Considerações e recomendações de subscrição

As subscrições são uma unidade de gestão, faturação e dimensionamento no Azure. Eles desempenham um papel crítico quando você projeta para adoção em larga escala do Azure. Este artigo ajuda você a capturar os requisitos de assinatura e projetar assinaturas de destino com base em fatores críticos que variam dependendo de:

• Tipos de ambientes
• Modelos de propriedade e governação
• Estruturas organizacionais
• Portfólios de aplicativos
• Regiões

Considerações sobre a subscrição

As seções a seguir contêm considerações para ajudá-lo a planejar e criar assinaturas para o Azure.

Considerações sobre design de organização e governança

• As subscrições servem como limites para escala, quota, custo, governação, segurança e controlos de identidade para os recursos Azure que estão contidos nelas mesmos.

  • Se você precisar agrupar muitas assinaturas do mesmo arquétipo de carga de trabalho, crie-as em um grupo de gerenciamento. Consulte a área de design dos grupos de gestão para mais informações.

• As assinaturas servem como uma unidade de escala para que as cargas de trabalho dos componentes possam ser dimensionadas dentro dos limites de assinatura da plataforma. Certifique-se de considerar os limites de recursos de assinatura ao projetar suas cargas de trabalho.

• As assinaturas fornecem um limite de gerenciamento para governança e isolamento que separa claramente as preocupações.

• Crie assinaturas de plataforma separadas para gerenciamento (monitoramento), conectividade e identidade quando forem necessárias.

  • Estabeleça uma subscrição dedicada à gestão na sua área de grupo de gestão de plataforma para apoiar capacidades globais de gestão como Log Analytics Workspaces e Azure Automation runbooks.
  • Estabeleça uma subscrição de segurança dedicada na área do seu grupo de gestão de plataformas para apoiar capacidades globais de segurança como o Microsoft Sentinel e apoiar integrações e recursos SIEM.
  • Estabeleça uma subscrição de identidade dedicada na área do grupo de gestão da sua plataforma para alojar controladores de domínio Windows Server Active Directory quando necessário.
  • Estabeleça uma subscrição dedicada de conectividade na área do seu grupo de gestão de plataforma para alojar um hub Azure Virtual WAN, um Sistema de Nomes de Domínio (DNS) privado, circuitos Azure ExpressRoute e outros recursos de rede.

• Use processos manuais para limitar os locatários do Microsoft Entra apenas a assinaturas de registro do Enterprise Agreement. Quando você usa um processo manual, não pode criar assinaturas do Microsoft Developer Network (MSDN) no escopo do grupo de gerenciamento raiz.

  • Para obter suporte, envie um tíquete de suporte do Azure.

• Para obter informações sobre transferências de assinatura entre ofertas de cobrança do Azure, consulte Hub de transferência de assinatura e reserva do Azure.

Considerações sobre várias regiões

• Você pode adotar uma abordagem multirregional no nível de carga de trabalho única para dimensionamento ou recuperação de desastres geográficos ou em um nível global (cargas de trabalho diferentes em regiões diferentes).

• Uma única assinatura pode conter recursos de diferentes regiões, dependendo dos requisitos e da arquitetura.

• Em um contexto de recuperação de desastres geográficos, você pode usar a mesma assinatura para conter recursos de regiões primárias e secundárias, pois eles fazem parte logicamente da mesma carga de trabalho.

• Você pode implantar ambientes diferentes para a mesma carga de trabalho em regiões diferentes para otimizar os custos e a disponibilidade de recursos.

• Em uma assinatura que contém recursos de várias regiões, você pode usar grupos de recursos para organizar e conter recursos por região.

• Consulte as orientações em Qual local devo usar para o meu grupo de recursos? para mais informações sobre considerações sobre a localização do grupo de recursos.

Considerações sobre o design da cota e da capacidade

As regiões do Azure podem ter um número finito de recursos. Como resultado, você deve acompanhar a capacidade disponível e as SKUs para adoções do Azure com vários recursos.

• Considere limites e cotas dentro da plataforma Azure para cada serviço que suas cargas de trabalho exigem.

• Considere automatizar pedidos de quota usando a API REST do Azure Quota.

• Considere a disponibilidade das SKUs necessárias nas regiões do Azure escolhidas. Por exemplo, podem estar disponíveis novas funcionalidades apenas em determinadas regiões. A disponibilidade de determinadas SKUs para determinados recursos, como máquinas virtuais (VMs), pode variar de uma região para outra.

• Considere que as cotas de assinatura não são garantias de capacidade e são aplicadas por região.

  Para reservas de capacidade de máquina virtual, consulte Reserva de capacidade sob demanda.

• Considere a possibilidade de reutilizar subscrições não utilizadas ou desativadas. Para obter mais informações, consulte Criar ou reutilizar assinaturas do Azure.

• Considere usar Quota Groups para gerir e partilhar quotas entre múltiplas subscrições.

