通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

方案:通过复制登陆区域管理组来转换环境

  • 项目

本文介绍一种示例方法,该方法通过将登陆区域管理组与仅审核模式下的策略复制来将环境转换为 Azure 登陆区域概念体系结构。 使用此方法,可以快速访问新的所需目标体系结构,然后评估应用程序或工作负荷订阅是否符合性。 此方法消除了影响应用程序团队的风险,因为策略仅处于审核模式。

过渡到 Azure 登陆区域概念体系结构

在实现此方法之前,请查看 Azure 登陆区域概念体系结构Azure 登陆区域设计原则Azure 登陆区域设计区域

使用此方法转换到 Azure 登陆区域概念体系结构:

  1. Azure 登陆区域加速器 与当前环境并行部署到同一个 Microsoft Entra ID 租户中。 此方法提供平稳和分阶段的过渡到新的登陆区域体系结构,尽量减少对活动工作负荷的中断。

    此部署将创建新的管理组结构。 此结构符合 Azure 登陆区域设计原则和建议。 它还可确保这些更改不会影响现有环境。

    有关在迁移期间最大程度地减少应用程序和服务的中断的信息,请参阅 采用策略驱动的防护措施

  2. 若要复制登陆区域管理组及其子级(下图中的公司 及其 联机 ),包括所有策略分配,请将其配置为 审核模式。 在策略分配中,将 enforcementMode 属性 设置为 DoNotEnforceDisabled

    此方法提供对新所需目标体系结构的快速访问。 然后,应用程序团队可以评估策略,而不会影响活动应用程序的风险。

    Diagram that shows duplicate brownfield landing zones with audit only policies.

    注意

    此方法没有额外的成本,因为它只复制管理组层次结构和分配的策略,而不是工作负荷。

  3. (可选)与应用程序或服务团队协作,将原始订阅中部署的工作负载迁移到新的 Azure 订阅。 有关详细信息,请参阅将现有 Azure 环境转换到 Azure 登陆区域概念体系结构。 可以将工作负荷放入新复制的管理组层次结构中的正确管理组下,例如 企业棕色地带联机棕色地带

    有关迁移时对资源的影响的信息,请参阅 “策略”。

    最终,可以取消现有的 Azure 订阅,并将其置于已解除授权的管理组中。

    注意

    不必将现有应用程序或服务迁移到新的登陆区域或 Azure 订阅。

  4. 应用程序团队与平台团队合作,使其策略符合性达到所需状态后,其订阅将移动到适当的管理组,如 公司联机 在下图中。 分配的策略涵盖这些策略,你的团队可以高效且合规地操作其工作负荷。

    有关详细信息,请参阅 “准备登陆区域”以获取迁移指南

下图显示了迁移过程中此方案的状态。

Diagram that shows a single subscription environment in the transition state.

总结

使用此方法可以安全地迁移 Azure 中的工作负荷,方法是将 Azure 登陆区域概念体系结构与现有环境并行部署,且中断最少。