Přechod existujícího prostředí Azure na koncepční architekturu cílové zóny Azure

Mnoho organizací má stávající nároky na Azure, jedno nebo více předplatných a potenciálně existující strukturu skupin pro správu. V závislosti na obchodních požadavcích a scénářích můžou mít nasazené prostředky Azure, jako je Azure VPN Gateway nebo Azure ExpressRoute pro hybridní připojení.

Tento článek obsahuje doporučení, která vaší organizaci pomůžou procházet změny v závislosti na vašem stávajícím prostředí Azure, které přechází na koncepční architekturu cílové zóny Azure. Tento článek také popisuje aspekty přesunu prostředků v Azure, například přesun předplatného z jedné existující skupiny pro správu do jiné skupiny pro správu. Zvažte tato doporučení, která vám pomůžou vyhodnotit a naplánovat přechod stávajícího prostředí Azure.

Přesun prostředků v Azure

Po vytvoření můžete některé prostředky v Azure přesunout. Existují různé přístupy, které podléhají oprávněním řízení přístupu na základě role (RBAC) uživatele v různých oborech a v různých oborech. Následující tabulka popisuje, které prostředky můžete přesunout, v jakém rozsahu, a výhody a nevýhody přidružené k jednotlivým prostředkům.

Obor	Cíl	Pro	Nevýhoda
Prostředky ve skupinách prostředků	Ve stejném nebo jiném předplatném můžete přejít na novou skupinu prostředků.	Složení prostředků ve skupině prostředků můžete po nasazení upravit.	Nepodporované všemi typy prostředků. Některé typy prostředků mají určitá omezení nebo požadavky. ResourceId se aktualizují a ovlivní stávající operace monitorování, výstrah a řídicí roviny. Skupiny prostředků jsou během období přesunu uzamčené. Vyžaduje posouzení zásad a předběžného přesunu RBAC a operace po přesunutí.
Předplatná v tenantovi.	Můžete přejít do různých skupin pro správu.	Žádný vliv na existující prostředky v rámci předplatného, protože se nemění hodnoty resourceId.	Vyžaduje posouzení zásad a předběžného přesunu RBAC a operace po přesunutí.

Pokud chcete určit, jakou strategii přesunutí byste měli použít, zvažte následující příklady.

Přesun předplatných

Předplatná obvykle přesunete do skupin pro správu nebo přenesete předplatná do nového tenanta Microsoft Entra ID. Přesun předplatného do nového tenanta se týká hlavně převodu vlastnictví fakturace. Další informace o přesunu předplatných mezi skupinami pro správu ve stejném tenantovi najdete v tématu Přesun skupin pro správu a předplatných.

Požadavky Azure RBAC

Pokud chcete posoudit předplatné před přesunem, je důležité, aby uživatel získal odpovídající Azure RBAC. Uživatel může být vlastníkem předplatného (přímé přiřazení role) a má oprávnění k zápisu do cílové skupiny pro správu. Předdefinované role, které podporují oprávnění k zápisu v cílové skupině pro správu, jsou role vlastníka, role přispěvatele a role přispěvatele skupiny pro správu.

Pokud má uživatel oprávnění zděděné role vlastníka k předplatnému z existující skupiny pro správu, můžete předplatné přesunout jenom do skupiny pro správu, ve které má uživatel přiřazenou roli vlastníka.

Zásady

Stávající předplatná můžou podléhat zásadám Azure, které jsou přiřazené přímo nebo přiřazené ve skupině pro správu, ve které se právě nacházejí. Je důležité vyhodnotit aktuální zásady a zásady, které můžou existovat v nové skupině pro správu nebo v hierarchii skupin pro správu.

Pomocí Azure Resource Graphu můžete provést inventář existujících prostředků a porovnat jejich konfiguraci se zásadami, které existují v cíli.

Po přesunutí předplatných do skupiny pro správu se stávajícími zásadami Azure RBAC zvažte následující faktory:

• V případě azure RBAC zděděných do přesunutých předplatných může aktualizace uživatelských tokenů v mezipaměti skupiny pro správu trvat až 30 minut. Pokud chcete tento proces urychlit, můžete token aktualizovat tak, že se odhlásíte a přihlásíte nebo požádáte o nový token.

