Escenario: Transición de un entorno de organización regional a la arquitectura conceptual de la zona de aterrizaje de Azure

  • Artículo

En este artículo se describen las consideraciones e instrucciones para migrar y realizar la transición del entorno de Azure a la arquitectura conceptual de la zona de aterrizaje de Azure. En este escenario se trata una organización regional con grupos de administración que se separan en entornos de desarrollo, pruebas y producción (desarrollo/pruebas/producción).

En este escenario, el cliente tiene una gran superficie en Azure. Tienen una jerarquía de grupos de administración organizada por entornos de desarrollo, pruebas y producción y, después, por región. Su implementación actual limita su escalabilidad y crecimiento. Tienen aplicaciones implementadas en todo el mundo. Un equipo de TI central administra cada región. En este escenario, las regiones son América; Europa, Oriente Medio y África (EMEA); y Asia-Pacífico (APAC).

El cliente quiere pasar de su entorno existente a la arquitectura conceptual de las zonas de aterrizaje de Azure. Este enfoque admite su estrategia de primero en la nube y tiene una plataforma sólida que se escala a medida que el cliente retira sus centros de datos locales.

Estado actual

En este escenario, el estado actual del entorno de Azure del cliente consta de:

  • Varios grupos de administración.
  • Una jerarquía de grupos de administración basada en entornos de desarrollo, pruebas y producción en el primer nivel y, después, basada en la geografía en el segundo nivel.
  • Una suscripción de Azure para cada entorno de geografía y aplicación, como desarrollo/pruebas/producción. Esta suscripción es necesaria para proporcionar a los desarrolladores un entorno relajado para realizar pruebas e innovar.
  • Algunas cargas de trabajo críticas que necesitan el mismo modelo de gobernanza entre desarrollo, pruebas y producción, que pueden crear desafíos de gobernanza para el cliente.
  • Distribución de recursos no uniforme. Los recursos de plataforma y carga de trabajo para un único entorno se implementan en las mismas suscripciones de Azure.
  • Aplicaciones que se implementan en las suscripciones respectivas en función de su región y clasificación de entorno, como desarrollo/pruebas/producción.
  • Asignaciones de directivas, como efectos de auditoría y efectos de denegación, que se asignan en el nivel de grupo de administración y suscripción.
  • El mismo conjunto de directivas de Azure aplicadas a todas las aplicaciones de la misma región y en el mismo tipo de entorno.
  • Asignaciones de roles de control de acceso basado en rol para cada suscripción y grupo de recursos.
  • Una red virtual central, como Azure VPN Gateway o Azure ExpressRoute, para la conectividad híbrida.
  • Una red virtual para cada entorno de aplicación.
  • Un equipo de TI central que controla y opera el grupo de administración correspondiente para cada región. El equipo se enfrenta a algunos desafíos de coherencia, configuración y cumplimiento cuando se trata de directivas, control de acceso, configuración de recursos de plataforma y cumplimiento de seguridad, ya que algunas aplicaciones se implementan en varias regiones.

En el diagrama siguiente se muestra el estado actual de este escenario de ejemplo.

Diagram that shows the regional organization environment.

Transición a la arquitectura conceptual de la zona de aterrizaje de Azure

Antes de implementar este enfoque, revise Arquitectura conceptual de la zona de aterrizaje de Azure, Principios de diseño de zona de aterrizaje de Azure y Áreas de diseño de zona de aterrizaje de Azure.

Para realizar la transición del estado actual de este escenario a una arquitectura conceptual de zona de aterrizaje de Azure, use este enfoque:

  1. Implemente el acelerador de zona de aterrizaje de Azure en el inquilino de Microsoft Entra ID en paralelo con el entorno actual. Este método proporciona una transición fluida y por fases a la nueva arquitectura de zona de aterrizaje con una interrupción mínima de las cargas de trabajo activas.

    Esta implementación crea una nueva estructura de grupo de administración. Esta estructura está alineada con los principios y recomendaciones de diseño de las zonas de aterrizaje de Azure. También garantiza que estos cambios no afecten al entorno existente.

    Para obtener más información, consulte Cómo controlar una zona de aterrizaje de carga de trabajo de desarrollo/pruebas/producción.

    Para obtener información sobre el uso de la jerarquía de grupos de administración de espacio aislado para permitir a los desarrolladores probar y experimentar sin afectar a otros entornos, consulte Guía de entornos de espacio aislado de la zona de aterrizaje de Azure.

    Para obtener información sobre cómo minimizar la interrupción de las aplicaciones y los servicios durante la migración, consulte Guía de adopción de límites de protección controlados por directivas.

  2. (Opcional) Trabaje con equipos de aplicación o servicio para migrar las cargas de trabajo que se implementan en las suscripciones originales a nuevas suscripciones de Azure. Para más información, consulte Transición de entornos de Azure existentes a la arquitectura conceptual de la zona de aterrizaje de Azure. Puede colocar cargas de trabajo en la jerarquía del grupo de administración de arquitectura conceptual de la zona de aterrizaje de Azure recién implementada en el grupo de administración correcto, como corporativo o en línea en el diagrama siguiente.

    Para obtener más información sobre el efecto en los recursos al migrar, consulte Directivas.

    Finalmente, puede cancelar la suscripción de Azure existente y colocarla en el grupo de administración retirado.

    Nota:

    No es necesario migrar las aplicaciones o servicios existentes a nuevas zonas de aterrizaje ni suscripciones de Azure.

  3. Cree nuevas suscripciones de Azure para proporcionar zonas de aterrizaje que puedan admitir nuevas aplicaciones y cargas de trabajo. Colóquelas en el grupo de administración adecuado, como corporativo o en línea en el diagrama siguiente.

    Para obtener más información, consulte Preparación de la zona de aterrizaje para obtener instrucciones de migración.

En el diagrama siguiente se muestra el estado de este escenario durante la migración.

Diagram that shows a single subscription environment in a transition state.

Resumen

En este escenario, el cliente estableció la base necesaria para admitir sus planes de crecimiento y escaldo para sus cargas de trabajo en Azure mediante la implementación de la arquitectura conceptual de la zona de aterrizaje de Azure en paralelo a su entorno existente.