Preparación de la zona de aterrizaje para la migración

  • Artículo

En este artículo se describe cómo preparar la zona de aterrizaje de Azure para una migración. También enumera las tareas principales que debe realizar para asegurarse de que las configuraciones son las correctas para el proyecto de migración.

Independientemente de la implementación de referencia de zona de aterrizaje de Azure que usó, debe realizar algunas tareas para preparar la zona de aterrizaje para que el proyecto de migración tenga éxito.

Si no ha usado una implementación de referencia de zona de aterrizaje de Azure, debe seguir los pasos descritos en este artículo. Sin embargo, es posible que tenga que realizar tareas previas o adaptar recomendaciones específicas al diseño.

En este artículo se describen las tareas que debe realizar para la zona de aterrizaje de Azure existente después de implementarla. Algunas tareas se centran en despliegues automatizados. Se debe tener en cuenta si una tarea no es relevante para entornos desplegados y administrados manualmente.

Establecimiento de la conectividad híbrida

Durante una despliegue de zona de aterrizaje de Azure, puede desplegar una suscripción de conectividad con una red virtual de concentrador y puertas de enlace de red, como puertas de enlace de VPN de Azure, puertas de enlace de Azure ExpressRoute o ambas. Tras la implementación de la zona de aterrizaje de Azure, deberá seguir configurando la conectividad híbrida desde estas puertas de enlace para conectar sus dispositivos de centro de datos existentes o su circuito ExpressRoute.

En la fase Ready, ha planeado la conectividad con Azure. Utilice este plan para determinar las conexiones que necesita incorporar. Por ejemplo, si utiliza ExpressRoute, tiene que trabajar con su proveedor para establecer su circuito ExpressRoute.

Para obtener instrucciones técnicas para escenarios específicos, consulte:

Nota:

Para obtener instrucciones adicionales, consulte también la documentación específica del proveedor.

Si establece su conectividad híbrida a Azure a través de un Network Virtual Appliances (NVA) de terceros que se despliega en su red virtual, revise su guía específica y nuestra guía general para NVAs de alta disponibilidad.

Preparación de la identidad

Durante la implementación de la zona de aterrizaje de Azure, también debe desplegar una arquitectura auxiliar para la plataforma de identidad. Puede que tenga una suscripción de identidad o grupos de recursos dedicados y una red o subredes virtuales para las máquinas virtuales (VM) que utiliza para la identidad. Sin embargo, debe desplegar los recursos de identidad después de la implementación de la zona de aterrizaje de Azure.

En las secciones siguientes se proporcionan instrucciones relacionadas con Active Directory. Si utiliza un proveedor de identidades diferente para la autenticación y las autorizaciones, deberá seguir sus directrices para ampliar su identidad a Azure.

Antes de que despliegue esta guía, revise las decisiones tomadas para Active Directory e Identidad híbrida cuando planificó zona de aterrizaje.

También debe revisar la línea de base de identidad de la fase de gobernanza para determinar si necesita realizar cambios en Microsoft Entra ID.

Ampliar los controladores de dominio de Active Directory

En la mayoría de los escenarios de migración, las cargas de trabajo que ha migrado a Azure ya están unidas a un dominio de Active Directory existente. Microsoft Entra ID ofrece soluciones para modernizar la gestión de identidades incluso para cargas de trabajo de las máquinas virtuales, pero puede interrumpir la migración. La reestructuración del uso de las identidades para las cargas de trabajo suele ser un esfuerzo que se realiza durante las iniciativas de modernización o innovación.

Como resultado, debe desplegar controladores de dominio en Azure dentro del área de red de identidad que desplegó. Después de que implemente las máquinas virtuales, debe seguir el proceso normal de promoción de controlador de dominio para añadirlas al dominio. Este proceso puede incluir la creación de sitios adicionales para soportar su topología de replicación.

Para obtener un patrón de arquitectura común para desplegar estos recursos, consulte Implemente Active Directory Domain Services (AD DS) en una red virtual de Azure.

Si despliega la arquitectura de escala empresarial para pequeñas empresas, los servidores de AD DS a menudo se encuentran en una subred del centro. Si despliega la arquitectura de estrella tipo radial de escala empresarial o la arquitectura de Virtual WAN a escala empresarial, los servidores suelen estar en su red virtual dedicada.

Microsoft Entra Connect

Muchas de las organizaciones ya tienen Microsoft Entra Connect para completar los servicios de Microsoft 365, como Exchange Online. Si su organización no tiene Microsoft Entra Connect, es posible que tenga que instalarla e desplegarla después de la implementación de la zona de aterrizaje para poder replicar identidades.

Activar el DNS híbrido

La mayoría de las organizaciones necesitan poder resolver solicitudes Sistema de nombres de dominio (DNS) para espacios de nombres que forman parte de los entornos existentes. Estos espacios de nombres suelen requerir la integración con servidores de Active Directory. Y los recursos del entorno existente deben poder resolver los recursos de Azure.

