訂閱本身并不是像它們看上去那樣非白即黑的。當(dāng)為Azure訂閱制訂計(jì)劃和進(jìn)行管理時(shí)，應(yīng)審查所涉及的概念、角色和挑戰(zhàn)。

　　訂閱是每一項(xiàng)IT服務(wù)的一個(gè)基本組成部分，它為個(gè)人或組織、所使用的資源以及支付之間提供了一個(gè)鏈接。在微軟Azure中，訂閱與特定帳戶進(jìn)行綁定，另外還涉及訪問使用報(bào)告和賬單。

　　與其他基礎(chǔ)設(shè)施即服務(wù)產(chǎn)品的訂閱類似，Azure訂閱為用戶建立了一套可用資源。例如，一些訂閱只包括使用虛擬機(jī)、存儲(chǔ)和SQL數(shù)據(jù)庫，或只是移動(dòng)應(yīng)用服務(wù)。

　　Azure訂閱建立了三個(gè)參數(shù)：一個(gè)唯一的訂閱用戶ID，一個(gè)記賬位置以及一套可用資源。具體就個(gè)人開發(fā)者而言，那就是一個(gè)微軟賬戶ID、一個(gè)信用卡號(hào)以及全套Azure服務(wù)，但是微軟會(huì)強(qiáng)制消費(fèi)限額，這主要取決于訂閱類型。

　　但是，企業(yè)用戶訂閱將變得更為復(fù)雜，因?yàn)樗麄儠?huì)使用合并記賬，以及集中控制所有帳戶、訂閱以及資源使用。

[[169776]]

　　使用微軟EA的Azure訂閱

　　很多企業(yè)都擁有微軟企業(yè)協(xié)議(EA)，這個(gè)協(xié)議涵蓋了企業(yè)用戶使用整個(gè)微軟應(yīng)用與服務(wù)產(chǎn)品組合的許可證和技術(shù)支持。這些企業(yè)級(jí)協(xié)議可為Azure訂價(jià)提供折扣，可讓用戶將微軟許可證從內(nèi)部部署服務(wù)器遷移至Azure。擁有EA的用戶們也被賦予訪問Azure企業(yè)門戶網(wǎng)站的權(quán)限，從而提供了計(jì)費(fèi)和訂閱管理功能。

　　對(duì)于擁有EA的企業(yè)來說，Azure訂閱遵循四個(gè)層次結(jié)構(gòu)：企業(yè)注冊(cè)管理員、部門管理員、帳戶所有者以及服務(wù)管理員。企業(yè)管理員可以讓他們的企業(yè)使用Azure服務(wù)并執(zhí)行如下操作：

　　在注冊(cè)中增加帳戶或關(guān)聯(lián)現(xiàn)有帳戶。一個(gè)注冊(cè)包括一個(gè)與企業(yè)EA相關(guān)的主帳戶，后者與所有其他Azure訂閱和賬單相關(guān)。當(dāng)EA用戶與Azure簽訂服務(wù)合同時(shí)，他們會(huì)收到一個(gè)可以讓他們?cè)L問Azure EA門戶網(wǎng)站和執(zhí)行管理任務(wù)的注冊(cè)號(hào)和訪問密鑰。

　　查看所有帳戶的使用數(shù)據(jù)。

　　查看賬單信息，其中包括注冊(cè)帳戶的現(xiàn)金余額。

　　授權(quán)帳戶所有者查看收費(fèi)的權(quán)利。

　　微軟對(duì)于每個(gè)注冊(cè)號(hào)中企業(yè)管理員的數(shù)量是沒有限制的。

　　Azure部門管理員要做些什么?

　　企業(yè)管理員能夠創(chuàng)建對(duì)已定義組內(nèi)擁有管理權(quán)限的部門管理員。部門管理員能夠：

　　在他們工作組內(nèi)或根據(jù)計(jì)費(fèi)代碼新增帳戶和跟蹤使用情況;

　　增加和刪除其他部門管理員;

　　在注冊(cè)號(hào)和他們部門中增加帳戶;

　　從他們部門中刪除帳戶;以及

　　如果企業(yè)管理員允許，可查看部門收費(fèi)。

　　每一個(gè)帳戶都可以有一個(gè)或多個(gè)Azure訂閱，而服務(wù)管理員能夠管理個(gè)人訂閱。帳戶所有者能夠在他們的帳戶中添加任何可用訂閱，以及查看使用統(tǒng)計(jì)數(shù)據(jù)和費(fèi)用(當(dāng)然其前提就是企業(yè)管理員同意他們這樣做)。帳戶所有者無權(quán)訪問訪問涵蓋財(cái)務(wù)總體平衡或承諾的注冊(cè)號(hào)。

