Azure的訂閱結(jié)構(gòu)可以讓管理員分擔結(jié)算和資源管理的責任。但首先,他們需要了解賬戶和部門等概念。
通過Microsoft企業(yè)協(xié)議,Azure訂閱遵循分層結(jié)構(gòu)來隔離用戶角色和權(quán)限。圍繞這些訂閱的術(shù)語有時難以理解,特別是Azure部門和帳戶相關(guān)的術(shù)語。
Azure的管理結(jié)構(gòu)有四個級別,用于在大型組織中分配責任和改善問責制。這些級別包括:
注冊: Azure管理結(jié)構(gòu)的基礎(chǔ)。微軟使用所謂的分層“腳手架”來幫助組織構(gòu)建對Azure治理策略的靈活控制,并適應(yīng)各種組織需求。注冊是企業(yè)內(nèi)所有Azure服務(wù)和使用的控制點。管理員通常使用注冊來合并賬單,并將成本分配給不同業(yè)務(wù)部門、項目和工作組。
企業(yè)協(xié)議客戶在初次注冊Azure時會收到一個Azure注冊號和訪問密鑰。
盡管一個組織可以有多個注冊,但是這更多的是針對服務(wù)提供者,他們將Azure服務(wù)捆綁并轉(zhuǎn)售;大多數(shù)企業(yè)只有一個注冊。例如,使用Azure Stack創(chuàng)建私有云環(huán)境的服務(wù)提供商擁有更多的控制點,例如計劃和報價,但企業(yè)只有在從第三方購買Azure服務(wù)時才會遇到這些條款。
Microsoft Azure訂閱層次結(jié)構(gòu)
部門:提供了一種方法來細分大型組織內(nèi)的Azure資源特權(quán),使用情況和賬單。部門是可選的,但是它們能夠?qū)⒋罅緼zure資源劃分成對應(yīng)于業(yè)務(wù)組、開發(fā)項目、應(yīng)用程序或任何其他組織結(jié)構(gòu)的邏輯單元。
Azure部門管理員對帳戶組和Azure訂閱擁有管理權(quán)限。
帳戶:帳戶是更細粒度的Azure資源和使用控制,管理員用于報告和管理對底層Azure服務(wù)的訪問。帳戶創(chuàng)建者是默認的帳戶管理員,控制帳戶中的所有Azure訂閱以及帳戶內(nèi)的可用服務(wù)。這使得帳戶成為主要的計費結(jié)構(gòu)。
在開發(fā)人員開始使用Azure之前,他們必須創(chuàng)建一個與唯一ID和信用卡號綁定的帳戶。
訂閱:訂閱是用戶實際創(chuàng)建和使用Azure資源的級別。訂閱也可以幫助組織執(zhí)行限制;例如,一種限制可以防止意外部署大量的資源,如虛擬機,這會使每月都產(chǎn)生很高的成本。在企業(yè)內(nèi)部,訂閱提供了一種機制來控制可供個人用戶和工作組使用的Azure服務(wù),并創(chuàng)建三個參數(shù):唯一訂閱者ID,記帳位置和一組可用資源。
就像一個企業(yè)通常在一次注冊下有多個部門一樣,每個部門可以擁有多個賬戶,賬戶可以有很多訂閱。將訂閱視為在屬于單一主干(注冊)的大樹枝(帳戶)和分支(部門)上完成實際工作的葉子。
分層設(shè)計模式一些例子可以幫助理解這些管理概念。Microsoft文檔說明了組織Azure企業(yè)注冊的三種有用模式:
功能:Azure的部門映射到企業(yè)內(nèi)功能區(qū)域(如人力資源,IT,財務(wù)和產(chǎn)品開發(fā))的模型。通常情況下,每個部門或功能都有一個帳戶所有者/管理者,為該功能中的每個項目提供不同的Azure訂閱。
單元:Azure部門映射到正式業(yè)務(wù)單元的模型——例如制造公司內(nèi)的農(nóng)產(chǎn)品或工業(yè)設(shè)備,或酒店公司內(nèi)的賓館與餐館。同樣,每個部門通常都有一個帳戶,將Azure訂閱分配給單元內(nèi)的各個業(yè)務(wù)應(yīng)用程序。例如,給餐館單元里的移動訂購和付款應(yīng)用程序分配一個訂閱,并且給員工調(diào)度系統(tǒng)分配另一個訂閱。
地理:此模型將Azure部門映射到企業(yè)中已定義的地理區(qū)域。這可能是一個全球公司的大陸分支,或者是國內(nèi)公司的不同部分。與功能性組織一樣,每個地理區(qū)域都有一個單獨的帳戶,將Azure訂閱映射到地理上的不同項目。
Azure的四級組織層次結(jié)構(gòu)為企業(yè)組織和細分Azure賬單和資源管理責任提供了靈活性。 它們還有助于確保決策與實際的服務(wù)用戶最接近,而不是在一個中央管理機構(gòu)內(nèi)部。
然而,微軟在其文檔中強調(diào),這種層次結(jié)構(gòu)只是組織設(shè)計的一部分,它還必須包括命名約定,以便更容易理解結(jié)構(gòu)和管理服務(wù)的使用情況。此外,由于層次結(jié)構(gòu)的每個層次都定義了權(quán)限、角色和責任,因此企業(yè)必須定義安全和使用策略來控制訪問和資源消耗并監(jiān)控活動。
使用資源標記和組以獲得更多粒度控制雖然部門、帳戶和訂閱層次結(jié)構(gòu)使組織能夠劃分Azur
e的 管理和使用,但是大型企業(yè)會希望更加細化,特別是要更細地分配成本。這就是資源標簽的來源。它允許管理員在資源中添加元數(shù)據(jù),這樣它們就可以更有效地匯總和分組,以便進行報告和計費。典型的標簽包括部門或業(yè)務(wù)單元、帳單位置代碼、應(yīng)用程序和項目名稱。
另一個方便的管理抽象是Azure資源組,或共享一個共同目的的Azure資源或服務(wù)的包。管理員可以在Azure資源管理器中管理這些組,任何應(yīng)用于該組的操作都會影響其中包含的每個資源。
強烈建議使用標簽和資源組。然而,資源組的缺點是,一次配置的更改很容易會意外地造成大問題。為了保護重要的數(shù)據(jù)庫對象等關(guān)鍵任務(wù)的服務(wù),可以使用資源鎖來防止意外刪除或修改特定的資源,而不管組中的其他資源如何。