Considerações e recomendações de subscrição

As subscrições são uma unidade de gestão, faturação e escala no Azure. Eles desempenham um papel crítico quando você está projetando para adoção em larga escala do Azure. Este artigo pode ajudá-lo a capturar os requisitos de assinatura e projetar assinaturas de destino com base em fatores críticos, que se baseiam em:

• Tipo de ambiente
• modelo de apropriação e governação
• estrutura organizacional
• Portfólios de aplicativos

Gorjeta

Discutimos esse tópico em um vídeo recente do YouTube: Azure Landing Zones - Quantas assinaturas devo usar no Azure?

Nota

Deve rever os limites de subscrição conforme documentado em Contas de faturação e âmbitos no portal do Azure. Estas orientações destinam-se principalmente a clientes que utilizam Enterprise Agreements, Microsoft Customer Agreements (Enterprise) ou Microsoft Partner Agreements (CSP).

Considerações sobre assinaturas

As seções a seguir contêm considerações para ajudá-lo a planejar e criar assinaturas para o Azure.

Considerações sobre design de organização e governança

• As assinaturas servem como limites para atribuições de Política do Azure.

  • Por exemplo, cargas de trabalho seguras, como cargas de trabalho PCI (Payment Card Industry), normalmente exigem outras políticas para alcançar a conformidade. Em vez de usar um grupo de gerenciamento para agrupar cargas de trabalho que exigem conformidade com PCI, você pode obter o mesmo isolamento com uma assinatura, sem ter muitos grupos de gerenciamento com algumas assinaturas.

    • Se você precisar agrupar muitas assinaturas do mesmo arquétipo de carga de trabalho, crie-as em um grupo de gerenciamento.

• As assinaturas servem como uma unidade de escala para que as cargas de trabalho dos componentes possam ser dimensionadas dentro dos limites de assinatura da plataforma. Certifique-se de considerar os limites de recursos de assinatura ao projetar suas cargas de trabalho.

• As assinaturas fornecem um limite de gerenciamento para governança e isolamento que separa claramente as preocupações.

• Crie assinaturas de plataforma separadas para gerenciamento (monitoramento), conectividade e identidade quando forem necessárias.

  • Estabeleça uma assinatura de gerenciamento dedicada em seu grupo de gerenciamento de plataforma para dar suporte a recursos de gerenciamento global, como espaços de trabalho do Azure Monitor Log Analytics e runbooks de Automação do Azure.
    • Estabeleça uma assinatura de identidade dedicada em seu grupo de gerenciamento de plataforma para hospedar controladores de domínio do Ative Directory do Windows Server quando necessário.
    • Estabeleça uma assinatura de conectividade dedicada em seu grupo de gerenciamento de plataforma para hospedar um hub WAN Virtual do Azure, DNS (Sistema de Nomes de Domínio) privado, circuito de Rota Expressa e outros recursos de rede. Uma assinatura dedicada garante que todos os recursos da sua rede básica sejam cobrados juntos e isolados de outras cargas de trabalho.
    • Use as assinaturas como uma unidade democratizada de gestão alinhada com as necessidades e prioridades do seu negócio.

• Use processos manuais para limitar os locatários do Microsoft Entra apenas a assinaturas de registro do Enterprise Agreement. O uso de um processo manual impede a criação de assinaturas do Microsoft Developer Network no escopo do grupo de gerenciamento raiz.

  • Para obter suporte, envie um tíquete de Suporte do Azure.

• Consulte o hub de transferência de assinatura e reserva do Azure para transferências de assinatura entre ofertas de cobrança do Azure.

Considerações sobre o design da cota e da capacidade

As regiões do Azure podem ter um número finito de recursos. Como resultado, a capacidade disponível e as SKUs devem ser rastreadas para adoções do Azure que envolvem um grande número de recursos.

• Considere limites e cotas dentro da plataforma Azure para cada serviço que suas cargas de trabalho exigem.

• Considere a disponibilidade das SKUs necessárias nas regiões do Azure escolhidas. Por exemplo, novos recursos podem estar disponíveis apenas em determinadas regiões. A disponibilidade de determinados SKUs para determinados recursos, como VMs, pode ser diferente de uma região para outra.

• Considere que as cotas de assinatura não são garantias de capacidade e são aplicadas por região.

  • Para reservas de capacidade de máquina virtual, consulte Reserva de capacidade sob demanda.

• Considere a reutilização de assinaturas não utilizadas ou desativadas de acordo com as orientações em Devemos criar uma nova Assinatura do Azure toda vez ou podemos, e devemos, reutilizar as Assinaturas do Azure? - Perguntas frequentes sobre zonas de aterrissagem do Azure.

