【转】掌握Azure订阅的关键概念和术语

Azure的订阅结构可以让管理员分担结算和资源管理的责任。但首先，他们需要了解账户和部门等概念。

通过Microsoft企业协议，Azure订阅遵循分层结构来隔离用户角色和权限。围绕这些订阅的术语有时难以理解，特别是Azure部门和帐户相关的术语。

Azure的管理结构有四个级别，用于在大型组织中分配责任和改善问责制。这些级别包括：

注册： Azure管理结构的基础。微软使用所谓的分层“脚手架”来帮助组织构建对Azure治理策略的灵活控制，并适应各种组织需求。注册是企业内所有Azure服务和使用的控制点。管理员通常使用注册来合并账单，并将成本分配给不同业务部门、项目和工作组。

企业协议客户在初次注册Azure时会收到一个Azure注册号和访问密钥。

尽管一个组织可以有多个注册，但是这更多的是针对服务提供者，他们将Azure服务捆绑并转售；大多数企业只有一个注册。例如，使用Azure Stack创建私有云环境的服务提供商拥有更多的控制点，例如计划和报价，但企业只有在从第三方购买Azure服务时才会遇到这些条款。

Microsoft Azure订阅层次结构

部门：提供了一种方法来细分大型组织内的Azure资源特权，使用情况和账单。部门是可选的，但是它们能够将大量Azure资源划分成对应于业务组、开发项目、应用程序或任何其他组织结构的逻辑单元。

Azure部门管理员对帐户组和Azure订阅拥有管理权限。

帐户：帐户是更细粒度的Azure资源和使用控制，管理员用于报告和管理对底层Azure服务的访问。帐户创建者是默认的帐户管理员，控制帐户中的所有Azure订阅以及帐户内的可用服务。这使得帐户成为主要的计费结构。

在开发人员开始使用Azure之前，他们必须创建一个与唯一ID和信用卡号绑定的帐户。

订阅：订阅是用户实际创建和使用Azure资源的级别。订阅也可以帮助组织执行限制；例如，一种限制可以防止意外部署大量的资源，如虚拟机，这会使每月都产生很高的成本。在企业内部，订阅提供了一种机制来控制可供个人用户和工作组使用的Azure服务，并创建三个参数：唯一订阅者ID，记帐位置和一组可用资源。

就像一个企业通常在一个注册下有多个部门一样，每个部门可以拥有多个账户，账户可以有很多订阅。将订阅视为在属于单一主干（注册）的大树枝（部门）和分支（帐户）上完成实际工作的叶子。

分层设计模式

一些例子可以帮助理解这些管理概念。Microsoft文档说明了，组织Azure企业注册有三种模式：

按功能分配部门：Azure的部门映射到企业内功能区域（如人力资源，IT，财务和产品开发）的模型。通常情况下，每个部门或功能都有一个帐户所有者/管理者，为该功能中的每个项目提供不同的Azure订阅。

按单元分配部门：Azure部门映射到正式业务单元的模型——例如制造公司内的农产品或工业设备，或酒店公司内的宾馆与餐馆。同样，每个部门通常都有一个帐户，将Azure订阅分配给单元内的各个业务应用程序。例如，给餐馆单元里的移动订购和付款应用程序分配一个订阅，并且给员工调度系统分配另一个订阅。

按地理分配部门：此模型将Azure部门映射到企业中已定义的地理区域。这可能是一个全球公司的大陆分支，或者是国内公司的不同部分。与功能性组织一样，每个地理区域都有一个单独的帐户，将Azure订阅映射到地理上的不同项目。

Azure的四级组织层次结构为企业组织和细分Azure账单和资源管理责任提供了灵活性。它们还有助于确保决策与实际的服务用户最接近，而不是在一个中央管理机构内部。

然而，微软在其文档中强调，这种层次结构只是组织设计的一部分，它还必须包括命名约定，以便更容易理解结构和管理服务的使用情况。此外，由于层次结构的每个层次都定义了权限、角色和责任，因此企业必须定义安全和使用策略来控制访问和资源消耗并监控活动。

使用资源标记和组以获得更多粒度控制

虽然部门、帐户和订阅层次结构使组织能够划分Azure的管理和使用，但是大型企业会希望更加细化，特别是要更细地分配成本。这就是资源标签的来源。它允许管理员在资源中添加元数据，这样它们就可以更有效地汇总和分组，以便进行报告和计费。典型的标签包括部门或业务单元、帐单位置代码、应用程序和项目名称。

另一个方便的管理抽象是Azure资源组，或共享一个共同目的的Azure资源或服务的包。管理员可以在Azure资源管理器中管理这些组，任何应用于该组的操作都会影响其中包含的每个资源。

强烈建议使用标签和资源组。然而，资源组的缺点是，一次配置的更改很容易会意外地造成大问题。为了保护重要的数据库对象等关键任务的服务，可以使用资源锁来防止意外删除或修改特定的资源，而不管组中的其他资源如何。