Considerações de design de restrição de transferência de locatário

Cada assinatura do Azure é vinculada a um único locatário do Microsoft Entra, que atua como um provedor de identidade (IdP) para sua assinatura do Azure. Use o locatário do Microsoft Entra para autenticar usuários, serviços e dispositivos.

Quando qualquer usuário tiver as permissões necessárias, ele poderá alterar o locatário do Microsoft Entra vinculado à sua assinatura do Azure. Para obter mais informações, consulte:

• Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra
• Transferir uma subscrição do Azure para um diretório diferente do Microsoft Entra.

Para zonas de aterrissagem do Azure, você pode definir requisitos para impedir que os usuários transfiram assinaturas para o locatário do Microsoft Entra da sua organização. Para obter mais informações, veja Gerir políticas de subscrição do Azure.

Configure sua política de assinatura fornecendo uma lista de usuários isentos. Os usuários isentos têm permissão para ignorar as restrições definidas na política.

• Considere se você deve permitir que os usuários que têm assinaturas do Visual Studio ou do MSDN Azure transfiram suas assinaturas de ou para seu locatário do Microsoft Entra.

• Somente usuários com a função de Administrador Global do Microsoft Entra podem definir as configurações de transferência de locatário. Esses usuários devem ter acesso elevado para alterar a política.

  • Você só pode especificar contas de usuário individuais como usuários isentos, não grupos do Microsoft Entra.

• Todos os utilizadores com acesso ao Azure podem ver a política definida para o seu inquilino do Microsoft Entra.

  • Os utilizadores não podem ver a sua lista de utilizadores isentos.

  • Os usuários podem exibir os administradores globais em seu locatário do Microsoft Entra.

• As assinaturas do Azure que você transfere para um locatário do Microsoft Entra são colocadas no grupo de gerenciamento padrão para esse locatário.

• Se sua organização aprovar, sua equipe de aplicativos poderá definir um processo para permitir que as assinaturas do Azure sejam transferidas de ou para um locatário do Microsoft Entra.

Considerações sobre o projeto de gerenciamento de custos

Toda grande organização empresarial tem o desafio de gerenciar a transparência de custos. Esta seção explora os principais aspetos para alcançar a transparência de custos em grandes ambientes do Azure.

• Talvez seja necessário compartilhar modelos de estorno, como o Ambiente do Serviço de Aplicativo e o Serviço Kubernetes do Azure (AKS), para obter maior densidade. Os modelos de estorno podem afetar os recursos de plataforma compartilhada como serviço (PaaS).

• Utilize uma agenda de encerramento para cargas de trabalho de não produção de forma a otimizar os custos.

• Use o Azure Advisor para obter recomendações para otimizar custos.

• Estabeleça um modelo de estorno para uma melhor distribuição de custos em toda a sua organização.

• Implemente a política para que os usuários não possam implantar recursos não autorizados no ambiente da sua organização.

• Estabeleça um cronograma e uma cadência regulares para revisar o custo e os recursos de tamanho certo para cargas de trabalho.

Recomendações de subscrição

As seções a seguir contêm recomendações para ajudá-lo a planejar e criar assinaturas para o Azure.

Recomendações de organização e governança

• Trate as subscrições como uma unidade de gestão alinhada com as necessidades e prioridades do seu negócio.

• Informe os proprietários de assinaturas sobre suas funções e responsabilidades.

  • Faça uma revisão de acesso trimestral ou anual para o Microsoft Entra Privileged Identity Management (PIM) para garantir que os privilégios não proliferem quando os usuários se movem dentro da sua organização.
  • Aproprie-se plenamente das despesas e dos recursos orçamentais.
  • Garanta a conformidade da política e corrija quando necessário.

• Ao identificar requisitos para novas assinaturas, faça referência aos seguintes princípios:

• • Limites de escala: as assinaturas servem como uma unidade de escala para cargas de trabalho de componentes serem dimensionadas dentro dos limites de assinatura da plataforma. Grandes cargas de trabalho especializadas, como computação de alto desempenho, IoT e SAP, devem usar assinaturas separadas para evitar esbarrar nesses limites.
  • Limite de gerenciamento: as assinaturas fornecem um limite de gerenciamento para governança e isolamento, o que permite uma separação clara de preocupações. Vários ambientes, como ambientes de desenvolvimento, teste e produção, são frequentemente removidos de uma perspetiva de gerenciamento.
  • Limite de política: as assinaturas servem como um limite para as atribuições da Política do Azure. Por exemplo, cargas de trabalho seguras, como cargas de trabalho PCI, normalmente exigem outras políticas para alcançar a conformidade. A outra sobrecarga não será considerada se você usar uma assinatura separada. Os ambientes de desenvolvimento têm requisitos de política mais relaxados do que os ambientes de produção.
  • Topologia de rede de destino: você não pode compartilhar redes virtuais entre assinaturas, mas pode conectá-las a diferentes tecnologias, como emparelhamento de rede virtual ou Rota Expressa. Ao decidir se precisa de uma nova assinatura, considere quais cargas de trabalho precisam se comunicar entre si.

