你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

跨业务部门、环境或项目跟踪成本

若要构建 具有成本意识的组织,需要可见性并正确定义对与成本相关的数据的访问权限。 此最佳做法文章概述了决策和实现方法,可帮助你创建用于监视成本的跟踪机制。 你将了解如何应用基本的 Azure 概念,以提供成本可见性。

显示成本意识过程概述的关系图。

建立管理良好的环境

成本控制(非常类似于管理和其他管理构造)取决于管理良好的环境。 若要建立这样的环境,尤其是复杂的环境,需要一致地对所有资产进行分类和组织。 Azure 提供了多种用于分类和组织资产的机制。

资产(也称为资源)包括部署到云的所有虚拟机、数据源和应用程序。 根据多个条件组织和管理订阅 ,以建立管理良好的环境。

对资产进行分类

标记是对资产进行分类的一种简单方法。 标记将元数据关联到资产。 该元数据可用于基于各种数据点对资产进行分类。 标记是任何管理良好的环境的基本部分,并且有必要对任何环境建立适当的治理。

第一步是 开发命名和标记标准。 第二步是确保通过 建立治理 MVP 来一致地应用标记标准。

当使用标记对资产进行分类作为成本管理工作的一部分时,公司通常需要以下标记:业务部门、部门、计费代码、地理位置、环境、项目和工作负载或应用程序分类。 Microsoft 成本管理是一种用于设置预算并了解 Azure 或 AWS 云成本的工具,可以使用这些标记创建不同的成本数据视图。

组织资产

有多种方法可以组织资产。 Microsoft 的企业规模 Azure 登陆区域 设计提供了一种体系结构,可用作任何 Azure 云环境的基础。 登陆区域 资源组织 文档提供有关组织 管理组订阅的详细指导。 了解设计概念体系结构时使用的设计原则,在适应体系结构以满足特定业务需求时,在最佳做法中提供了基础。 对设计偏差可能需要满足业务需求,但了解这些偏差的影响将为任何必要的缓解做好准备。

管理组、订阅和资源组的以下模型将创建一个层次结构,该层次结构为每个团队提供适当的可见性级别来执行其职责。 当企业需要成本控制来防止预算溢出时,可以将 Azure Policy 等治理工具应用于此结构中的订阅,以快速阻止将来的成本错误。

显示 Azure 登陆区域加速器管理组结构的示意图

本文的其余部分假定使用上图中的最佳做法方法。 但以下文章可以帮助将该方法应用于最适合公司的资源组织:

提供正确的成本访问级别

管理成本是团队活动。 云采用框架的组织就绪性部分定义了一些核心团队,并概述了这些团队如何支持云采用工作。

为了适当地了解成本管理数据,团队的成员分配了范围和角色。 角色定义用户可以对各种资产执行的操作。 范围定义用户可以影响哪些资产,例如用户、组、服务主体或托管标识。 作为一般最佳实践,我们建议将用户分配到各种角色和范围时使用最低特权模型。

角色

成本管理支持每个范围的以下内置角色:

  • 所有者:可以查看成本和管理所有内容(包括成本配置)。
  • 参与者:可以查看成本和管理所有内容(包括成本配置,但不包括访问控制)。
  • 读取者:可以查看所有内容(包括成本数据和配置,但无法进行任何更改)。
  • 成本管理参与者:可以查看成本和管理成本配置。
  • 成本管理读取者:可以查看成本数据和配置。

作为一般最佳实践,应为所有团队成员分配成本管理参与者角色。 此角色授予创建和管理预算的权限,以更有效地监视和管理成本。 但云策略团队的成员应仅设置为成本管理读取者,因为它们不参与在成本管理工具中设置预算。

范围

以下范围和角色设置将创建成本管理所需的可见性。 此最佳实践可能需要稍作更改才能符合资产组织决策。

  • 云采用团队。 由于云采用团队主要关注云技术的实现,因此通常不需要对生产环境进行成本管理访问。 由于通常拥有对非生产或沙盒订阅的参与者访问权限,此团队本质上将有权访问这些订阅的成本管理数据。

  • 云策略团队。 跨多个项目和业务部门跟踪成本的责任需要在 管理组层次结构的根级别访问成本管理读取者

    • 向管理组的此团队分配成本管理读取者访问权限,这可确保持续查看与该管理组层次结构管理的订阅关联的所有部署。
  • 云治理团队。 跨所有采用工作管理成本、预算一致性和报告的责任需要在 管理组层次结构的根级别访问成本管理参与者

    • 在管理良好的环境中,云治理团队可能已经具有较高级别的访问权限,因此无需为成本管理参与者分配额外的范围。
  • 云卓越中心。 管理与共享服务相关的成本的责任需要在 订阅级别访问成本管理参与者 。 此外,此团队可能需要对包含由 CCoE 自动化流程部署的资产的资源组或订阅的成本管理参与者访问权限,以了解这些流程对成本的影响。

    • 共享服务。 当云卓越中心投入使用时,最佳做法建议通过中心和分支模型内的集中式共享服务订阅来支持由 CCoE 管理的资产。 在这种情况下,CCoE 可能具有对该订阅的参与者或所有者访问权限,因此不需要进行额外的成本管理参与者范围分配。

    • CCoE 自动化/控件。 CCoE 通常向云采用团队提供控件和自动化部署脚本。 CCoE 负责了解这些加速器如何影响成本。 若要获得该可见性,团队需要对运行这些加速器的任何资源组或订阅的成本管理参与者访问权限。

  • 云运营团队。 管理生产环境持续成本的责任需要 成本管理参与者 访问登陆区域和平台管理组节点。

    • 一般建议是将生产和非生产资产放在单独的订阅中,该订阅由与生产环境关联的管理组层次结构的节点治理。 在管理良好的环境中,运营团队的成员可能已对生产订阅具有所有者或参与者访问权限,从而不再需要成本管理参与者角色。

额外的成本管理资源

在建立对管理良好的环境层次结构的访问权限后,以下文章可帮助你使用该工具来监视和控制成本。

使用成本管理

使用成本管理来管理 AWS 成本

建立访问权限、角色和范围

后续步骤

若要开始使用成本管理,请参阅 如何使用成本管理优化云投资。