Freigeben über


Überlegungen und Empfehlungen zu Abonnements

Abonnements sind eine Einheit für die Verwaltung, Abrechnung und Skalierung in Azure. Sie spielen eine wichtige Rolle bei der Entwicklung für Azure im großen Stil. Dieser Artikel hilft Ihnen bei der Erfassung von Abonnementanforderungen und der Gestaltung von Zielabonnements auf der Grundlage kritischer Faktoren, die je nach Art des Abonnements variieren:

  • Umgebungstypen
  • Eigentums- und Governancemodelle
  • Organisationsstrukturen
  • Anwendungsportfolios
  • Regions

Tipp

Weitere Informationen zu Abonnements finden Sie in dem YouTube-Video: Azure Landing Zones – Wie viele Abonnements sollte ich in Azure verwenden?

Hinweis

Wenn Sie Konzernverträge, Microsoft-Kundenvereinbarungen (Enterprise) oder Microsoft Partner-Vereinbarungen (CSP) verwenden, überprüfen Sie die Abonnementgrenzwerte in Abrechnungskonten und -bereichen im Azure-Portal.

Überlegungen zum Abonnement

Die folgenden Abschnitte enthalten Überlegungen zum Planen und Erstellen von Abonnements für Azure.

Entwurfsüberlegungen zu Organisation und Governance

  • Abonnements fungieren bei Azure Policy-Zuweisungen als Grenzen.

    Beispielsweise erfordern sichere Workloads wie z. B. PCI-Workloads (Payment Card Industry) in der Regel weitere Richtlinien, um Compliance zu erreichen. Anstatt eine Verwaltungsgruppe zum Sortieren von Workloads zu verwenden, die PCI-Compliance erfordern, können Sie die gleiche Abgrenzung auch mit einem Abonnement erzielen, ohne zu viele Verwaltungsgruppen mit wenigen Abonnements zu haben.

    Wenn Sie mehrere Abonnements gruppieren müssen, die denselben Workloadarchetyp haben, sollten Sie diese in einer Verwaltungsgruppe erstellen.

  • Abonnements dienen als Skalierungseinheit, sodass Komponentenworkloads innerhalb der Abonnementgrenzen der Plattform skaliert werden können. Berücksichtigen Sie beim Entwerfen Ihrer Workloads die Ressourcengrenzwerte für Abonnements.

  • Abonnements stellen eine Verwaltungsgrenze für Governance und Isolation bereit, wodurch eine klare Trennung von Zuständigkeiten erreicht wird.

  • Erstellen Sie separate Plattformabonnements für Verwaltung (Überwachung), Konnektivität und Identität, sofern diese erforderlich sind.

    • Erstellen Sie ein dediziertes Verwaltungsabonnement in der Plattformverwaltungsgruppe, um globale Verwaltungsfunktionen wie Protokoll-Arbeitsbereiche in Azure Monitor und Azure Automation-Runbooks zu unterstützen.

    • Richten Sie ein dediziertes Identitätsabonnement in der Plattformverwaltungsgruppe ein, um Windows Server Active Directory-Domänencontroller bei Bedarf zu hosten.

    • Richten Sie ein dediziertes Konnektivitätsabonnement in der Plattformverwaltungsgruppe ein, um einen Azure Virtual WAN-Hub, ein privates Domain Name System (DNS), eine Azure ExpressRoute-Leitung und andere Netzwerkressourcen zu hosten. Mit einem dedizierten Abonnement wird sichergestellt, dass alle grundlegenden Netzwerkressourcen zusammen abgerechnet und von anderen Workloads isoliert werden.

    • Verwenden Sie Abonnements als demokratisierte Verwaltungseinheit, die sich an geschäftlichen Anforderungen und Prioritäten orientiert.

  • Verwenden Sie manuelle Prozesse, um Microsoft Entra-Mandanten ausschließlich auf Registrierungsabonnements für das Enterprise Agreement zu beschränken. Wenn Sie einen manuellen Prozess verwenden, können Sie keine Abonnements für das Microsoft Developer Network (MSDN) im Bereich der Stammverwaltungsgruppe erstellen.

