Consideraciones y recomendaciones relativas a las suscripciones
Las suscripciones son una unidad de administración, facturación y escalado en Azure. Desempeñan un papel fundamental cuando se diseña la adopción de Azure a gran escala. Este artículo le ayuda a comprender los requisitos de suscripción y a diseñar suscripciones de destino basadas en factores que varían en función de lo siguiente:
- Tipos de entorno
- Propiedad y modelos de gobernanza
- Estructuras organizativas
- Carteras de aplicaciones
- Regions
Sugerencia
Para obtener más información sobre las suscripciones, vea el vídeo de YouTube Zonas de aterrizaje de Azure: ¿cuántas suscripciones debo usar en Azure?
Nota:
Si usa Contratos Enterprise, Contratos de cliente de Microsoft (Enterprise) o Microsoft Partner Agreements (CSP), revise los límites de la suscripción en Ámbitos y cuentas de facturación en Azure Portal.
Consideraciones acerca de las suscripciones
Las secciones siguientes contienen consideraciones que le permitirán planear y crear suscripciones para Azure.
Consideraciones relativas al diseño de gobernanza y organización
Las suscripciones funcionan como límites para las asignaciones de Azure Policy.
Por ejemplo, las cargas de trabajo seguras, como las del sector de las tarjetas de pago (PCI), suelen requerir otras directivas para lograr el cumplimiento. En lugar de usar un grupo de administración para recopilar las cargas de trabajo que requieren el cumplimiento del PCI, puede obtener el mismo aislamiento con una suscripción sin tener demasiados grupos de administración con unas pocas suscripciones.
Si necesita agrupar muchas suscripciones del mismo arquetipo de carga de trabajo, créelas en un grupo de administración.
Las suscripciones funcionan como una unidad de escalado para que las cargas de trabajo de componentes puedan escalarse dentro de los límites de suscripción de la plataforma. Asegúrese de tener en cuenta los límites de recursos de la suscripción a medida que diseña las cargas de trabajo.
Las suscripciones proporcionan un límite de administración para la gobernanza y el aislamiento que crea una separación clara de los intereses.
Cree suscripciones de plataforma independientes para la administración (supervisión), la conectividad y la identidad cuando sean necesarias.
Establezca una suscripción de administración dedicada en el grupo de administración de la plataforma para admitir capacidades de administración globales como las áreas de trabajo de registros de Azure Monitor y los runbooks de Azure Automation.
Establezca una suscripción de identidad dedicada en el grupo de administración de la plataforma para hospedar los controladores de dominio de Windows Server Active Directory, cuando sea necesario.
Establezca una suscripción de conectividad dedicada en el grupo de administración de la plataforma para hospedar un centro de conectividad de Azure Virtual WAN, un sistema de nombres de dominio (DNS) privado, un circuito de Azure ExpressRoute y otros recursos de redes. Una suscripción dedicada garantiza que todos los recursos de la red de base se facturen juntos y se aíslen de otras cargas de trabajo.
Use las suscripciones como una unidad democratizada de administración en consonancia con las necesidades y prioridades de la empresa.
Use procesos manuales para limitar a los inquilinos de Microsoft Entra solo a suscripciones de inscripción de Contrato Enterprise. Al usar un proceso manual, no puede crear suscripciones de Microsoft Developer Network (MSDN) en el ámbito del grupo de administración raíz.
Si necesita soporte técnico, envíe una incidencia de soporte técnico de Azure.
Vea la suscripción de Azure y el centro de transferencia de reservas para obtener información sobre las transferencias de suscripciones entre ofertas de facturación de Azure.
Consideraciones sobre el escenario de varias regiones
Importante
Las suscripciones no están vinculadas a una región específica y puede tratarlas como suscripciones globales. Son construcciones lógicas a fin de proporcionar controles de facturación, gobernanza, seguridad e identidad para los recursos de Azure que están incluidos en ellos. Por lo tanto, no necesita una suscripción independiente para cada región.
