Поделиться через

Перемещение управляемых удостоверений для ресурсов Azure в другой регион

  • Статья

Существуют различные причины, по которым может потребоваться переместить существующие ресурсы Azure из одного региона в другой. Возможно, вам потребуется:

  • Воспользуйтесь новым регионом Azure.
  • Развертывание функций или служб, доступных только в определенных регионах.
  • Отвечайте требованиям к внутренней политике и управлению.
  • Согласование слияний и приобретений компании
  • Отвечайте требованиям к планированию емкости.

Перемещение управляемых удостоверений, назначаемых пользователем, в регионах Azure не поддерживается. Однако вы можете воссоздать управляемое удостоверение, назначаемое пользователем, в целевом регионе.

Необходимые компоненты

Управляемые удостоверения для ресурсов Azure — это функция идентификатора Azure Entra. Каждая из служб Azure, поддерживающих управляемые удостоверения для ресурсов Azure, распространяется на собственную временную шкалу.

  • Проверьте состояние доступности управляемых удостоверений для ресурса.

  • Общие сведения о известных проблемах с управляемыми удостоверениями для ресурсов Azure.

  • Создайте карту зависимостей со службами Azure, которые используются управляемым удостоверением, которое вы хотите переместить. Для служб, которые находятся в области перемещений, необходимо выбрать соответствующую стратегию перемещений.

  • Разрешения на получение списка разрешений, предоставленных существующему управляемому удостоверению, назначаемому пользователем.

  • Разрешения на предоставление необходимых разрешений новому управляемому удостоверению, назначаемому пользователем.

  • Разрешения на назначение нового удостоверения, назначаемого пользователем, ресурсам Azure.

  • Разрешения на изменение членства в группе, если управляемое удостоверение, назначаемое пользователем, входит в одну или несколько групп.

Простой

Сведения о возможных простоях см. в статье Cloud Adoption Framework для Azure: выбор метода перемещений.

Подготовка и перемещение

  1. Скопируйте разрешения управляемого удостоверения, назначаемого пользователем. Вы можете вывести список назначений ролей Azure, но это может быть недостаточно в зависимости от того, как разрешения были предоставлены управляемому удостоверению, назначаемому пользователем. Убедитесь, что решение не зависит от разрешений, предоставленных с помощью конкретных служб.
  2. Создайте управляемое удостоверение, назначаемое пользователем, в целевом регионе.
  3. Предоставьте управляемому удостоверению те же разрешения, что были у исходного удостоверение, включая членство в группах. Вы можете изучить статьи о назначении ролей Azure управляемому удостоверению и членстве в группах.
  4. Укажите новое управляемое удостоверение, назначаемое пользователем в свойствах экземпляра ресурса, который будет использовать это удостоверение.

Проверка

После перенастройки службы на использование новых управляемых удостоверений в целевом регионе необходимо убедиться, что все операции восстановлены.

Очистка

Убедившись, что служба снова подключена к сети, вы можете удалить все ресурсы в исходном регионе, который больше не используется.

Следующие шаги