你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
方案:将区域组织环境过渡到 Azure 登陆区域概念体系结构
本文介绍将 Azure 环境迁移到 Azure 登陆区域概念体系结构的注意事项和说明。 此方案涵盖一个区域组织,其管理组分为开发、测试和生产环境(开发/测试/生产环境)。
在此方案中,客户在 Azure 上占用大量空间。 它们具有一个管理组层次结构,该层次结构按开发/测试/生产环境进行组织,然后按区域进行组织。 他们的当前实现限制了其可伸缩性和增长。 他们在全球部署了应用程序。 中心 IT 团队管理每个区域。 在此方案中,区域为美国;欧洲、中东和非洲(EMEA):和亚太地区(APAC)。
客户希望从现有环境迁移到 Azure 登陆区域概念体系结构。 此方法支持其 云优先 策略,并具有强大的平台,随着客户停用其本地数据中心而缩放。
当前状态
在此方案中,客户的 Azure 环境的当前状态包括:
- 多个管理组。
- 基于第一级开发/测试/生产环境的管理组层次结构,然后基于第二个级别的地理位置。
- 每个地理位置和应用程序环境的 Azure 订阅,例如开发/测试/prod。需要此订阅才能为开发人员提供轻松的测试和创新环境。
- 某些需要跨开发/测试/生产相同的治理模型的关键工作负荷,这可能会为客户带来治理挑战。
- 非统一资源分布。 单个环境的平台和工作负荷资源部署在同一 Azure 订阅中。
- 根据其区域和环境分类(如开发/测试/prod)部署到相应订阅中的应用程序。
- 在管理组和订阅级别分配的策略分配,例如审核效果和拒绝效果。
- 同一组 Azure 策略应用于同一区域和同一环境类型中的所有应用程序。
- 每个订阅和资源组的基于角色的访问控制角色分配。
- 用于混合连接的中心虚拟网络,例如 Azure VPN 网关 或 Azure ExpressRoute。
- 每个应用程序环境的虚拟网络。
- 一个中心 IT 团队,用于控制并运行每个区域的相应管理组。 团队在策略、访问控制、平台资源配置和安全合规性方面面临一些一致性、配置和合规性挑战,因为某些应用程序已部署到多个区域。
下图显示了此示例方案的当前状态。
过渡到 Azure 登陆区域概念体系结构
在实现此方法之前,请查看 Azure 登陆区域概念体系结构、 Azure 登陆区域设计原则和 Azure 登陆区域设计区域。
若要从此方案的当前状态过渡到 Azure 登陆区域概念体系结构,请使用此方法:
将 Azure 登陆区域加速器 与当前环境并行部署到同一个 Microsoft Entra ID 租户中。 此方法提供平稳和分阶段的过渡到新的登陆区域体系结构,尽量减少对活动工作负荷的中断。
此部署将创建新的管理组结构。 此结构符合 Azure 登陆区域设计原则和建议。 它还可确保这些更改不会影响现有环境。
有关详细信息,请参阅 如何处理开发/测试/生产工作负荷登陆区域。
有关使用沙盒管理组层次结构使开发人员能够在不影响其他环境的情况下进行测试和试验的信息,请参阅 Azure 登陆区域沙盒环境指南。
有关在迁移期间最大程度地减少应用程序和服务的中断的信息,请参阅 采用策略驱动的防护措施指南。
(可选)与应用程序或服务团队协作,将原始订阅中部署的工作负载迁移到新的 Azure 订阅。 有关详细信息,请参阅将现有 Azure 环境转换到 Azure 登陆区域概念体系结构。 可以将工作负荷放入新部署的 Azure 登陆区域概念体系结构管理组层次结构中的正确管理组下,例如 公司 或 联机 。
有关迁移时对资源的影响的详细信息,请参阅 “策略”。
最终,可以取消现有的 Azure 订阅,并将其置于已解除授权的管理组中。
注意
不必将现有应用程序或服务迁移到新的登陆区域或 Azure 订阅。
创建新的 Azure 订阅,以提供可支持新应用程序和工作负载的登陆区域。 将它们放置在适当的管理组下,如 公司 或 联机 在下图中。
有关详细信息,请参阅 “准备登陆区域”以获取迁移指南。
下图显示了迁移过程中此方案的状态。
总结
在此方案中,客户建立了必要的基础,通过并行部署 Azure 登陆区域概念体系结构 ,以支持其在 Azure 中工作负荷的增长和缩放计划。