Puede adoptar un enfoque de varias regiones en el nivel de carga de trabajo único para el escalado o la recuperación ante desastres geográfica o a nivel global (diferentes cargas de trabajo en regiones distintas).
Una sola suscripción puede contener recursos de diferentes regiones, según los requisitos y la arquitectura.
En un contexto de recuperación ante desastres geográfica, puede usar la misma suscripción para contener recursos de regiones primarias y secundarias porque, como es lógico, forman parte de la misma carga de trabajo.
Puede implementar entornos diferentes para la misma carga de trabajo en regiones distintas a fin de optimizar los costos y la disponibilidad de los recursos.
En una suscripción que contiene recursos de varias regiones, puede usar grupos de recursos para organizar e incluir recursos por región.
Consideraciones relativas al diseño de capacidad y cuota
Las regiones de Azure pueden tener un número finito de recursos. Como resultado, debe realizar un seguimiento de la capacidad disponible y las SKU para las adopciones de Azure que tengan varios recursos.
Tenga en cuenta los límites y las cuotas de la plataforma de Azure para cada uno de los servicios que requieran las cargas de trabajo.
Tenga en cuenta la disponibilidad de las SKU necesarias dentro de las regiones de Azure seleccionadas. Por ejemplo, las características nuevas podrían estar disponibles solo en determinadas regiones. La disponibilidad de ciertas SKU para recursos concretos, como las máquinas virtuales (VM), puede variar de una región a otra.
Tenga en cuenta que las cuotas de suscripción no son garantías de capacidad y se aplican en cada región.
Para las reservas de capacidad de máquinas virtuales, consulte Reserva de capacidad a petición.
Considere la posibilidad de reutilizar suscripciones sin usar o retiradas. Para obtener más información, vea Creación o reutilización de suscripciones de Azure.
Consideraciones relativas al diseño de restricciones de transferencia de inquilinos
Cada suscripción de Azure está vinculada a un único inquilino de Microsoft Entra que actúa como proveedor de identidades (IdP) para la suscripción de Azure. Use el inquilino de Microsoft Entra para autenticar usuarios, servicios y dispositivos.
Cualquier usuario podrá cambiar el inquilino de Microsoft Entra vinculado a la suscripción de Azure cuando tenga los permisos necesarios. Para más información, vea:
- Asociación o adición de una suscripción de Azure al inquilino de Microsoft Entra
- Transferencia de una suscripción de Azure a otro directorio de Microsoft Entra
Nota:
En el caso de las suscripciones de Proveedor de soluciones en la nube de Azure (CSP), no podrá transferir a otro inquilino de Microsoft Entra.
En el caso de las zonas de aterrizaje de Azure, puede establecer los requisitos para evitar que los usuarios transfieran suscripciones al inquilino de Microsoft Entra de la organización. Para más información, consulte Administración de las directivas de una suscripción de Azure.
Configure la directiva de suscripción proporcionando una lista de usuarios exentos. Los usuarios exentos pueden omitir las restricciones establecidas en la directiva.
Importante
Una lista de usuarios exentos no es una instancia de Azure Policy.
Plantéese si debe permitir que los usuarios que tienen suscripciones de Azure de Visual Studio o MSDN puedan transferir su suscripción con el inquilino de Microsoft Entra como origen o destino.
Solo los usuarios con el rol de Administrador global de Microsoft Entra pueden ajustar la configuración de transferencia de inquilinos. Estos usuarios deben tener privilegios de acceso elevados para cambiar la directiva.
- Solo puede especificar cuentas de usuario individuales como usuarios exentos, no grupos de Microsoft Entra.
Importante
Microsoft recomienda usar roles con el menor número de permisos. Esto ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Todos los usuarios con acceso a Azure pueden ver la directiva definida para el inquilino de Microsoft Entra.
Los usuarios no pueden ver la lista de usuarios exentos.
Los usuarios pueden ver los administradores globales dentro del inquilino de Microsoft Entra.
Las suscripciones de Azure transferidas a un inquilino de Microsoft Entra se colocan en el grupo de administración predeterminado para ese inquilino.
