Escenario: transición de grupos de administración a la arquitectura conceptual de la zona de aterrizaje de Azure

  • Artículo

En este artículo se describen las consideraciones e instrucciones para migrar y realizar la transición del entorno existente a la arquitectura conceptual de las zonas de aterrizaje de Azure. En este escenario se tratan varios grupos de administración únicos o varios.

En este escenario, se supone que el cliente ya usa Azure. Tienen una jerarquía de grupos de administración con varias suscripciones que hospedan algunas aplicaciones o servicios dentro de la plataforma. Sin embargo, su implementación actual limita su escalabilidad y crecimiento en relación a su estrategia de primero en la nube.

Como parte de esta expansión, también planean migrar fuera de sus centros de datos locales y en Azure. Durante la migración, conducen a la modernización y transformación de sus aplicaciones o servicios para usar tecnologías nativas de nube siempre que sea posible. Por ejemplo, pueden usar Azure SQL Database y Azure Kubernetes Service (AKS). Saben que se tarda mucho tiempo y esfuerzo, por lo que planean lift-and-shift para empezar. Inicialmente, este plan requiere conectividad híbrida a través de servicios como Azure VPN Gateway o Azure ExpressRoute.

El cliente quiere mover su entorno existente a la arquitectura conceptual de las zonas de aterrizaje de Azure. Esta arquitectura respalda su estrategia de nube primero y tiene una plataforma sólida que escala a medida que el cliente retira sus centros de datos locales.

Estado actual

En este escenario, el estado actual del entorno de Azure del cliente consta de:

  • Uno o varios grupos de administración.
  • Una jerarquía de grupos de administración basada en la estructura organizativa o la geografía.
  • Una suscripción de Azure para cada entorno de aplicación, como desarrollo, pruebas o producción (desarrollo/pruebas/producción).
  • Distribución de recursos no uniforme. Los recursos de plataforma y carga de trabajo para un único entorno se implementan en las mismas suscripciones de Azure.
  • Asignaciones de directivas con efectos de auditoría y efectos de denegación asignados en el nivel de grupo de administración y suscripción.
  • Asignaciones de roles de control de acceso basado en rol para cada suscripción y grupo de recursos.
  • Una red virtual central, como Azure VPN Gateway o Azure ExpressRoute, para la conectividad híbrida.
  • Una red virtual para cada entorno de aplicación.
  • Aplicaciones que se implementan en la suscripción respectiva en función de su clasificación de entorno, como desarrollo, pruebas o producción.
  • Un equipo de TI central que controla y opera el entorno.

En el diagrama siguiente se muestra el estado actual de este escenario.

Diagram that shows a single subscription environment.

Transición a la arquitectura conceptual de la zona de aterrizaje de Azure

Antes de implementar este enfoque, revise Arquitectura conceptual de la zona de aterrizaje de Azure, Principios de diseño de zona de aterrizaje de Azure y Áreas de diseño de zona de aterrizaje de Azure.

Para pasar del estado actual de este escenario a una arquitectura conceptual de zona de aterrizaje de Azure, use el siguiente enfoque:

  1. Implemente el acelerador de zona de aterrizaje de Azure en el inquilino de Microsoft Entra ID en paralelo con el entorno actual. Este método proporciona una transición fluida y por fases a la nueva arquitectura de zona de aterrizaje con una interrupción mínima de las cargas de trabajo activas.

    Esta implementación crea una nueva estructura de grupo de administración. Esta estructura está alineada con los principios y recomendaciones de diseño de las zonas de aterrizaje de Azure. También garantiza que estos cambios no afecten al entorno existente.

    Para obtener más información, consulte Cómo controlar una zona de aterrizaje de carga de trabajo de desarrollo/pruebas/producción.

  2. (Opcional) Trabaje con equipos de aplicación o servicio para migrar las cargas de trabajo que se implementan en las suscripciones originales a nuevas suscripciones de Azure. Para obtener más información, consulte Transición de un entorno de Azure existente a la arquitectura conceptual de la zona de aterrizaje de Azure. Puede colocar cargas de trabajo en la jerarquía del grupo de administración de arquitectura conceptual de la zona de aterrizaje de Azure recién implementada en el grupo de administración correcto, como corporativo o en línea en el diagrama siguiente.

    Para obtener más información sobre el efecto en los recursos al migrar, consulte Directivas.

    Finalmente, puede cancelar la suscripción de Azure existente y colocarla en el grupo de administración retirado.

    Nota:

    No es necesario migrar las aplicaciones o servicios existentes a nuevas zonas de aterrizaje ni suscripciones de Azure.

  3. Cree nuevas suscripciones de Azure para proporcionar zonas de aterrizaje que admitan proyectos de migración desde el entorno local. Colóquelas en el grupo de administración adecuado, como corporativo o en línea en el diagrama siguiente.

    Para obtener más información, consulte Preparación de la zona de aterrizaje para la migración.

En el diagrama siguiente se muestra el estado de este escenario durante la migración.

Diagram that shows a single subscription environment in a transition state.

Resumen

En este escenario, el cliente logró sus planes de expansión y escalamiento dentro de Azure mediante la implementación de la arquitectura conceptual de la zona de aterrizaje de Azure en paralelo a su entorno existente.