Sdílet prostřednictvím


Důležité informace o předplatném a doporučení

Předplatná jsou jednotky správy, fakturace a škálování v Azure. Hrají důležitou roli při návrhu rozsáhlého přechodu na Azure. Tento článek vám pomůže zachytit požadavky na předplatné a navrhnout cílová předplatná na základě kritických faktorů, které se liší v závislosti na:

  • Typy prostředí
  • Modely vlastnictví a zásad správného řízení
  • Organizační struktury
  • Aplikační portfolia
  • Oblasti

Tip

Další informace o předplatných najdete ve videu YouTube: Cílové zóny Azure – Kolik předplatných mám použít v Azure?

Poznámka:

Pokud používáte smlouva Enterprise, Smlouva se zákazníkem Microsoftu s (Enterprise) nebo Smlouva s partnerem Microsoftu s (CSP), zkontrolujte limity předplatného v fakturačních účtech a oborech na webu Azure Portal.

Důležité informace o předplatném

Následující části obsahují důležité informace, které vám pomůžou plánovat a vytvářet předplatná pro Azure.

Aspekty návrhu organizace a zásad správného řízení

  • Předplatná slouží jako hranice pro přiřazení azure Policy.

    Například zabezpečené úlohy, jako jsou úlohy PCI (Payment Card Industry), obvykle vyžadují další zásady, aby bylo možné dosáhnout dodržování předpisů. Místo použití skupiny pro správu ke kolaci úloh, které vyžadují dodržování předpisů PCI, můžete dosáhnout stejné izolace s předplatným, aniž byste museli mít příliš mnoho skupin pro správu s několika předplatnými.

    Pokud potřebujete seskupit mnoho předplatných stejného archetypu úloh, vytvořte je v rámci skupiny pro správu.

  • Předplatná slouží jako jednotka škálování, aby se úlohy komponent mohly škálovat v rámci limitů předplatného platformy. Při návrhu úloh nezapomeňte zvážit limity prostředků předplatného.

  • Předplatná poskytují hranici správy pro zásady správného řízení a izolaci, která jasně odděluje obavy.

  • Vytvořte samostatná předplatná platformy pro správu (monitorování), připojení a identitu v případě potřeby.

    • Vytvořte ve skupině pro správu platformy vyhrazené předplatné pro správu, které podporuje možnosti globální správy, jako jsou pracovní prostory protokolů služby Azure Monitor a runbooky Azure Automation.

    • Vytvořte ve skupině pro správu platformy vyhrazené předplatné identity pro hostování řadičů domény Active Directory systému Windows Server, pokud je to potřeba.

    • Vytvořte ve skupině pro správu platformy vyhrazené předplatné připojení pro hostování centra Azure Virtual WAN, privátního dns (Domain Name System), okruhu Azure ExpressRoute a dalších síťových prostředků. Vyhrazené předplatné zajišťuje, aby se všechny základní síťové prostředky fakturovaly společně a izolovaly od jiných úloh.

    • Předplatná používejte jako demokratizovanou jednotku správy, která je v souladu s vašimi obchodními potřebami a prioritami.

  • Pomocí ručních procesů omezte tenanty Microsoft Entra jenom na smlouva Enterprise předplatná registrace. Pokud používáte ruční proces, nemůžete v oboru kořenové skupiny pro správu vytvářet předplatná Microsoft Developer Network (MSDN).

    Pokud potřebujete podporu, odešlete lístek podpora Azure.

    Informace o převodech předplatného mezi nabídkami fakturace Azure najdete v tématu Předplatné Azure a centrum převodu rezervací.

Důležité informace o několika oblastech

Důležité

Předplatná nejsou svázaná s konkrétní oblastí a můžete s nimi zacházet jako s globálními předplatnými. Jedná se o logické konstrukty, které poskytují řízení fakturace, zásad správného řízení, zabezpečení a identit pro prostředky Azure, které jsou v nich obsažené. Proto pro každou oblast nepotřebujete samostatné předplatné.

