Venda automática de subscrição

A venda automática de assinaturas fornece um mecanismo de plataforma para emitir assinaturas programaticamente para equipes de aplicativos que precisam implantar cargas de trabalho. O diagrama a seguir mostra onde a venda automática de assinaturas se encaixa nos ciclos de vida da plataforma e da carga de trabalho.

A venda automática de assinaturas baseia-se no conceito de democratização da subscrição e aplica-o às zonas de destino de aplicações. Com a democratização da assinatura, as assinaturas, e não os grupos de recursos, são as principais unidades de gerenciamento e escala da carga de trabalho. Para obter mais informações, consulte:

• Zonas de aterragem da plataforma vs. zonas de aterragem da aplicação
• Abordagem democratizada das subscrições
• Quantas subscrições devo utilizar no Azure (YouTube)?

Porquê a venda de subscrição?

A venda automática de assinaturas oferece vários benefícios para organizações que precisam implantar cargas de trabalho no Azure. Ele padroniza e automatiza o processo de solicitação, implantação e controle de assinaturas para zonas de aterrissagem de aplicativos. A venda automática de assinaturas simplifica o processo de criação de assinaturas e o coloca sob a governança da organização, para que as equipes de aplicativos possam se concentrar na implantação de suas cargas de trabalho com maior confiança e eficiência.

• Processo simplificado: a venda automática de assinaturas fornece uma porta de entrada oficial para as equipes de aplicativos solicitarem assinaturas, eliminando a necessidade de navegar no processo de assinatura por conta própria.
• Velocidade aprimorada: as equipes de aplicativos podem acessar as zonas de aterrissagem de aplicativos mais rapidamente e as cargas de trabalho integradas mais rapidamente.
• Governança eficiente: a equipe da plataforma pode impor governança em zonas de aterrissagem de aplicativos com sobrecarga mínima.

Como implementar a venda automática de assinaturas

A venda automática por subscrição envolve três equipas. O Cloud Center of Excellence (CCoE) estabelece a lógica de negócio e o processo de aprovação. Quando prontos, as equipes de aplicativos fazem solicitações de assinatura. A equipe da plataforma usa a solicitação para criar e configurar a assinatura antes de entregá-la à equipe do aplicativo. A equipe do aplicativo atualiza o orçamento, implanta a carga de trabalho e estabelece operações. As orientações a seguir fornecem mais detalhes sobre cada etapa do processo de venda automática de assinaturas. Para obter mais informações, consulte Diretrizes de implementação de venda automática de assinaturas.

As equipes de plataforma podem vender muitas opções e tipos de assinatura para equipes de aplicativos. Esses tipos são chamados de linhas de produtos porque se relacionam com princípios e práticas de engenharia de plataforma. Para obter mais informações sobre como escolher a opção que melhor se adapta às suas necessidades, consulte Linhas comuns de produtos de venda automática por assinatura.

Estabeleça a lógica de negócios e o processo de aprovação

Para implementar o modelo de venda automática de assinaturas, você precisa estabelecer um processo de aprovação que colete informações essenciais da assinatura. O Cloud Center of Excellence (CCoE) deve programar o processo de aprovação e estabelecer regras de negócio em torno das informações a recolher.

Automatize o processo. Você deve automatizar o processo de captura e aprovação de solicitações de assinatura para um provisionamento mais rápido e melhor conformidade.

Integre com ferramentas existentes. Você deve integrar o processo de aprovação de venda automática de assinatura em sua ferramenta existente de gerenciamento de serviços de TI (ITSM). A integração pode simplificar o processo de aprovação, reduzir o esforço manual e melhorar a eficiência, reduzindo erros. Também facilita a manutenção ao longo do tempo e ajuda com relatórios de conformidade para auditorias.

Conecte-se ao pipeline de implantação. É uma prática recomendada vincular a lógica de negócios do processo de aprovação ao pipeline de implantação de assinatura que a equipe da plataforma gerencia. Os fluxos de trabalho do Azure Pipelines ou GitHub Actions são soluções comuns para o pipeline de implantação de assinatura.

Reúna os requisitos na entrada. A lógica de negócios deve permitir que as equipes de aplicativos solicitem uma assinatura e forneçam requisitos de assinatura. Esses requisitos devem incluir orçamentos antecipados, proprietários de assinaturas, expectativas de rede e criticidade de negócios e classificação de confidencialidade. A coleta dessas informações no início do processo informa seus parâmetros de implantação e as necessidades de aprovação das partes interessadas. O processo de admissão também deve fornecer à equipe da plataforma informações suficientes para colocar a carga de trabalho na hierarquia do grupo de gerenciamento.

Com o processo de aprovação em vigor, as equipes de aplicativos podem começar a fazer solicitações de assinatura.

