Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie Ihre Azure-Zielzone für eine Migration vorbereiten. Außerdem werden die wichtigsten Aufgaben aufgeführt, die Sie ausführen müssen, um sicherzustellen, dass Konfigurationen für Ihr Migrationsprojekt vorhanden sind.
Unabhängig davon, welche Azure-Zielzonenreferenzimplementierung Sie verwendet haben, müssen Sie einige Aufgaben ausführen, um Ihre Zielzone für ein erfolgreiches Migrationsprojekt vorzubereiten.
Wenn Sie keine Referenzimplementierung für Azure-Zielzonen verwendet haben, müssen Sie die Schritte in diesem Artikel ausführen. Möglicherweise müssen Sie jedoch zuerst erforderliche Aufgaben ausführen, oder Sie müssen bestimmte Empfehlungen an Ihr Design anpassen.
In diesem Artikel werden die Aufgaben beschrieben, die Sie nach der Bereitstellung für Ihre vorhandene Azure-Zielzone ausführen müssen. Einige Aufgaben konzentrieren sich auf automatisierte Bereitstellungen. Es wird erwähnt, ob eine Aufgabe für manuell bereitgestellte und verwaltete Umgebungen nicht relevant ist.
Hinweis
Bevor Sie die auf dieser Seite beschriebenen Aufgaben ausführen, stellen Sie sicher, dass Sie Ihre Azure-Zielzone implementiert und sowohl die Entwurfsbereiche als auch die Designprinzipien überprüft haben, bevor Sie fortfahren.
Einrichten einer Hybridkonnektivität
Während einer Azure-Bereitstellung in der Zielzone können Sie ein Konnektivitätsabonnement mit einem virtuellen Hubnetzwerk und Netzwerkgateways bereitstellen, z. B. Azure VPN-Gateways, Azure ExpressRoute-Gateways oder beides. Nach der Bereitstellung der Azure-Zielzone müssen Sie weiterhin hybride Konnektivität von diesen Gateways konfigurieren, um eine Verbindung mit Ihren vorhandenen Rechenzentrumsgeräten oder Ihrem ExpressRoute-Schaltkreis herzustellen.
In der vorbereitungsbereiten Phase haben Sie ihre Konnektivität mit Azure geplant. Verwenden Sie diesen Plan, um die Verbindungen zu ermitteln, die Sie integrieren müssen. Wenn Sie beispielsweise ExpressRoute verwenden, müssen Sie mit Ihrem Anbieter zusammenarbeiten, um Ihren ExpressRoute-Schaltkreis einzurichten.
Informationen zu technischen Anleitungen für bestimmte Szenarien finden Sie unter:
- Erstellen Sie eine VPN-Verbindung von Ihrem Azure VPN-Gateway.
- Erstellen Sie einen ExpressRoute-Schaltkreis.
- Erstellen Sie eine ExpressRoute-Verbindung von Ihrem ExpressRoute-Gateway zu Ihrem Schaltkreis.
- Verwalten von Azure Virtual WAN-Gatewayeinstellungen.
Hinweis
Weitere Anleitungen finden Sie auch in der spezifischen Dokumentation Ihres Anbieters.
Wenn Sie Ihre Hybridkonnektivität mit Azure über eine virtuelle Netzwerk-Appliance (NVA) eines Drittanbieters einrichten, die in Ihrem virtuellen Netzwerk bereitgestellt wird, lesen Sie ihre spezifischen Anleitungen und unsere allgemeinen Anleitungen für hochverwendige NVAs.
Vorbereiten der Identität
Während der Bereitstellung der Azure-Zielzone sollten Sie auch eine unterstützende Architektur für Ihre Identitätsplattform bereitstellen. Möglicherweise verfügen Sie über ein dediziertes Identitätsabonnement oder Ressourcengruppen und ein virtuelles Netzwerk oder Subnetze für die virtuellen Computer (VMs), die Sie für die Identität verwenden. Sie müssen die Identitätsressourcen jedoch nach der Bereitstellung der Azure Landing Zone bereitstellen.
