Sdílet prostřednictvím


Příprava cílové zóny na migraci

Tento článek popisuje, jak připravit cílovou zónu Azure na migraci. Obsahuje také seznam hlavních úkolů, které musíte provést, aby se zajistilo, že jsou pro váš projekt migrace zavedeny konfigurace.

Bez ohledu na to, jakou implementaci cílové zóny Azure jste použili, musíte provést některé úlohy, které připraví cílovou zónu na úspěšný projekt migrace.

Pokud jste nepoužíli referenční implementaci cílové zóny Azure, musíte přesto provést kroky v tomto článku. Možná ale máte požadované úkoly, které je potřeba provést jako první, nebo budete muset přizpůsobit konkrétní doporučení k návrhu.

Tento článek popisuje úlohy, které musíte provést pro stávající cílovou zónu Azure po nasazení. Některé úlohy se zaměřují na automatizovaná nasazení. Je zaznamenáno, pokud úloha není relevantní pro ručně nasazená a spravovaná prostředí.

Navázání hybridního připojení

Během nasazení cílové zóny Azure můžete nasadit předplatné Připojení ivity s centrální virtuální sítí a síťovými bránami, jako jsou brány Azure VPN, brány Azure ExpressRoute nebo obojí. Po nasazení cílové zóny Azure musíte stále nakonfigurovat hybridní připojení z těchto bran, abyste se mohli připojit ke stávajícím zařízením datacentra nebo okruhu ExpressRoute.

V připravené fázi jste naplánovali připojení k Azure. Tento plán použijte k určení připojení, která potřebujete začlenit. Pokud například používáte ExpressRoute, musíte spolupracovat se svým poskytovatelem a vytvořit okruh ExpressRoute.

Technické pokyny pro konkrétní scénáře najdete v následujících tématech:

Poznámka:

Další pokyny najdete také v konkrétní dokumentaci vašeho poskytovatele.

Pokud vytvoříte hybridní připojení k Azure prostřednictvím síťového virtuálního zařízení třetí strany, které je nasazené ve vaší virtuální síti, projděte si jejich konkrétní pokyny a naše obecné pokyny k vysoce dostupným síťovým virtuálním zařízením.

Příprava identity

Během nasazení cílové zóny Azure byste také měli nasadit podpůrnou architekturu pro vaši platformu identit. Můžete mít vyhrazené předplatné identity nebo skupiny prostředků a virtuální síť nebo podsítě pro virtuální počítače, které používáte pro identitu. Prostředky identity však musíte nasadit po nasazení cílové zóny Azure.

Následující části obsahují pokyny související se službou Active Directory. Pokud pro ověřování a autorizaci používáte jiného zprostředkovatele identity, musíte postupovat podle pokynů k rozšíření identity do Azure.

Před implementací těchto pokynů si projděte rozhodnutí o službě Active Directory a hybridní identitě , která jste udělali při plánování cílové zóny.

Měli byste také zkontrolovat směrný plán identit z fáze zásad správného řízení a zjistit, jestli potřebujete provést změny v ID Microsoft Entra.

Rozšíření řadičů domény služby Active Directory

Ve většině scénářů migrace jsou úlohy, které migrujete do Azure, už připojené k existující doméně Active Directory. Microsoft Entra ID nabízí řešení pro modernizaci správy identit, i pro úlohy virtuálních počítačů, ale může narušit migraci. Změna využití identit pro úlohy se často provádí během modernizace nebo inovačních iniciativ.

V důsledku toho je potřeba nasadit řadiče domény do Azure v oblasti sítě identit, kterou jste nasadili. Po nasazení virtuálních počítačů musíte postupovat podle normálního procesu povýšení řadiče domény a přidat je do domény. Tento proces může zahrnovat vytvoření dalších lokalit pro podporu topologie replikace.

Běžný vzor architektury pro nasazení těchto prostředků najdete v tématu Nasazení služby Doména služby Active Directory Services (AD DS) ve virtuální síti Azure.

Pokud implementujete architekturu na podnikové úrovni pro malé podniky, servery AD DS jsou často v podsíti v centru. Pokud implementujete hvězdicovou architekturu na podnikové úrovni nebo architekturu virtual WAN na podnikové úrovni, servery jsou často ve své vyhrazené virtuální síti.

Microsoft Entra Connect

Řada organizací už má Microsoft Entra Připojení k naplnění služeb Microsoftu 365, jako je Exchange Online. Pokud vaše organizace nemá Připojení Microsoft Entra, možná ji budete muset nainstalovat a nasadit po nasazení cílové zóny, abyste mohli replikovat identity.

Povolení hybridního DNS

Většina organizací musí být schopná přeložit požadavky DNS (Domain Name System) na obory názvů, které jsou součástí existujících prostředí. Tyto obory názvů často vyžadují integraci se servery služby Active Directory. Prostředky v existujícím prostředí musí být schopné přeložit prostředky v Azure.