Fazer um pedido de subscrição

A venda automática de assinaturas fornece um processo padrão para as equipes de aplicativos solicitarem uma assinatura. É importante que você socialize a disponibilidade da venda automática de assinaturas e garanta que as solicitações de assinatura sejam fáceis de fazer. Depois que a equipe de inscrição envia uma solicitação de assinatura, a equipe da plataforma assume o controle do processo. A equipe da plataforma mantém o controle até criar a assinatura e entregá-la à equipe do aplicativo.

Configurar as redes

A automação da assinatura precisa configurar os componentes de rede necessários e precisa ser flexível o suficiente para atender às necessidades de cada equipe de aplicativos. Como orientação geral, nunca use endereços IP sobrepostos em um único domínio de roteamento. Você pode adicionar ou excluir o espaço de endereço de uma rede virtual sem tempo de inatividade se os requisitos de tamanho mudarem. Para obter mais informações, consulte:

• Restrições de endereço IP
• Atualizar o espaço de endereço de uma rede virtual emparelhada
• Adicionar ou remover intervalo de endereços

Use a ferramenta de gerenciamento de endereços IP (IPAM). Você deve usar e integrar um sistema IPAM no processo de venda automática para simplificar a atribuição de endereços IP. Para obter mais informações e orientações sobre o IPAM, consulte Ferramentas de gerenciamento de endereços IP (IPAM).

Conceda autonomia à equipe do aplicativo. Você deve conceder às equipes de aplicativos os direitos para criar sub-redes e até mesmo algumas redes virtuais na assinatura. A equipe da plataforma deve sempre criar redes virtuais que se conectam a um hub central.

Reforçar a governança da rede. A equipe da plataforma deve impor a governança de rede virtual por meio de (1) política do Azure atribuída à hierarquia do grupo de gerenciamento ou (2) Gerenciador de Rede Virtual do Azure e Regras de Administração de Segurança. Para obter mais informações, consulte Governança orientada por políticas e Como bloquear portas de alto risco.

Determinar o posicionamento da subscrição

A equipe da plataforma deve usar os requisitos de rede e governança para colocar a assinatura na hierarquia do grupo de gerenciamento. Eles também devem revisar os limites de cota de assinatura antes de criar a assinatura. Para obter mais informações, consulte Personalizar a arquitetura da zona de aterrissagem do Azure para atender aos requisitos.

Identifique o grupo de gerenciamento correto. Os grupos de gerenciamento ajudam a organizar e controlar assinaturas e implantações de carga de trabalho. Localize ou crie um grupo de gerenciamento que imponha as políticas necessárias para a classificação e as necessidades de cada carga de trabalho.

Crie automação flexível. Sua automação deve ser flexível o suficiente (1) para implantar várias assinaturas e (2) adaptar-se aos limites do serviço de assinatura.

• Várias assinaturas: algumas cargas de trabalho precisam de várias assinaturas. Por exemplo, algumas cargas de trabalho têm várias instâncias separadas por assinatura. Como alternativa, as arquiteturas SaaS que usam recursos dedicados por cliente geralmente usam dezenas de assinaturas.

• Limites do serviço de assinatura: uma empresa com milhares de assinaturas deve ter automação que possa implantar em uma assinatura antiga ou colocalizar cargas de trabalho em uma assinatura para evitar os limites. Para obter mais informações, consulte Perguntas frequentes sobre zonas de aterrissagem do Azure.

  Você pode solicitar aumentos de cota manualmente usando o portal do Azure após o provisionamento. É mais fácil automatizar esse processo usando as APIs disponíveis. No entanto, a solicitação de cota pode falhar, portanto, você deve executar um script para lidar com quaisquer erros. Para obter mais informações, consulte Microsoft.Capacity, Microsoft.Quota e Microsoft.Support

Criar e configurar a subscrição

Agora você pode criar e configurar a assinatura solicitada. O objetivo é criar um processo repetível e consistente. Automatize o máximo possível do processo de criação e configuração de assinaturas.

Use a infraestrutura como código (IaC). Uma estratégia comum para a venda automática de assinaturas é criar e configurar a assinatura programaticamente usando o IaC. Você precisa de um contrato comercial para criar uma Assinatura do Azure programaticamente, mas pode automatizar todos os aspetos da configuração da assinatura sem um contrato comercial. Para obter mais informações, consulte:

• Função necessária da EA
• Função(ões) obrigatória(s) MCA
• Função obrigatória do MPA

Há exemplos de módulos de venda automática de assinatura Bicep e Terraform para ajudá-lo a adotar um modelo de venda automática de assinatura, independentemente de sua inscrição em um contrato comercial. Você deve usar ações do GitHub ou Pipelines do Azure para orquestrar a automação.

