Azure 是否建议您的组织中的每个应用程序都有一个订阅？

对于大型公司，我们设计了Azure订阅层次结构： 产品和非产品的订阅，每个订阅具有： -每个订阅1个VNET。 -Web层、应用层、数据库层的资源组RG -RG有自己的子网和NSG

问题是，有很多应用程序。这意味着，例如，不同应用程序的所有生产数据库服务器都位于同一RG中的同一子网中，默认情况下可以相互通信

为了防止无关的应用程序交谈，建议为每个应用程序创建一个订阅。由于拥有1000个订阅、VNET和IP范围，这将增加复杂性和资源重复。这是推荐的吗？有没有更好的管理方法

---

提前谢谢

设计Azure脚手架的方法如下：

订阅数量应始终是应用程序生命周期中预期的标准开发、测试和产品的独立解决方案和环境数量的函数 理想情况下，所有相关数据及其各自的应用程序都应该驻留在一个订阅中，因此您应该考虑多个资源组 在VNET中托管解决方案是实现“按安全性设计”的一种选择，当您最终使用可能会导致使用VPN S2S或P2S甚至Azure ExpressRoute将colo DC与Azure结合的解决方案时，它始终是一种补充 在您提到1000多个应用程序的情况下，考虑到上述想法，您应该开始合理地分配订阅以及相应的资源组。请注意，这里是Azure管理组在监督和管理此类复杂解决方案方面非常有用的地方。 应实施NSG和WAF控制入口/出口的构建逻辑，以控制流量和应用程序利用

---

如果您现在可以改进您的问题或添加后续内容并询问具体细节以进入下一阶段，那就太好了。

主要目标是控制并限制不同服务器组之间的流量。传统的方法是创建不同的子网，并使用防火墙根据端口、方向和IP范围子网控制流量。但同时，我想限制创建的子网数量。不希望使用1000个不同子网的1000个规则来管理防火墙规则库。因此，一种方法是为Dev、Test和Prod创建管理组。在每个管理组中，我们都有订阅。订阅具有对等的VNET，因此我们可以控制开发和产品订阅之间的通信流。然后在每个订阅内，例如在产品订阅内，我们可以创建不同的资源组，每个资源组都有自己的子网和NSG。这些用于Web、应用程序和数据库层。这样，我们可以控制应用层和数据库层之间的流量。我们仍然有多个不同的应用程序。我们希望限制不同应用程序之间的通信量。例如，我们可以为每个应用创建多个生产订阅，类似地，也可以创建多个开发订阅和多个测试订阅。这导致了大量的订阅。作为上述方法的一种替代方法，我们可以在相同的订阅中、在相应的层中以及在开发和测试订阅中使用相同的所有生产应用程序。例如，我们在同一个RG中有所有应用程序的所有DB服务器，在同一子网上的同一订阅中。如果这些应用程序作为容器化应用程序托管，则将读取标记为选择器非常有用，可以创建网络策略来控制入口/出口。如果这些应用程序不是作为容器化应用程序托管，则应部署ASG和NSG来控制流量的入口/出口。但更重要的情况是，如果有机会的话，要合理化你的脚手架。