你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
订阅注意事项和建议
订阅是 Azure 中管理、计费和缩放的一个单位。 针对大规模 Azure 采用进行设计时,它们将发挥至关重要的作用。 本文可帮助捕获订阅要求并根据关键因素设计目标订阅,而这些关键因素基于:
- 环境类型
- 所有权和治理模型
- 组织结构
- 应用程序组合
提示
我们在最近的 YouTube 视频中讨论了本主题: Azure 登陆区域 - 应在 Azure 中使用多少个订阅?
注意
应查看订阅限制,如计费帐户和Azure 门户中的作用域中所述。 本指南主要面向使用企业协议、Microsoft 客户协议(企业)或 Microsoft 合作伙伴协议 (CSP) 的客户。
订阅注意事项
以下部分包含可帮助你规划和创建 Azure 订阅的注意事项。
组织和治理设计注意事项
订阅会用作 Azure 策略分配的边界。
例如,安全工作负载(如支付卡行业 (PCI) 工作负载)通常需要其他策略来实现合规性。 可使用订阅实现相同的隔离,而不是使用管理组来整理需要 PCI 合规性的工作负载,而无需拥有太多管理组和多个订阅。
- 如果你需要将相同工作负载原型的多个订阅组合在一起,请在管理组下创建这些订阅。
订阅充当一个缩放单元,确保组件工作负载可以在平台订阅限制内进行缩放。 确保在工作负载设计会话期间考虑订阅资源限制。
订阅为治理和隔离提供了一个管理边界,明确区分了关注点。
在需要时为管理(监视)、连接和身份创建单独的平台订阅。
- 在平台管理组中建立一个专用管理订阅,用于支持全局管理功能,例如 Azure Monitor Log Analytics 工作区和 Azure 自动化 Runbook。
- 必要时在平台管理组中建立专用标识订阅,以托管 Windows Server Active Directory 域控制器。
- 在平台管理组中建立一个专用连接订阅,用于托管 Azure 虚拟 WAN 中心、专用域名系统 (DNS)、ExpressRoute 线路和其他网络资源。 专用订阅可确保对所有基础网络资源一起计费,并确保这些资源与其他工作负载隔离。
- 将订阅用作与业务需求和优先级一致的民主化管理单元。
- 在平台管理组中建立一个专用管理订阅,用于支持全局管理功能,例如 Azure Monitor Log Analytics 工作区和 Azure 自动化 Runbook。
使用手动过程将 Microsoft Entra 租户限制为仅企业协议注册订阅。 使用手动过程可阻止在根管理组作用域创建 Microsoft 开发人员网络订阅。
- 如需支持,请提交 Azure 支持票证。
有关在 Azure 计费套餐之间转移订阅的信息,请参阅 Azure 订阅和预留转移中心。
配额和容量设计注意事项
Azure 区域的资源可能有限。 因此,应为具有大量资源的 Azure 采用跟踪可用容量和 SKU。
考虑工作负载所需的每个服务在 Azure 平台内的限制和配额。
考虑所选 Azure 区域内所需 SKU 的可用性。 例如,新功能可能仅在特定区域中可用。 在不同区域,给定资源(例如 VM)的某些 SKU 的可用性可能有所不同。
考虑到订阅配额不是容量保证,并且会按区域应用。
- 有关虚拟机容量预留,请参阅按需容量预留。
请考虑根据“每次是否应或是否可以创建新的 Azure 订阅,以及是否应重复使用 Azure 订阅?- Azure 登陆区域常见问题解答”中的指导,重新使用未使用或已停用的订阅。
租户转移限制设计注意事项
每个 Azure 订阅都链接到单个 Microsoft Entra 租户,该租户充当 Azure 订阅的标识提供者 (IdP)。 Microsoft Entra 租户用于对用户、服务和设备进行身份验证。
任何具有所需权限的用户都可以更改链接到 Azure 订阅的 Microsoft Entra 租户。 以下文章中详细介绍了此过程:
注意
Azure 云解决方案提供商 (CSP) 订阅不支持转移到另一个 Microsoft Entra 租户。
使用 Azure 登陆区域,可以设置要求,以防止用户将订阅转移到组织的 Microsoft Entra 租户。 请参阅管理 Azure 订阅策略中的流程。
通过提供豁免用户的列表来配置订阅策略。 允许豁免用户绕过策略中设置的指令。
重要
豁免用户列表不是 Azure Policy。
请考虑是否应允许具有 Visual Studio/MSDN Azure 订阅 的用户将其订阅转移到 Microsoft Entra 租户或从你的 Microsoft Entra 租户转移订阅。
租户传输设置只能由分配有 Microsoft Entra Global 管理员istrator 角色的用户进行配置。 这些用户必须具有提升的访问权限才能更改策略。
- 只能将单个用户帐户指定为 豁免用户,而不是 Microsoft Entra 组。
有权访问 Azure 的所有用户都可以查看为 Microsoft Entra 租户定义的策略。
用户无法查看你的豁免用户列表。
用户可以在 Microsoft Entra 租户中查看全局管理员。
传输到 Microsoft Entra 租户的 Azure 订阅将置于该租户的默认管理组中 。
如果组织批准,应用程序团队可以定义允许将 Azure 订阅转移到 Microsoft Entra 租户或从 Microsoft Entra 租户转移的过程。
建立成本管理设计注意事项
成本透明度是每个大型企业组织面临的一项关键管理挑战。 本文的这一部分探讨了在大型 Azure 环境中实现成本透明度的关键方面。
可能需要共享退款模型(如 Azure 应用服务环境和 Azure Kubernetes 服务)才能实现更高的密度。 共享平台即服务 (PaaS) 资源可能会受退款模型的影响。
对非生产工作负载使用关闭计划以优化成本。
使用 Azure 顾问检查优化成本的建议。
建立一个退款模型,以便在你的组织中更好地分配成本。
实施策略以防止在你的组织环境中部署未经授权的资源。
建立一个定期的计划和节奏,以审查工作负载的成本和适当大小的资源。
订阅建议
以下部分包含可帮助你规划和创建 Azure 订阅的建议。
组织和治理建议
将订阅视为与业务需求和优先级一致的管理单元。
让订阅所有者了解其角色和职责。
- 对 Microsoft Entra Privileged Identity Management 进行季度或年度访问评审,以确保特权不会随着用户在你的组织中移动而扩散。
- 完全拥有预算支出和资源。
- 确保策略合规性并在必要时进行修正。
在确定新订阅的要求时,请参考以下原则:
- 缩放限制:订阅充当缩放单元,以便组件工作负载在平台订阅限制之内缩放。 大型专用工作负载(如高性能计算、IoT 和 SAP)应使用单独的订阅以避免遇到这些限制。
- 管理边界:订阅为治理和隔离提供了管理边界,从而支持使用清晰的关注点分离。 从管理角度来看,通常会删除不同的环境(如开发、测试和生产)。
- 策略边界:订阅充当 Azure Policy 分配的边界。 例如,PCI 等安全工作负载通常需要其他策略来实现合规性。 如果使用单独的订阅,则不会考虑其他开销。 与生产环境相比,开发环境的策略要求更加宽松。
- 目标网络拓扑:用户不能跨订阅共享虚拟网络,但可以使用不同的技术将虚拟网络连接起来,例如虚拟网络对等互连或 Azure ExpressRoute。 在决定是否需要新订阅时,请考虑哪些工作负载必须相互通信。
将订阅分组到管理组下,这些组与管理组的结构和策略要求一致。 分组订阅可确保具有相同策略集和 Azure 角色分配的订阅来自管理组。
在
Platform
管理组中建立一个专用管理订阅,用于支持全局管理功能,例如 Azure Monitor Log Analytics 工作区和 Azure 自动化 Runbook。必要时在
Platform
管理组中建立专用标识订阅,以托管 Windows Server Active Directory 域控制器。在
Platform
管理组中建立一个专用连接订阅,用于托管 Azure 虚拟 WAN 中心、专用域名系统 (DNS)、ExpressRoute 线路和其他网络资源。 专用订阅可确保对所有基础网络资源一起计费,并确保这些资源与其他工作负载隔离。避免使用严格的订阅模型, 而是使用一组灵活的条件在整个组织内对订阅进行分组。 这种灵活性确保随着组织结构和工作负载组合发生变化,可以新建订阅组,而不是使用一组固定的现有订阅。 一种大小并不适合所有订阅,并且适用于一个业务部门的内容可能不适用于另一个业务部门。 某些应用程序可能会在同一登陆区域订阅中共存,而其他应用程序则可能需要自己的订阅。
- 有关详细信息,请参阅我们如何处理 Azure 登陆区域体系结构中的“开发/测试/生产”工作负载登陆区域?。
配额和容量建议
使用订阅作为缩放单元,并根据需要横向扩展资源和订阅。 然后,工作负载可能会使用所需的资源进行横向扩展,而不会达到 Azure 平台中的订阅限制。
使用容量预留来管理某些区域中的容量。 然后,工作负载可能具有特定区域中的高需求资源所需的容量。
创建一个仪表板并在其中包含自定义视图,以监视已用容量级别,并在容量达到临界级别(90% 的 CPU 使用率)时设置警报。
根据订阅预配(如订阅中可用的 VM 核心总数)提出增加配额的支持请求。 确保在工作负载超过默认限制之前设置配额限制。
确保所需的服务和功能在所选部署区域中可用。
自动化建议
- 构建订阅自动售货流程,以通过请求工作流自动创建应用程序团队的订阅,如订阅自动售货中所述。
租户转移限制建议
配置以下设置以防止用户向 Microsoft Entra 租户或从 Microsoft Entra 租户转移 Azure 订阅:
将订阅设置为 将 Microsoft Entra 目录 保留为
Permit no one
。将输入 Microsoft Entra 目录的订阅设置为 。
Permit no one
配置一组有限的豁免用户列表。
- 包括来自 Azure PlatformOps(平台运营)团队的成员。
- 在豁免用户列表中包括不受限帐户。
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