• Zásada, ve které rozsah přiřazení zahrnuje přesunutá předplatná, provádí audit pouze u existujících prostředků. Existující prostředek v předplatném, na který se vztahuje:

  • DeployIfNotExists účinek zásad se zobrazuje jako nedodržující předpisy a automaticky se nenapravuje. Uživatel musí provést nápravu ručně.

  • Deny účinek zásad se zobrazuje jako nedodržující předpisy a není odmítnut. Uživatel musí tento výsledek ručně zmírnit.

  • AppendModify a účinek zásad se zobrazuje jako nedodržující předpisy a vyžaduje, aby se uživatel zmírňoval.

  • AuditAuditIfNotExist a účinek zásad se zobrazuje jako nedodržující předpisy a vyžaduje, aby se uživatel zmírňoval.

• Všechny nové zápisy do prostředků v přesunutém předplatném podléhají přiřazeným zásadám v reálném čase, jako je normální.

Přesunutí prostředků

Pokud chcete prostředky sloučit do stejné skupiny prostředků, obvykle přesunete prostředky do stejné skupiny prostředků, pokud sdílejí stejný životní cyklus. Nebo pokud chcete přesunout prostředky do jiného předplatného kvůli nákladům, vlastnictví nebo požadavkům Azure RBAC.

Když přesunete prostředky, zdrojová skupina prostředků a cílová skupina prostředků se během operace přesunu uzamknou. Nemůžete přidávat, aktualizovat ani odstraňovat prostředky ve skupinách prostředků. Operace přesunu prostředků nezmění umístění prostředků.

Další informace o přesunu prostředků mezi skupinami prostředků a předplatnými ve stejném tenantovi najdete v tématu Přesun prostředků do nové skupiny prostředků nebo předplatného.

Tip

Pokud chcete minimalizovat vliv oblastních výpadků, doporučujeme umístit prostředky do stejné oblasti jako skupina prostředků. Další informace najdete v tématu Zarovnání umístění skupiny prostředků.

Pokud máte prostředky v různých oblastech ve stejné skupině prostředků, zvažte přesun prostředků do nové skupiny prostředků nebo předplatného.

Pokud chcete zjistit, jestli váš prostředek podporuje přesun do jiné skupiny prostředků, inventarizovat prostředky křížovým odkazem na ně. Ujistěte se, že splňujete příslušné požadavky.

Než přesunete prostředky

Před operací přesunu musíte ověřit, že jsou prostředky podporované, a posoudit jejich požadavky a závislosti. Když například přesunete partnerský virtuální síť, musíte nejprve zakázat partnerský vztah virtuálních sítí a po dokončení operace přesunu znovu povolit partnerský vztah. Naplánujte závislost zákazu a opětovného povolení předem, abyste pochopili vliv na existující úlohy, které můžou být připojené k vašim virtuálním sítím.

Po přesunutí prostředků

Když přesunete prostředky do nové skupiny prostředků ve stejném předplatném, všechny zděděné zásady Azure RBAC a skupiny pro správu nebo předplatné se stále použijí. To platí také v případě, že přejdete do skupiny prostředků v novém předplatném, ve kterém může být předplatné předmětem jiného přiřazení Azure RBAC a zásad. Musíte ověřit dodržování předpisů prostředků a řízení přístupu.

Scénáře

Následující scénáře popisují, jak migrovat a převést existující prostředí do koncepční architektury cílové zóny Azure.

• Scénáře zarovnání

  • Přechod jednoho předplatného bez skupin pro správu na koncepční architekturu cílové zóny Azure
  • Koncepční architektura přechodu skupin pro správu do cílové zóny Azure
  • Přechod regionální organizace na koncepční architekturu cílové zóny Azure

• Přístupy ke sladění

  • Přechod prostředí duplikováním skupiny pro správu cílové zóny

Cesta k cílové architektuře