Prepare sua zona de pouso para a migração
Este artigo descreve como preparar sua zona de aterrissagem do Azure para uma migração. Ele também lista as principais tarefas que você deve executar para garantir que as configurações estejam em vigor para seu projeto de migração.
Independentemente de qual implementação de referência de zona de aterrissagem do Azure você usou, você deve executar algumas tarefas para preparar sua zona de aterrissagem para um projeto de migração bem-sucedido.
Se você não usou uma implementação de referência de zona de aterrissagem do Azure, ainda precisará executar as etapas neste artigo. No entanto, você pode ter tarefas de pré-requisito para executar primeiro ou talvez precise adaptar recomendações específicas ao seu design.
Este artigo descreve as tarefas que você deve executar para sua zona de aterrissagem existente do Azure depois que ela for implantada. Algumas tarefas se concentram em implantações automatizadas. Observe se uma tarefa não for relevante para ambientes implantados e gerenciados manualmente.
Estabeleça conectividade híbrida
Durante uma implantação de zona de aterrissagem do Azure, você pode implantar uma assinatura de Conectividade com uma rede virtual de hub e gateways de rede, como gateways de VPN do Azure, gateways do Azure ExpressRoute ou ambos. Após a implantação da zona de aterrissagem do Azure, você ainda deve configurar a conectividade híbrida desses gateways para se conectar aos dispositivos de datacenter existentes ou ao circuito da Rota Expressa.
Na fase pronta, você planejou sua conectividade com o Azure. Use este plano para determinar as conexões que você precisa incorporar. Por exemplo, se você usar a Rota Expressa, deverá trabalhar com seu provedor para estabelecer seu circuito da Rota Expressa.
Para obter orientação técnica para cenários específicos, consulte:
- Crie uma conexão VPN a partir do gateway de VPN do Azure.
- Criar um circuito do ExpressRoute.
- Crie uma conexão de Rota Expressa do gateway da Rota Expressa para o seu circuito.
- Gerenciar configurações de gateway de WAN Virtual do Azure.
Observação
Para obter orientações adicionais, consulte também a documentação específica do seu provedor.
Se você estabelecer sua conectividade híbrida com o Azure por meio de um dispositivo virtual de rede (NVA) de terceiros implantado em sua rede virtual, revise suas orientações específicas e nossas orientações gerais para NVAs altamente disponíveis.
Preparar identidade
Durante a implantação da zona de aterrissagem do Azure, você também deve implantar uma arquitetura de suporte para sua plataforma de identidade. Você pode ter uma assinatura de identidade dedicada ou grupos de recursos e uma rede virtual ou sub-redes para as máquinas virtuais (VMs) que você usa para identidade. No entanto, você deve implantar os recursos de identidade após a implantação da zona de aterrissagem do Azure.
As seções a seguir fornecem orientações relacionadas ao Active Directory. Se você usar um provedor de identidade diferente para autenticação e autorizações, deverá seguir as orientações deles sobre como estender sua identidade para o Azure.
Antes de implementar esta diretriz, revise as decisões de identidade híbrida e do Active Directory que você tomou quando planejou sua zona de aterrissagem.
Você também deve revisar sua linha de base de identidade da fase de governança para determinar se precisa fazer alterações no Microsoft Entra ID.
Estender controladores de domínio do Active Directory
Na maioria dos cenários de migração, as cargas de trabalho migradas para o Azure já estão associadas a um domínio existente do Active Directory. O Microsoft Entra ID oferece soluções para modernizar o gerenciamento de identidades, mesmo para cargas de trabalho de VM, mas pode interromper a migração. A rearquitetura do uso de identidade para cargas de trabalho geralmente é realizada durante iniciativas de modernização ou inovação.
Como resultado, você precisa implantar controladores de domínio no Azure dentro da área de rede de identidade que você implantou. Depois de implantar VMs, você deve seguir o processo normal de promoção do controlador de domínio para adicioná-las ao domínio. Esse processo pode incluir a criação de sites adicionais para oferecer suporte à topologia de replicação.
Para obter um padrão de arquitetura comum para implantar esses recursos, consulte Implantar os Serviços de Domínio Active Directory (AD DS) em uma rede virtual do Azure.
Se você implementar a arquitetura de escala empresarial para pequenas empresas, os servidores AD DS geralmente estarão em uma sub-rede no hub. Se você implementar a arquitetura hub-and-spoke de escala empresarial ou a arquitetura de WAN Virtual em escala empresarial, os servidores geralmente estarão em sua rede virtual dedicada.
Microsoft Entra Connect
Muitas organizações já têm o Microsoft Entra Connect para preencher os serviços do Microsoft 365, como o Exchange Online. Se sua organização não tiver o Microsoft Entra Connect, talvez seja necessário instalá-lo e implantá-lo após a implantação da zona de aterrissagem para que você possa replicar identidades.
