將現有的 Azure 環境轉換為 Azure 登陸區域概念架構
許多組織都有現有的 Azure 使用量、一或多個訂用帳戶,以及現有的管理群組結構。 視其商務需求和案例而定,他們可能已部署 Azure 資源,例如 Azure VPN 閘道 或 Azure ExpressRoute 以進行混合式連線。
本文提供建議,協助您的組織根據轉換至 Azure 登陸區域概念架構的現有 Azure 環境來巡覽變更。 本文也說明在 Azure 中移動資源的考慮,例如將訂用帳戶從一個現有的管理群組移至另一個管理群組。 請考慮這些建議,協助您評估及規劃現有 Azure 環境的轉換。
在 Azure 中移動資源
您可以在建立之後,在 Azure 中移動一些資源。 在範圍和範圍內,有不同方法受限於使用者的 Azure 角色型訪問控制 (RBAC) 許可權。 下表概述您可以移動哪些資源、在哪個範圍,以及與每個資源相關聯的優缺點。
範圍 | Destination | 優點 | 缺點 |
---|---|---|---|
資源群組中的資源。 | 您可以移至相同或不同訂用帳戶中的新資源群組。 | 您可以在部署之後修改資源群組中的資源組合。 | 所有 resourceTypes 都不支援。 某些 resourceType 有特定限制或需求。 ResourceId 會更新,且會影響現有的監視、警示和控制平面作業。 資源群組會在移動期間鎖定。 需要評估原則和 RBAC 預先移動和移動後作業。 |
租使用者中的訂用帳戶。 | 您可以移至不同的管理群組。 | 因為 resourceId 值不會變更,因此不會影響訂用帳戶內的現有資源。 | 需要評估原則和 RBAC 預先移動和移動後作業。 |
若要判斷您應該使用哪一個移動策略,請考慮下列範例。
移動訂用帳戶
一般而言,您會將訂用帳戶移至管理群組,或將訂用帳戶轉移至新的 Microsoft Entra ID 租使用者。 將訂用帳戶移至新的租使用者主要是為了 轉移帳單擁有權。 如需如何在相同租使用者中跨管理群組移動訂用帳戶的詳細資訊,請參閱 移動管理群組和訂用帳戶。
Azure RBAC 需求
若要在移動前評估訂用帳戶,用戶必須具備適當的 Azure RBAC。 使用者可能是訂用帳戶的擁有者(直接角色指派),並且具有目標管理群組的寫入許可權。 支援目標管理群組寫入許可權的內建角色是擁有者角色、參與者角色,以及管理群組參與者角色。
如果使用者擁有現有管理群組之訂用帳戶的繼承擁有者角色許可權,您就只能將訂用帳戶移至指派擁有者角色的管理群組。
原則
現有的訂用帳戶可能受限於直接指派的 Azure 原則,或是在他們目前所在的管理群組指派。 請務必評估新管理群組或管理群組階層中可能存在的目前原則和原則。
您可以使用 Azure Resource Graph 來執行現有資源的清查,並將其設定與目的地上存在的原則進行比較。
將訂用帳戶移至具有現有 Azure RBAC 和原則的管理群組之後,請考慮下列因素:
對於繼承至已移動訂用帳戶的任何 Azure RBAC,管理群組快取中的使用者令牌最多可能需要 30 分鐘才能重新整理。 若要加速此程式,您可以註銷和登入或要求新的令牌來重新整理令牌。
指派範圍包含已移動訂用帳戶的原則只會對現有資源執行稽核。 訂用帳戶中現有的資源,受限於:
DeployIfNotExists
原則效果會顯示為不符合規範,且不會自動補救。 用戶必須手動執行補救。Deny
原則效果會顯示為不符合規範,且不會遭到拒絕。 用戶必須視需要手動減輕此結果。Append
和Modify
原則效果會顯示為不符合規範,並要求用戶減輕。Audit
和AuditIfNotExist
原則效果會顯示為不符合規範,並要求用戶減輕。
對已移動訂用帳戶中資源的所有新寫入都會即時受到指派的原則,就像一般一樣。
移動資源
一般而言,當您想要將資源合併到相同的資源群組時,如果資源分享相同的生命週期,則您會移動資源。 或者,如果您想要因為成本、擁有權或 Azure RBAC 需求而將資源移至不同的訂用帳戶。
當您移動資源時,來源資源群組和目標資源群組會在移動作業期間鎖定。 您無法在資源群組中新增、更新或刪除資源。 資源移動作業不會變更資源的位置。
如需如何在相同租使用者中跨資源群組和訂用帳戶移動資源的詳細資訊,請參閱 將資源移至新的資源群組或訂用帳戶。
提示
若要將區域中斷的影響降到最低,建議您將資源放在與資源群組相同的區域中。 如需詳細資訊,請參閱 資源群組位置對齊。
如果您在相同資源群組內的不同區域中有資源,請考慮將資源 移至新的資源群組或訂用帳戶。
若要 判斷您的資源是否支援移至另一個資源群組,請交叉參考資源來清查資源。 請確定您符合適當的 必要條件。
移動資源之前
在移動作業之前,您必須確認 支持資源,並評估其需求和相依性。 例如,當您移動對等互連虛擬網路時,必須先停用虛擬網路對等互連,然後在移動作業完成之後重新啟用對等互連。 預先規劃停用和重新啟用相依性,讓您瞭解可能連線到虛擬網路的現有工作負載的影響。
移動資源之後
當您將資源移至相同訂用帳戶中的新資源群組時,仍會套用任何繼承自管理群組或訂用帳戶的 Azure RBAC 和原則。 如果您移至新訂用帳戶中的資源群組,該訂用帳戶可能受限於其他 Azure RBAC 和原則指派,也適用此情況。 您必須驗證資源合規性和存取控制。
案例
下列案例說明如何將現有環境移轉至 Azure 登陸區域概念架構。