你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
准备登陆区域进行迁移
本文介绍如何使 Azure 登陆区域 准备好进行迁移。 它还列出了必须执行的主要任务,以确保迁移项目配置已到位。
无论使用哪种 Azure 登陆区域引用实现 ,都必须执行一些任务,以便为成功的迁移项目准备登陆区域。
如果未使用 Azure 登陆区域引用实现,仍需执行本文中的步骤。 但是,可能需要先执行先决条件任务,或者可能需要根据设计调整特定建议。
本文介绍部署现有 Azure 登陆区域后必须执行的任务。 某些任务侧重于自动部署。 如果任务与手动部署和管理的环境无关,则说明这一点。
建立混合连接
在 Azure 登陆区域部署期间,可以使用中心虚拟网络和网络网关(例如 Azure VPN 网关、Azure ExpressRoute 网关或两者)部署连接性订阅。 在 Azure 登陆区域部署后,仍必须从这些网关配置混合连接,以连接到现有的数据中心设备或 ExpressRoute 线路。
在就绪阶段,你计划 连接到 Azure。 使用此计划确定需要合并的连接。 例如,如果使用 ExpressRoute,则必须与提供商合作来建立 ExpressRoute 线路。
若要获取特定方案的技术指南,请参阅:
- 从 Azure VPN 网关创建 VPN 连接。
- 创建 ExpressRoute 线路。
- 创建从 ExpressRoute 网关到线路的 ExpressRoute 连接。
- 管理 Azure 虚拟 WAN网关设置。
注意
有关其他指南,另请参阅提供商的特定文档。
如果通过虚拟网络中部署的第三方网络虚拟设备(NVA)建立与 Azure 的混合连接,请查看其特定指南和我们 针对高可用性 NVA 的一般指南。
准备标识
在 Azure 登陆区域部署期间,还应为标识平台部署支持体系结构。 你可能具有专用标识订阅或资源组以及用于标识的虚拟机(VM)的虚拟网络或子网。 但是,必须在 Azure 登陆区域部署后部署标识资源。
以下部分提供了与 Active Directory 相关的指导。 如果使用其他标识提供者进行身份验证和授权,则必须遵循有关将标识扩展到 Azure 的指南。
在实施本指南之前,请查看 你在计划登陆区域时做出的 Active Directory 和混合标识 决策。
还应从治理阶段查看 标识基线 ,以确定是否需要在 Microsoft Entra ID 中进行更改。
扩展 Active Directory 域控制器
在大多数迁移方案中,迁移到 Azure 的工作负荷已加入现有 Active Directory 域。 Microsoft Entra ID 提供用于现代化标识管理的解决方案,甚至适用于 VM 工作负荷,但它可能会中断迁移。 在现代化或创新计划期间,通常会重新架构工作负荷的标识使用情况。
因此,需要在部署的标识网络区域中将域控制器部署到 Azure。 部署 VM 后,必须按照正常的域控制器升级过程将其添加到域。 此过程可能包括创建其他站点以支持副本 (replica)拓扑。
有关部署这些资源的常见体系结构模式,请参阅在 Azure 虚拟网络中部署Active Directory 域服务(AD DS)。
如果为小型企业实现企业级体系结构,AD DS 服务器通常位于中心的子网中。 如果实现企业规模中心辐射型体系结构或企业规模虚拟 WAN体系结构,则服务器通常位于其专用虚拟网络中。
Microsoft Entra Connect
许多组织已有 Microsoft Entra 连接来填充 Microsoft 365 服务,例如 Exchange Online。 如果组织没有 Microsoft Entra 连接,则可能需要在登陆区域部署后安装并部署它,以便副本 (replica)标识。
启用混合 DNS
大多数组织都需要能够解析属于现有环境的命名空间的域名系统(DNS)请求。 这些命名空间通常需要与 Active Directory 服务器集成。 现有环境中的资源必须能够解析 Azure 中的资源。
若要启用这些函数,需要配置 DNS 服务以支持常见流。 可以使用 Azure 登陆区域部署所需的许多资源。 有关查看和准备的其他任务,请参阅 Azure 中的 DNS 解析。
自定义 DNS 解析
如果将 Active Directory 用于 DNS 解析程序,或者部署第三方解决方案,则必须部署 VM。 如果域控制器部署到标识订阅和网络辐射,则可以将这些 VM 用作 DNS 服务器。 否则,必须部署和配置 VM 以容纳这些服务。
部署 VM 后,必须将这些 VM 集成到现有的 DNS 平台中,以便他们可以对现有命名空间执行查找。 对于 Active Directory DNS 服务器,此集成是自动的。
也可以使用 Azure DNS 专用解析程序,但此服务不会部署为 Azure 登陆区域部署的一部分。
如果设计使用专用 DNS 区域,请相应地进行规划。 例如,如果将专用 DNS 区域用于专用终结点,请参阅 “指定 DNS 服务器”。 私人 DNS区域部署为登陆区域的一部分。 如果还使用专用终结点来执行现代化工作,则应为它们提供额外的配置。
Azure 防火墙 DNS 代理
可以将Azure 防火墙配置为 DNS 代理。 Azure 防火墙可以接收流量并将其转发到 Azure 解析程序或 DNS 服务器。 此配置可以允许从本地执行到 Azure 的查找,但不能有条件地将查找转发回本地 DNS 服务器。
