订阅本身并不是像它们看上去那样非白即黑的。当为Azure订阅制订计划和进行管理时,应审查所涉及的概念、角色和挑战。
订阅是每一项IT服务的一个基本组成部分,它为个人或组织、所使用的资源以及支付之间提供了一个链接。在微软Azure中,订阅与特定帐户进行绑定,另外还涉及访问使用报告和账单。
与其他基础设施即服务产品的订阅类似,Azure订阅为用户建立了一套可用资源。例如,一些订阅只包括使用虚拟机、存储和SQL数据库,或只是移动应用服务。
Azure订阅建立了三个参数:一个唯一的订阅用户ID,一个记账位置以及一套可用资源。具体就个人开发者而言,那就是一个微软账户ID、一个信用卡号以及全套Azure服务,但是微软会强制消费限额,这主要取决于订阅类型。
但是,企业用户订阅将变得更为复杂,因为他们会使用合并记账,以及集中控制所有帐户、订阅以及资源使用。
使用微软EA的Azure订阅
很多企业都拥有微软企业协议(EA),这个协议涵盖了企业用户使用整个微软应用与服务产品组合的许可证和技术支持。这些企业级协议可为Azure订价提供折扣,可让用户将微软许可证从内部部署服务器迁移至Azure。拥有EA的用户们也被赋予访问Azure企业门户网站的权限,从而提供了计费和订阅管理功能。
对于拥有EA的企业来说,Azure订阅遵循四个层次结构:企业注册管理员、部门管理员、帐户所有者以及服务管理员。企业管理员可以让他们的企业使用Azure服务并执行如下操作:
在注册中增加帐户或关联现有帐户。一个注册包括一个与企业EA相关的主帐户,后者与所有其他Azure订阅和账单相关。当EA用户与Azure签订服务合同时,他们会收到一个可以让他们访问Azure EA门户网站和执行管理任务的注册号和访问密钥。
查看所有帐户的使用数据。
查看账单信息,其中包括注册帐户的现金余额。
授权帐户所有者查看收费的权利。
微软对于每个注册号中企业管理员的数量是没有限制的。
Azure部门管理员要做些什么?
企业管理员能够创建对已定义组内拥有管理权限的部门管理员。部门管理员能够:
在他们工作组内或根据计费代码新增帐户和跟踪使用情况;
增加和删除其他部门管理员;
在注册号和他们部门中增加帐户;
从他们部门中删除帐户;以及
如果企业管理员允许,可查看部门收费。
每一个帐户都可以有一个或多个Azure订阅,而服务管理员能够管理个人订阅。帐户所有者能够在他们的帐户中添加任何可用订阅,以及查看使用统计数据和费用(当然其前提就是企业管理员同意他们这样做)。帐户所有者无权访问访问涵盖财务总体平衡或承诺的注册号。
IT团队可在Azure活动目录(AD)中定义这四个角色。企业用户通常会将他们的私有AD连接至Azure,以消除重复用户和组ID,以及安全策略。每一个注册和订阅只信任一个单独的目录,所以对于那些使用他们自己AD的企业,不同管理员角色通常对应于一个AD组。
设计一个统一的Azure注册和订阅结构需要做好规划。这里要开始做好规划需要五个步骤:
1. 选择订阅类型。
由于价格折扣和许可证灵活性等原因,拥有EA的企业用户应当将Azure与他们的整个微软许可证和服务进行绑定。而没有EA的企业用户必须从“所用即所付”的付费模式和预付费计划之间做出选择。但是,对于大型的Azure项目,用户可预计至少花费六千美元,而预付费选项可能是较好的选择,因为预付费模式可提供九五折优惠以及合同期结束退还所有未使用余额。
2. 决定管理层次。
Azure的层次结构可允许企业用户分离服务控制、根据部门消费与报告、帐户和服务管理角色的权限。有若干逻辑方式可以做到这一点。例如,用户可以根据功能划分部门——比如研发、IT或财务,当然也可以根据实际业务单元或部门地理所在位置。帐户所有者应负责增加订阅,这一角色可以是一个个人,也可以是一个企业内的组。
3. 确定是否将用户企业AD链接至Azure。
集成同步AD和Azure是得到较好支持的,但是当在订阅和目录管理之间划分角色和责任时,有可能是有问题的。Azure订阅管理员和Azure AD管理员是两个不同的角色。Azure订阅管理员能够管理Azure资源并在Azure门户网站上查看AD扩展,而AD管理员们可管理目录中的属性。虽然可以由同一个人来担任这两个角色,这是没有必要的。***是使用现有AD组来控制帐户和服务管理员角色的成员。
4. 为Azure订阅和部门制订一个命名约定。
企业应当根据账单要求对他们的Azure 帐户和订阅制订一个统一的命名约定。这样做可以让创建账单报告变得更简便,它可以让管理人员下载Azure报告至Excel并创建数据透视表。
5. 对帐户类型定义服务边界、使用配额和限制。
Azure对可用资源有默认限制,但是因为计费与订阅相关,所以企业应当根据应用程序、工作组或者其他因素建立不同的限制。Azure资源组提供了一个方法,可将相关服务纳入一个容器中,管理员基于此可以定义一个统一的使用与安全策略组。
大多数的这些管理任务(例如资源命名和建立资源组)都是通过Azure资源管理器(ARM)完成的。但是,企业用户是通过独立EA门户网站执行企业注册和建立资源组的。ARM任务也可以使用PowerShell或Azure命令行界面实现脚本程序化,但是除非用户能够解决上述问题和制订可重复策略否则是不会使用ARM开始的。