你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将现有 Azure 环境转换为 Azure 登陆区域概念体系结构

许多组织具有现有的 Azure 占用空间、一个或多个订阅,以及现有的管理组结构。 根据业务要求和方案,他们可能已部署 Azure 资源,例如 Azure VPN 网关 或 Azure ExpressRoute,用于混合连接。

本文提供建议,帮助你的组织根据过渡到 Azure 登陆区域概念体系结构的现有 Azure 环境导航更改。 本文还介绍了在 Azure 中移动资源的注意事项,例如将订阅从一个现有管理组移到另一个管理组。 请考虑这些建议,帮助你评估和规划现有 Azure 环境的过渡。

在 Azure 中移动资源

创建后,可以在 Azure 中移动一些资源。 在范围和范围内,有不同的方法受用户的 Azure 基于角色的访问控制 (RBAC) 权限的约束。 下表概述了可以移动哪些资源、在哪个范围以及与每个资源关联的优缺点。

范围 目标 Pro 条件
资源组中的资源。 可以移动到同一订阅或不同订阅中的新资源组。 部署后,可以在资源组中修改资源组合。 所有 resourceTypes 都不支持。

某些 resourceType 具有特定的限制或要求。

ResourceId 已更新,会影响现有的监视、警报和控制平面操作。

资源组在移动期间被锁定。

需要评估策略和 RBAC 预移动和移动后操作。
租户中的订阅。 可以移动到不同的管理组。 对订阅中的现有资源没有影响,因为 resourceId 值不会更改。 需要评估策略和 RBAC 预移动和移动后操作。

若要确定应使用哪种移动策略,请考虑以下示例。

移动订阅

通常,将订阅组织到管理组或将订阅转移到新的 Microsoft Entra ID 租户。 将订阅移到新的租户主要用于转移计费所有权。 有关如何在同一租户中跨管理组移动订阅的详细信息,请参阅 移动管理组和订阅

Azure RBAC 要求

若要在移动之前评估订阅,用户必须具有适当的 Azure RBAC。 用户可能是订阅(直接角色分配)的所有者,并且对目标管理组具有写入权限。 支持目标管理组写入权限的内置角色是所有者角色、参与者角色以及管理组参与者角色。

如果用户从现有管理组对订阅具有继承的所有者角色权限,则只能将订阅移动到为其分配所有者角色的管理组。

策略

现有订阅可能受直接分配的 Azure 策略的约束,或者在他们当前所在的管理组中分配。 评估新管理组或管理组层次结构中可能存在的当前策略和策略非常重要。

可以使用 Azure Resource Graph 执行现有资源的清单,并将其配置与目标中存在的策略进行比较。

将订阅移动到具有现有 Azure RBAC 的管理组并实施策略后,请考虑以下因素:

  • 对于继承到已移动订阅的任何 Azure RBAC,管理组缓存中的用户令牌可能需要长达 30 分钟才能刷新。 若要加快此过程,可以通过注销和登录或请求新令牌来刷新令牌。

  • 分配范围包括移动订阅的策略仅对现有资源执行审核。 订阅中受以下约束的现有资源:

    • DeployIfNotExists 策略效果显示为不符合,不会自动修正。 用户必须手动执行修正。

    • Deny 策略效果显示为不符合,不会拒绝。 用户必须根据需要手动缓解此结果。

    • Append 策略 Modify 效果显示为不符合要求用户进行缓解。

    • Audit 策略 AuditIfNotExist 效果显示为不符合要求用户进行缓解。

  • 对已移动订阅中资源的所有新写入都受分配的策略实时(如正常)的约束。

移动资源

通常,如果要将资源合并到同一资源组中(如果资源共享同一生命周期),则移动资源。 或者,如果想要由于成本、所有权或 Azure RBAC 要求而将资源移到其他订阅。

移动资源时,移动操作期间将锁定源资源组和目标资源组。 不能在资源组中添加、更新或删除资源。 资源移动操作不会更改资源的位置。

有关如何在同一租户中的资源组和订阅之间移动资源的详细信息,请参阅 将资源移到新的资源组或订阅

提示

为了最大程度地减少区域中断的影响,我们建议将资源放置在与资源组相同的区域中。 有关详细信息,请参阅 资源组位置对齐方式。

如果同一资源组中的不同区域中有资源,请考虑将资源移到 新的资源组或订阅

若要 确定资源是否支持移动到另一个资源组,请通过交叉引用资源来清点资源。 确保满足相应的 先决条件

移动资源之前

在移动操作之前,必须验证 资源是否受支持,并评估其要求和依赖项。 例如,移动对等互连虚拟网络时,必须先禁用虚拟网络对等互连,并在移动操作完成后重新启用对等互连。 提前规划禁用和重新启用依赖项,以便了解可能连接到虚拟网络的现有工作负荷的影响。

移动资源后

将资源移动到同一订阅中的新资源组时,管理组或订阅中的任何继承的 Azure RBAC 和策略仍适用。 如果移动到新订阅中的资源组,该订阅可能受其他 Azure RBAC 和策略分配的约束,则此操作也适用。 必须验证资源符合性和访问控制。

方案

以下方案介绍如何将现有环境迁移到 Azure 登陆区域概念体系结构并转换。