In den folgenden Abschnitten finden Sie Anleitungen zu Active Directory. Wenn Sie einen anderen Identitätsanbieter für Authentifizierung und Autorisierung verwenden, müssen Sie deren Anleitungen zum Erweitern Ihrer Identität auf Azure befolgen.
Bevor Sie diese Anleitung implementieren, überprüfen Sie die Active Directory- und Hybrididentitätsentscheidungen, die Sie bei der Planung Ihrer Zielzone getroffen haben.
Außerdem sollten Sie Ihre Identitätsgrundwerte aus der Governancephase überprüfen, um festzustellen, ob Sie Änderungen an der Microsoft Entra-ID vornehmen müssen.
Erweitern von Active Directory-Domänencontrollern
In den meisten Migrationsszenarien sind die Workloads, die Sie zu Azure migrieren, bereits mit einer vorhandenen Active Directory-Domäne verknüpft. Microsoft Entra ID bietet Lösungen für die Modernisierung der Identitätsverwaltung, auch für VM-Workloads, kann die Migration jedoch stören. Die Umgestaltung der Identitätsnutzung für Workloads erfolgt häufig im Rahmen von Modernisierungs- oder Innovationsinitiativen.
Daher müssen Sie Domänencontroller innerhalb des von Ihnen bereitgestellten Identitätsnetzwerkbereichs in Azure bereitstellen. Nachdem Sie virtuelle Computer bereitgestellt haben, müssen Sie ihrem normalen Domänencontrollerheraufstufungsprozess folgen, um sie der Domäne hinzuzufügen. Dieser Vorgang kann das Erstellen zusätzlicher Standorte zur Unterstützung Ihrer Replikationstopologie umfassen.
Ein allgemeines Architekturmuster für die Bereitstellung dieser Ressourcen finden Sie unter Bereitstellen von Active Directory Domain Services (AD DS) in einem virtuellen Azure-Netzwerk.
Wenn Sie die Unternehmensarchitektur für kleine Unternehmen implementieren, befinden sich die AD DS-Server häufig in einem Subnetz im Hub. Wenn Sie die Hub-and-Spoke-Architektur des Unternehmens oder die virtuelle WAN-Architektur auf Unternehmensmaßstab implementieren, befinden sich die Server häufig in ihrem dedizierten virtuellen Netzwerk.
Microsoft Entra Connect
Viele Organisationen verfügen bereits über Microsoft Entra Connect, um Microsoft 365-Dienste wie Exchange Online aufzufüllen. Wenn Ihre Organisation nicht über Microsoft Entra Connect verfügt, müssen Sie es möglicherweise installieren und nach der Bereitstellung der Zielzone einsetzen, damit Sie Identitäten replizieren können.
Aktivieren von Hybrid-DNS
Die meisten Organisationen müssen in der Lage sein, DNS-Anforderungen (Domain Name System) für Namespaces aufzulösen, die Teil vorhandener Umgebungen sind. Für diese Namespaces ist häufig eine Integration mit Active Directory-Servern erforderlich. Und Ressourcen in der vorhandenen Umgebung müssen in der Lage sein, Ressourcen in Azure aufzulösen.
Um diese Funktionen zu aktivieren, müssen Sie DNS-Dienste so konfigurieren, dass allgemeine Flüsse unterstützt werden. Sie können Azure-Landezonen verwenden, um viele der benötigten Ressourcen bereitzustellen. Weitere Aufgaben zum Überprüfen und Vorbereiten finden Sie unter DNS-Auflösung in Azure.
Benutzerdefinierte DNS-Auflösung
Wenn Sie Active Directory für Ihren DNS-Resolver verwenden oder eine Drittanbieterlösung bereitstellen, müssen Sie VMs bereitstellen. Sie können diese virtuellen Computer als DNS-Server verwenden, wenn Ihre Domänencontroller in Ihrem Identitätsabonnement und dem Netzwerk-Segment bereitgestellt werden. Andernfalls müssen Sie die VMs, die diese Dienste beherbergen sollen, bereitstellen und konfigurieren.
