Przygotowywanie strefy docelowej do migracji
W tym artykule opisano sposób przygotowania strefy docelowej platformy Azure do migracji. Zawiera również listę głównych zadań, które należy wykonać, aby upewnić się, że konfiguracje są wprowadzone dla projektu migracji.
Niezależnie od używanej implementacji referencyjnej strefy docelowej platformy Azure należy wykonać kilka zadań w celu przygotowania strefy docelowej do pomyślnego projektu migracji.
Jeśli nie użyto implementacji referencyjnej strefy docelowej platformy Azure, nadal musisz wykonać kroki opisane w tym artykule. Jednak może być wymagane wstępne zadanie do wykonania jako pierwsze lub może być konieczne dostosowanie określonych zaleceń do projektu.
W tym artykule opisano zadania, które należy wykonać dla istniejącej strefy docelowej platformy Azure po jej wdrożeniu. Niektóre zadania koncentrują się na zautomatyzowanych wdrożeniach. Zanotowano, że zadanie nie jest istotne dla środowisk wdrożonych ręcznie i zarządzanych.
Ustanawianie łączności hybrydowej
Podczas wdrażania strefy docelowej platformy Azure można wdrożyć subskrypcję Połączenie ivity z bramami sieci wirtualnej i sieci koncentratora, takimi jak bramy sieci VPN platformy Azure, bramy usługi Azure ExpressRoute lub oba te bramy. Po wdrożeniu strefy docelowej platformy Azure należy nadal skonfigurować łączność hybrydową z tych bram, aby połączyć się z istniejącymi urządzeniami centrum danych lub obwodem usługi ExpressRoute.
W fazie gotowości planowane jest połączenie z platformą Azure. Użyj tego planu, aby określić połączenia, które należy uwzględnić. Jeśli na przykład używasz usługi ExpressRoute, musisz współpracować z dostawcą w celu ustanowienia obwodu usługi ExpressRoute.
Aby uzyskać wskazówki techniczne dotyczące określonych scenariuszy, zobacz:
- Utwórz połączenie sieci VPN z bramy sieci VPN platformy Azure.
- Utwórz obwód usługi ExpressRoute.
- Utwórz połączenie usługi ExpressRoute z bramy usługi ExpressRoute do obwodu.
- Zarządzanie ustawieniami bramy usługi Azure Virtual WAN.
Uwaga
Aby uzyskać dodatkowe wskazówki, zapoznaj się również z konkretną dokumentacją dostawcy.
Jeśli ustanowić łączność hybrydową z platformą Azure za pośrednictwem wirtualnego urządzenia sieciowego innej firmy wdrożonego w sieci wirtualnej, zapoznaj się z ich konkretnymi wskazówkami i naszymi ogólnymi wskazówkami dotyczącymi urządzeń WUS o wysokiej dostępności.
Przygotowywanie tożsamości
Podczas wdrażania strefy docelowej platformy Azure należy również wdrożyć architekturę pomocniczą dla platformy tożsamości. Możesz mieć dedykowaną subskrypcję tożsamości lub grupy zasobów oraz sieć wirtualną lub podsieci dla maszyn wirtualnych używanych do obsługi tożsamości. Należy jednak wdrożyć zasoby tożsamości po wdrożeniu strefy docelowej platformy Azure.
Poniższe sekcje zawierają wskazówki dotyczące usługi Active Directory. Jeśli używasz innego dostawcy tożsamości do uwierzytelniania i autoryzacji, musisz postępować zgodnie ze wskazówkami dotyczącymi rozszerzania tożsamości na platformę Azure.
Przed wdrożeniem tych wskazówek zapoznaj się z usługą Active Directory i decyzjami dotyczącymi tożsamości hybrydowej, które podjęto podczas planowania strefy docelowej.
Należy również przejrzeć punkt odniesienia tożsamości z fazy ładu, aby ustalić, czy musisz wprowadzić zmiany w identyfikatorze Entra firmy Microsoft.
Rozszerzanie kontrolerów domeny usługi Active Directory
W większości scenariuszy migracji obciążenia migrowane na platformę Azure są już przyłączone do istniejącej domeny usługi Active Directory. Microsoft Entra ID oferuje rozwiązania do modernizacji zarządzania tożsamościami, nawet w przypadku obciążeń maszyn wirtualnych, ale może zakłócić migrację. Zmiana architektury użycia tożsamości dla obciążeń jest często wykonywana podczas inicjatyw związanych z modernizacją lub innowacjami.