  • Pro škálování nebo geografické zotavení po havárii nebo na globální úrovni (různé úlohy v různých oblastech) můžete použít přístup pro více oblastí.

  • Jedno předplatné může obsahovat prostředky z různých oblastí v závislosti na požadavcích a architektuře.

  • V kontextu geografického zotavení po havárii můžete použít stejné předplatné k zahrnutí prostředků z primárních a sekundárních oblastí, protože jsou logicky součástí stejné úlohy.

  • K optimalizaci nákladů a dostupnosti prostředků můžete nasadit různá prostředí pro stejnou úlohu v různých oblastech.

  • V předplatném, které obsahuje prostředky z více oblastí, můžete pomocí skupin prostředků uspořádat a obsahovat prostředky podle oblasti.

Aspekty návrhu kvót a kapacity

Oblasti Azure můžou mít konečný počet prostředků. V důsledku toho byste měli sledovat dostupnou kapacitu a skladové položky pro přechod na Azure s několika prostředky.

  • Zvažte limity a kvóty v rámci platformy Azure pro každou službu, kterou vaše úlohy vyžadují.

  • Zvažte dostupnost požadovaných skladových položek ve vybraných oblastech Azure. Nové funkce mohou být například dostupné pouze v určitých oblastech. Dostupnost určitých skladových položek pro dané prostředky, jako jsou virtuální počítače, se může lišit v jednotlivých oblastech.

  • Vezměte v úvahu, že kvóty předplatného nejsou záruky kapacity a použijí se na základě jednotlivých oblastí.

    Rezervace kapacity virtuálních počítačů najdete v tématu Rezervace kapacity na vyžádání.

  • Zvažte opětovné použití nepoužívaných nebo vyřazených předplatných. Další informace najdete v tématu Vytvoření nebo opětovné použití předplatných Azure.

Aspekty návrhu omezení převodu tenanta

Každé předplatné Azure je propojené s jedním tenantem Microsoft Entra, který funguje jako zprostředkovatel identity (IDP) pro vaše předplatné Azure. Použijte tenanta Microsoft Entra k ověřování uživatelů, služeb a zařízení.

Pokud má každý uživatel požadovaná oprávnění, může změnit tenanta Microsoft Entra, který je propojený s vaším předplatným Azure. Další informace naleznete v tématu:

Poznámka:

Nemůžete převést na jiného tenanta Microsoft Entra pro předplatná Azure Cloud Solution Provider (CSP).

U cílových zón Azure můžete nastavit požadavky, které uživatelům zabrání v přenosu předplatných do tenanta Microsoft Entra vaší organizace. Další informace najdete v tématu Správa zásad předplatného Azure.

Nakonfigurujte zásady předplatného tak, že poskytnete seznam vyloučených uživatelů. Vyloučení uživatelé mohou obejít omezení nastavená v zásadách.

Důležité

Seznam vyloučených uživatelů není Azure Policy.

Důležité

Microsoft doporučuje používat role s nejmenšími oprávněními. To pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání, pokud nemůžete použít existující roli.

  • Všichni uživatelé s přístupem k Azure můžou zobrazit zásady definované pro vašeho tenanta Microsoft Entra.

    • Uživatelé nemůžou zobrazit seznam vyloučených uživatelů .

    • Uživatelé můžou zobrazit globální správce v rámci vašeho tenanta Microsoft Entra.

  • Předplatná Azure, která převedete do tenanta Microsoft Entra, se umístí do výchozí skupiny pro správu pro daného tenanta.

  • Pokud vaše organizace schválí, může váš aplikační tým definovat proces, který umožní převod předplatných Azure do nebo z tenanta Microsoft Entra.

Aspekty návrhu služby Cost Management

Každá velká podniková organizace má výzvu ke správě transparentnosti nákladů. V této části se seznámíte s klíčovými aspekty, které umožní dosáhnout transparentnosti nákladů napříč velkými prostředími Azure.

