Preparación de la zona de aterrizaje para la migración

En este artículo se describe cómo preparar la zona de aterrizaje de Azure para una migración. También enumera las tareas principales que debe realizar para asegurarse de que las configuraciones están en vigor para el proyecto de migración.

Independientemente de la implementación de referencia de zona de aterrizaje de Azure que usó, debe realizar algunas tareas para preparar la zona de aterrizaje para un proyecto de migración correcto.

Si no ha usado una implementación de referencia de zona de aterrizaje de Azure, debe realizar los pasos descritos en este artículo. Sin embargo, es posible que tenga tareas de requisitos previos para realizar primero o que tenga que adaptar recomendaciones específicas al diseño.

En este artículo se describen las tareas que debe realizar para la zona de aterrizaje de Azure existente después de implementarla. Algunas tareas se centran en implementaciones automatizadas. Se indica si una tarea no es relevante para entornos implementados y administrados manualmente.

Nota:

Antes de completar las tareas detalladas en esta página, asegúrese de que ha implementado la zona de aterrizaje de Azure y ha revisado las áreas de diseño y también los principios de diseño antes de continuar.

Establecimiento de la conectividad híbrida

Durante una implementación de la zona de aterrizaje de Azure, puede implementar una suscripción de conectividad con una red virtual de concentrador y puertas de enlace de red, como puertas de enlace de VPN de Azure, puertas de enlace de Azure ExpressRoute o ambas. Después de la implementación de la zona de aterrizaje de Azure, debe configurar la conectividad híbrida desde estas puertas de enlace para conectarse a los dispositivos del centro de datos existentes o al circuito ExpressRoute.

En la fase de preparación, planificaste la conectividad a Azure. Use este plan para determinar las conexiones que necesita incorporar. Por ejemplo, si usa ExpressRoute, debe trabajar con su proveedor para establecer el circuito ExpressRoute.

Para obtener instrucciones técnicas para escenarios específicos, consulte:

• Cree una conexión VPN desde la puerta de enlace de VPN de Azure.
• Cree un circuito ExpressRoute.
• Cree una conexión de ExpressRoute desde la puerta de enlace de ExpressRoute al circuito.
• Administrar la configuración de puerta de enlace de Azure Virtual WAN.

Nota:

Para obtener instrucciones adicionales, consulte también la documentación específica del proveedor.

Si establece la conectividad híbrida con Azure a través de una aplicación virtual de red (NVA) de terceros que se implementa en la red virtual, revise sus instrucciones específicas y nuestras instrucciones generales para aplicaciones virtuales de red de alta disponibilidad.

Preparación de la identidad

Durante la implementación de la zona de aterrizaje de Azure, también debe implementar una arquitectura auxiliar para la plataforma de identidad. Es posible que tenga una suscripción de identidad dedicada o grupos de recursos y una red virtual o subredes para las máquinas virtuales (VM) que use para la identidad. Sin embargo, debe implementar los recursos de identidad después de la implementación de la zona de aterrizaje de Azure.

En las secciones siguientes se proporcionan instrucciones relacionadas con Active Directory. Si usa un proveedor de identidades diferente para la autenticación y las autorizaciones, debe seguir sus instrucciones sobre cómo extender la identidad a Azure.

Antes de implementar esta guía, revise las decisiones de Identidad híbrida y Active Directory que tomó cuando planeó la zona de aterrizaje.

También debe revisar la línea de base de identidad de la fase de gobernanza para determinar si necesita realizar cambios en Microsoft Entra ID.

Extensión de controladores de dominio de Active Directory

En la mayoría de los escenarios de migración, las cargas de trabajo que migra a Azure ya están unidas a un dominio de Active Directory existente. Microsoft Entra ID ofrece soluciones para modernizar la administración de identidades, incluso para cargas de trabajo de máquina virtual, pero puede interrumpir la migración. La reestructuración del uso de identidades para cargas de trabajo se realiza a menudo durante las iniciativas de modernización o innovación.

Como resultado, debe implementar controladores de dominio en Azure dentro del área de red de identidad que implementó. Después de implementar máquinas virtuales, debe seguir el proceso de promoción normal del controlador de dominio para agregarlas al dominio. Este proceso puede incluir la creación de sitios adicionales para respaldar la topología de replicación.

Para obtener un patrón de arquitectura común para implementar estos recursos, consulte Implementación de Active Directory Domain Services (AD DS) en una red virtual de Azure.

Si implementa la arquitectura de escala empresarial para pequeñas empresas, los servidores de AD DS a menudo se encuentran en una subred del centro. Si implementa la arquitectura hub-and-spoke de escala empresarial o la arquitectura Virtual WAN de escala empresarial, los servidores suelen estar en su red virtual dedicada.

Microsoft Entra Connect

Muchas organizaciones ya tienen Microsoft Entra Connect para rellenar los servicios de Microsoft 365, como Exchange Online. Si la organización no tiene Microsoft Entra Connect, es posible que tenga que instalarla e implementarla después de la implementación de la zona de aterrizaje para poder replicar identidades.

Habilitación de DNS híbrido

La mayoría de las organizaciones deben poder resolver solicitudes del Sistema de nombres de dominio (DNS) para espacios de nombres que forman parte de los entornos existentes. Estos espacios de nombres suelen requerir la integración con servidores de Active Directory. Los recursos del entorno existente deben poder resolver los recursos en Azure.

Para habilitar estas funciones, debe configurar los servicios DNS para admitir flujos comunes. Puede usar zonas de aterrizaje de Azure para implementar muchos de los recursos que necesita. Para consultar y prepararse para tareas adicionales, consulte Resolución DNS en Azure.

Resolución DNS personalizada

Si usa Active Directory para la resolución DNS o si implementa una solución de terceros, debe implementar máquinas virtuales. Puede usar estas máquinas virtuales como servidores DNS si los controladores de dominio se implementan en la suscripción de identidad y red de radio. De lo contrario, debe implementar y configurar las máquinas virtuales para alojar estos servicios.

Después de implementar las máquinas virtuales, debe integrarlas en la plataforma DNS existente para que puedan realizar búsquedas en los espacios de nombres existentes. En el caso de los servidores DNS de Active Directory, esta integración es automática.

También puede usar Azure DNS Private Resolver, pero este servicio no se despliega como parte de su implementación de zona de aterrizaje de Azure.

Si el diseño usa zonas DNS privadas, planee en consecuencia. Por ejemplo, si usa zonas DNS privadas con puntos de conexión privados, consulte Especificar servidores DNS. Las zonas DNS privadas se implementan como parte de la zona de aterrizaje. Si también usa puntos de conexión privados para realizar esfuerzos de modernización, debe tener una configuración adicional para ellos.

Proxy de DNS de Azure Firewall

Puede configurar Azure Firewall como proxy DNS. Azure Firewall puede recibir tráfico y reenviarlo a una resolución de Azure o a los servidores DNS. Esta configuración puede permitir que las búsquedas se realicen desde el entorno local a Azure, pero no se pueden reenviar condicionalmente a servidores DNS locales.

Si necesita una resolución DNS híbrida, puede configurar el proxy DNS de Azure Firewall para reenviar el tráfico a los servidores DNS personalizados, como los controladores de dominio.

Este paso es opcional, pero tiene varias ventajas. Reduce los cambios de configuración más adelante si cambia los servicios DNS y habilita las reglas de nombre de dominio completo (FQDN) en Azure Firewall.

Configuración de servidores DNS de red virtual personalizados

Después de completar las actividades anteriores, puede configurar los servidores DNS para las redes virtuales de Azure en los servidores personalizados que use.

Para obtener más información, consulte Configuración DNS de Azure Firewall.

Configuración del firewall del concentrador

Si ha implementado un firewall en la red central, hay algunas consideraciones que debe abordar para que esté listo para migrar cargas de trabajo. Si no aborda estas consideraciones al principio de la implementación, es posible que se produzcan problemas de enrutamiento y acceso a la red.

Como parte de la realización de estas actividades, revise el área de diseño de redes, especialmente la guía de seguridad de red.

Si implementa una aplicación virtual de red de terceros como firewall, revise las instrucciones del proveedor y nuestras instrucciones generales para aplicaciones virtuales de red de alta disponibilidad.

Implementación de conjuntos de reglas estándar

Si usa un firewall de Azure, todo el tráfico del firewall se bloquea hasta que agregue reglas de permiso explícitas. Muchos otros firewalls de NVA funcionan de forma similar. Se deniega el tráfico hasta que se definen reglas que especifican el tráfico permitido.

Debe agregar reglas individuales y recopilaciones de reglas en función de las necesidades de carga de trabajo. Pero también debe planear tener reglas estándar, como el acceso a Active Directory u otras soluciones de administración y identidades, que se aplican a todas las cargas de trabajo habilitadas.

Enrutamiento

Azure proporciona enrutamiento para los siguientes escenarios sin ninguna configuración adicional:

• Enrutamiento entre recursos de la misma red virtual
• Enrutamiento entre recursos en redes virtuales emparejadas
• Enrutamiento entre recursos y una puerta de enlace de red virtual, ya sea en su propia red virtual o en una red virtual emparejada configurada para usar la puerta de enlace

Dos escenarios de enrutamiento comunes necesitan una configuración adicional. Ambos escenarios tienen tablas de rutas asignadas a subredes para dar forma al enrutamiento. Para más información sobre el enrutamiento de Azure y las rutas personalizadas, consulte Enrutamiento de tráfico de red virtual.

Enrutamiento entre radios

Para el área dediseño de red, muchas organizaciones usan una topología de red en estrella tipo hub-spoke.

Necesita rutas que transfieran el tráfico de un radio a otro. Para mejorar la eficacia y la simplicidad, use la ruta predeterminada (0.0.0.0/0) al firewall. Con esta ruta en su lugar, el tráfico a cualquier ubicación desconocida va al firewall, que inspecciona el tráfico y aplica las reglas de firewall.

Si desea permitir la salida de Internet, también puede asignar otra ruta para su espacio IP privado al firewall, como 10.0.0.0/8. Esta configuración no invalida rutas más específicas. Pero puede usarlo como una ruta sencilla para que el tráfico entre radios pueda enrutar correctamente.

Para obtener más información sobre las redes de radio a radio, consulte Patrones y topologías para la comunicación entre radios.

Enrutamiento desde la subred de puerta de enlace

Si usa redes virtuales para su concentrador, debe planificar cómo gestionar la inspección del tráfico procedente de sus puertas de enlace.

Si tiene previsto inspeccionar el tráfico, necesita dos configuraciones:

• En su suscripción de conectividad, debe crear una tabla de rutas y vincular dicha tabla a la subred de puerta de enlace. La subred de la puerta de enlace necesita una ruta para cada red de radio que quiera asociar, con un próximo salto de la dirección IP del firewall.

• En cada una de sus suscripciones de zona de aterrizaje, debe crear una tabla de rutas y vincularla a cada subred. Deshabilite la propagación del Protocolo de puerta de enlace de borde (BGP) en las tablas de rutas.

Para más información sobre las rutas personalizadas y definidas por Azure, consulte Enrutamiento de tráfico de red virtual de Azure.

Si piensa inspeccionar el tráfico a puntos de conexión privados, habilite la directiva de red de enrutamiento adecuada en la subred donde se hospedan los puntos de conexión privados. Para obtener más información, consulte Administración de directivas de red para puntos de conexión privados.

Si no tiene previsto inspeccionar el tráfico, no se necesitan cambios. Sin embargo, si agrega tablas de rutas a las subredes de red de radio, habilite la propagación BGP para que el tráfico pueda enrutarse a la puerta de enlace.

Configuración de la supervisión y administración

Como parte de la implementación de la zona de aterrizaje, has aprovisionado directivas que registran tus recursos en los registros de Azure Monitor. Pero también debe crear alertas para los recursos de la zona de aterrizaje.

Para implementar alertas, puede implementar la línea base de Azure Monitor para zonas de aterrizaje. Use esta implementación para obtener alertas basadas en escenarios comunes para la administración de zonas de aterrizaje, como los recursos de conectividad y el estado del servicio.

También puede implementar sus propias alertas personalizadas para los recursos si sus necesidades se desvía de lo que se encuentra en la línea base.

Preparación de la zona de aterrizaje para migraciones de cargas de trabajo soberanas

Si necesita abordar los requisitos de soberanía, puede evaluar si Microsoft Cloud for Sovereignty se ajusta a sus requisitos. Microsoft Cloud for Sovereignty proporciona una capa adicional de funcionalidades de directiva y auditoría que abordan las necesidades individuales del sector público y del cliente gubernamental.

Puede habilitar estas funcionalidades mediante la implementación de la zona de aterrizaje soberana. La arquitectura de la zona de aterrizaje soberana se alinea con los diseños recomendados de zona de aterrizaje de Azure .

Cartera de políticas de Microsoft Cloud para la Soberanía

Mediante Azure Policy, puede habilitar el control centralizado en los recursos de Azure para aplicar configuraciones específicas. Puede asignar las iniciativas de directiva de Microsoft Cloud for Sovereignty a las zonas de aterrizaje para asegurarse de que cumple las directivas locales y los requisitos normativos en su país o región.

Si esas iniciativas de directiva aún no están asignadas a la implementación de sovereign landing zone, considere la posibilidad de asignar las iniciativas que corresponden a sus requisitos normativos.

Activar la venta de suscripciones

Esta sección se aplica a las organizaciones que desean automatizar su proceso de aprovisionamiento de suscripciones. Si administra manualmente la creación de la zona de aterrizaje y la suscripción, debe establecer su propio proceso para crear suscripciones.

Al empezar a migrar, debe crear suscripciones para las cargas de trabajo. Habilite la gestión de suscripciones para automatizar y acelerar este proceso. Cuando se establece la venta de suscripciones, deberías poder crear suscripciones rápidamente.

Preparación para Microsoft Defender for Cloud

Al implementar la zona de aterrizaje, también establece directivas para habilitar Defender for Cloud para las suscripciones de Azure. Defender for Cloud proporciona recomendaciones de posición de seguridad en Secure Score, que evalúa los recursos implementados en la línea de base de seguridad de Microsoft.

No es necesario implementar configuraciones técnicas adicionales, pero debe revisar las recomendaciones y diseñar un plan para mejorar la posición de seguridad a medida que migra los recursos. Al empezar a migrar recursos a Azure, debe estar listo para implementar mejoras de seguridad como parte de la optimización de la migración.

Recursos relacionados

Tenga en cuenta estos recursos adicionales para prepararse para la migración:

• Preparar una directiva corporativa inicial definida y bien comprendida
• Creación de un plan adecuado para la facturación de Azure
• Asegúrese de que tiene una alineación organizativa adecuada y un plan para administrarlo
• Desarrollo de estándares de nomenclatura y etiquetado