通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

创建和扩展 Azure 订阅

从第一天起,本文帮助你以正确的方法创建订阅。 订阅是组织、保护和管理云资源的基础。 随着业务的发展,一个周到的设置现在可节省你的时间、金钱和精力。

先决条件:创建 Azure 帐户初创公司 查看你是否符合 Azure 额度 的资格。

从订阅策略开始

在创建第一个订阅之前,必须定义部署和管理订阅的适当方法。 订阅可帮助你管理访问、成本和安全性,因此提前制定计划有助于以后进行缩放。 下面介绍如何开始使用:

  1. 使用管理组管理订阅。 管理组支持分层组织和策略继承,从而大规模简化治理。 使用 Azure Policy 对相关订阅进行分组并强制实施治理策略。 有关高级方案,请参阅 Azure 登陆区域管理组

  2. 建立订阅创建和管理过程。 定义明确的流程,说明谁可以请求新订阅、谁来批准,以及如何配置它们(策略、访问、预算)。 标准化流程可确保所有订阅都满足治理要求,同时为订阅管理活动提供审核线索和责任。

  3. 使用订阅来分隔工作负荷。 避免在同一订阅中放置多个工作负荷环境。 为生产环境、非生产环境和沙盒环境创建单独的订阅。 每个环境都需要不同的治理策略和访问控制。 这种分离可保护生产工作负荷,支持创新,并简化成本跟踪、访问控制和策略强制实施。 有关详细信息,请参阅 Azure 登陆区域应用程序环境

创建初始订阅

准备好策略后,即可创建第一个订阅。 至少遵循以下指南:

  1. 从三个核心订阅开始,以建立适当的边界。 为实时工作负荷创建一个生产订阅、一个用于开发和测试的非生产订阅,以及一个用于试验和学习的沙盒订阅。 此结构提供基本分离,同时保持管理开销低且成本可预测。

  2. 使用 Azure 开发/测试定价优化非生产环境中的成本。Azure 开发/测试产品/服务 为开发、测试和培训活动节省大量成本。 这些定价优势有助于小型组织最大限度地利用其云投资,同时保持适当的环境分离和治理做法。

  3. 通过 Azure 门户创建订阅。 在 Azure 门户中导航到“订阅”,然后选择“添加”。提供明确指示工作负荷和环境的描述性名称。 选择相应的计费帐户和计划。 选择正确的订阅目录和管理组。 为订阅分配所有者,并为支出警报配置预算。 应用标准化标记以确保一致性。 有关详细指南,请参阅 创建 MCA 订阅创建 EA 订阅。 随着组织成熟,请考虑 以编程方式创建订阅 ,以确保一致性并减少手动工作量。

管理订阅

有效的订阅治理可确保云资源在整个生命周期内保持安全、合规和经济高效。 需要确定所有标准订阅的外观,包括 Azure 基于角色的访问控制、策略、标记和资源。 操作方法如下:

  1. 默认情况下控制资源部署。 在管理组级别使用 Azure Policy 强制实施治理策略。 从 Azure Policy 中的 “常规 ”定义开始,例如,允许阻止资源、位置和删除。 有关更多示例,请参阅 自动策略强制实施

  2. 应用 Azure 基于角色的访问控制。 基于角色的访问控制使工作负荷团队能够在维护安全边界的同时有效管理其资源。 创建时,将 Azure 基于角色的访问控制分配给订阅,为工作负荷团队提供执行其职责所需的最低权限。 允许工作负荷团队授予对资源组和资源的访问权限。 有关详细信息,请参阅 Azure 登陆区域访问控制

  3. 将预算和成本警报应用于每个订阅。 Microsoft成本管理工具提供财务治理并防止意外支出。 设定适当的预算阈值,并在预定的时间间隔自动发送提醒,以便在成本超出限制之前通知你。 这些控制有助于团队负责任地管理云支出,同时为财务利益干系人提供可见性。

  4. 建立用于治理和成本分配的资源标记标准。 一致的标记可在整个环境中进行准确的跟踪和报告。 为所有权、成本中心、环境和应用程序定义强制标记,以支持治理报告和退款流程。 这种标准化提升了您订阅中所有资源的可见性和问责。 有关详细信息,请参阅 “定义标记策略”。

扩展订阅

随着云环境的增长,订阅策略必须不断发展。 建立可缩放模式,支持增长,而不影响治理。 操作方法如下:

  1. 使用具有预定义配置的模板。 使用基础结构即代码,通过包括策略、角色分配、标记和针对每个订阅类型定制的基线资源来确保一致性和符合性。 示例请参阅 Azure 着陆区 Bicep 模板

  2. 自动执行订阅预配和管理。 自动化工具可消除手动错误并确保大规模合规性。 这些工具简化了订阅创建、配置和治理,同时加快了对业务需求的响应。 有关详细信息,请参阅 订阅售货

  3. 主动监视订阅配额和限制。 定期监视可防止意外的服务中断。 根据 Azure 订阅限制跟踪资源使用情况,以确定何时需要更多订阅,然后再达到关键阈值。 有关详细信息,请参阅 Azure 订阅限制和配额

  4. 优化您的体系结构中的跨订阅网络连接成本。 高效的网络设计将隔离与成本管理相平衡。 最大程度地减少订阅之间的不必要的数据传输,同时保持工作负荷隔离和共享服务访问。 此方法可确保成本效益,而不会影响运营要求。

  5. 规划经典部署模型资源隔离。 使用经典部署模型创建的旧资源无法使用 Azure 策略、基于角色的访问控制、资源组或标记。 将这些资源转移到专用订阅中,以避免管理上的复杂性,并实现对现代资源的适当治理。 有关详细信息,请参阅 将 Azure 资源移到另一个资源组或订阅

  6. 允许业务需求引导订阅过程的创建。 Azure 订阅策略应根据组织的优先级发展。 随着业务的发展,特定需求(例如创新、迁移、成本控制、运营、安全性和治理)可能会证明创建更多订阅是正当的。

  7. 决定如何在订阅之间移动资源。 随着订阅模型的增长,你可能会决定某些资源属于其他订阅。 可以在订阅之间移动许多类型的资源。 还可以使用自动部署在另一订阅中重新创建资源。 有关详细信息,请参阅 将 Azure 资源移到另一个资源组或订阅

监控订阅

持续监视和优化可确保订阅设计继续满足业务需求。 定期评审有助于识别改进并防止问题升级。 操作方法如下:

  1. 定期进行访问评审。 定期按季度或每年评估订阅访问权限,以确保与业务需求保持一致。 使用 Microsoft Entra Privileged Identity Management (PIM) 管理和审核特权访问。

  2. 规划订阅生命周期管理。 定义解除未使用订阅、转移资源和维护合规性的过程。 有效的生命周期管理可防止蔓延,并使环境保持有序且经济高效。

后续步骤

选择区域