  • Abyste dosáhli vyšší hustoty, budete možná muset sdílet modely zpětného účtování, jako je App Service Environment a Azure Kubernetes Service (AKS). Modely zpětného účtování můžou ovlivnit prostředky paaS (shared platform as a service).

  • Abyste optimalizovali náklady, použijte pro neprodukční úlohy plán vypnutí.

  • Využijte Azure Advisor k získání doporučení pro optimalizaci nákladů.

  • Vytvořte model vrácení peněz pro lepší distribuci nákladů napříč vaší organizací.

  • Implementujte zásady, aby uživatelé nemohli v prostředí vaší organizace nasazovat neoprávněné prostředky.

  • Vytvořte pravidelný plán a tempo kontroly nákladů a práv k prostředkům pro úlohy.

Doporučení předplatného

Následující části obsahují doporučení, která vám pomůžou naplánovat a vytvořit předplatná pro Azure.

Doporučení pro organizace a zásady správného řízení

  • Považovat předplatná za jednotku správy, která je v souladu s vašimi obchodními potřebami a prioritami.

  • Informujte vlastníky předplatného o svých rolích a zodpovědnostech.

    • Proveďte čtvrtletní nebo roční kontrolu přístupu pro Microsoft Entra Privileged Identity Management (PIM), abyste zajistili, že se oprávnění při přesunu uživatelů ve vaší organizaci nerozšířují.

    • Vezměte úplné vlastnictví rozpočtových výdajů a zdrojů.

    • Zajistěte dodržování zásad a v případě potřeby proveďte nápravu.

  • Při identifikaci požadavků na nová předplatná použijte následující principy:

    • Omezení škálování: Předplatná slouží jako jednotka škálování pro úlohy komponent pro škálování v rámci limitů předplatného platformy. Velké specializované úlohy, jako jsou vysokovýkonné výpočetní prostředí, IoT a SAP, by měly používat samostatná předplatná, aby se zabránilo spuštění těchto limitů.

    • Hranice správy: Předplatná poskytují hranici správy pro zásady správného řízení a izolaci, což umožňuje jasné oddělení obav. Různá prostředí, jako je vývoj, testování a produkční prostředí, se často z hlediska správy odebírají.

    • Hranice zásad: Předplatná slouží jako hranice pro přiřazení azure Policy. Například zabezpečené úlohy, jako jsou úlohy PCI, obvykle vyžadují další zásady, aby bylo možné dosáhnout dodržování předpisů. Ostatní režijní náklady se nebere v úvahu, pokud používáte samostatné předplatné. Vývojová prostředí mají uvolněnější požadavky zásad než produkční prostředí.

    • Topologie cílové sítě: Virtuální sítě nemůžete sdílet mezi předplatnými, ale můžete je propojit s různými technologiemi, jako je partnerský vztah virtuálních sítí nebo ExpressRoute. Když se rozhodnete, jestli potřebujete nové předplatné, zvažte, které úlohy musí vzájemně komunikovat.

  • Seskupte předplatná společně v rámci skupin pro správu, které jsou v souladu se strukturou skupiny pro správu a požadavky zásad. Seskupte předplatná, abyste zajistili, že předplatná se stejnou sadou zásad a přiřazení rolí Azure pocházejí ze stejné skupiny pro správu.

  • Vytvořte ve skupině Platform pro správu vyhrazené předplatné pro správu, které podporuje možnosti globální správy, jako jsou pracovní prostory protokolů služby Azure Monitor a runbooky Služby Automation.

  • Vytvořte ve skupině Platform pro správu vyhrazené předplatné identity pro hostování řadičů domény služby Active Directory systému Windows Server, pokud je to potřeba.