Si la organización lo aprueba, el equipo de aplicación debe definir un proceso para permitir que las suscripciones de Azure se transfieran a un inquilino de Microsoft Entra o desde este.
Consideraciones de diseño de administración de costos
Administrar la transparencia de costos es un desafío al que se enfrentan todas las organizaciones empresariales de gran tamaño. En esta sección se exploran los aspectos clave para lograr la transparencia de los costos en entornos de Azure de gran tamaño.
Es posible que tenga que compartir modelos de contracargo, como App Service Environment y Azure Kubernetes Service (AKS), para lograr una mayor densidad. Los recursos de plataforma como servicio (PaaS) compartidos pueden verse afectados por los modelos de contracargo.
Use una programación de apagado para las cargas de trabajo que no sean de producción, a fin de optimizar los costos.
Use Azure Advisor para obtener recomendaciones a fin de optimizar los costos.
Establezca un modelo de contracargo para lograr una mejor distribución del costo en toda la organización.
Implemente la directiva para que los usuarios no puedan implementar recursos no autorizados en el entorno de la organización.
Establezca una programación y una cadencia normales a fin de revisar los recursos de costo y tamaño correcto para las cargas de trabajo.
Recomendaciones de suscripciones
Las secciones siguientes contienen recomendaciones que le permitirán planear y crear suscripciones para Azure.
Recomendaciones relativas a la organización y gobernanza
Trate las suscripciones como una unidad de administración que está en consonancia con las necesidades y prioridades de la empresa.
Informe a los propietarios de la suscripción de sus roles y responsabilidades.
Haga una revisión de acceso en Microsoft Entra Privileged Identity Management (PIM) cada trimestre o dos veces al año para asegurarse de que los privilegios no se propaguen cuando los usuarios se muevan dentro de la organización.
Hágase cargo por completo de los gastos presupuestarios y de los recursos.
Garantice el cumplimiento de la directiva y las correcciones, cuando sean necesarias.
Haga referencia a los principios siguientes cuando identifique los requisitos de las suscripciones nuevas:
Límites de escala: las suscripciones sirven como una unidad de escalado para que las cargas de trabajo de componentes se escalen dentro de los límites de la suscripción de la plataforma. Las cargas de trabajo especializadas de gran tamaño, como la informática de alto rendimiento, IoT y SAP, deben usar suscripciones independientes para evitar alcanzar estos límites.
Límite de administración: las suscripciones proporcionan un límite de administración para la gobernanza y el aislamiento, lo que permite una separación clara de las preocupaciones. Hay diversos entornos, como los de desarrollo, prueba y producción, que se eliminan con frecuencia desde una perspectiva administrativa.
Límite de directiva: las suscripciones sirven como límite para las asignaciones de Azure Policy. Por ejemplo, las cargas de trabajo seguras, como las del PCI, suelen requerir otras directivas para lograr el cumplimiento. La otra sobrecarga no se considera si usa una suscripción independiente. Los entornos de desarrollo tienen requisitos de directivas más relajadas que los entornos de producción.
Topología de la red de destino: no puede compartir redes virtuales entre suscripciones, pero sí puede conectar con distintas tecnologías, como el emparejamiento de red virtual o ExpressRoute. Cuando decida si necesita una suscripción nueva, tenga en cuenta qué cargas de trabajo se deben comunicar entre sí.
Agrupe las suscripciones en grupos de administración que están en consonancia con la estructura del grupo de administración y los requisitos de directiva. Agrupe las suscripciones para garantizar que las suscripciones con el mismo conjunto de directivas y asignaciones de roles de Azure proceden del mismo grupo de administración.
