Abonnementsverkoop
Abonnementsverkoop biedt een platformmechanisme voor het programmatisch uitgeven van abonnementen aan toepassingsteams die workloads moeten implementeren. In het volgende diagram ziet u waar abonnementsautomaat past in de levenscyclus van het platform en de workload.
Abonnementsverkoop bouwt voort op het concept van democratisering van abonnementen en past deze toe op landingszones van toepassingen. Bij democratisering van abonnementen zijn abonnementen, niet resourcegroepen, de primaire eenheden van workloadbeheer en -schaal. Zie voor meer informatie:
- Platformlandingszones versus landingszones van toepassingen
- Ge democratiseerde benadering van abonnementen
- Hoeveel abonnementen moet ik gebruiken in Azure (YouTube)?
Waarom abonnementsautomaat?
Abonnementsverkoop biedt verschillende voordelen voor organisaties die workloads in Azure moeten implementeren. Het standaardiseert en automatiseert het proces voor het aanvragen, implementeren en beheren van abonnementen voor landingszones van toepassingen. Abonnementsverkoop vereenvoudigt het proces voor het maken van abonnementen en plaatst het onder het beheer van de organisatie, zodat app-teams zich kunnen richten op het implementeren van hun workloads met meer vertrouwen en efficiëntie.
- Gestroomlijnd proces: Abonnementsverkoop biedt een officiële voordeur voor toepassingsteams om abonnementen aan te vragen, waardoor ze niet meer zelf door het abonnementsproces hoeven te navigeren.
- Verbeterde snelheid: toepassingsteams hebben sneller toegang tot landingszones voor toepassingen en onboarden van workloads.
- Efficiënt beheer: het platformteam kan governance afdwingen voor landingszones van toepassingen met minimale overhead.
Abonnementsautomaat implementeren
Abonnementsverkoop omvat drie teams. Het Cloud Center of Excellence (CCoE) brengt bedrijfslogica en het goedkeuringsproces tot stand. Wanneer ze klaar zijn, maken de toepassingsteams abonnementsaanvragen. Het platformteam gebruikt de aanvraag om het abonnement te maken en te configureren voordat het abonnement aan het toepassingsteam wordt overhandigd. Het toepassingsteam werkt het budget bij, implementeert de workload en brengt bewerkingen tot stand. De volgende richtlijnen bevatten meer informatie over elke stap van het abonnementsautomaat proces. Zie de richtlijnen voor de implementatie van abonnementen voor verkoopautomaten voor meer informatie.
Platformteams kunnen veel opties en abonnementstypen bieden aan toepassingsteams. Deze typen worden productlijnen genoemd omdat ze betrekking hebben op platform-engineeringprincipes en -procedures. Zie Common abonnementsautomaat productlijnen voor meer informatie over het kiezen van de optie die het beste bij uw behoeften past.
Bedrijfslogica en goedkeuringsproces tot stand brengen
Als u het abonnementsautomaat-model wilt implementeren, moet u een goedkeuringsproces opzetten waarmee essentiële abonnementsgegevens worden verzameld. Het Cloud Center of Excellence (CCoE) moet het goedkeuringsproces programmeren en bedrijfsregels opstellen rond de gegevens die moeten worden verzameld.
Proces automatiseren. U moet het proces van het vastleggen en goedkeuren van abonnementsaanvragen automatiseren voor snellere inrichting en verbeterde naleving.
Integreren met bestaande hulpprogramma's. U moet het abonnementsautomaat goedkeuringsproces integreren in uw bestaande ITSM-hulpprogramma (IT Service Management). De integratie kan het goedkeuringsproces vereenvoudigen, handmatige inspanning verminderen en de efficiëntie verbeteren terwijl fouten worden verminderd. Het maakt onderhoud in de loop van de tijd ook eenvoudiger en helpt bij nalevingsrapportage voor controles.
Verbinding maken met de implementatiepijplijn. Het is een best practice om de bedrijfslogica van het goedkeuringsproces te koppelen aan de implementatiepijplijn van het abonnement dat het platformteam beheert. Werkstromen voor Azure Pipelines of GitHub Actions zijn algemene oplossingen voor de pijplijn voor de implementatie van het abonnement.
Verzamel vereisten bij intake. Met de bedrijfslogica kunnen toepassingsteams een abonnement aanvragen en abonnementsvereisten opgeven. Deze vereisten moeten voorzien zijn van verwachte budgetten, abonnementseigenaren, netwerkverwachtingen en classificatie van bedrijfskritiek en vertrouwelijkheid. Het verzamelen van deze informatie aan het begin van het proces informeert uw implementatieparameters en de goedkeuringsbehoeften van belanghebbenden. Het intakeproces moet het platformteam ook voldoende informatie geven om de workload in de hiërarchie van de beheergroep te plaatsen.
Wanneer het goedkeuringsproces is geïmplementeerd, kunnen toepassingsteams beginnen met het indienen van abonnementsaanvragen.