    Übermitteln Sie für den Support ein Azure-Supportticket.

    Informationen zum Übertragen von Abonnements zwischen Azure-Abrechnungsangeboten finden Sie unter Azure-Abonnement- und Reservierungsübertragungs-Hub.

Überlegungen zu mehreren Regionen

Wichtig

Die Abonnements sind nicht an eine bestimmte Region gebunden und Sie können sie wie globale Abonnements behandeln. Sie sind logische Konstrukte, die Abrechnungs-, Governance-, Sicherheits- und Identitätskontrollen für die darin enthaltenen Azure-Ressourcen bieten. Sie brauchen also nicht für jede Region ein eigenes Abonnement.

  • Sie können einen Multiregion-Ansatz auf ebene der einzelnen Workload für die Skalierung oder Geo-Notfallwiederherstellung oder auf globaler Ebene (unterschiedliche Workloads in verschiedenen Regionen) einführen.

  • Ein einziges Abonnement kann Ressourcen aus verschiedenen Regionen enthalten, je nach Anforderungen und Architektur.

  • In einem Kontext für die Geo-Notfallwiederherstellung können Sie dasselbe Abonnement verwenden, um Ressourcen aus primären und sekundären Regionen zu enthalten, da sie logisch Teil derselben Workload sind.

  • Sie können verschiedene Umgebungen für dieselbe Workload in verschiedenen Regionen bereitstellen, um Kosten und Ressourcenverfügbarkeit zu optimieren.

  • In einem Abonnement, das Ressourcen aus mehreren Regionen enthält, können Sie Ressourcengruppen verwenden, um Ressourcen nach Region zu organisieren und zu integrieren.

Entwurfsüberlegungen zu Kontingent und Kapazität

Azure-Regionen verfügen eventuell über eine begrenzte Anzahl von Ressourcen. Daher sollten Sie die verfügbare Kapazität und die SKUs für Azure-Adaptionen mit mehreren Ressourcen verfolgen.

  • Beachten Sie für jeden von Ihren Workloads benötigten Dienst die Grenzwerte und Kontingente innerhalb der Azure-Plattform.

  • Prüfen Sie die Verfügbarkeit der erforderlichen SKUs in ausgewählten Azure-Regionen. So können neue Features beispielsweise nur in bestimmten Regionen verfügbar sein. Die Verfügbarkeit bestimmter SKUs für Ressourcen wie VMs kann in verschiedenen Regionen variieren.

  • Beachten Sie, dass Abonnementkontingente keine Kapazitätsgarantien sind und sich auf die jeweilige Region beziehen.

    Informationen zu Kapazitätsreservierungen für VMs finden Sie unter Bedarfsgesteuerte Kapazitätsreservierung.

  • Erwägen Sie die Wiederverwendung ungenutzter oder stillgelegter Abonnements. Weitere Informationen finden Sie unter Erstellen oder Wiederverwenden von Azure-Abonnements.

Entwurfsüberlegungen zu Mandantenübertragungseinschränkungen

Jedes Azure-Abonnement ist mit einem einzigen Microsoft Entra-Mandanten verknüpft, der als Identitätsanbieter (IdP) für Ihr Azure-Abonnement fungiert. Verwenden Sie den Microsoft Entra-Mandanten, um Benutzer, Dienste und Geräte zu authentifizieren.

Wenn ein Benutzer über die erforderlichen Berechtigungen verfügt, kann er den Microsoft Entra-Mandanten ändern, der mit Ihrem Azure-Abonnement verknüpft ist. Weitere Informationen finden Sie unter:

Hinweis

Sie können nicht zu einem anderen Microsoft Entra- Mandanten für Azure Cloud Solution Provider (CSP)-Abonnements wechseln.