Establezca una suscripción de administración dedicada en el grupo de administración
Platform
para admitir funcionalidades de administración globales como las áreas de trabajo de Registros de Azure Monitor y los runbooks de Automation.Configure una suscripción de identidad dedicada en el grupo de administración
Platform
para hospedar los controladores de dominio de Windows Server Active Directory, cuando sea necesario.Establezca una suscripción de conectividad dedicada en el grupo de administración
Platform
para hospedar un concentrador de Virtual WAN, un DNS privado, un circuito de ExpressRoute y otros recursos de red. Una suscripción dedicada garantiza que todos los recursos de la red de base se facturen juntos y se aíslen de otras cargas de trabajo.Evite un modelo de suscripción rígida. En su lugar, use un conjunto de criterios flexibles para agrupar suscripciones en toda la organización. Esta flexibilidad garantiza que, a medida que la estructura de la organización y la composición de la carga de trabajo cambien, pueda crear nuevos grupos de suscripciones en lugar de usar un conjunto fijo de las suscripciones existentes. Un método no se ajusta a todas las suscripciones; lo que funciona para una unidad de negocio puede no funcionar para otra. Algunas aplicaciones pueden coexistir en la misma suscripción de zona de aterrizaje, mientras que otras pueden requerir su propia suscripción.
Para obtener más información, vea Control de zonas de aterrizaje de carga de trabajo de desarrollo/pruebas/producción.
Recomendaciones para el escenario de varias regiones
Cree suscripciones adicionales para cada región solo si tiene requisitos de administración y gobernanza específicos de la región; por ejemplo, la soberanía de datos o a fin de escalar más allá de los límites de cuota.
Si el escalado no supone un problema para un entorno de recuperación ante desastres geográfica que abarca varias regiones, use la misma suscripción para los recursos de la región primaria y secundaria. Algunos servicios de Azure, en función de la estrategia de continuidad empresarial y recuperación ante desastres (BCDR) y las herramientas que adopte, podrían necesitar usar la misma suscripción. En un escenario activo-activo, donde las implementaciones se administran de forma independiente o tienen ciclos de vida diferentes, se recomienda usar distintas suscripciones.
La región en la que se crea un grupo de recursos y la región de los recursos contenidos deben coincidir para que no afecten a la resistencia y la confiabilidad.
Un grupo de recursos único no debería contener recursos de diferentes regiones. Este enfoque puede provocar problemas con la disponibilidad y la administración de recursos.
Recomendaciones relativas a la capacidad y la cuota
Use las suscripciones como unidades de escalado y escale horizontalmente los recursos y las suscripciones según sea necesario. La carga de trabajo podría usar los recursos necesarios para el escalado horizontal sin alcanzar los límites de suscripción en la plataforma Azure.
Use reservas de capacidad para administrar la capacidad en algunas regiones. La carga de trabajo puede tener la capacidad necesaria para los recursos de alta demanda en una región específica.
Establezca un panel que tenga vistas personalizadas para supervisar los niveles de capacidad usados y configure alertas si la capacidad alcanza niveles críticos como, por ejemplo, el 90 % de uso de CPU.
Genere solicitudes de soporte técnico para aumentar la cuota bajo el aprovisionamiento de suscripciones, como el total de núcleos de máquina virtual disponibles en una suscripción. Asegúrese de que los límites de cuota se establecen antes de que las cargas de trabajo superen los límites predeterminados.
Asegúrese de que los servicios y las características necesarios están disponibles en las regiones de implementación seleccionadas.
Recomendaciones de automatización
- Cree un proceso de venta de suscripciones a fin de automatizar la creación de suscripciones para los equipos de aplicaciones mediante un flujo de trabajo de solicitud. Para más información, consulte Venta de suscripciones.
Recomendaciones relativas a la restricción de transferencia de inquilinos
Configure estas opciones para ayudar a evitar que los usuarios transfieran suscripciones de Azure al inquilino de Microsoft Entra o desde este:
Establezca la suscripción que sale del directorio de Microsoft Entra en
Permit no one
.Establezca la suscripción que entra en el directorio de Microsoft Entra en
Permit no one
.
Configure una lista limitada de usuarios exentos.
Incluya miembros de un equipo de operaciones de la plataforma Azure.
Incluya cuentas de emergencia en la lista de usuarios exentos.
Paso siguiente
Adopción de límites de protección controlados por directivas