Szenario: Übergang einer Umgebung durch Duplizieren einer Zielzonenverwaltungsgruppe
Dieser Artikel beschreibt einen Beispielansatz beschrieben, bei dem eine Umgebung in die konzeptionelle Azure-Zielzonenarchitektur umgestellt wird, indem die Verwaltungsgruppe der Zielzonen mit Richtlinien im Modus Nur Überwachung dupliziert wird. Mit diesem Ansatz können Sie schnell auf die neue gewünschte Zielarchitektur zugreifen und dann die Anwendungs- oder Workloadabonnements für die Compliance bewerten. Dieser Ansatz beseitigt das Risiko von Auswirkungen auf die Anwendungsteams, da sich die Richtlinien im Modus Nur Überwachung befinden.
Übergang zur konzeptionellen Architektur der Azure-Zielzone
Überprüfen Sie vor der Implementierung dieses Ansatzes die konzeptionelle Azure-Zielzonenarchitektur, die Entwurfsprinzipien für Azure-Zielzonen und Entwurfsbereiche für Azure-Zielzonen.
Verwenden Sie diesen Ansatz, um zur konzeptionellen Azure-Zielzonenarchitektur zu wechseln:
Stellen Sie den Azure-Zielzonenbeschleuniger parallel zur aktuellen Umgebung im gleichen Microsoft Entra ID-Mandanten bereit. Diese Methode bietet einen reibungslosen und phasenweisen Übergang zur neuen Zielzonenarchitektur mit minimalen Unterbrechungen für aktive Workloads.
Diese Bereitstellung erstellt eine neue Verwaltungsgruppenstruktur. Diese Struktur ist an den Entwurfsprinzipien und Empfehlungen für die Azure-Zielzone ausgerichtet. Außerdem wird sichergestellt, dass sich diese Änderungen nicht auf die vorhandene Umgebung auswirken.
Informationen zum Minimieren von Unterbrechungen für Anwendungen und Dienste während der Migration finden Sie unter Einführung von richtliniengesteuerten Schutzmaßnamen.
Um die Zielzonenverwaltungsgruppe und die untergeordneten Elemente (Unternehmen und online im folgenden Diagramm) zu duplizieren, einschließlich aller Richtlinienzuweisungen, konfigurieren Sie diese für den Modus Nur Überwachung. Legen Sie für die Richtlinienzuweisungen die enforcementMode-Eigenschaft auf
DoNotEnforceoderDisabledfest.Dieser Ansatz bietet schnellen Zugriff auf die neue gewünschte Zielarchitektur. Anschließend können die Anwendungsteams die Richtlinien bewerten, ohne das Risiko von Auswirkungen auf aktive Anwendungen.
Hinweis
Dieser Ansatz hat keine zusätzlichen Kosten, da er nur die Verwaltungsgruppenhierarchie und die zugewiesenen Richtlinien dupliziert, nicht die Workloads.
(Optional) Arbeiten Sie mit Anwendungs- oder Dienstteams zusammen, um die Workloads, die in den ursprünglichen Abonnements bereitgestellt sind, in neue Azure-Abonnements zu migrieren. Weitere Informationen finden Sie unter Übertragen vorhandener Azure-Umgebungen auf die konzeptionelle Architektur der Azure-Zielzone. Sie können Workloads in die neu duplizierte Verwaltungsgruppenhierarchie unter der richtigen Verwaltungsgruppe platzieren, z. B. Unternehmens-Brownfield oder Online-Brownfield in diesem Beispiel.
Informationen zu den Auswirkungen auf Ressourcen bei der Migration finden Sie unter Richtlinien.
Schließlich können Sie das vorhandene Azure-Abonnement kündigen und es in der außer Betrieb genommenen Verwaltungsgruppe platzieren.
Hinweis
Sie müssen die vorhandenen Anwendungen oder Dienste nicht zwingend in neue Zielzonen (Azure-Abonnements) migrieren.
Nachdem die Anwendungsteams mit den Plattformteams zusammengearbeitet haben, um ihre Richtlinienkonformität in den erforderlichen Zustand zu bringen, werden ihre Abonnements in die richtige Verwaltungsgruppe verschoben, z. B. Unternehmen oder online im folgenden Diagramm. Sie werden von den zugewiesenen Richtlinien abgedeckt, und Ihr Team kann ihre Workload effizient und konform betreiben.
Weitere Informationen finden Sie unter Anleitung für das Vorbereiten Ihrer Zielzone für die Migration.
Das folgende Diagramm zeigt den Status dieses Szenarios während der Migration.
Zusammenfassung
Sie haben diesen Ansatz verwendet, um Ihre Workloads in Azure sicher zu migrieren, indem Sie die konzeptionelle Azure-Zielzonenarchitektur parallel zu Ihrer vorhandenen Umgebung mit minimalen Unterbrechungen bereitstellen.