Für Azure-Zielzonen können Sie Anforderungen festlegen, um zu verhindern, dass Benutzer*innen Abonnements an den Microsoft Entra-Mandanten Ihrer Organisation übertragen. Weitere Informationen finden Sie unter Verwalten von Azure-Abonnementrichtlinien.

Konfigurieren Sie Ihre Abonnementrichtlinie, indem Sie eine Liste der ausgenommenen Benutzer*innen bereitstellen. Ausgenommene Benutzer*innen dürfen die in der Richtlinie festgelegten Einschränkungen umgehen.

Wichtig

Eine Liste ausgenommener Benutzer*innen ist keine Azure Policy-Richtlinie.

Wichtig

Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Dies trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. „Globaler Administrator“ ist eine Rolle mit umfangreichen Berechtigungen, die auf Notfallszenarios beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können.

  • Alle Benutzer*innen mit Zugriff auf Azure können die für Ihren Microsoft Entra-Mandanten definierte Richtlinie anzeigen.

    • Benutzer*innen können Ihre Liste mit den ausgenommenen Benutzer*innen nicht anzeigen.

    • Benutzer können die globalen Administratoren in Ihrem Microsoft Entra-Mandanten anzeigen.

  • Azure-Abonnements, die an einen Microsoft Entra-Mandanten übertragen wurden, werden in die Standardverwaltungsgruppe dieses Mandanten eingefügt.

  • Wenn Ihr Unternehmen zustimmt, kann Ihr Anwendungsteam einen Prozess definieren, der die Übertragung von Azure-Abonnements zu oder von einem Microsoft Entra-Mandanten ermöglicht.

Entwurfsüberlegungen zur Kostenverwaltung

Jedes große Unternehmen steht vor der Herausforderung, Kostentransparenz zu schaffen. In diesem Abschnitt werden die wichtigsten Aspekte zur Erzielung von Kostentransparenz in großen Azure-Umgebungen untersucht.

  • Um eine höhere Dichte zu erreichen, müssen Sie möglicherweise Verrechnungsmodelle, wie App Service Environment und Azure Kubernetes Service (AKS), gemeinsam nutzen. Chargeback-Modelle können gemeinsam genutzte Platform-as-a-Service (PaaS)-Ressourcen betreffen.

  • Optimieren Sie die Kosten mithilfe eines Zeitplans zum Herunterfahren für nicht produktionsbezogene Workloads.

  • Verwenden Sie Azure Advisor, um Empfehlungen zur Kostenoptimierung zu erhalten.

  • Richten Sie ein Modell mit verbrauchsbasierter Kostenzuteilung ein, um die Kosten in Ihrer Organisation besser aufteilen zu können.

  • Implementieren Sie Richtlinien, damit Benutzer keine nicht autorisierten Ressourcen in der Umgebung Ihres Unternehmens einsetzen können.

  • Richten Sie einen regulären Zeitplan und eine Kadenz ein, um die Kosten und die richtige Größe von Ressourcen für Workloads zu überprüfen.

Abonnementempfehlungen

Die folgenden Abschnitte enthalten Empfehlungen zum Planen und Erstellen von Abonnements für Azure.

Empfehlungen für Organisation und Governance

  • Behandeln Sie Abonnements als eine Verwaltungseinheit, die sich an Ihren geschäftlichen Anforderungen und Prioritäten orientiert.

  • Informieren Sie die Inhaber von Abonnements über ihre Rollen und Verantwortlichkeiten.

    • Führen Sie quartalsweise oder jährlich eine Zugriffsprüfung in Microsoft Entra Privileged Identity Management (PIM) aus, damit Berechtigungen bei Versetzungen der Benutzer*innen innerhalb Ihrer Organisation nicht weiterverbreitet werden.

    • Beanspruchen Sie die vollständige Verfügung über Budgetausgaben und Ressourcenverwendung.

    • Gewährleisten Sie die Richtlinienkompatibilität, und beheben Sie ggf. Verstöße.

