Przenoszenie istniejącego środowiska platformy Azure do architektury koncepcyjnej strefy docelowej platformy Azure
Wiele organizacji ma istniejącą strukturę platformy Azure, co najmniej jedną subskrypcję i potencjalnie istniejącą strukturę grupy zarządzania. W zależności od wymagań biznesowych i scenariuszy mogą mieć wdrożone zasoby platformy Azure, takie jak usługa Azure VPN Gateway lub usługa Azure ExpressRoute na potrzeby łączności hybrydowej.
Ten artykuł zawiera zalecenia ułatwiające organizacji nawigowanie po zmianach w oparciu o istniejące środowisko platformy Azure, które przechodzi do architektury koncepcyjnej strefy docelowej platformy Azure. W tym artykule opisano również zagadnienia dotyczące przenoszenia zasobów na platformie Azure, na przykład przeniesienie subskrypcji z jednej istniejącej grupy zarządzania do innej grupy zarządzania. Weź pod uwagę te zalecenia, aby ułatwić ocenę i zaplanowanie przejścia istniejącego środowiska platformy Azure.
Przenoszenie zasobów na platformie Azure
Po utworzeniu możesz przenieść niektóre zasoby na platformie Azure. Istnieją różne podejścia, które podlegają uprawnieniam kontroli dostępu opartej na rolach (RBAC) użytkownika w różnych zakresach i w różnych zakresach. W poniższej tabeli przedstawiono zasoby, które można przenieść, w jakim zakresie oraz zalety i wady skojarzone z każdym zasobem.
Scope | Element docelowy | Pro | Wada |
---|---|---|---|
Zasoby w grupach zasobów. | Możesz przejść do nowej grupy zasobów w tej samej lub innej subskrypcji. | Kompozycję zasobów można zmodyfikować w grupie zasobów po wdrożeniu. | Nieobsługiwane przez wszystkie typy zasobów. Niektóre typy zasobów mają określone ograniczenia lub wymagania. Identyfikatory zasobów są aktualizowane i mają wpływ na istniejące operacje monitorowania, alertów i płaszczyzny sterowania. Grupy zasobów są zablokowane w okresie przenoszenia. Wymaga oceny zasad i operacji przed przenoszeniem i operacją RBAC po przeniesieniu. |
Subskrypcje w dzierżawie. | Możesz przejść do różnych grup zarządzania. | Brak wpływu na istniejące zasoby w ramach subskrypcji, ponieważ wartości resourceId nie zmieniają się. | Wymaga oceny zasad i operacji przed przenoszeniem i operacją RBAC po przeniesieniu. |
Aby określić strategię przenoszenia, której należy użyć, rozważ następujące przykłady.
Przenoszenie subskrypcji
Zazwyczaj przenosisz subskrypcje, aby organizować je w grupy zarządzania lub przenosić subskrypcje do nowej dzierżawy identyfikatora Entra firmy Microsoft. Przeniesienie subskrypcji do nowej dzierżawy dotyczy głównie przenoszenia własności rozliczeń. Aby uzyskać więcej informacji na temat przenoszenia subskrypcji między grupami zarządzania w tej samej dzierżawie, zobacz Przenoszenie grup zarządzania i subskrypcji.
Wymagania dotyczące kontroli dostępu opartej na rolach platformy Azure
Aby ocenić subskrypcję przed przeniesieniem, ważne jest, aby użytkownik miał odpowiednią kontrolę dostępu opartą na rolach platformy Azure. Użytkownik może być właścicielem subskrypcji (bezpośrednie przypisanie roli) i mieć uprawnienia do zapisu w docelowej grupie zarządzania. Role wbudowane, które obsługują uprawnienia do zapisu w docelowej grupie zarządzania, są rolą właściciela, rolą współautora i rolą współautora grupy zarządzania.
Jeśli użytkownik ma odziedziczone uprawnienia roli właściciela w subskrypcji z istniejącej grupy zarządzania, możesz przenieść subskrypcję tylko do grupy zarządzania, w której użytkownik ma przypisaną rolę właściciela.
Zasady
Istniejące subskrypcje mogą podlegać zasadom platformy Azure przypisanym bezpośrednio lub przypisanym w grupie zarządzania, w której są obecnie zlokalizowane. Ważne jest, aby ocenić bieżące zasady i zasady, które mogą istnieć w nowej grupie zarządzania lub hierarchii grup zarządzania.
Za pomocą usługi Azure Resource Graph możesz wykonać spis istniejących zasobów i porównać ich konfigurację z zasadami istniejącymi w miejscu docelowym.