W związku z tym należy wdrożyć kontrolery domeny na platformie Azure w wdrożonym obszarze sieci tożsamości. Po wdrożeniu maszyn wirtualnych należy postępować zgodnie z normalnym procesem podwyższania poziomu kontrolera domeny, aby dodać je do domeny. Ten proces może obejmować tworzenie dodatkowych lokacji w celu obsługi topologii replikacji.
Aby uzyskać typowy wzorzec architektury wdrażania tych zasobów, zobacz Wdrażanie usług domena usługi Active Directory (AD DS) w sieci wirtualnej platformy Azure.
W przypadku implementowania architektury w skali przedsiębiorstwa dla małych przedsiębiorstw serwery usług AD DS są często w podsieci w centrum. W przypadku zaimplementowania architektury piasty i szprych w skali przedsiębiorstwa lub architektury wirtualnej sieci WAN w skali przedsiębiorstwa serwery są często w dedykowanej sieci wirtualnej.
Microsoft Entra Connect
Wiele organizacji ma już Połączenie firmy Microsoft w celu wypełnienia usług platformy Microsoft 365, takich jak Exchange Online. Jeśli Twoja organizacja nie ma Połączenie firmy Microsoft Entra, może być konieczne jej zainstalowanie i wdrożenie po wdrożeniu strefy docelowej, aby można było replikować tożsamości.
Włączanie hybrydowej usługi DNS
Większość organizacji musi mieć możliwość rozpoznawania żądań systemu nazw domen (DNS) dla przestrzeni nazw, które są częścią istniejących środowisk. Te przestrzenie nazw często wymagają integracji z serwerami usługi Active Directory. Zasoby w istniejącym środowisku muszą być w stanie rozpoznawać zasoby na platformie Azure.
Aby włączyć te funkcje, należy skonfigurować usługi DNS do obsługi typowych przepływów. Strefy docelowe platformy Azure umożliwiają wdrażanie wielu potrzebnych zasobów. Aby uzyskać dodatkowe zadania do przejrzenia i przygotowania, zobacz Rozpoznawanie nazw DNS na platformie Azure.
Niestandardowe rozpoznawanie nazw DNS
Jeśli używasz usługi Active Directory do rozpoznawania nazw DNS lub jeśli wdrażasz rozwiązanie innej firmy, musisz wdrożyć maszyny wirtualne. Tych maszyn wirtualnych można używać jako serwerów DNS, jeśli kontrolery domeny są wdrażane w ramach subskrypcji tożsamości i szprychy sieciowej. W przeciwnym razie należy wdrożyć i skonfigurować maszyny wirtualne do obsługi tych usług.
Po wdrożeniu maszyn wirtualnych należy je zintegrować z istniejącą platformą DNS, aby umożliwić im wyszukiwanie w istniejących przestrzeniach nazw. W przypadku serwerów DNS usługi Active Directory ta integracja jest automatyczna.
Możesz również użyć usługi Rozpoznawanie prywatne usługi Azure DNS, ale ta usługa nie jest wdrażana w ramach wdrożenia strefy docelowej platformy Azure.
Jeśli projekt używa prywatnych stref DNS, należy odpowiednio zaplanować. Jeśli na przykład używasz prywatnych stref DNS z prywatnymi punktami końcowymi, zobacz Określanie serwerów DNS. Prywatna strefa DNS strefy są wdrażane w ramach strefy docelowej. Jeśli używasz również prywatnych punktów końcowych do wykonywania działań związanych z modernizacją, musisz mieć dla nich dodatkową konfigurację.
Serwer proxy DNS usługi Azure Firewall
Usługę Azure Firewall można skonfigurować jako serwer proxy DNS. Usługa Azure Firewall może odbierać ruch i przekazywać go do narzędzia rozpoznawania nazw platformy Azure lub serwerów DNS. Ta konfiguracja może zezwalać na wykonywanie wyszukiwań ze środowiska lokalnego na platformę Azure, ale nie można ich warunkowo przekazywać z powrotem do lokalnych serwerów DNS.
Jeśli potrzebujesz hybrydowego rozpoznawania nazw DNS, możesz skonfigurować serwer proxy DNS usługi Azure Firewall, aby przekazywać ruch do niestandardowych serwerów DNS, takich jak kontrolery domeny.
Ten krok jest opcjonalny, ale ma kilka korzyści. Zmniejsza to zmiany konfiguracji później, jeśli zmienisz usługi DNS i włączysz w pełni kwalifikowane reguły nazwy domeny (FQDN) w usłudze Azure Firewall.