　　IT團(tuán)隊(duì)可在Azure活動(dòng)目錄(AD)中定義這四個(gè)角色。企業(yè)用戶通常會(huì)將他們的私有AD連接至Azure，以消除重復(fù)用戶和組ID，以及安全策略。每一個(gè)注冊(cè)和訂閱只信任一個(gè)單獨(dú)的目錄，所以對(duì)于那些使用他們自己AD的企業(yè)，不同管理員角色通常對(duì)應(yīng)于一個(gè)AD組。

　　設(shè)計(jì)一個(gè)統(tǒng)一的Azure注冊(cè)和訂閱結(jié)構(gòu)需要做好規(guī)劃。這里要開始做好規(guī)劃需要五個(gè)步驟：

　　1. 選擇訂閱類型。

　　由于價(jià)格折扣和許可證靈活性等原因，擁有EA的企業(yè)用戶應(yīng)當(dāng)將Azure與他們的整個(gè)微軟許可證和服務(wù)進(jìn)行綁定。而沒有EA的企業(yè)用戶必須從“所用即所付”的付費(fèi)模式和預(yù)付費(fèi)計(jì)劃之間做出選擇。但是，對(duì)于大型的Azure項(xiàng)目，用戶可預(yù)計(jì)至少花費(fèi)六千美元，而預(yù)付費(fèi)選項(xiàng)可能是較好的選擇，因?yàn)轭A(yù)付費(fèi)模式可提供九五折優(yōu)惠以及合同期結(jié)束退還所有未使用余額。

　　2. 決定管理層次。

　　Azure的層次結(jié)構(gòu)可允許企業(yè)用戶分離服務(wù)控制、根據(jù)部門消費(fèi)與報(bào)告、帳戶和服務(wù)管理角色的權(quán)限。有若干邏輯方式可以做到這一點(diǎn)。例如，用戶可以根據(jù)功能劃分部門——比如研發(fā)、IT或財(cái)務(wù)，當(dāng)然也可以根據(jù)實(shí)際業(yè)務(wù)單元或部門地理所在位置。帳戶所有者應(yīng)負(fù)責(zé)增加訂閱，這一角色可以是一個(gè)個(gè)人，也可以是一個(gè)企業(yè)內(nèi)的組。

　　3. 確定是否將用戶企業(yè)AD鏈接至Azure。

　　集成同步AD和Azure是得到較好支持的，但是當(dāng)在訂閱和目錄管理之間劃分角色和責(zé)任時(shí)，有可能是有問題的。Azure訂閱管理員和Azure AD管理員是兩個(gè)不同的角色。Azure訂閱管理員能夠管理Azure資源并在Azure門戶網(wǎng)站上查看AD擴(kuò)展，而AD管理員們可管理目錄中的屬性。雖然可以由同一個(gè)人來擔(dān)任這兩個(gè)角色，這是沒有必要的。***是使用現(xiàn)有AD組來控制帳戶和服務(wù)管理員角色的成員。

　　4. 為Azure訂閱和部門制訂一個(gè)命名約定。

　　企業(yè)應(yīng)當(dāng)根據(jù)賬單要求對(duì)他們的Azure 帳戶和訂閱制訂一個(gè)統(tǒng)一的命名約定。這樣做可以讓創(chuàng)建賬單報(bào)告變得更簡便，它可以讓管理人員下載Azure報(bào)告至Excel并創(chuàng)建數(shù)據(jù)透視表。

　　5. 對(duì)帳戶類型定義服務(wù)邊界、使用配額和限制。

　　Azure對(duì)可用資源有默認(rèn)限制，但是因?yàn)橛?jì)費(fèi)與訂閱相關(guān)，所以企業(yè)應(yīng)當(dāng)根據(jù)應(yīng)用程序、工作組或者其他因素建立不同的限制。Azure資源組提供了一個(gè)方法，可將相關(guān)服務(wù)納入一個(gè)容器中，管理員基于此可以定義一個(gè)統(tǒng)一的使用與安全策略組。

　　大多數(shù)的這些管理任務(wù)(例如資源命名和建立資源組)都是通過Azure資源管理器(ARM)完成的。但是，企業(yè)用戶是通過獨(dú)立EA門戶網(wǎng)站執(zhí)行企業(yè)注冊(cè)和建立資源組的。ARM任務(wù)也可以使用PowerShell或Azure命令行界面實(shí)現(xiàn)腳本程序化，但是除非用戶能夠解決上述問題和制訂可重復(fù)策略否則是不會(huì)使用ARM開始的。