Para habilitar estas funciones, debe configurar los servicios DNS para admitir flujos comunes. Puede usar zonas de aterrizaje de Azure para desplegar muchos de los recursos que necesita. Para obtener más información sobre tareas para revisar y preparar, consulte Resolución DNS en Azure.

Resolución de DNS personalizada

Si usa Active Directory para la resolución DNS o si despliega una solución de terceros, debe desplegar máquinas virtuales. Puede utilizar estos como sus servidores DNS si ya tiene sus Controladores de Dominio desplegados en su suscripción de Identidad y red spoke. De lo contrario, debe implementar y configurar las máquinas virtuales para alojar estos servicios.

Después de implementar las máquinas virtuales, debe integrarlas en la plataforma DNS existente para que puedan realizar búsquedas en los espacios de nombres existentes. En el caso de los servidores DNS de Active Directory, la integración es automática.

También puede usar Azure DNS Private Resolver, pero este recurso no se implementa como parte de la implementación de la zona de aterrizaje de Azure.

Si el diseño utiliza zonas DNS privadas, planee en consecuencia. Por ejemplo, si utiliza zonas DNS privadas con puntos de conexión privados, consulte Especificar servidores DNS. Las zonas DNS privadas se implementan como parte de su zona de aterrizaje. Si utiliza puntos de conexión privado para realizar trabajos de modernización, debería tener una configuración adicional para ellos.

Proxy de DNS de Azure Firewall

Puede configurar Azure Firewall para que actúe como proxy DNS. El Azure Firewall puede recibir tráfico y desviarlo a la resolución de Azure o a los servidores DNS. Esta configuración puede permitir búsquedas desde en el entorno local Azure, pero no se puede desviar condicionalmente a los servidores DNS locales.

Si necesita una resolución DNS híbrida, puede configurar Azure Firewall proxy DNS para desviar tráfico los servidores DNS personalizados como los controladores de dominio.

Este paso es opcional, pero su utilización tiene varias ventajas. Reduce los cambios de configuración posteriores si cambia los servicios DNS y habilita las reglas de nombre de dominio completo (FQDN) en el Azure firewall.

Configuración de los servidores DNS personalizados de la red virtual

Después de completar las actividades anteriores, puede configurar los servidores DNS para sus redes virtuales Azure en los servidores personalizados que utiliza.

Para obtener más información, consulte Configuración DNS de Azure Firewall.

Configuración del centro de conectividad de firewall

Si desplegó un firewall en su red central, hay algunas consideraciones que debe tener en cuenta para estar preparado para migrar las cargas de trabajo. Si no aborda estas consideraciones al principio del despliegue, es posible que se produzcan problemas de distribución y acceso a la red.

Como parte de la realización de estas actividades, revise el área de diseño de conexión en redes, especialmente para la guía de seguridad de redes.

Si implementa un NVA de terceros como firewall, consulte la guía del proveedor y nuestrasguías generales para NVA de alta disponibilidad.

Implementación de conjuntos de reglas estándar

Si utiliza un Azure Firewall, todo el tráfico del firewall se bloquea hasta que añade reglas de permiso explícitas. Muchos otros firewalls de NVA funcionan de forma similar. Se deniega el tráfico hasta que define reglas que especifican el tráfico permitido.

Debe agregar reglas individuales y recopilaciones de reglas en función de las necesidades de carga de trabajo. Aunque también debería planificar tener habilitadas reglas estándar, como el acceso a Active Directory u otras soluciones de identidad y administración que se aplican a todas las cargas de trabajo.

Enrutamiento

Azure proporciona enrutamiento para los siguientes escenarios sin configuración adicional:

  • Distribución entre recursos de la misma red virtual
  • Distribución entre recursos en redes virtuales emparejadas
  • Distribución entre recursos y una puerta de enlace de red virtual, ya sea en su propia red virtual o en una red virtual emparejada configurada para utilizar la puerta de enlace

Dos escenarios de distribución comunes necesitan una configuración adicional. Ambos escenarios tienen tablas de rutas asignadas a subredes para dar forma a la distribución. Para más información sobre la distribución y las rutas personalizadas de Azure, consulte Enrutamiento del tráfico de redes virtuales.

Enrutamiento Inter-spoke

Para la área de diseño de red, muchas organizaciones utilizan una topología de red en estrella tipo hub-and-spoke.

Necesita rutas que transfieran el tráfico de un radio a otro. Para mejorar la eficacia y la simplicidad, utilice la ruta predeterminada (0.0.0.0/0) al firewall. Con esta ruta en su lugar, el tráfico a cualquier ubicación desconocida va al firewall, que inspecciona el tráfico y aplica sus reglas de firewall.

