共用方式為

案例:將沒有管理群組的單一訂用帳戶轉換為 Azure 登陸區域概念架構

  • 發行項

本文說明將 Azure 環境移轉至 Azure 登陸區域概念架構的考慮和指示。 此案例涵蓋沒有管理群組的單一訂用帳戶。

在此案例中,客戶已使用 Azure,且已在平台內裝載一些應用程式或服務。 但其目前的實作會限制與其 雲端第一 策略相關的延展性和成長性。

作為此擴充的一部分,他們計劃從內部部署數據中心移轉至 Azure。 在移轉期間,他們會帶領其應用程式或服務現代化並加以轉換,以盡可能使用雲端原生技術。 例如,他們可能會使用 Azure SQL Database 和 Azure Kubernetes Service (AKS)。 他們知道這需要相當長的時間和精力,所以他們計劃 隨即轉移 開始。 一開始,此方案需要透過 Azure VPN 閘道或 Azure ExpressRoute 等服務進行混合式連線。

客戶想要從現有的方法移至企業級架構。 此架構支援其 雲端第一 策略,並且具有強大的平臺,可隨著客戶逐步淘汰其內部部署數據中心而進行擴展。

目前狀態

在此案例中,客戶的 Azure 環境目前狀態包含:

  • 單一 Azure 訂用帳戶。
  • 沒有自定義管理群組。
  • 非均勻資源分配。 平臺和工作負載資源會部署在相同的 Azure 訂用帳戶中。
  • Azure 原則使用的最低限度。 原則的指派,例如稽核效果和拒絕效果,會對每個資源群組執行,但有例外。
  • 視為管理和擴展單位的資源群組。
  • 每個資源群組的基於角色的存取控制角色分配。
  • 單一虛擬網路。
    • 沒有透過 Azure VPN 閘道或 Azure ExpressRoute 等服務進行混合式連線。
    • 系統會為每個應用程式建立新的子網。
  • 在每個 應用程式xx-rg 資源群組中,有多個獨立的應用程式。 應用程式是由不同的應用程式或服務小組所控制及操作。

下圖顯示此案例的目前狀態。

顯示單一訂用帳戶環境的圖表。

轉換至 Azure 登陸區域概念架構

在實作此方法之前,請先檢閱 Azure 登陸區域概念架構,Azure 登陸區域設計區域

若要從此案例的目前狀態轉換為 Azure 登陸區域概念架構,請使用此方法:

  1. Azure 登陸區域加速器 部署至與目前環境平行的相同Microsoft Entra ID 租使用者。 此方法提供順暢且分階段的過渡到新的登陸區域架構,並將對正在運行的工作負載的中斷降到最低。

    此部署會建立新的管理群組結構。 此結構與 Azure 登陸區域設計原則和建議一致。 它也可確保這些變更不會影響現有的環境。

  2. (選擇性)請與應用程式或服務小組合作,將原始訂用帳戶中部署的工作負載移轉至新的 Azure 訂用帳戶。 如需詳細資訊,請參閱 將現有的 Azure 環境轉換為 Azure 登陸區域概念架構。 您可以將工作負載放入新拓展的 Azure 登陸區域概念性架構管理群組階層下的正確管理群組,例如 企業線上,在以下圖表中。

    如需移轉時對資源影響的詳細資料,請參閱 原則

    最後,您可以取消現有的 Azure 訂用帳戶,並將它放在已解除委任的管理群組中。

    您不一定必須將現有的應用程式或服務移轉至新的登陸區域或 Azure 訂用帳戶。

  3. 建立新的 Azure 訂用帳戶,以提供支援從內部部署移轉專案的著陸區。 將它們放在適當的管理群組之下,例如 公司線上

    如需詳細資訊,請參閱 準備登陸區域以取得移轉指引

下圖顯示移轉期間此案例的狀態。

圖表,顯示處於轉換狀態的單一訂用帳戶環境。

總結

在此案例中,客戶藉由部署 Azure 登陸區域概念架構,在 Azure 中完成其擴充和調整計劃, 與其現有環境平行。