Nachdem Sie die VMs bereitgestellt haben, müssen Sie sie in Ihre bestehende DNS-Plattform integrieren, damit sie Verweise zu Ihren bestehenden Namespaces herstellen können. Bei Active Directory-DNS-Servern ist diese Integration automatisch.
Sie können auch Azure DNS Private Resolver verwenden, dieser Dienst wird jedoch nicht als Teil Ihrer Azure-Bereitstellung der Zielzone bereitgestellt.
Wenn Ihr Design private DNS-Zonen verwendet, planen Sie diese entsprechend. Wenn Sie beispielsweise private DNS-Zonen mit privaten Endpunkten verwenden, lesen Sie unter "Angeben von DNS-Servern" nach. Private DNS-Zonen werden als Teil Ihrer Zielzone bereitgestellt. Wenn Sie auch private Endpunkte verwenden, um Modernisierungsmaßnahmen durchzuführen, sollten Sie über eine zusätzliche Konfiguration verfügen.
Azure Firewall DNS-Proxy
Sie können Azure Firewall als DNS-Proxy konfigurieren. Azure Firewall kann Datenverkehr empfangen und an einen Azure-Resolver oder Ihre DNS-Server weiterleiten. Diese Konfiguration kann Abfragen von lokalen Systemen zu Azure ermöglichen, jedoch können diese nicht bedingt an lokale DNS-Server zurückgeleitet werden.
Wenn Sie eine hybride DNS-Auflösung benötigen, können Sie den Azure Firewall-DNS-Proxy so konfigurieren, dass datenverkehr an Ihre benutzerdefinierten DNS-Server, z. B. Ihre Domänencontroller, weitergeleitet wird.
Dieser Schritt ist optional, hat aber mehrere Vorteile. Es reduziert die Konfigurationsänderungen später, wenn Sie DNS-Dienste ändern und vollqualifizierte Domänennamenregeln (Fully Qualified Domain Name, FQDN) in azure Firewall aktivieren.
Konfigurieren von benutzerdefinierten DNS-Servern für virtuelle Netzwerke
Nachdem Sie die vorherigen Aktivitäten abgeschlossen haben, können Sie die DNS-Server für Ihre virtuellen Azure-Netzwerke auf die von Ihnen verwendeten benutzerdefinierten Server konfigurieren.
Weitere Informationen finden Sie unter DNS-Einstellungen für Azure Firewall.
Konfigurieren der Hubfirewall
Wenn Sie eine Firewall in Ihrem Hubnetzwerk bereitgestellt haben, sollten Sie einige Überlegungen berücksichtigen, damit Sie Arbeitsauslastungen migrieren können. Wenn Sie diese Überlegungen nicht frühzeitig in Ihrer Bereitstellung behandeln, treten möglicherweise Routing- und Netzwerkzugriffsprobleme auf.
Überprüfen Sie im Rahmen dieser Aktivitäten den Netzwerkentwurfsbereich, insbesondere die Richtlinien zur Netzwerksicherheit.
Wenn Sie eine Drittanbieter-NVA als Ihre Firewall bereitstellen, überprüfen Sie die Richtlinien des Anbieters und unsere allgemeinen Richtlinien für hochverwendige NVAs.
Bereitstellen von Standardregelsätzen
Wenn Sie eine Azure-Firewall verwenden, wird der gesamte Firewalldatenverkehr blockiert, bis Sie explizite Zulassungsregeln hinzufügen. Viele andere NVA-Firewalls funktionieren ähnlich. Der Datenverkehr wird verweigert, bis Sie Regeln definieren, die den zulässigen Datenverkehr angeben.
Sie sollten einzelne Regeln und Regelsammlungen basierend auf Arbeitslastanforderungen hinzufügen. Sie sollten aber auch über Standardregeln verfügen, z. B. den Zugriff auf Active Directory oder andere Identitäts- und Verwaltungslösungen, die für alle aktivierten Workloads gelten.