Si desea permitir la salida de Internet, también puede asignar otra ruta para su espacio IP privado al firewall, como 10.0.0.0/8. Esta configuración no invalida rutas más específicas. Pero puede usarlo como una ruta sencilla para que el tráfico entre radios pueda distribuir correctamente.

Para obtener más información sobre las redes de radio a radio, consulte Patrones y topologías para la comunicación entre radios.

Distribución desde subred de puerta de enlace de red

Si utiliza redes virtuales para su centro de conectividad, debe planificar cómo gestionar la inspección del tráfico procedente de sus puertas de enlace de red.

Si tiene previsto inspeccionar el tráfico, necesita dos configuraciones:

  • En la suscripción de conectividad, necesita crear una tabla de rutas y vincularla a la puerta de enlace de la subred. La puerta de enlace de la subred necesita una ruta para cada red de radio que pretenda conectar, con un próximo salto de la dirección IP de su firewall.

  • En cada una de sus suscripciones de zona de aterrizaje, necesita crear una tabla de rutas y vincularla a cada subred. Deshabilite la propagación del Protocolo de puerta de enlace de borde (BGP) a las tablas de rutas.

Para obtener más información sobre las rutas personalizadas y definidas por Azure, consulte el artículo sobre el enrutamiento del tráfico de red virtual de Azure.

Si tiene intención de inspeccionar el tráfico hacia los puntos de conexión privados, habilite la política de red de distribución adecuada en la subred en la que están alojados los puntos de conexión privados. Para obtener más información, consulte Administración de directivas de red para puntos de conexión privados.

Si no tiene intención de inspeccionar el tráfico, no es necesario realizar ningún cambio. Sin embargo, si añade tablas de rutas a las subredes de su red de radio, habilite la propagación BGP para que el tráfico pueda enrutar de vuelta a su puerta de enlace.

Configuración de la supervisión y administración

Como parte de la implementación de su zona de aterrizaje, tiene a disposición políticas que inscriban sus recursos en Registros de Azure Monitor. Pero también debe crear alertas para los recursos de la zona de aterrizaje.

Para desplegar alertas, puede implementar la línea base de Azure Monitor para zonas de aterrizaje. Utilice esta implementación para obtener alertas basadas en escenarios comunes para la administración de la zona de aterrizaje, como los recursos de conectividad y el estado del servicio.

También puede implementar sus propias alertas personalizadas para los recursos si sus necesidades se desvían de lo que está en la línea de base.

Preparación de la zona de aterrizaje para migraciones de cargas de trabajo soberanas

Si necesita abordar los requisitos de soberanía, puede evaluar si Microsoft Cloud for Sovereignty se ajusta a sus requisitos. Microsoft Cloud for Sovereignty proporciona una capa adicional de funcionalidades de directiva y auditoría que dan respuesta a las necesidades individuales del sector público y del cliente gubernamental.

Puede habilitar estas funcionalidades mediante la implementación de la zona de aterrizaje soberana. La arquitectura de la zona de aterrizaje soberana está en consonancia con los diseños recomendados de la zona de aterrizaje de Azure.

Cartera de la directiva de Microsoft Cloud for Sovereignty

Mediante Azure Policy, puede habilitar el control centralizado en los recursos de Azure para aplicar configuraciones específicas. Puede asignar las iniciativas de directiva de Microsoft Cloud for Sovereignty a las zonas de aterrizaje para asegurarse de que cumple las directivas locales y los requisitos normativos en su país o región.

Si esas iniciativas de directiva aún no están asignadas a la implementación de la zona de aterrizaje soberana, considere la posibilidad de asignar las iniciativas que corresponden a sus requisitos normativos.

Activar la venta de suscripciones

Esta sección se aplica a las organizaciones que desean automatizar su proceso de aprovisionamiento de suscripciones. Si administra manualmente la creación de la zona de aterrizaje y la suscripción, debe establecer su propio proceso para crear suscripciones.

Cuando empiece a migrar, debe crear suscripciones para las cargas de trabajo. Habilite la venta de suscripciones para automatizar y acelerar este proceso. Una vez se ha establecido la venta de suscripciones, debería poder crear suscripciones rápidamente.

Prepararse para Microsoft Defender for Cloud

Cuando despliega su zona de aterrizaje, también establece políticas para habilitar Defender for Cloud para sus suscripciones de Azure. Defender for Cloud proporciona recomendaciones de posición de seguridad en Secure Score, que evalúa los recursos implementados en la línea de base de seguridad de Microsoft.

No necesita implementar ninguna configuración técnica adicional, debe revisar las recomendaciones y diseñar un plan para mejorar la posición de seguridad a medida que migre los recursos. Cuando empiece a migrar recursos a Azure, debe estar listo para implementar mejoras de seguridad como parte de la optimización de la migración.

Tenga en cuenta estos recursos adicionales para prepararse para la migración:

Pasos siguientes

Preparación de herramientas y un trabajo pendiente de migración inicial