Considerações de design de restrição de transferência de locatário

Cada assinatura do Azure é vinculada a um único locatário do Microsoft Entra, que atua como um provedor de identidade (IdP) para sua assinatura do Azure. O locatário do Microsoft Entra é usado para autenticar usuários, serviços e dispositivos.

O locatário do Microsoft Entra vinculado à sua assinatura do Azure pode ser alterado por qualquer usuário com as permissões necessárias. Este processo é detalhado nos seguintes artigos:

• Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra
• Transferir uma assinatura do Azure para um diretório diferente do Microsoft Entra

Nota

A transferência para outro locatário do Microsoft Entra não é suportada para assinaturas do Provedor de Soluções de Nuvem (CSP) do Azure.

Com as zonas de aterrissagem do Azure, você pode definir requisitos para impedir que os usuários transfiram assinaturas para o locatário do Microsoft Entra da sua organização. Analise o processo em Gerenciar políticas de assinatura do Azure.

Configure sua política de assinatura fornecendo uma lista de usuários isentos. Os usuários isentos têm permissão para ignorar as restrições definidas na política.

Importante

Uma lista de usuários isentos não é uma Política do Azure.

• Considere se os usuários com assinaturas do Visual Studio/MSDN Azure devem ter permissão para transferir sua assinatura de ou para seu locatário do Microsoft Entra.

• As configurações de transferência de locatário só podem ser configuradas por usuários com a função de Administrador Global do Microsoft Entra atribuída. Esses usuários e devem ter acesso elevado para alterar a política.

  • Você só pode especificar contas de usuário individuais como usuários isentos, não grupos do Microsoft Entra.

• Todos os utilizadores com acesso ao Azure podem ver a política definida para o seu inquilino do Microsoft Entra.

  • Os utilizadores não podem ver a sua lista de utilizadores isentos.

  • Os usuários podem exibir os administradores globais em seu locatário do Microsoft Entra.

• As assinaturas do Azure transferidas para um locatário do Microsoft Entra são colocadas no grupo de gerenciamento padrão desse locatário.

• Se aprovado pela sua organização, sua equipe de aplicativos pode definir um processo para permitir que as assinaturas do Azure sejam transferidas de ou para um locatário do Microsoft Entra.

Estabeleça considerações de design de gerenciamento de custos

A transparência de custos é um desafio crítico de gerenciamento que todas as grandes organizações empresariais enfrentam. Esta seção do artigo explora os principais aspetos da obtenção de transparência de custos em grandes ambientes do Azure.

• Os modelos de estorno, como o Ambiente do Serviço de Aplicativo do Azure e o Serviço Kubernetes do Azure, podem precisar ser compartilhados para obter maior densidade. Os recursos de plataforma compartilhada como serviço (PaaS) podem ser afetados pelos modelos de estorno.

• Use um cronograma de desligamento para cargas de trabalho que não sejam de produção para otimizar custos.

• Use o Azure Advisor para verificar recomendações para otimizar custos.

• Estabeleça um modelo de chargeback para uma melhor distribuição dos custos em toda a sua organização.

• Implemente uma política para impedir a implantação de recursos não autorizados a serem implantados no ambiente da sua organização.

• Estabeleça um cronograma e uma cadência regulares para revisar os recursos de custo e tamanho certo para cargas de trabalho.

Recomendações de subscrições

As seções a seguir contêm recomendações para ajudá-lo a planejar e criar assinaturas para o Azure.

Recomendações de organização e governança

• Trate as subscrições como uma unidade de gestão alinhada com as necessidades e prioridades do seu negócio.

• Sensibilize os proprietários de subscrições para as suas funções e responsabilidades.

  • Faça uma revisão de acesso trimestral ou anual para o Microsoft Entra Privileged Identity Management para garantir que os privilégios não proliferem à medida que os usuários se movem dentro da sua organização.
  • Aproprie-se plenamente das despesas e dos recursos orçamentais.
  • Garantir a conformidade com a política e remediar quando necessário.