Konfigurowanie niestandardowych serwerów DNS sieci wirtualnej
Po wykonaniu powyższych działań można skonfigurować serwery DNS dla sieci wirtualnych platformy Azure na używanych serwerach niestandardowych.
Aby uzyskać więcej informacji, zobacz Ustawienia dns usługi Azure Firewall.
Konfigurowanie zapory koncentratora
W przypadku wdrożenia zapory w sieci koncentratora należy wziąć pod uwagę kilka kwestii, które należy rozwiązać, aby można było przystąpić do migracji obciążeń. Jeśli nie rozwiążesz tych problemów na wczesnym etapie wdrażania, możesz napotkać problemy z routingiem i dostępem do sieci.
W ramach wykonywania tych działań przejrzyj obszar projektowania sieci, zwłaszcza wskazówki dotyczące zabezpieczeń sieci.
Jeśli wdrożysz urządzenie WUS innej firmy jako zaporę, zapoznaj się ze wskazówkami dostawcy i naszymi ogólnymi wskazówkami dotyczącymi urządzeń WUS o wysokiej dostępności.
Wdrażanie standardowych zestawów reguł
Jeśli używasz zapory platformy Azure, cały ruch zapory będzie blokowany do momentu dodania jawnych reguł zezwalania. Wiele innych zapór urządzenia WUS działa podobnie. Ruch jest blokowany do momentu zdefiniowania reguł określających dozwolony ruch.
Należy dodać poszczególne reguły i kolekcje reguł na podstawie potrzeb związanych z obciążeniem. Jednak należy również zaplanować stosowanie standardowych reguł, takich jak dostęp do usługi Active Directory lub innych rozwiązań do zarządzania tożsamościami i zarządzaniem, które mają zastosowanie do wszystkich z włączonymi obciążeniami.
Routing
Platforma Azure udostępnia routing dla następujących scenariuszy bez dodatkowej konfiguracji:
- Routing między zasobami w tej samej sieci wirtualnej
- Routing między zasobami w równorzędnych sieciach wirtualnych
- Routing między zasobami a bramą sieci wirtualnej — we własnej sieci wirtualnej lub w równorzędnej sieci wirtualnej skonfigurowanej do korzystania z bramy
Dwa typowe scenariusze routingu wymagają dodatkowej konfiguracji. Oba scenariusze mają tabele tras przypisane do podsieci do routingu kształtów. Aby uzyskać więcej informacji na temat routingu i tras niestandardowych platformy Azure, zobacz Routing ruchu w sieci wirtualnej.
Routing między szprychami
W przypadku obszaru projektowania sieci wiele organizacji korzysta z topologii sieci piasty i szprych.
Potrzebujesz tras, które przesyłają ruch z jednej szprychy do innej. Aby uzyskać wydajność i prostotę, użyj trasy domyślnej (0.0.0.0/0
) do zapory. Dzięki tej trasie ruch do dowolnej nieznanej lokalizacji przechodzi do zapory, która sprawdza ruch i stosuje reguły zapory.
Jeśli chcesz zezwolić na ruch wychodzący z Internetu, możesz również przypisać inną trasę dla prywatnej przestrzeni IP do zapory, na przykład 10.0.0.0/8
. Ta konfiguracja nie zastępuje bardziej szczegółowych tras. Można jednak użyć go jako prostej trasy, aby ruch między szprychami mógł prawidłowo kierować.
Aby uzyskać więcej informacji na temat sieci będącej szprychą, zobacz Wzorce i topologie komunikacji między szprychami.
Routing z podsieci bramy
Jeśli używasz sieci wirtualnych dla centrum, musisz zaplanować sposób obsługi inspekcji ruchu pochodzącego z bram.
Jeśli zamierzasz sprawdzić ruch, potrzebne są dwie konfiguracje:
W subskrypcji Połączenie ivity musisz utworzyć tabelę tras i połączyć ją z podsiecią bramy. Podsieć bramy wymaga trasy dla każdej sieci szprychy, którą zamierzasz dołączyć, z następnym przeskokiem adresu IP zapory.
W każdej subskrypcji strefy docelowej należy utworzyć tabelę tras i połączyć ją z każdą podsiecią. Wyłącz propagację protokołu BGP (Border Gateway Protocol) w tabelach tras.
Aby uzyskać więcej informacji na temat tras niestandardowych i zdefiniowanych przez platformę Azure, zobacz Routing ruchu w sieci wirtualnej platformy Azure.
