Compartilhar via


Venda de assinaturas

A venda automática de assinaturas fornece um mecanismo de plataforma para emitir assinaturas programaticamente para equipes de aplicativos que precisam implantar cargas de trabalho. O diagrama a seguir mostra onde a venda automática de assinatura se encaixa nos ciclos de vida da plataforma e da carga de trabalho.

Diagrama mostrando quatro etapas.

A venda automática de assinaturas se baseia no conceito de democratização de assinatura e o aplica às zonas de destino de aplicativos. Com a democratização da assinatura, as assinaturas, e não os grupos de recursos, são as principais unidades de gerenciamento e dimensionamento da carga de trabalho. Para saber mais, veja:

Porquê a venda por subscrição?

A venda automática de assinatura oferece vários benefícios para organizações que precisam implantar cargas de trabalho no Azure. Ele padroniza e automatiza o processo de solicitação, implantação e controle de assinaturas para zonas de aterrissagem de aplicativos. A venda automática de assinaturas simplifica o processo de criação de assinaturas e o coloca sob a governança da organização, para que as equipes de aplicativos possam se concentrar na implantação de suas cargas de trabalho com maior confiança e eficiência.

  • Processo simplificado: a venda automática de assinaturas fornece uma porta de entrada oficial para as equipes de aplicativos solicitarem assinaturas, eliminando a necessidade de que elas naveguem pelo processo de assinatura por conta própria.
  • Velocidade aprimorada: as equipes de aplicativos podem acessar as zonas de aterrissagem de aplicativos mais rapidamente e as cargas de trabalho integradas mais rapidamente.
  • Governança eficiente: a equipe da plataforma pode impor a governança em zonas de aterrissagem de aplicativos com o mínimo de sobrecarga.

Como implementar a venda automática de assinaturas

A venda automática de assinaturas envolve três equipes. O Centro de Excelência em Nuvem (CCoE) estabelece a lógica de negócios e o processo de aprovação. Quando prontos, as equipes de aplicativos fazem solicitações de assinatura. A equipe da plataforma usa a solicitação para criar e configurar a assinatura antes de entregá-la à equipe do aplicativo. A equipe do aplicativo atualiza o orçamento, implanta a carga de trabalho e estabelece operações. As diretrizes a seguir fornecem mais detalhes sobre cada etapa do processo de venda automática de assinaturas. Para obter mais informações, consulte Diretrizes de implementação de venda automática de assinatura.

Diagrama mostrando o processo de venda automática de assinatura.

As equipes de plataforma podem vender muitas opções e tipos de assinatura para equipes de aplicativos. Esses tipos são chamados de linhas de produtos porque estão relacionados a princípios e práticas de engenharia de plataforma. Para obter mais informações sobre como escolher a opção que melhor atenda às suas necessidades, consulte Linhas de produtos de venda automática de assinatura comuns.

Estabelecer lógica de negócios e processo de aprovação

Para implementar o modelo de venda automática de assinatura, você precisa estabelecer um processo de aprovação que colete informações essenciais da assinatura. O Centro de Excelência em Nuvem (CCoE) deve programar o processo de aprovação e estabelecer regras de negócios em torno das informações a serem coletadas.

Automatize processos. Você deve automatizar o processo de captura e aprovação de solicitações de assinatura para um provisionamento mais rápido e melhor conformidade.

Integre com as ferramentas existentes. Você deve integrar o processo de aprovação de venda automática de assinatura à sua ferramenta de gerenciamento de serviços de TI (ITSM) existente. A integração pode simplificar o processo de aprovação, reduzir o esforço manual e melhorar a eficiência, reduzindo os erros. Ele também facilita a manutenção ao longo do tempo e ajuda com relatórios de conformidade para auditorias.

Conecte-se ao pipeline de implantação. É uma prática recomendada vincular a lógica de negócios do processo de aprovação ao pipeline de implantação de assinatura que a equipe da plataforma gerencia. Os fluxos de trabalho Azure Pipelines ou GitHub Actions são soluções comuns para o pipeline de implantação de assinatura.

Reúna os requisitos na entrada. A lógica de negócios deve permitir que as equipes de aplicativos solicitem uma assinatura e forneçam requisitos de assinatura. Esses requisitos devem incluir orçamentos previstos, proprietários de assinaturas, expectativas de rede e criticidade de negócios e classificação de confidencialidade. Reunir essas informações no início do processo informa os parâmetros de implantação e as necessidades de aprovação das partes interessadas. O processo de admissão também deve fornecer à equipe da plataforma informações suficientes para colocar a carga de trabalho na hierarquia do grupo de gerenciamento.