Routenplanung
Azure bietet Routing für die folgenden Szenarien ohne zusätzliche Konfiguration:
- Routing zwischen Ressourcen im selben virtuellen Netzwerk
- Routing zwischen Ressourcen in virtuellen Peernetzwerken
- Routing zwischen Ressourcen und einem virtuellen Netzwerk-Gateway, entweder in einem eigenen virtuellen Netzwerk oder in einem verbundenen virtuellen Netzwerk, das für die Verwendung des Gateways konfiguriert ist.
Zwei häufige Routingszenarien benötigen zusätzliche Konfiguration. Beide Szenarien haben Routing-Tabellen, die den Subnetzen zugewiesen sind, um das Routing zu gestalten. Weitere Informationen zu Azure-Routing und benutzerdefinierten Routen finden Sie unter Virtual Network Traffic Routing.
Routing zwischen Speichen
Für den Netzwerkentwurfsbereich verwenden viele Organisationen eine Hub-Spoke-Netzwerktopologie.
Sie benötigen Routen, die den Datenverkehr von einer Speiche zu einer anderen übertragen. Verwenden Sie aus Gründen der Effizienz und Einfachheit die Standardroute (0.0.0.0/0) zu Ihrer Firewall. Mit dieser Route wird der Datenverkehr an einen unbekannten Ort zur Firewall geleitet, die den Datenverkehr überprüft und Ihre Firewallregeln anwendet.
Wenn Sie den Internetausgang zulassen möchten, können Sie der Firewall auch eine weitere Route für Ihren privaten IP-Bereich zuweisen, wie z. B. 10.0.0.0/8. Diese Konfiguration überschreibt keine spezifischeren Routen. Sie können es jedoch als einfache Route nutzen, damit der Inter-Spoke-Verkehr ordnungsgemäß geleitet werden kann.
Weitere Informationen zum Spoke-zu-Spoke-Netzwerk finden Sie unter Muster und Topologien für die Spoke-übergreifende Kommunikation.
Routing aus dem Gateway-Subnetz
Wenn Sie virtuelle Netzwerke für Ihren Hub verwenden, müssen Sie planen, wie Sie die Überprüfung des Datenverkehrs, der von Ihren Gateways stammt, behandeln.
Wenn Sie beabsichtigen, Datenverkehr zu prüfen, benötigen Sie zwei Konfigurationen:
In Ihrem Konnektivitätsabonnement müssen Sie eine Routentabelle erstellen und mit dem Gateway-Subnetz verknüpfen. Das Gatewaysubnetz benötigt eine Route für jedes Speichennetzwerk, das Sie anfügen möchten, mit einem nächsten Hop der IP-Adresse Ihrer Firewall.
In jedem Ihrer Zielzonenabonnements müssen Sie eine Routentabelle erstellen und mit jedem Subnetz verknüpfen. Deaktivieren Sie die BGP-Verteilung (Border Gateway Protocol) in den Routentabellen.
Weitere Informationen zu benutzerdefinierten und azure-definierten Routen finden Sie unter Azure Virtual Network Traffic Routing.
Wenn Sie den Datenverkehr zu privaten Endpunkten prüfen möchten, aktivieren Sie die entsprechende Routingnetzwerkrichtlinie im Subnetz, in dem die privaten Endpunkte gehostet werden. Weitere Informationen finden Sie unter Verwalten von Netzwerkrichtlinien für private Endpunkte.
Wenn Sie nicht beabsichtigen, den Datenverkehr zu überwachen, sind keine Änderungen erforderlich. Wenn Sie jedoch Routentabellen zu Ihren Speichennetzwerksubnetzen hinzufügen, aktivieren Sie die BGP-Verteilung, damit Datenverkehr zurück zu Ihrem Gateway geleitet werden kann.
Konfigurieren der Überwachung und Verwaltung
Im Rahmen der Bereitstellung Ihrer Zielzone haben Sie Richtlinien bereitgestellt, die Ihre Ressourcen in Azure Monitor-Protokollen registrieren. Sie müssen jedoch auch Benachrichtigungen für Ihre Landingzone-Ressourcen erstellen.