  • Vytvořte ve skupině Platform pro správu vyhrazené předplatné připojení pro hostování centra Virtual WAN, privátního DNS, okruhu ExpressRoute a dalších síťových prostředků. Vyhrazené předplatné zajišťuje, aby se všechny základní síťové prostředky fakturovaly společně a izolovaly od jiných úloh.

  • Vyhněte se pevnému modelu předplatného. Místo toho použijte sadu flexibilních kritérií k seskupení předplatných ve vaší organizaci. Tato flexibilita zajišťuje, abyste při změně struktury organizace a úloh mohli vytvořit novou skupinu předplatných a nepoužívali pevnou sadu stávajících předplatných. Jedna velikost neodpovídá všem předplatným a to, co funguje pro jednu obchodní jednotku, nemusí fungovat pro jinou. Některé aplikace můžou koexistovat v rámci stejného předplatného cílové zóny, zatímco jiné můžou vyžadovat vlastní předplatné.

    Další informace najdete v tématu Zpracování cílových zón úloh pro vývoj, testování a produkční prostředí.

Doporučení pro více oblastí

  • Vytvořte další předplatná pro každou oblast jenom v případě, že máte požadavky na zásady správného řízení a správu specifické pro jednotlivé oblasti, například suverenitu dat nebo škálování nad rámec limitů kvót.

  • Pokud škálování není pro prostředí geografického zotavení po havárii, které zahrnuje více oblastí, použijte stejné předplatné pro primární a sekundární prostředky oblasti. Některé služby Azure, v závislosti na strategii provozní kontinuity a zotavení po havárii (BCDR) a nástrojích, které přijmete, můžou potřebovat použít stejné předplatné. Ve scénáři aktivní-aktivní, kde jsou nasazení nezávisle spravovaná nebo mají různé životní cykly, doporučujeme používat různá předplatná.

  • Oblast, ve které vytvoříte skupinu prostředků a oblast obsažených prostředků, by se měla shodovat, aby neměly vliv na odolnost a spolehlivost.

  • Jedna skupina prostředků by neměla obsahovat prostředky z různých oblastí. Tento přístup může vést k problémům se správou prostředků a dostupností.

Doporučení pro kvóty a kapacitu

  • Použijte předplatná jako jednotky škálování a podle potřeby navyšte kapacitu prostředků a předplatných. Vaše úloha pak může využít požadované prostředky pro horizontální navýšení kapacity bez dosažení limitů předplatného na platformě Azure.

  • Rezervace kapacity slouží ke správě kapacity v některých oblastech. Vaše úloha pak může mít požadovanou kapacitu pro prostředky s vysokou poptávkou v konkrétní oblasti.

  • Vytvořte řídicí panel s vlastními zobrazeními pro monitorování úrovní využité kapacity a nastavte výstrahy, pokud kapacita přistupuje k kritickým úrovním, jako je například 90% využití procesoru.

  • Vytvořte žádosti o podporu pro zvýšení kvóty v rámci zřizování předplatného, například pro celková dostupná jádra virtuálních počítačů v rámci předplatného. Před překročením výchozích limitů se ujistěte, že jsou nastavené limity kvót.

  • Ujistěte se, že všechny požadované služby a funkce jsou dostupné ve vybraných oblastech nasazení.

Doporučení pro automatizaci

  • Vytvořte proces správa předplatného, který automatizuje vytváření předplatných pro aplikační týmy prostřednictvím pracovního postupu žádosti. Další informace najdete v tématu Prodejní verze předplatného.

Doporučení pro omezení převodu tenanta

  • Nakonfigurujte následující nastavení, abyste uživatelům zabránili v přenosu předplatných Azure do nebo z vašeho tenanta Microsoft Entra:

    • Nastavte předplatné, které opustí adresář Microsoft Entra na Permit no one.

    • Nastavte předplatné zadáním adresáře Microsoft Entra na Permit no one.

  • Nakonfigurujte omezený seznam vyloučených uživatelů.

Další krok

Přijetí ochranných mantinelí řízených zásadami