Com o processo de aprovação em vigor, as equipes de aplicativos podem começar a fazer solicitações de assinatura.

Fazer uma solicitação de assinatura

A venda automática de assinaturas fornece um processo padrão para que as equipes de aplicativos solicitem uma assinatura. É importante que você socialize a disponibilidade da venda automática de assinaturas e garanta que as solicitações de assinatura sejam fáceis de fazer. Depois que a equipe de aplicativo envia uma solicitação de assinatura, a equipe da plataforma assume o controle do processo. A equipe da plataforma mantém o controle até criar a assinatura e entregar a assinatura para a equipe do aplicativo.

Configurar a rede

A automação de assinatura precisa configurar os componentes de rede necessários e precisa ser flexível o suficiente para atender às necessidades de cada equipe de aplicativos. Como orientação geral, nunca use endereços IP sobrepostos em um único domínio de roteamento. Você pode adicionar ou excluir o espaço de endereço de uma rede virtual sem tempo de inatividade se seus requisitos de tamanho mudarem. Para saber mais, veja:

Use a ferramenta de gerenciamento de endereço IP (IPAM). Você deve usar e integrar um sistema IPAM no processo de venda automática para simplificar a atribuição de endereços IP. Para obter mais informações e orientações sobre o IPAM, consulte Ferramentas de gerenciamento de endereços IP (IPAM).

Conceda autonomia à equipe do aplicativo. Você deve conceder às equipes de aplicativos os direitos para criar sub-redes e até mesmo algumas redes virtuais na assinatura. A equipe da plataforma deve sempre criar redes virtuais que façam peer para um hub central.

Aplique a governança de rede. A equipe da plataforma deve impor a governança de rede virtual por meio de (1) política do Azure atribuída à hierarquia do grupo de gerenciamento ou (2) Gerenciador de Rede Virtual do Azure e Regras de Administração de Segurança. Para obter mais informações, consulte Governança orientada por políticas e Como bloquear portas de alto risco.

Determinar o posicionamento da assinatura

A equipe da plataforma deve usar os requisitos de rede e governança para colocar a assinatura na hierarquia do grupo de gerenciamento. Eles também devem revisar os limites de cota de assinatura antes de criar a assinatura. Para obter mais informações, consulte Personalizar a arquitetura da zona de aterrissagem do Azure para atender aos requisitos.

Identifique o grupo de gerenciamento correto. Os grupos de gerenciamento ajudam a organizar e controlar assinaturas e implantações de carga de trabalho. Localize ou crie um grupo de gerenciamento que imponha as políticas necessárias para a classificação e as necessidades de cada carga de trabalho.

Crie automação flexível. Sua automação deve ser flexível o suficiente (1) para implantar várias assinaturas e (2) se adaptar aos limites do serviço de assinatura.

  • Várias assinaturas: algumas cargas de trabalho precisam de várias assinaturas. Por exemplo, algumas cargas de trabalho têm várias instâncias separadas por assinatura. Como alternativa, arquiteturas SaaS que usam recursos dedicados por cliente geralmente usam dezenas de assinaturas.

  • Limites de serviço de assinatura: uma empresa com vários milhares de assinaturas deve ter automação que possa implantar em uma assinatura antiga ou alocar cargas de trabalho em uma assinatura para evitar os limites. Para obter mais informações, consulte Perguntas frequentes sobre zonas de aterrissagem do Azure.

    Você pode solicitar aumentos de cota manualmente usando o portal do Azure após o provisionamento. É mais fácil automatizar esse processo usando as APIs disponíveis. No entanto, a solicitação de cota pode falhar, portanto, você deve executar um script para manipular quaisquer erros. Para obter mais informações, consulte Microsoft.Capacity, Microsoft.Quota e Microsoft.Support

Criar e configurar assinatura

Agora você pode criar e configurar a assinatura solicitada. O objetivo é criar um processo repetível e consistente. Automatize o máximo possível do processo de criação e configuração de assinaturas.

Use a IaC (infraestrutura como código). Uma estratégia comum para venda automática de assinatura é criar e configurar a assinatura programaticamente usando IaC. Você precisa de um contrato comercial para criar uma Assinatura do Azure programaticamente, mas pode automatizar todos os aspectos da configuração da assinatura sem um contrato comercial. Para saber mais, veja:

Existem exemplos de módulos de venda automática de assinatura Bicep e Terraform para ajudá-lo a adotar um modelo de venda automática de assinatura, independentemente de sua inscrição em um contrato comercial. Você deve usar ações do GitHub ou Pipelines do Azure para orquestrar a automação.