Pokud chcete tyto funkce povolit, musíte nakonfigurovat služby DNS tak, aby podporovaly běžné toky. Cílové zóny Azure můžete použít k nasazení mnoha potřebných prostředků. Další úlohy ke kontrole a přípravě najdete v tématu Překlad DNS v Azure.

Vlastní překlad DNS

Pokud používáte Active Directory pro překladač DNS nebo pokud nasazujete řešení třetí strany, musíte nasadit virtuální počítače. Tyto virtuální počítače můžete použít jako servery DNS, pokud jsou řadiče domény nasazené do vašeho předplatného identity a síťového paprsku. V opačném případě je nutné nasadit a nakonfigurovat virtuální počítače tak, aby tyto služby vystavily.

Po nasazení virtuálních počítačů je nutné je integrovat do stávající platformy DNS, aby mohly provádět vyhledávání s vašimi existujícími obory názvů. U serverů DNS služby Active Directory je tato integrace automatická.

Můžete také použít privátní překladač Azure DNS, ale tato služba není nasazená jako součást nasazení cílové zóny Azure.

Pokud váš návrh používá privátní zóny DNS, naplánujte odpovídajícím způsobem. Pokud například používáte privátní zóny DNS s privátními koncovými body, přečtěte si téma Určení serverů DNS. Privátní DNS zóny se nasadí jako součást cílové zóny. Pokud k modernizaci používáte také privátní koncové body, měli byste pro ně mít další konfiguraci.

Proxy DNS služby Azure Firewall

Azure Firewall můžete nakonfigurovat jako proxy server DNS. Azure Firewall může přijímat provoz a předávat ho do překladače Azure nebo serverů DNS. Tato konfigurace umožňuje provádět vyhledávání z místního prostředí do Azure, ale nejde je podmíněně předávat zpět na místní servery DNS.

Pokud potřebujete hybridní překlad DNS, můžete nakonfigurovat proxy DNS služby Azure Firewall tak, aby předával provoz na vlastní servery DNS, jako jsou řadiče domény.

Tento krok je volitelný, ale má několik výhod. Změny konfigurace se sníží později, pokud změníte služby DNS a povolíte plně kvalifikovaná pravidla názvu domény (FQDN) ve službě Azure Firewall.

Konfigurace vlastních serverů DNS virtuální sítě

Po dokončení předchozích aktivit můžete servery DNS pro virtuální sítě Azure nakonfigurovat na vlastní servery, které používáte.

Další informace najdete v tématu Nastavení DNS služby Azure Firewall.

Konfigurace brány firewall centra

Pokud jste ve své centrální síti nasadili bránu firewall, měli byste zvážit několik aspektů, abyste byli připraveni migrovat úlohy. Pokud tyto aspekty neřešíte v rané fázi nasazení, můžete narazit na problémy se směrováním a přístupem k síti.

V rámci provádění těchto aktivit si projděte oblast návrhu sítě, zejména pokyny k zabezpečení sítě.

Pokud jako bránu firewall nasadíte síťové virtuální zařízení třetí strany, projděte si pokyny dodavatele a naše obecné pokyny k vysoce dostupným síťovým virtuálním zařízením.

Nasazení standardních sad pravidel

Pokud používáte bránu Azure Firewall, veškerý provoz brány firewall se zablokuje, dokud nepřidáte explicitní pravidla povolení. Podobně funguje mnoho dalších bran firewall síťového virtuálního zařízení. Provoz se odepře, dokud nedefinujete pravidla, která určují povolený provoz.

Na základě potřeb úloh byste měli přidat jednotlivá pravidla a kolekce pravidel. Měli byste ale také naplánovat standardní pravidla, jako je přístup ke službě Active Directory nebo jiným řešením pro správu identit a správy, která platí pro všechny povolené úlohy.

Směrování

Azure poskytuje směrování pro následující scénáře bez další konfigurace:

  • Směrování mezi prostředky ve stejné virtuální síti
  • Směrování mezi prostředky v partnerských virtuálních sítích
  • Směrování mezi prostředky a bránou virtuální sítě, buď ve vlastní virtuální síti, nebo v partnerské virtuální síti, která je nakonfigurovaná tak, aby používala bránu

Dva běžné scénáře směrování vyžadují další konfiguraci. Oba scénáře mají směrovací tabulky přiřazené k podsítím ke směrování obrazců. Další informace o směrování Azure a vlastních trasách najdete v tématu Směrování provozu virtuální sítě.

Směrování mezi paprsky

Pro oblast návrhu sítě používá mnoho organizací hvězdicovou síťovou topologii.

Potřebujete trasy, které přenášejí provoz z jednoho paprsku do druhého. Pro zajištění efektivity a jednoduchosti použijte výchozí trasu (0.0.0.0/0) do brány firewall. Když je tato trasa na místě, provoz do libovolného neznámého umístění přejde do brány firewall, který zkontroluje provoz a použije pravidla brány firewall.