Een abonnementsaanvraag indienen
Abonnementsverkoop biedt een standaardproces voor toepassingsteams om een abonnement aan te vragen. Het is belangrijk dat u de beschikbaarheid van abonnementsautomaat socialiseert en ervoor zorgt dat abonnementsaanvragen eenvoudig te maken zijn. Nadat het toepassingsteam een abonnementsaanvraag heeft ingediend, neemt het platformteam de controle over het proces aan. Het platformteam houdt de controle over totdat het abonnement wordt gemaakt en het abonnement aan het toepassingsteam wordt geleverd.
Netwerken configureren
De automatisering van het abonnement moet de vereiste netwerkonderdelen instellen en moet flexibel genoeg zijn om te voldoen aan de behoeften van elk toepassingsteam. Als algemene richtlijnen gebruikt u nooit overlappende IP-adressen in één routeringsdomein. U kunt de adresruimte van een virtueel netwerk zonder downtime toevoegen of verwijderen als uw groottevereisten veranderen. Zie voor meer informatie:
- IP-adresbeperkingen
- Adresruimte van een gekoppeld virtueel netwerk bijwerken
- Adresbereik toevoegen of verwijderen
Gebruik het hulpprogramma IPAM (IP Address Management). U moet een IPAM-systeem in het verkoopproces gebruiken en integreren om de toewijzing van IP-adressen te stroomlijnen. Zie IP-adresbeheer hulpprogramma's (IPAM) voor meer informatie en IPAM-richtlijnen.
Verdeel het app-team autonomie. U moet toepassingsteams met de rechten verlenen om subnetten en zelfs sommige virtuele netwerken in het abonnement te maken. Het platformteam moet altijd virtuele netwerken maken die peeren met een centrale hub.
Netwerkbeheer afdwingen. Het platformteam moet beheer van virtuele netwerken afdwingen via (1) Azure-beleid dat is toegewezen aan de beheergroephiërarchie of (2) Azure Virtual Network Manager- en beveiligingsbeheerdersregels. Zie Governance op basis van beleid en poorten met een hoog risico blokkeren voor meer informatie.
Plaatsing van abonnementen bepalen
Het platformteam moet de netwerk- en governancevereisten gebruiken om het abonnement in de beheergroephiërarchie te plaatsen. Ze moeten ook de quotumlimieten voor abonnementen controleren voordat ze het abonnement maken. Zie De architectuur van de Azure-landingszone aanpassen aan de vereisten voor meer informatie.
Identificeer de juiste beheergroep. Beheergroepen helpen u bij het organiseren en beheren van abonnementen en workloadimplementaties. Zoek of maak een beheergroep die het beleid afdwingt dat nodig is voor de classificatie en behoeften van elke workload.
Bouw flexibele automatisering. Uw automatisering moet flexibel genoeg zijn (1) om meerdere abonnementen te implementeren en (2) zich aan te passen aan abonnementsservicelimieten.
Meerdere abonnementen: sommige workloads hebben verschillende abonnementen nodig. Sommige workloads hebben bijvoorbeeld verschillende exemplaren, gescheiden door een abonnement. SaaS-architecturen die gebruikmaken van toegewezen resources per klant, maken vaak gebruik van tientallen abonnementen.
Abonnementsservicelimieten: een onderneming met enkele duizenden abonnementen moet automatisering hebben die kan worden geïmplementeerd op een oud abonnement of werkbelastingen in een abonnement om de limieten te voorkomen. Zie veelgestelde vragen over Azure-landingszones voor meer informatie.
U kunt na het inrichten handmatig quotumverhogingen aanvragen met behulp van Azure Portal. Het is eenvoudiger als u dit proces automatiseert met behulp van de beschikbare API's. De quotumaanvraag kan echter mislukken, dus u moet een script uitvoeren om eventuele fouten af te handelen. Zie Microsoft.Capacity, Microsoft.Quota en Microsoft.Support voor meer informatie.
Abonnement maken en configureren
U kunt nu het aangevraagde abonnement maken en configureren. Het doel is om een herhaalbaar, consistent proces te maken. Automatiseer zoveel mogelijk van het proces voor het maken en configureren van abonnementen.
Infrastructuur gebruiken als code (IaC). Een algemene strategie voor abonnementsautomaat is het programmatisch maken en configureren van het abonnement met behulp van IaC. U hebt een commerciële overeenkomst nodig om programmatisch een Azure-abonnement te maken, maar u kunt alle aspecten van de abonnementsconfiguratie automatiseren zonder een commerciële overeenkomst. Zie voor meer informatie:
Er zijn voorbeelden abonnementsautomaat Bicep- en Terraform-modules om u te helpen bij het aannemen van een abonnementsautomaat model, ongeacht uw inschrijving in een commerciële overeenkomst. U moet GitHub-acties of Azure Pipelines gebruiken om de automatisering te organiseren.