Use tags para gerenciamento de custos. Você deve automatizar a atribuição consistente de marcas a cada assinatura para fins de gerenciamento de custos e relatórios no Gerenciamento de Custos da Microsoft. Embora você receba relatórios de faturamento com seus contratos comerciais, o Gerenciamento de Custos oferece maior funcionalidade. Por exemplo, você pode criar relatórios para assinaturas com marcas específicas. Para obter mais informações, consulte Como usar marcas em dados de custo e uso e Agrupar e alocar custos usando herança de marcas

Use assinaturas de produção e não produção. Na solicitação de uma nova assinatura, você deve especificar se a carga de trabalho é para Produção ou DevTest. Os ambientes DevTest resultam em cobranças de recursos mais baixas, mas têm outros termos. Observação A oferta DevTest não está disponível para MPA. Para saber mais, veja:

Configurar controles de acesso baseados em identidade e função (RBACs). Gerenciar o acesso a recursos em uma assinatura do Azure é fundamental para manter um ambiente seguro e compatível. Para controlar o acesso, é essencial configurar identidade e RBACs. Essa configuração envolve designar um proprietário de assinatura, criar grupos do Microsoft Entra para gerenciar o acesso e estabelecer contas de automação para implantar cargas de trabalho.

  • Designe um proprietário de assinatura. A automação de venda automática de assinatura precisa designar um proprietário de assinatura na criação. A solicitação de assinatura deve capturar essas informações no momento da entrada. Os proprietários de assinaturas só podem ser usuários ou entidades de serviço no diretório de assinatura selecionado. Você não pode selecionar usuários do diretório convidado. Se você selecionar uma entidade de serviço, insira a ID do Aplicativo.

  • Crie grupos do Microsoft Entra. Além do proprietário da assinatura, você deve garantir que o processo de venda automática use sua estrutura de grupo do Microsoft Entra para gerenciar o acesso à assinatura. Para acesso elevado (por exemplo, gravação), recomendamos o uso do PIM para grupos. Automatizar esse processo de criação não deve violar as práticas recomendadas, como limitar o número de proprietários de assinatura e usar o nível mínimo necessário de acesso.

  • Estabeleça identidades de carga de trabalho. As identidades de carga de trabalho (princípios de serviço) usadas para implantação de carga de trabalho geralmente têm permissões elevadas no escopo da assinatura. O processo de solicitação de assinatura deve reunir as necessidades de identidade da carga de trabalho na entrada. Seu processo de venda automática deve criar essas identidades e atribuir acesso de assinatura apropriado. É importante observar que a identidade da carga de trabalho não pode usar o PIM e recebe acesso permanente aos recursos. Recomendamos que você use identidades gerenciadas para evitar a necessidade de gerenciar segredos. Para obter mais informações, consulte a área de design de identidade.

Passe para a equipe de aplicação. Depois que a equipe da plataforma cria a assinatura, eles devem entregar a assinatura para a equipe do aplicativo.

Atualizar orçamento de assinatura

As equipes de plataforma e carga de trabalho compartilham a responsabilidade pela saúde financeira da assinatura. A implantação deve criar um orçamento de assinatura com base nas informações na solicitação de assinatura. O aplicativo deve atualizar o orçamento para atender às suas necessidades quando receber a assinatura. Os orçamentos são úteis para auditar os gastos em relação ao uso atual e previsto, mas não são limites rígidos. Você deve criar alertas de orçamento para notificar os proprietários da assinatura se a carga de trabalho estiver prestes a exceder o limite de orçamento. Para serviços compartilhados, como Gerenciamento de API, considere usar regras de alocação de custos do Azure para redistribuir custos entre assinaturas de consumo.

Implantar carga de trabalho e operar

A equipe de aplicativos deve ter autonomia para criar os recursos necessários para sua carga de trabalho e gerenciar operações. A equipe da plataforma continua responsável pela governança de assinaturas. À medida que os requisitos de governança de uma carga de trabalho mudam, a equipe da plataforma deve mover as assinaturas para o grupo de gerenciamento que melhor atenda às necessidades de carga de trabalho. Você pode automatizar o movimento usando Bicep ou Terraform. Para saber mais, veja:

Próximas etapas

Analise as assinaturas, ou linhas de produtos, que você pode vender às equipes de aplicativos. Estabeleça um ótimo ponto de partida para que você possa atender a vários cenários diferentes.