Pokud chcete povolit výchozí přenos dat z internetu, můžete bráně firewall přiřadit také jinou trasu pro váš privátní prostor IP adres, například 10.0.0.0/8. Tato konfigurace nepřepíše konkrétnější trasy. Můžete ho ale použít jako jednoduchou trasu, aby provoz mezi paprsky mohl správně směrovat.

Další informace o paprskových sítích najdete v tématu Vzory a topologie pro komunikaci mezi paprsky.

Směrování z podsítě brány

Pokud pro své centrum používáte virtuální sítě, musíte naplánovat, jak zkontrolovat provoz, který pochází z bran.

Pokud chcete zkontrolovat provoz, potřebujete dvě konfigurace:

  • V předplatném Připojení ivity musíte vytvořit směrovací tabulku a propojit ji s podsítí brány. Podsíť brány potřebuje trasu pro každou paprskovou síť, kterou chcete připojit, s dalším segmentem směrování IP adresy brány firewall.

  • V každém z vašich předplatných cílové zóny musíte vytvořit směrovací tabulku a propojit ji s každou podsítí. Zakažte šíření protokolu BGP (Border Gateway Protocol) do směrovacích tabulek.

Další informace o vlastních a trasách definovaných v Azure najdete v tématu Směrování provozu virtuální sítě Azure.

Pokud máte v úmyslu zkontrolovat provoz do privátních koncových bodů, povolte v podsíti, kde jsou hostované privátní koncové body, příslušné zásady sítě směrování. Další informace najdete v tématu Správa zásad sítě pro privátní koncové body.

Pokud nechcete kontrolovat provoz, nejsou potřeba žádné změny. Pokud ale přidáte směrovací tabulky do podsítí paprskové sítě, povolte šíření protokolu BGP, aby se provoz mohl směrovat zpět do vaší brány.

Konfigurace monitorování a správy

V rámci nasazení cílové zóny jste zřídili zásady, které zaregistrují vaše prostředky do protokolů služby Azure Monitor. Musíte ale také vytvořit upozornění pro prostředky cílové zóny.

K implementaci upozornění můžete nasadit směrný plán služby Azure Monitor pro cílové zóny. Toto nasazení použijte k získání výstrah založených na běžných scénářích pro správu cílových zón, jako jsou prostředky připojení a stav služby.

Pokud se vaše potřeby odchylují od toho, co je v směrném plánu, můžete také nasadit vlastní upozorňování pro prostředky.

Příprava cílové zóny pro migrace suverénních úloh

Pokud potřebujete řešit požadavky na suverenitu, můžete vyhodnotit, jestli Cloud Microsoftu pro suverenitu vyhovuje vašim požadavkům. Microsoft Cloud for Sovereignty poskytuje další vrstvu možností zásad a auditování, které řeší potřeby jednotlivých veřejných sektorů a zákazníků státní správy.

Tyto funkce můžete povolit nasazením suverénní cílové zóny. Architektura suverénní cílové zóny odpovídá doporučeným návrhům cílových zón Azure.

Portfolio zásad suverenity v Microsoft Cloudu pro suverenitu

Pomocí zásad Azure můžete povolit centralizovanou kontrolu napříč prostředky Azure a vynutit konkrétní konfigurace. Iniciativy zásad suverenity v Microsoft Cloudu pro suverenitu můžete přiřadit cílovým zónám, abyste měli jistotu, že dodržujete místní zásady a zákonné požadavky ve vaší zemi nebo oblasti.

Pokud tyto iniciativy zásad ještě nejsou přiřazené k nasazení suverénní cílové zóny, zvažte přiřazení iniciativ, které odpovídají vašim zákonným požadavkům.

Povolení správa předplatného

Tato část se týká organizací, které chtějí automatizovat proces zřizování předplatného. Pokud ručně spravujete cílovou zónu a vytváření předplatného, měli byste vytvořit vlastní proces vytváření předplatných.

Když začnete s migrací, musíte pro své úlohy vytvořit předplatná. Povolte správa předplatného k automatizaci a zrychlení tohoto procesu. Po vytvoření správa předplatného byste měli být schopni rychle vytvářet předplatná.

Příprava na Microsoft Defender for Cloud

Když nasadíte cílovou zónu, nastavíte také zásady, které povolí Defender for Cloud pro vaše předplatná Azure. Defender for Cloud poskytuje doporučení k stavu zabezpečení ve svém skóre zabezpečení, která vyhodnocuje nasazené prostředky podle standardních hodnot zabezpečení Microsoftu.

Nemusíte implementovat další technické konfigurace, ale při migraci prostředků byste měli zkontrolovat doporučení a navrhnout plán, který zlepší stav zabezpečení. Když začnete migrovat prostředky do Azure, měli byste být připraveni implementovat vylepšení zabezpečení v rámci optimalizace migrace.

Při přípravě na migraci zvažte tyto další zdroje informací:

Další kroky