Azure基础：什么是Azure 订阅和管理组(16)

什么是Azure 订阅

要使用 Azure，需要 Azure 订阅。 订阅提供针对 Azure 产品和服务的经过身份验证和授权的访问。 订阅支持预配资源。 Azure 订阅是链接到 Azure 帐户的 Azure 服务的逻辑单元，该帐户是 Azure Active Directory (Azure AD) 中的标识或 Azure AD 信任的目录中的标识。

一个帐户可以有一个订阅，也可以有多个具有不同计费模式的订阅，你可以对这些订阅应用不同的访问管理策略。 可以使用 Azure 订阅来定义 Azure 产品、服务和资源的边界。 可以使用两种类型的订阅边界：

• 计费边界：此订阅类型确定如何对使用 Azure 的 Azure 帐户计费。 可以为不同类型的计费要求创建多个订阅。 Azure 为每个订阅生成单独的计费报告和发票，以便你组织和管理成本。
• 访问控制边界：Azure 会在订阅级别应用访问管理策略，你可以创建单独的订阅来反映不同的组织结构。 例如在企业中，你可对不同的部门应用不同的 Azure 订阅策略。 通过这种计费模型，可以管理和控制对特定订阅中用户预配的资源的访问。

创建额外的 Azure 订阅

出于资源或计费管理目的，你可能需要创建额外的订阅。 例如，你可以选择创建额外的订阅来区分以下内容：

• 环境：在管理资源时，可以选择创建多个订阅，以便为开发和测试设置单独的环境、实现安全性或为合规性而隔离数据。 这种设计特别有用，因为资源访问控制发生在订阅级别。
• 组织结构：可以创建多个订阅以反映不同的组织结构。 例如，可以将某个团队限制于使用低成本资源，同时允许 IT 部门使用所有资源。 此设计允许管理和控制对每个订阅中用户预配的资源的访问。
• 计费：还可能由于计费管理目的而需要创建额外的订阅。 由于成本首先在订阅级别汇总，可以根据需要创建多个订阅以管理和跟踪成本。 例如，可为生产工作负载创建一个订阅，为开发和测试工作负载创建另一个订阅。

还可能由于以下原因而需要额外的订阅：

• 订阅限制：订阅受到一些严格的限制。 例如，每个订阅的 Azure ExpressRoute 线路数最多为 10 条。 在帐户中创建订阅时，应考虑这些限制。 如果在特定方案中需要超出这些限制，则可能需要额外的订阅。

自定义帐单以满足你的需求

如果有多个订阅，可以将它们组织到发票科目。 每个发票科目是发票上的一项明细，显示当月产生的费用。 例如，可以开具面向组织的单张发票，但在其中按部门、团队或项目组织费用。
根据需要，可以在同一个计费帐户中设置多个发票。 为此，请创建额外的计费对象信息。 每个计费对象信息有自己的月度发票和付款方式。
下图显示了账单结构的概述。 如果你以前注册了 Azure，或者你的组织有企业协议，则账单设置可能会有所不同。

Azure 管理组

如果组织有多个订阅，则可能需要通过某种方式来高效管理这些订阅的访问权限、策略和合规性。 Azure 管理组提供高于订阅的范围级别。 可将订阅组织到名为“管理组”的容器中，并将治理条件应用到管理组。 管理组中的所有订阅都将自动继承应用于管理组的条件。 不管使用什么类型的订阅，管理组都能提供大规模的企业级管理。 单个管理组中的所有订阅都必须信任同一个 Azure AD 租户。
例如，可以将策略应用到管理组，以限制可用于创建 VM 的区域。 此策略将应用到该管理组下面的所有管理组、订阅和资源，只允许在该区域中创建 VM。

管理组和订阅的层次结构

可以生成管理组和订阅的灵活层次结构，以便将资源组织成用于统一策略和访问管理的层次结构。 下图显示了使用管理组创建用于治理的层次结构的示例。

可以创建应用策略的层次结构。 例如，可以将 VM 位置限制为名为“生产”的组中的“美国西部”区域。 此策略将继承到作为该管理组的后代的所有企业协议订阅，并将应用于这些订阅下的所有 VM。 此安全策略不能由资源或订阅所有者更改，这实现了治理的改进。
使用管理组的另一个场景是向用户提供对多个订阅的访问权限。 通过移动该管理组下的多个订阅，可对该管理组创建一个基于角色的访问控制 (RBAC) 分配，该分配将这种访问权限继承到所有订阅。 管理组的一个分配就能让用户访问所需的一切内容，而无需基于多个订阅编写 RBAC 分配的脚本。

关于管理组的重要事实

在单个目录中可以支持 10,000 个管理组。
一个管理组树最多可支持六个级别的深度。 此限制不包括根级别或订阅级别。
每个管理组和订阅只能支持一个父项。
每个管理组可以有多个子级。
所有订阅和管理组都在每个目录中的单个层次结构内。