  • Wenn Sie die Anforderungen für neue Abonnements ermitteln, sollten Sie die folgenden Grundsätze beachten:

    • Skalierungsgrenzwerte: Abonnements dienen als Skalierungseinheiten für Komponentenworkloads, um innerhalb der Abonnementgrenzwerte der Plattform zu skalieren. Für große, spezialisierte Workloads wie High Performance Computing, IoT und SAP sollten separate Abonnements verwendet werden, um nicht an Grenzen zu stoßen.

    • Verwaltungsgrenze: Abonnements bieten eine Verwaltungsgrenze für die Governance und Isolation, die eine klare Trennung der Zuständigkeiten ermöglicht. Verschiedene Umgebungen, wie z. B. Entwicklungs-, Test- und Produktionsumgebungen, werden oft aus der Managementperspektive entfernt.

    • Richtliniengrenzen: Abonnements dienen als Grenze für Azure Policy-Zuweisungen. Beispielsweise erfordern sichere Workloads wie z. B. PCI-Workloads in der Regel andere Richtlinien, um Compliance zu erzielen. Der andere Mehraufwand wird nicht berücksichtigt, wenn ein separates Abonnement verwendet wird. Entwicklungsumgebungen weisen weniger Anforderungen an Richtlinien auf als Produktionsumgebungen.

    • Topologie des Zielnetzwerks: Virtuelle Netzwerke können nicht abonnementübergreifend freigegeben werden. Sie können sie jedoch mithilfe verschiedener Technologien wie dem Peering virtueller Netzwerke oder mit ExpressRoute verbinden. Berücksichtigen Sie, wenn Sie entscheiden, ob Sie ein neues Abonnement benötigen, welche Workloads miteinander kommunizieren müssen.

  • Gruppieren Sie Abonnements in Verwaltungsgruppen, die sich an Ihrer Struktur der Verwaltungsgruppen und Ihren Richtlinienanforderungen orientieren. Gruppieren Sie Abonnements, um sicherzustellen, dass Abonnements mit denselben Richtlinien und Azure-Rollenzuweisungen aus ein und derselben Verwaltungsgruppe stammen.

  • Erstellen Sie ein dediziertes Verwaltungsabonnement in Ihrer Verwaltungsgruppe Platform, um globale Verwaltungsfunktionen wie Protokoll-Arbeitsbereiche in Azure Monitor und Automation-Runbooks zu unterstützen.

  • Richten Sie bei Bedarf ein dediziertes Identitätsabonnement in Ihrer Verwaltungsgruppe Platform ein, um Windows Server Active Directory-Domänencontroller zu hosten.

  • Richten Sie ein dediziertes Konnektivitätsabonnement in der Verwaltungsgruppe Platformein, um einen Virtual WAN-Hub, privates DNS, ExpressRoute-Verbindung und andere Netzwerkressourcen zu hosten. Mit einem dedizierten Abonnement wird sichergestellt, dass alle grundlegenden Netzwerkressourcen zusammen abgerechnet und von anderen Workloads isoliert werden.

  • Vermeiden Sie ein rigides Abonnementmodell. Verwenden Sie stattdessen flexible Kriterien, um Abonnements in Ihrer Organisation zu gruppieren. Mithilfe dieser Flexibilität wird sichergestellt, dass Sie angesichts von Änderungen der Struktur und der Workloadkomposition Ihrer Organisation neue Abonnementgruppen erstellen können, anstatt festgelegte vorhandene Abonnements zu verwenden. Es gibt keine universelle Methode für Abonnements. Was für eine Geschäftseinheit funktioniert, muss für eine andere nicht funktionieren. Einige Anwendungen können unter Umständen gleichzeitig im gleichen Zielzonenabonnement vorhanden sein, während andere ggf. ein eigenes Abonnement erfordern.

    Weitere Informationen finden Sie unter Umgang mit einer Entwicklungs-/Test-/Produktions-Workload-Zielzone.