Use tags para gerenciamento de custos. Você deve automatizar a atribuição consistente de tags a cada assinatura para fins de gerenciamento de custos e relatórios no Microsoft Cost Management. Embora você receba relatórios de faturamento com seus contratos comerciais, o Gerenciamento de Custos oferece maior funcionalidade. Por exemplo, você pode criar relatórios para assinaturas com tags específicas. Para obter mais informações, consulte Como usar tags em dados de custo e uso e Agrupar e alocar custos usando herança de tags

Use assinaturas de produção e não produção. Na solicitação de uma nova assinatura, você deve especificar se a carga de trabalho é para Produção ou DevTest. Os ambientes DevTest resultam em menores encargos de recursos, mas têm outros termos. Observação A oferta DevTest não está disponível para MPA. Para obter mais informações, consulte:

• Ofertas de cobrança do Azure e locatários do Ative Directory
• Visão geral da área de design da organização de recursos
• Criar subscrições do Azure através de programação

Configure controles de acesso baseados em identidade e função (RBACs). Gerenciar o acesso a recursos em uma assinatura do Azure é fundamental para manter um ambiente seguro e compatível. Para controlar o acesso, é essencial configurar a identidade e os RBACs. Essa configuração envolve a designação de um proprietário de assinatura, a criação de grupos do Microsoft Entra para gerenciar o acesso e o estabelecimento de contas de automação para implantar cargas de trabalho.

• Designe um proprietário de assinatura. A automação de venda automática de assinaturas precisa designar um proprietário de assinatura na criação. A solicitação de assinatura deve capturar essas informações na entrada. Os proprietários de assinaturas só podem ser usuários ou entidades de serviço no diretório de assinatura selecionado. Não pode selecionar utilizadores de diretórios convidados. Se selecionar um principal de serviço, introduza o ID de Aplicação.

• Crie grupos do Microsoft Entra. Além do proprietário da assinatura, você deve garantir que o processo de venda automática use sua estrutura de grupo do Microsoft Entra para gerenciar o acesso à assinatura. Para acesso elevado (por exemplo, gravação), recomendamos o uso do PIM para grupos. A automatização desse processo de criação não deve violar as práticas recomendadas, como limitar o número de proprietários de assinaturas e usar o nível mínimo necessário de acesso.

• Estabeleça identidades de carga de trabalho. As identidades de carga de trabalho (princípios de serviço) usadas para implantação de carga de trabalho geralmente têm permissões elevadas no escopo da assinatura. O processo de solicitação de assinatura deve reunir as necessidades de identidade da carga de trabalho na entrada. Seu processo de venda automática deve criar essas identidades e atribuir acesso de assinatura apropriado. É importante observar que a identidade da carga de trabalho não pode usar o PIM e recebe acesso permanente aos recursos. Recomendamos que você use identidades gerenciadas para evitar a necessidade de gerenciar segredos. Para obter mais informações, consulte a área de design de identidade.

Entregue à equipa de aplicação. Depois que a equipe da plataforma criar a assinatura, eles devem entregá-la à equipe do aplicativo.

Atualizar orçamento de subscrição

As equipes da plataforma e da carga de trabalho compartilham a responsabilidade pela saúde financeira da assinatura. A implantação deve criar um orçamento de assinatura com base nas informações na solicitação de assinatura. O aplicativo deve atualizar o orçamento para atender às suas necessidades quando receber a assinatura. Os orçamentos são úteis para auditar os gastos em relação ao uso atual e previsto, mas não são limites rígidos. Você deve criar alertas de orçamento para notificar os proprietários da assinatura se a carga de trabalho estiver prestes a exceder o limite de orçamento. Para serviços compartilhados, como o Gerenciamento de API, considere usar regras de alocação de custos do Azure para redistribuir custos entre assinaturas consumidoras.

Implantar carga de trabalho e operar

A equipe de aplicativos deve ter autonomia para criar os recursos necessários para sua carga de trabalho e gerenciar operações. A equipe da plataforma continua sendo responsável pela governança de assinaturas. À medida que os requisitos de governança de uma carga de trabalho mudam, a equipe da plataforma deve mover as assinaturas para o grupo de gerenciamento que melhor atenda às necessidades de carga de trabalho. Você pode automatizar o movimento usando Bicep ou Terraform. Para obter mais informações, consulte:

• Visão geral dos grupos de gerenciamento
• Mover a subscrição para um novo grupo de gestão (Bicep)
• Mover a assinatura para um novo grupo de gerenciamento (Terraform)
• Personalize a zona de aterrissagem do Azure para atender às suas necessidades

Próximos passos

Analise as assinaturas, ou linhas de produtos, que você pode vender às equipes de aplicativos. Estabeleça um ótimo ponto de partida para que você possa atender a vários cenários diferentes.