Um Warnungen zu implementieren, können Sie den Azure Monitor-Basisplan für Landezonen bereitstellen. Verwenden Sie diese Bereitstellung, um Warnungen basierend auf allgemeinen Szenarien für die Verwaltung von Landezonen abzurufen, z. B. Konnektivitätsressourcen und Dienststatus.
Sie können auch eigene benutzerdefinierte Warnungen für Ressourcen bereitstellen, wenn Ihre Anforderungen von dem, was sich in der Basislinie befindet, abweichen.
Vorbereiten der Landezone für souveräne Arbeitslastmigrationen
Wenn Sie die Souveränitätsanforderungen erfüllen müssen, können Sie bewerten, ob Microsoft Cloud for Sovereignty Ihren Anforderungen entspricht. Microsoft Cloud for Sovereignty bietet eine zusätzliche Ebene von Richtlinien- und Überwachungsfunktionen, die einzelne Anforderungen des öffentlichen Sektors und der Behörden erfüllen.
Sie können diese Funktionen aktivieren, indem Sie die souveräne Landezone bereitstellen. Die Architektur der souveränen Landezone richtet sich an die empfohlenen Azure-Zielzonendesigns .
Microsoft Cloud for Sovereignty-Richtlinienportfolio
Mithilfe der Azure-Richtlinie können Sie die zentrale Kontrolle über Azure-Ressourcen hinweg aktivieren, um bestimmte Konfigurationen zu erzwingen. Sie können Ihren Zielzonen die Microsoft Cloud for Sovereignty-Richtlinieninitiativen zuweisen, um sicherzustellen, dass Sie lokale Richtlinien und behördliche Anforderungen in Ihrem Land/Ihrer Region einhalten.
Wenn diese Richtlinien-Initiativen noch nicht Ihrer souveränen Landezone-Bereitstellung zugewiesen sind, ziehen Sie in Erwägung, die Initiativen zuzuweisen, die Ihren regulatorischen Anforderungen entsprechen.
Abonnementverkauf aktivieren
Dieser Abschnitt gilt für Organisationen, die ihren Abonnementbereitstellungsprozess automatisieren möchten. Wenn Sie Ihre Zielzone und die Abonnementerstellung manuell verwalten, sollten Sie einen eigenen Prozess zum Erstellen von Abonnements einrichten.
Wenn Sie mit der Migration beginnen, müssen Sie Abonnements für Ihre Workloads erstellen. Ermöglichen Sie den Abonnementverkauf , um diesen Prozess zu automatisieren und zu beschleunigen. Sobald das Abonnementsverkaufssystem eingerichtet ist, sollten Sie in der Lage sein, Abonnements schnell zu erstellen.
Vorbereiten auf Microsoft Defender für Cloud
Wenn Sie Ihre Zielzone bereitstellen, legen Sie auch Richtlinien fest, um Defender für Cloud für Ihre Azure-Abonnements zu aktivieren. Defender for Cloud liefert Empfehlungen zur Sicherheitslage in seiner Sicherheitsbewertung, die die bereitgestellten Ressourcen anhand der Microsoft-Sicherheits-Baseline bewertet.
Sie müssen keine zusätzlichen technischen Konfigurationen implementieren, aber Sie sollten die Empfehlungen überprüfen und einen Plan entwerfen, um Ihren Sicherheitsstatus beim Migrieren von Ressourcen zu verbessern. Wenn Sie mit der Migration von Ressourcen in Azure beginnen, sollten Sie bereit sein, Sicherheitsverbesserungen im Rahmen Ihrer Migrationsoptimierung zu implementieren.
Verwandte Ressourcen
Berücksichtigen Sie diese zusätzlichen Ressourcen, um sich auf die Migration vorzubereiten:
- Vorbereiten einer anfänglichen Unternehmensrichtlinie, die definiert und gut verstanden wird
- Erstellen eines angemessenen Plans für die Azure-Abrechnung
- Stellen Sie sicher, dass Sie über eine ordnungsgemäße Organisationsausrichtung und einen Plan für die Verwaltung verfügen
- Entwickeln von Benennungs- und Taggingstandards