Empfehlungen für mehrere Regionen

  • Legen Sie nur dann zusätzliche Abonnements für jede Region an, wenn Sie regionsspezifische Governance- und Verwaltungsanforderungen haben, z. B. Datenhoheit oder eine Skalierung über die Kontingentgrenzen hinaus.

  • Wenn die Skalierung kein Problem für eine geografische Notfallwiederherstellungsumgebung darstellt, die mehrere Regionen umfasst, verwenden Sie dasselbe Abonnement für die primären und sekundären Regionsressourcen. Einige Azure-Dienste, abhängig von der Business Continuity & Disaster Recovery (BCDR)-Strategie, die Sie einführen, müssen möglicherweise dasselbe Abonnement verwenden. In einem Aktiv-Aktiv-Szenario, in dem Einsätze unabhängig voneinander verwaltet werden oder unterschiedliche Lebenszyklen haben, empfehlen wir Ihnen, verschiedene Abonnements zu verwenden.

  • Die Region, in der Sie eine Ressourcengruppe und die Region der enthaltenen Ressourcen erstellen, sollten übereinstimmen, damit sie sich nicht auf Resilienz und Zuverlässigkeit auswirken.

  • Eine einzelne Ressourcengruppe sollte keine Ressourcen aus verschiedenen Regionen enthalten. Dieser Ansatz kann zu Problemen bei der Verwaltung und Verfügbarkeit von Ressourcen führen.

Empfehlungen für Kontingent und Kapazität

  • Verwenden Sie Abonnements als Skalierungseinheiten, und skalieren Sie Ressourcen und Abonnements nach Bedarf auf. Ihre Workload könnte dann die erforderlichen Ressourcen zum Aufskalieren verwenden, ohne Abonnementgrenzen auf der Azure-Plattform zu erreichen.

  • Verwenden Sie reservierte Instanzen, um die Kapazität in einigen Regionen zu verwalten. Ihre Workload könnte dann über die erforderliche Kapazität für Ressourcen mit hohem Bedarf in einer bestimmten Region verfügen.

  • Richten Sie ein Dashboard mit benutzerdefinierten Ansichten ein, um die genutzte Kapazität zu überwachen, und richten Sie Warnmeldungen ein, wenn sich die Kapazität kritischen Werten nähert, z. B. 90 % CPU-Auslastung.

  • Stellen Sie Supportanfragen zu Kontingenterhöhungen bei der Abonnementbereitstellung, z. B. für die insgesamt verfügbaren VM-Kerne in einem Abonnement. Stellen Sie sicher, dass Ihre Kontingentgrenzen festgelegt sind, bevor Ihre Workloads die Standardgrenzwerte überschreiten.

  • Stellen Sie sicher, dass die erforderlichen Dienste und Features innerhalb Ihrer ausgewählten Bereitstellungsregionen verfügbar sind.

Automatisierungsempfehlungen

  • Erstellen Sie einen Abonnementverkaufsprozess, um die Erstellung von Abonnements für Anwendungsteams über einen Anforderungsworkflow zu automatisieren. Weitere Informationen finden Sie unter Abonnementverkauf.

Empfehlungen zur Übertragungseinschränkung bei Mandanten

  • Konfigurieren Sie die folgenden Einstellungen, um zu verhindern, dass Benutzer*innen Azure-Abonnements an Ihren oder aus Ihrem Microsoft Entra-Mandanten übertragen:

    • Legen Sie Abonnements, die das Microsoft Entra-Verzeichnis verlassen auf Permit no one fest.

    • Legen Sie Abonnements, die in das Microsoft Entra-Verzeichnis eintreten auf Permit no one fest.

  • Konfigurieren Sie eine begrenzte Liste von ausgenommenen Benutzer*innen.

    • Fügen Sie Mitglieder eines Azure Plattformbetriebs-Teams hinzu.

    • Fügen Sie der Liste der ausgenommenen Benutzer Notfallkonten hinzu.

Nächster Schritt

Einführen richtliniengesteuerter Schutzmaßnahmen