共用方式為

案例:將沒有管理群組的單一訂用帳戶轉換為 Azure 登陸區域概念架構

  • 發行項

本文說明將 Azure 環境移轉至 Azure 登陸區域概念架構的考慮和指示。 此案例涵蓋沒有管理群組的單一訂用帳戶。

在此案例中,客戶已使用 Azure,且已在平台內裝載一些應用程式或服務。 但其目前的實作會限制其 與雲端優先 策略相關的延展性和成長性。

作為此擴充的一部分,他們計劃從內部部署數據中心移轉至 Azure。 在移轉期間,他們會帶領其應用程式或服務現代化並加以轉換,以盡可能使用雲端原生技術。 例如,他們可能會使用 Azure SQL 資料庫 和 Azure Kubernetes Service (AKS)。 他們知道這需要相當長的時間和精力,所以他們計劃 解除和轉移 開始。 一開始,此方案需要透過 Azure VPN 閘道 或 Azure ExpressRoute 等服務進行混合式連線。

客戶想要從現有的方法移至企業級架構。 此架構支援其 雲端優先 策略,且具有強大的平臺,可隨著客戶消除其內部部署數據中心而進行調整。

目前狀態

在此案例中,客戶的 Azure 環境目前狀態包含:

  • 單一 Azure 訂用帳戶。
  • 沒有自定義管理群組。
  • 非統一資源散發。 平臺和工作負載資源會部署在相同的 Azure 訂用帳戶中。
  • 最少使用 Azure 原則。 原則指派,例如稽核效果和拒絕效果,會針對每個資源群組執行,但例外狀況。
  • 被視為管理和調整單位的資源群組。
  • 每個資源群組的角色型訪問控制角色指派。
  • 單一虛擬網路。
    • 沒有透過 Azure VPN 閘道 或 Azure ExpressRoute 等服務進行混合式連線。
    • 系統會為每個應用程式建立新的子網。
  • 每個 app-xx-rg 資源群組中的多個獨立應用程式。 應用程式是由不同的應用程式或服務小組所控制及操作。

下圖顯示此案例的目前狀態。

顯示單一訂用帳戶環境的圖表。

轉換至 Azure 登陸區域概念架構

在實作此方法之前,請先檢閱 Azure 登陸區域概念架構Azure 登陸區域設計區域

若要從此案例的目前狀態轉換為 Azure 登陸區域概念架構,請使用此方法:

  1. Azure 登陸區域加速器 部署至與目前環境平行的相同 Microsoft Entra ID 租使用者。 此方法提供順暢且分階段的轉換至新的登陸區域架構,且對作用中工作負載的中斷最少。

    此部署會建立新的管理群組結構。 此結構與 Azure 登陸區域設計原則和建議一致。 它也可確保這些變更不會影響現有的環境。

  2. (選擇性)請與應用程式或服務小組合作,將原始訂用帳戶中部署的工作負載移轉至新的 Azure 訂用帳戶。 如需詳細資訊,請參閱 將現有的 Azure 環境轉換為 Azure 登陸區域概念架構。 您可以將工作負載放入新部署的 Azure 登陸區域概念架構管理群組階層中,位於正確的管理群組之下,例如 公司在線 圖表。

    如需移轉時對資源影響的詳細資訊,請參閱 原則

    最後,您可以取消現有的 Azure 訂用帳戶,並將它放在已解除委任的管理群組中。

    注意

    您不一定必須將現有的應用程式或服務移轉至新的登陸區域或 Azure 訂用帳戶。

  3. 建立新的 Azure 訂用帳戶,以提供可從內部部署支援移轉專案的登陸區域。 將它們放在適當的管理群組底下,例如 公司在線 ,如下圖所示。

    如需詳細資訊,請參閱 準備登陸區域以進行移轉指引

下圖顯示移轉期間此案例的狀態。

此圖顯示處於轉換狀態的單一訂用帳戶環境。

摘要

在此案例中,客戶藉由平行部署 Azure 登陸區域概念架構 ,在 Azure 中完成其擴充和調整計劃。