Habilitar DNS híbrido
A maioria das organizações precisa ser capaz de resolver solicitações de DNS (Sistema de Nomes de Domínio) para namespaces que fazem parte de ambientes existentes. Esses namespaces geralmente exigem integração com servidores do Active Directory. E os recursos no ambiente existente devem ser capazes de resolver recursos no Azure.
Para habilitar essas funções, você precisa configurar os serviços DNS para oferecer suporte a fluxos comuns. Você pode usar as zonas de aterrissagem do Azure para implantar muitos dos recursos necessários. Para tarefas adicionais para revisar e preparar, consulte Resolução de DNS no Azure.
Resolução DNS personalizada
Se você usar o Active Directory para seu resolvedor de DNS ou se implantar uma solução de terceiros, deverá implantar VMs. Você pode usar essas VMs como seus servidores DNS se os controladores de domínio forem implantados em sua assinatura de identidade e na rede falada. Caso contrário, você deve implantar e configurar as VMs para abrigar esses serviços.
Depois de implantar as VMs, você deve integrá-las à sua plataforma DNS existente para que elas possam executar pesquisas em seus namespaces existentes. Para servidores DNS do Active Directory, essa integração é automática.
Você também pode usar o Resolvedor Privado de DNS do Azure, mas esse serviço não é implantado como parte da implantação da zona de aterrissagem do Azure.
Se o seu design usa zonas DNS privadas, planeje de acordo. Por exemplo, se você usar zonas DNS privadas com pontos de extremidade privados, consulte Especificar servidores DNS. As zonas DNS privadas são implantadas como parte da sua zona de aterrissagem. Se você também usar pontos de extremidade privados para executar esforços de modernização, deverá ter uma configuração adicional para eles.
Proxy DNS do Firewall do Azure
Você pode configurar o Firewall do Azure como um proxy DNS. O Firewall do Azure pode receber tráfego e encaminhá-lo para um resolvedor do Azure ou seus servidores DNS. Essa configuração pode permitir que pesquisas sejam realizadas do local para o Azure, mas elas não podem ser encaminhadas condicionalmente de volta para servidores DNS locais.
Se você precisar de resolução DNS híbrida, poderá configurar o proxy DNS do Firewall do Azure para encaminhar o tráfego para seus servidores DNS personalizados, como seus controladores de domínio.
Essa etapa é opcional, mas traz diversos benefícios. Ele reduz as alterações de configuração posteriormente se você alterar os serviços DNS e habilitar regras de FQDN (nome de domínio totalmente qualificado) no Firewall do Azure.
Configurar servidores DNS de rede virtual personalizados
Depois de concluir as atividades anteriores, você pode configurar os servidores DNS para suas redes virtuais do Azure para os servidores personalizados que você usa.
Para obter mais informações, consulte Configurações de DNS do Firewall do Azure.
Configurar firewall de hub
Se você implantou um firewall em sua rede de hub, há algumas considerações que você deve abordar para estar pronto para migrar cargas de trabalho. Se você não abordar essas considerações no início da implantação, poderá ter problemas de roteamento e acesso à rede.
Como parte da execução dessas atividades, revise a área de design de rede, especialmente as diretrizes de segurança de rede.
Se você implantar um NVA de terceiros como firewall, revise as orientações do fornecedor e nossas orientações gerais para NVAs altamente disponíveis.
Implantar conjuntos de regras padrão
Se você usar um firewall do Azure, todo o tráfego de firewall será bloqueado até que você adicione regras de permissão explícitas. Muitos outros firewalls NVA funcionam de forma semelhante. O tráfego é negado até que você defina regras que especifiquem o tráfego permitido.
Você deve adicionar regras individuais e coleções de regras com base nas necessidades de carga de trabalho. Mas você também deve planejar ter regras padrão, como acesso ao Active Directory ou outras soluções de identidade e gerenciamento, que se apliquem a todas as cargas de trabalho habilitadas.
Roteamento
O Azure fornece roteamento para os seguintes cenários sem configuração adicional:
- Roteamento entre recursos na mesma rede virtual
- Roteamento entre recursos em redes virtuais emparelhadas
- Roteamento entre recursos e um gateway de rede virtual, em sua própria rede virtual ou em uma rede virtual emparelhada configurada para usar o gateway
Dois cenários de roteamento comuns precisam de configuração adicional. Ambos os cenários têm tabelas de rotas atribuídas a sub-redes para roteamento de formas. Para obter mais informações sobre roteamento do Azure e rotas personalizadas, consulte Roteamento de tráfego de rede virtual.
Roteamento entre falas
Para a área de design de rede, muitas organizações usam uma topologia de rede hub-spoke.
Você precisa de rotas que transfiram o tráfego de um para outro. Para eficiência e simplicidade, use a rota padrão (0.0.0.0/0
) para o firewall. Com essa rota em vigor, o tráfego para qualquer local desconhecido vai para o firewall, que inspeciona o tráfego e aplica suas regras de firewall.