• Faça referência aos seguintes princípios ao identificar os requisitos para novas assinaturas:

  • Limites de escala: as assinaturas servem como uma unidade de escala para cargas de trabalho de componentes serem dimensionadas dentro dos limites de assinatura da plataforma. Grandes cargas de trabalho especializadas, como computação de alto desempenho, IoT e SAP, devem usar assinaturas separadas para evitar esbarrar nesses limites.
  • Limite de gerenciamento: as assinaturas fornecem um limite de gerenciamento para governança e isolamento, permitindo uma separação clara de preocupações. Diferentes ambientes, como desenvolvimento, teste e produção, são frequentemente removidos de uma perspetiva de gerenciamento.
  • Limite de política: as assinaturas servem como um limite para as atribuições da Política do Azure. Por exemplo, cargas de trabalho seguras como PCI normalmente exigem outras políticas para alcançar a conformidade. A outra sobrecarga não será considerada se você usar uma assinatura separada. Os ambientes de desenvolvimento têm requisitos de política mais relaxados do que os ambientes de produção.
  • Topologia de rede de destino: você não pode compartilhar redes virtuais entre assinaturas, mas pode conectá-las a diferentes tecnologias, como emparelhamento de rede virtual ou Rota Expressa do Azure. Ao decidir se você precisa de uma nova assinatura, considere quais cargas de trabalho precisam se comunicar entre si.

• Agrupe subscrições em grupos de gestão, que estão alinhados com a estrutura do grupo de gestão e os requisitos da política. O agrupamento de assinaturas garante que as assinaturas com o mesmo conjunto de políticas e atribuições de função do Azure sejam todas provenientes de um grupo de gerenciamento.

• Estabeleça uma assinatura de gerenciamento dedicada em seu Platform grupo de gerenciamento para dar suporte a recursos de gerenciamento global, como espaços de trabalho do Azure Monitor Log Analytics e runbooks de Automação do Azure.

• Estabeleça uma assinatura de identidade dedicada em seu Platform grupo de gerenciamento para hospedar controladores de domínio do Ative Directory do Windows Server quando necessário.

• Estabeleça uma assinatura de conectividade dedicada em seu Platform grupo de gerenciamento para hospedar um hub WAN Virtual do Azure, DNS (Sistema de Nomes de Domínio) privado, circuito de Rota Expressa e outros recursos de rede. Uma assinatura dedicada garante que todos os recursos da sua rede básica sejam cobrados juntos e isolados de outras cargas de trabalho.

• Evite um modelo de subscrição rígido. Em vez disso, use um conjunto de critérios flexíveis para agrupar assinaturas em toda a organização. Essa flexibilidade garante que, à medida que a estrutura e a composição da carga de trabalho da sua organização mudam, você pode criar novos grupos de assinatura em vez de usar um conjunto fixo de assinaturas existentes. Um tamanho único não serve para todas as assinaturas, e o que funciona para uma unidade de negócios pode não funcionar para outra. Alguns aplicativos podem coexistir dentro da mesma assinatura de zona de destino, enquanto outros podem exigir sua própria assinatura.

  • Para obter mais informações, consulte Como lidamos com zonas de aterrissagem de carga de trabalho "desenvolvimento/teste/produção" na arquitetura de zona de aterrissagem do Azure?.

Recomendações em matéria de quotas e capacidades

• Use assinaturas como unidades de escala e dimensione recursos e assinaturas conforme necessário. Sua carga de trabalho pode usar os recursos necessários para dimensionamento sem atingir os limites de assinatura na plataforma Azure.

• Use reservas de capacidade para gerenciar a capacidade em algumas regiões. Sua carga de trabalho pode então ter a capacidade necessária para recursos de alta demanda em uma região específica.

• Estabeleça um painel com exibições personalizadas para monitorar os níveis de capacidade usados e configure alertas se a capacidade estiver se aproximando de níveis críticos (90% de uso da CPU).

• Aumente as solicitações de suporte para aumentos de cota no provisionamento de assinatura, como para o total de núcleos de VM disponíveis em uma assinatura. Certifique-se de que seus limites de cota sejam definidos antes que suas cargas de trabalho excedam os limites padrão.

• Certifique-se de que todos os serviços e recursos necessários estejam disponíveis nas regiões de implantação escolhidas.

Recomendações de automação

• Crie um processo de venda automática de assinaturas para automatizar a criação de assinaturas para equipes de aplicativos por meio de um fluxo de trabalho de solicitação, conforme descrito em Subscrição vending.

Recomendações de restrição de transferência de locatário

• Configure as seguintes configurações para impedir que os usuários transfiram assinaturas do Azure de ou para seu locatário do Microsoft Entra:

  • Defina Subscription deixando o diretório Microsoft Entra como Permit no one.

  • Defina Subscription inserindo o diretório Microsoft Entra como Permit no one.

• Configure uma lista limitada de usuários isentos.

  • Inclua membros de uma equipe do Azure PlatformOps (operações de plataforma).
  • Inclua contas quebra-vidro na lista de usuários isentos.

Próximos passos

Adote guarda-corpos orientados por políticas