Po przeniesieniu subskrypcji do grupy zarządzania z istniejącą kontrolą dostępu opartą na rolach platformy Azure i zasadami należy wziąć pod uwagę następujące czynniki:
W przypadku dowolnej kontroli dostępu opartej na rolach platformy Azure dziedziczonej do przeniesionych subskrypcji tokeny użytkowników w pamięci podręcznej grupy zarządzania mogą potrwać do 30 minut. Aby przyspieszyć ten proces, możesz odświeżyć token, wylogowając się i w lub zażądając nowego tokenu.
Zasady, w których zakres przypisania obejmuje przeniesione subskrypcje, przeprowadza inspekcję tylko na istniejących zasobach. Istniejący zasób w subskrypcji, którego dotyczy:
DeployIfNotExists
Efekt zasad jest wyświetlany jako niezgodny i nie jest automatycznie korygowany. Użytkownik musi ręcznie wykonać korygowanie.Deny
Efekt zasad jest wyświetlany jako niezgodny i nie jest odrzucany. Użytkownik musi ręcznie ograniczyć ten wynik zgodnie z potrzebami.Append
iModify
efekt zasad jest wyświetlany jako niezgodny i wymaga od użytkownika ograniczenia.Audit
iAuditIfNotExist
efekt zasad jest wyświetlany jako niezgodny i wymaga od użytkownika ograniczenia.
Wszystkie nowe operacje zapisu w przeniesionej subskrypcji podlegają przypisanym zasadom w czasie rzeczywistym, tak jak zwykle.
Przenoszenie zasobów
Zazwyczaj zasoby są przenoszone, gdy chcesz skonsolidować zasoby w tej samej grupie zasobów, jeśli mają one ten sam cykl życia. Możesz też przenieść zasoby do innej subskrypcji ze względu na koszty, własność lub wymagania dotyczące kontroli dostępu opartej na rolach platformy Azure.
Podczas przenoszenia zasobów źródłowa grupa zasobów i docelowa grupa zasobów są blokowane podczas operacji przenoszenia. Nie można dodawać, aktualizować ani usuwać zasobów w grupach zasobów. Operacja przenoszenia zasobów nie zmienia lokalizacji zasobów.
Aby uzyskać więcej informacji na temat przenoszenia zasobów między grupami zasobów i subskrypcjami w tej samej dzierżawie, zobacz Przenoszenie zasobów do nowej grupy zasobów lub subskrypcji.
Napiwek
Aby zminimalizować skutki awarii regionalnych, zalecamy umieszczenie zasobów w tym samym regionie co grupa zasobów. Aby uzyskać więcej informacji, zobacz Wyrównanie lokalizacji grupy zasobów.
Jeśli masz zasoby w różnych regionach w ramach tej samej grupy zasobów, rozważ przeniesienie zasobów do nowej grupy zasobów lub subskrypcji.
Aby określić, czy zasób obsługuje przenoszenie do innej grupy zasobów, utwórz spis zasobów, odwołując się do nich krzyżowo. Upewnij się, że spełniasz odpowiednie wymagania wstępne.
Przed przeniesieniem zasobów
Przed operacją przenoszenia należy sprawdzić, czy zasoby są obsługiwane, oraz ocenić ich wymagania i zależności. Na przykład podczas przenoszenia równorzędnej sieci wirtualnej należy najpierw wyłączyć komunikację równorzędną sieci wirtualnych i ponownie włączyć komunikację równorzędną po zakończeniu operacji przenoszenia. Zaplanuj z wyprzedzeniem zależność wyłączenia i ponownego włączenia, aby zrozumieć wpływ na istniejące obciążenia, które mogą być połączone z sieciami wirtualnymi.
Po przeniesieniu zasobów
Po przeniesieniu zasobów do nowej grupy zasobów w tej samej subskrypcji wszystkie dziedziczone RBAC platformy Azure i zasady z grupy zarządzania lub subskrypcji nadal mają zastosowanie. Ma to zastosowanie również w przypadku przejścia do grupy zasobów w nowej subskrypcji, w której subskrypcja może podlegać innej kontroli dostępu opartej na rolach platformy Azure i przypisaniu zasad. Należy zweryfikować zgodność zasobów i mechanizmy kontroli dostępu.
Scenariusze
W poniższych scenariuszach opisano sposób migrowania i przenoszenia istniejącego środowiska do architektury koncepcyjnej strefy docelowej platformy Azure.
Scenariusze wyrównania
- Przenoszenie pojedynczej subskrypcji bez grup zarządzania do architektury koncepcyjnej strefy docelowej platformy Azure
- Przenoszenie grup zarządzania do architektury koncepcyjnej strefy docelowej platformy Azure
- Przenoszenie organizacji regionalnej do architektury koncepcyjnej strefy docelowej platformy Azure
Podejścia wyrównania