Tags gebruiken voor kostenbeheer. U moet de consistente toewijzing van tags voor elk abonnement automatiseren voor kostenbeheer- en rapportagedoeleinden in Microsoft Cost Management. Hoewel u factureringsrapporten ontvangt met uw commerciële overeenkomsten, biedt Cost Management meer functionaliteit. U kunt bijvoorbeeld rapporten maken voor abonnementen met specifieke tags. Zie Tags gebruiken in kosten- en gebruiksgegevens en kosten toewijzen met behulp van tagovername voor meer informatie
Gebruik productie- en niet-productieabonnementen. In de aanvraag voor een nieuw abonnement moet u opgeven of de workload voor Productie of DevTest is. DevTest-omgevingen leiden tot lagere resourcekosten, maar hebben andere termen. De DevTest-aanbieding is niet beschikbaar voor MPA. Zie voor meer informatie:
- Azure-factureringsaanbiedingen en Active Directory-tenants
- Overzicht van het ontwerpgebied van de resourceorganisatie
- Programmatisch Azure-abonnementen maken
Identiteits- en op rollen gebaseerd toegangsbeheer (RBAC's) instellen. Het beheren van de toegang tot resources binnen een Azure-abonnement is essentieel voor het onderhouden van een veilige en compatibele omgeving. Voor het beheren van de toegang is het essentieel om identiteit en RBAC's in te stellen. Deze installatie omvat het toewijzen van een abonnementseigenaar, het maken van Microsoft Entra-groepen voor het beheren van toegang en het tot stand brengen van automation-accounts voor het implementeren van workloads.
Een abonnementseigenaar aanwijzen. De abonnementsautomaat automatisering moet een abonnementseigenaar aanwijzen bij het maken. De abonnementsaanvraag moet deze informatie vastleggen tijdens de intake. Abonnementseigenaren kunnen alleen gebruikers of service-principals zijn in de geselecteerde abonnementsmap. U kunt geen gastmapgebruikers selecteren. Als u een service principal selecteert, voert u de bijbehorende app-id in.
Maak Microsoft Entra-groepen. Naast de eigenaar van het abonnement moet u ervoor zorgen dat het verkoopproces gebruikmaakt van uw Microsoft Entra-groepsstructuur om de toegang tot het abonnement te beheren. Voor verhoogde toegang (bijvoorbeeld schrijven) wordt u aangeraden PIM te gebruiken voor groepen. Het automatiseren van dit aanmaakproces mag niet in strijd zijn met best practices, zoals het beperken van het aantal abonnementseigenaren en het gebruik van het minimale vereiste toegangsniveau.
Stel workloadidentiteiten in. Workloadidentiteiten (serviceprincipes) die worden gebruikt voor workloadimplementatie, hebben vaak verhoogde machtigingen voor het abonnementsbereik. Het aanvraagproces van het abonnement moet bij de intake de behoeften van de workloadidentiteit verzamelen. Uw verkoopproces moet deze identiteiten maken en de juiste abonnementstoegang toewijzen. Het is belangrijk om te weten dat de workloadidentiteit pim niet kan gebruiken en permanente toegang tot resources krijgt. U wordt aangeraden beheerde identiteiten te gebruiken om te voorkomen dat geheimen moeten worden beheerd. Zie het ontwerpgebied voor identiteiten voor meer informatie.
Geef het toepassingsteam over. Nadat het platformteam het abonnement heeft gemaakt, moeten ze het abonnement overdragen aan het toepassingsteam.
Abonnementsbudget bijwerken
Het platform- en workloadteam delen de verantwoordelijkheid voor de financiële status van het abonnement. De implementatie moet een abonnementsbudget maken op basis van de informatie in de abonnementsaanvraag. De toepassing moet het budget bijwerken om aan hun behoeften te voldoen wanneer ze het abonnement ontvangen. Budgetten zijn handig voor het controleren van uitgaven ten opzichte van het huidige gebruik en het voorspellen van het gebruik, maar dit zijn geen vaste limieten. U moet budgetwaarschuwingen maken om de abonnementseigenaren op de hoogte te stellen als de workload de budgetdrempel overschrijdt. Voor gedeelde services, zoals API Management, kunt u overwegen om Azure-regels voor kostentoewijzing te gebruiken om kosten te herdistribueren tussen het verbruiken van abonnementen.
Werkbelasting implementeren en werken
Het toepassingsteam moet autonomie hebben om de resources te maken die ze nodig hebben voor hun workload en bewerkingen te beheren. Het platformteam blijft verantwoordelijk voor abonnementsbeheer. Naarmate de governancevereisten van een workload veranderen, moet het platformteam abonnementen verplaatsen naar de beheergroep die het beste voldoet aan de behoeften van de workload. U kunt de verplaatsing automatiseren met Bicep of Terraform. Zie voor meer informatie:
- Overzicht van beheergroepen
- Abonnement verplaatsen naar nieuwe beheergroep (Bicep)
- Abonnement verplaatsen naar nieuwe beheergroep (Terraform)
- Azure-landingszone aanpassen aan uw vereisten
Volgende stappen
Bekijk de abonnementen of productlijnen die u aan toepassingsteams kunt toewijzen. Stel een goed beginpunt in, zodat u aan een aantal verschillende scenario's kunt voldoen.