Se você quiser permitir a saída da Internet, também poderá atribuir outra rota para seu espaço IP privado ao firewall, como 10.0.0.0/8
. Essa configuração não substitui rotas mais específicas. Mas você pode usá-lo como uma rota simples para que o tráfego inter-spoke possa rotear corretamente.
Para obter mais informações sobre redes de fala para voz, consulte Padrões e topologias para comunicação entre faladas.
Roteamento a partir da sub-rede do gateway
Se você usa redes virtuais para seu hub, precisa planejar como lidar com a inspeção do tráfego que vem de seus gateways.
Se você pretende inspecionar o tráfego, precisa de duas configurações:
Em sua assinatura de conectividade, você precisa criar uma tabela de rotas e vinculá-la à sub-rede do gateway. A sub-rede do gateway precisa de uma rota para cada rede spoke que você pretende conectar, com um próximo salto do endereço IP do firewall.
Em cada uma das assinaturas da zona de aterrissagem, você precisa criar uma tabela de rotas e vinculá-la a cada sub-rede. Desative a propagação do BGP (Border Gateway Protocol) nas tabelas de rotas.
Para obter mais informações sobre rotas personalizadas e definidas pelo Azure, consulte Roteamento de tráfego de rede virtual do Azure.
Se você pretende inspecionar o tráfego para pontos de extremidade privados, habilite a diretiva de rede de roteamento apropriada na sub-rede em que os pontos de extremidade privados estão hospedados. Para obter mais informações, confira Gerenciar políticas de rede para pontos de extremidade privados.
Se você não pretende inspecionar o tráfego, nenhuma alteração é necessária. No entanto, se você adicionar tabelas de rotas às sub-redes de rede spoke, habilite a propagação BGP para que o tráfego possa rotear de volta para o gateway.
Configurar monitoramento e gerenciamento
Como parte da implantação de sua zona de aterrissagem, você provisionou políticas que registram seus recursos nos Logs do Azure Monitor. Mas você também deve criar alertas para seus recursos da zona de pouso.
Para implementar alertas, você pode implantar a linha de base do Monitor do Azure para zonas de aterrissagem. Use essa implantação para obter alertas com base em cenários comuns para o gerenciamento de zonas de aterrissagem, como recursos de conectividade e integridade do serviço.
Você também pode implantar seu próprio alerta personalizado para recursos se suas necessidades se desviarem do que está na linha de base.
Prepare sua zona de aterrissagem para migrações de carga de trabalho soberana
Se você precisar atender aos requisitos de soberania, poderá avaliar se o Microsoft Cloud for Sovereignty atende aos seus requisitos. O Microsoft Cloud for Sovereignty fornece uma camada adicional de recursos de política e auditoria que atendem às necessidades individuais do setor público e de clientes governamentais.
Você pode habilitar esses recursos implantando a zona de pouso soberano. A arquitetura da zona de pouso soberana se alinha com os designs recomendados da zona de aterrissagem do Azure.
Portfólio de políticas do Microsoft Cloud for Sovereignty
Usando a política do Azure, você pode habilitar o controle centralizado entre os recursos do Azure para impor configurações específicas. Você pode atribuir as iniciativas de política do Microsoft Cloud for Sovereignty às suas zonas de aterrissagem para garantir que você cumpra as políticas locais e os requisitos normativos em seu país/região.
Se essas iniciativas de política ainda não estiverem atribuídas à implantação da zona de pouso soberano, considere atribuir as iniciativas que correspondem aos seus requisitos regulamentares.
Habilitar venda automática de assinatura
Esta seção se aplica a organizações que desejam automatizar seu processo de provisionamento de assinaturas. Se você gerenciar manualmente sua zona de destino e criação de assinaturas, deverá estabelecer seu próprio processo para criar assinaturas.
Ao começar a migrar, você deve criar assinaturas para suas cargas de trabalho. Habilite a venda automática de assinaturas para automatizar e acelerar esse processo. Quando a venda automática de assinaturas é estabelecida, você deve ser capaz de criar assinaturas rapidamente.
Preparar-se para o Microsoft Defender for Cloud
Ao implantar sua zona de aterrissagem, você também define políticas para habilitar o Defender for Cloud para suas assinaturas do Azure. O Defender for Cloud fornece recomendações de postura de segurança em sua pontuação segura, que avalia os recursos implantados em relação à linha de base de segurança da Microsoft.
Você não precisa implementar configurações técnicas adicionais, mas deve revisar as recomendações e criar um plano para melhorar sua postura de segurança à medida que migra recursos. Ao começar a migrar recursos para o Azure, você deve estar pronto para implementar melhorias de segurança como parte da otimização da migração.
Recursos relacionados
Considere estes recursos adicionais para se preparar para a migração:
- Preparar uma política corporativa inicial que seja definida e bem compreendida
- Criar um plano adequado para a cobrança do Azure
- Certifique-se de ter um alinhamento organizacional adequado e um plano para gerenciá-lo
- Desenvolver padrões de nomenclatura e marcação