Jeśli zamierzasz sprawdzić ruch do prywatnych punktów końcowych, włącz odpowiednie zasady sieci routingu w podsieci, w której są hostowane prywatne punkty końcowe. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami sieci dla prywatnych punktów końcowych.
Jeśli nie zamierzasz sprawdzać ruchu, nie są potrzebne żadne zmiany. Jeśli jednak dodasz tabele tras do podsieci sieci szprych, włącz propagację protokołu BGP, aby ruch mógł wrócić do bramy.
Konfigurowanie monitorowania i zarządzania
W ramach wdrażania strefy docelowej masz aprowizowane zasady, które rejestrują zasoby w dziennikach usługi Azure Monitor. Należy jednak również utworzyć alerty dla zasobów strefy docelowej.
Aby zaimplementować alerty, możesz wdrożyć punkt odniesienia usługi Azure Monitor dla stref docelowych. Użyj tego wdrożenia, aby uzyskać alerty na podstawie typowych scenariuszy zarządzania strefami docelowymi, takich jak zasoby łączności i kondycja usługi.
Możesz również wdrożyć własne niestandardowe alerty dla zasobów, jeśli potrzeby odbiegają od tego, co znajduje się w punkcie odniesienia.
Przygotowywanie strefy docelowej do migracji suwerennych obciążeń
Jeśli musisz spełnić wymagania dotyczące niezależności, możesz ocenić, czy chmura firmy Microsoft dla suwerenności spełnia Twoje wymagania. Chmura firmy Microsoft dla suwerenności zapewnia dodatkową warstwę zasad i możliwości inspekcji, które zaspokajają potrzeby poszczególnych sektorów publicznych i klientów rządowych.
Te możliwości można włączyć, wdrażając suwerenną strefę docelową. Architektura suwerennej strefy docelowej jest zgodna z zalecanymi projektami stref docelowych platformy Azure.
Portfolio zasad chmury dla suwerenności firmy Microsoft
Za pomocą zasad platformy Azure można włączyć scentralizowaną kontrolę między zasobami platformy Azure, aby wymusić określone konfiguracje. Możesz przypisać inicjatywy zasad chmury firmy Microsoft dla suwerenności do stref docelowych, aby upewnić się, że przestrzegasz lokalnych zasad i wymagań prawnych w twoim kraju/regionie.
Jeśli te inicjatywy zasad nie zostały jeszcze przypisane do wdrożenia suwerennej strefy docelowej, rozważ przypisanie inicjatyw odpowiadających wymaganiom prawnym.
Włączanie sprzedaż abonamentów
Ta sekcja dotyczy organizacji, które chcą zautomatyzować proces aprowizacji subskrypcji. Jeśli ręcznie zarządzasz strefą docelową i tworzeniem subskrypcji, należy ustanowić własny proces tworzenia subskrypcji.
Po rozpoczęciu migracji należy utworzyć subskrypcje dla obciążeń. Włącz sprzedaż abonamentów, aby zautomatyzować i przyspieszyć ten proces. Po ustanowieniu sprzedaż abonamentów powinno być możliwe szybkie tworzenie subskrypcji.
Przygotowanie do Microsoft Defender dla Chmury
Podczas wdrażania strefy docelowej należy również ustawić zasady, aby włączyć Defender dla Chmury dla subskrypcji platformy Azure. Defender dla Chmury udostępnia zalecenia dotyczące stanu zabezpieczeń w swoim wskaźniku bezpieczeństwa, który ocenia wdrożone zasoby względem punktu odniesienia zabezpieczeń firmy Microsoft.
Nie musisz implementować dodatkowych konfiguracji technicznych, ale należy przejrzeć zalecenia i zaprojektować plan poprawy stanu zabezpieczeń podczas migrowania zasobów. Po rozpoczęciu migracji zasobów na platformę Azure należy przystąpić do implementowania ulepszeń zabezpieczeń w ramach optymalizacji migracji.
Powiązane zasoby
Rozważ następujące dodatkowe zasoby, aby przygotować się do migracji:
- Przygotowanie początkowych zasad firmowych, które są zdefiniowane i zrozumiałe
- Tworzenie odpowiedniego planu na potrzeby rozliczeń platformy Azure
- Upewnij się, że masz odpowiednie dopasowanie organizacyjne i plan zarządzania nim
- Develop naming and tagging standards (Opracowywanie standardów nazewnictwa i tagowania)