sumber daya. Kami sarankan Anda menggunakan identitas terkelola untuk menghindari kebutuhan untuk mengelola rahasia. Untuk informasi selengkapnya, lihat area desain identitas.

Serahkan ke tim aplikasi. Setelah tim platform membuat langganan, mereka harus menyerahkan langganan ke tim aplikasi.

Memperbarui anggaran langganan

Platform dan tim beban kerja berbagi tanggung jawab atas kesehatan keuangan langganan. Penyebaran harus membuat anggaran langganan berdasarkan informasi dalam permintaan langganan. Aplikasi harus memperbarui anggaran untuk memenuhi kebutuhan mereka saat mereka menerima langganan. Anggaran berguna untuk mengaudit pengeluaran terhadap penggunaan saat ini dan prakiraan, tetapi bukan batas yang sulit. Anda harus membuat pemberitahuan anggaran untuk memberi tahu pemilik langganan jika beban kerja akan melebihi ambang batas anggaran. Untuk layanan bersama, seperti API Management, pertimbangkan untuk menggunakan Aturan Alokasi Biaya Azure (Pratinjau) untuk mendistribusikan ulang biaya antara menggunakan langganan.

Menyebarkan beban kerja dan beroperasi

Tim aplikasi harus memiliki otonomi untuk membuat sumber daya yang mereka butuhkan untuk beban kerja mereka dan mengelola operasi. Tim platform tetap bertanggung jawab atas tata kelola langganan. Saat persyaratan tata kelola beban kerja berubah, tim platform harus memindahkan langganan ke grup manajemen yang paling memenuhi kebutuhan beban kerja. Anda dapat mengotomatiskan pemindahan dengan menggunakan Bicep atau Terraform. Untuk informasi selengkapnya, lihat:

• Gambaran umum grup manajemen
• Memindahkan langganan ke grup manajemen baru (Bicep)
• Memindahkan langganan ke grup manajemen baru (Terraform)
• Menyesuaikan zona pendaratan Azure untuk memenuhi kebutuhan Anda

Langkah berikutnya

Untuk hasil terbaik, Anda harus mengotomatiskan sebanyak mungkin proses penjual langganan. Gunakan panduan pendamping tentang menerapkan otomatisasi penjual langganan.

Panduan implementasi penjual langganan