• Agrupe subscrições em grupos de gestão, que estão alinhados com a estrutura do grupo de gestão e os requisitos da política. Assinaturas de grupo para garantir que as assinaturas com o mesmo conjunto de políticas e atribuições de função do Azure venham do mesmo grupo de gerenciamento. Consulte a área de design dos grupos de gestão para mais informações.

• Estabelecer subscrições de plataforma dedicada separadas para management, security, connectivity, e identity.

  • Não combine as responsabilidades da plataforma numa única subscrição. Esta abordagem garante que pode aplicar diferentes políticas e atribuições de funções a cada área da plataforma. Também garante que a faturação é separada para cada área.

• Crie um processo de venda automática de subscrições para automatizar a criação de subscrições para as equipas de aplicação através de um fluxo de trabalho de pedidos de autoatendimento. Para obter mais informações, consulte Subscrição vending.

• Evite um modelo de subscrição rígido. Em vez disso, use um conjunto de critérios flexíveis para agrupar assinaturas em toda a organização. Esta flexibilidade garante que, à medida que a composição da carga de trabalho e estrutura da organização muda, pode criar novos grupos de subscrição em vez de utilizar um conjunto fixo de subscrições existentes. Um tamanho único não serve para todas as assinaturas, e o que funciona para uma unidade de negócios pode não funcionar para outra. Algumas aplicações podem coexistir na mesma subscrição de zona de destino, enquanto outras podem exigir a sua própria subscrição.

  • Para mais informações, consulte Gerir zonas de implementação de cargas de trabalho em desenvolvimento/teste/produção e Estabelecer linhas de produtos comuns para distribuição por subscrição

Recomendações de excelência operacional

• Ative sempre o Azure Service Health em cada subscrição para receber alertas e orientações quando problemas de serviço Azure afetarem recursos nas suas subscrições.

Recomendações para várias regiões

• Crie assinaturas adicionais para cada região somente se você tiver requisitos de governança e gerenciamento específicos da região, por exemplo, soberania de dados ou para escalar além dos limites de cota.

• Se o dimensionamento não for uma preocupação para um ambiente de recuperação de desastres geográficos que abrange várias regiões, use a mesma assinatura para os recursos da região primária e secundária. Alguns serviços do Azure, dependendo da estratégia e das ferramentas de continuidade de negócios e recuperação de desastres (BCDR) adotadas, talvez precisem usar a mesma assinatura. Em um cenário ativo-ativo, em que as implantações são gerenciadas independentemente ou têm ciclos de vida diferentes, recomendamos que você use assinaturas diferentes.

• A região onde você cria um grupo de recursos e a região dos recursos contidos devem corresponder para que não afetem a resiliência e a confiabilidade.

• Um único grupo de recursos não deve conter recursos de regiões diferentes. Essa abordagem pode levar a problemas com o gerenciamento e a disponibilidade de recursos.

Recomendações em matéria de quotas e capacidades

• Use assinaturas como unidades de escala e dimensione recursos e assinaturas conforme necessário. Sua carga de trabalho pode usar os recursos necessários para dimensionamento sem atingir os limites de assinatura na plataforma Azure.

• Use reservas de capacidade para gerenciar a capacidade em algumas regiões. Sua carga de trabalho pode então ter a capacidade necessária para recursos de alta demanda em uma região específica.

• Estabeleça um painel com exibições personalizadas para monitorar os níveis de capacidade usados e configure alertas se a capacidade se aproximar de níveis críticos, como 90% de uso da CPU.

• Levante solicitações de suporte para aumentos de cota no provisionamento de assinatura, como para o total de núcleos de VM disponíveis em uma assinatura. Certifique-se de que seus limites de cota sejam definidos antes que suas cargas de trabalho excedam os limites padrão.

• Certifique-se de que todos os serviços e recursos necessários estejam disponíveis nas regiões de implantação escolhidas.

• Utilize os Quota Groups para gerir e partilhar quotas entre múltiplas subscrições.

• Automatize pedidos de quota, sempre que possível, utilizando a API REST do Azure Quota.

• Configure alertas de limite para notificar os proprietários de subscrições quando estiverem a aproximar-se dos limites de utilização.

Recomendações de restrição de transferência de locatário

• Configure as seguintes configurações para impedir que os usuários transfiram assinaturas do Azure de ou para seu locatário do Microsoft Entra:

  • Defina Subscription deixando o diretório Microsoft Entra como Permit no one.

  • Defina Assinatura inserindo o diretório Microsoft Entra como Permit no one.

• Configure uma lista limitada de usuários isentos.

  • Inclua membros de uma equipe de operações da plataforma Azure.

  • Inclua contas quebra-vidro na lista de usuários isentos.

Próximo passo