如果需要混合 DNS 解析,可以将Azure 防火墙 DNS 代理配置为将流量转发到自定义 DNS 服务器,例如域控制器。
此步骤是可选的,但它有几个好处。 如果更改 DNS 服务并在Azure 防火墙中启用完全限定的域名(FQDN)规则,则会减少配置更改。
配置自定义虚拟网络 DNS 服务器
完成上述活动后,可以将 Azure 虚拟网络的 DNS 服务器配置为使用的自定义服务器。
有关详细信息,请参阅Azure 防火墙 DNS 设置。
配置中心防火墙
如果在中心网络中部署了防火墙,应注意一些注意事项,以便可以迁移工作负载。 如果在部署早期未解决这些注意事项,可能会遇到路由和网络访问问题。
在执行这些活动时,请查看 网络设计区域,特别是 网络安全指南。
如果将第三方 NVA 部署为防火墙,请查看供应商的指导和我们 针对高可用性 NVA 的一般指南。
部署标准规则集
如果使用 Azure 防火墙,则会阻止所有防火墙流量,直到添加显式允许规则。 许多其他 NVA 防火墙的工作方式类似。 在定义指定允许的流量的规则之前,将拒绝流量。
应根据工作负荷需求添加单个规则和规则集合。 但是,还应计划制定适用于所有已启用工作负载的标准规则,例如访问 Active Directory 或其他标识和管理解决方案。
路由
Azure 为以下方案提供路由,无需其他配置:
- 在同一虚拟网络中的资源之间路由
- 在对等互连虚拟网络中的资源之间路由
- 资源与虚拟网络网关之间的路由,无论是在其自己的虚拟网络中,还是在配置为使用网关的对等互连虚拟网络中路由
两种常见的路由方案需要其他配置。 这两种方案都有将路由表分配给子网以形成路由。 有关 Azure 路由和自定义路由的详细信息,请参阅 虚拟网络流量路由。
辐射间路由
需要将流量从一个分支传输到另一个分支的路由。 为了提高效率和简单性,请使用默认路由(0.0.0.0/0
)到防火墙。 在此路由到位后,任何未知位置的流量将转到防火墙,该防火墙会检查流量并应用防火墙规则。
如果要允许 Internet 出口,还可以将专用 IP 空间的另一个路由分配给防火墙,例如 10.0.0.0/8
。 此配置不会替代更具体的路由。 但你可以将其用作简单的路由,以便辐射间流量可以正确路由。
有关辐射到辐射网络的详细信息,请参阅 分支间通信的模式和拓扑。
从网关子网路由
如果将虚拟网络用于中心,则需要计划如何处理来自网关的流量检查。
如果要检查流量,需要两种配置:
在连接性订阅中,需要创建路由表并将其链接到网关子网。 网关子网需要要附加的每个辐射网络的路由,以及防火墙 IP 地址的下一跃点。
在每个登陆区域订阅中,需要创建路由表并将其链接到每个子网。 禁用路由表上的边界网关协议(BGP)传播。
有关自定义路由和 Azure 定义的路由的详细信息,请参阅 Azure 虚拟网络流量路由。
如果打算检查到专用终结点的流量,请对托管专用终结点的子网启用适当的路由网络策略。 有关详细信息,请参阅管理专用终结点的网络策略。
如果不打算检查流量,则无需更改。 但是,如果将路由表添加到辐射网络子网,请启用 BGP 传播,以便流量可以路由回网关。
配置监视和管理
部署登陆区域时,已预配策略,用于在 Azure Monitor 日志中注册资源。 但还必须为登陆区域资源创建警报。
若要实现警报,可以部署 用于登陆区域的 Azure Monitor 基线。 使用此部署根据登陆区域管理的常见方案(例如连接资源和服务运行状况)获取警报。
如果需要偏离基线中的内容,还可以为资源部署自己的自定义警报。
为主权工作负荷迁移准备登陆区域
如果需要满足主权要求,可以评估 Microsoft Cloud for Sovereignty 是否符合要求。 Microsoft Cloud for Sovereignty 提供了一层额外的策略和审核功能,可满足各个公共部门和政府客户需求。
可以通过部署 主权登陆区域来启用这些功能。 主权登陆区域的体系结构与建议 的 Azure 登陆区域 设计保持一致。
Microsoft Cloud for Sovereignty 策略组合
通过使用 Azure 策略,可以跨 Azure 资源启用集中控制,以强制实施特定配置。 可以将 Microsoft Cloud for Sovereignty 策略计划分配给登陆区域,以确保遵守所在国家/地区的本地策略和法规要求。
如果尚未将这些策略计划分配给主权登陆区域部署,请考虑分配符合法规要求的计划。
启用订阅自动售货
本部分适用于希望自动执行其订阅预配过程的组织。 如果手动管理登陆区域和订阅创建,则应建立自己的创建订阅过程。
开始迁移时,必须为工作负荷创建订阅。 启用订阅自动售货以自动执行和加速此过程。 建立订阅自动售货后,应能够快速创建订阅。
准备 Microsoft Defender for Cloud
部署登陆区域时,还会设置策略,为 Azure 订阅启用 Defender for Cloud 。 Defender for Cloud 在其 安全功能分数中提供安全状况建议,该分数根据 Microsoft 安全基线评估已部署的资源。
无需实施其他技术配置,但应在迁移资源时查看建议并设计一个计划来 改善安全状况 。 开始将资源迁移到 Azure 时,应准备好 在迁移优化过程中实现安全改进 。
相关资源
请考虑以下其他资源来准备迁移: