Préparer votre zone d’atterrissage pour la migration

Cet article explique comment préparer votre zone d’atterrissage Azure pour une migration. Il répertorie également les principales tâches que vous devez effectuer pour vous assurer que les configurations sont en place pour votre projet de migration.

Quelle que soit l’implémentation de référence de la zone d’atterrissage Azure que vous avez utilisée, vous devez effectuer certaines tâches pour préparer votre zone d’atterrissage pour un projet de migration réussi.

Si vous n’avez pas utilisé d’implémentation de référence de zone d’atterrissage Azure, vous devez toujours effectuer les étapes décrites dans cet article. Toutefois, vous pouvez avoir des tâches préalables à effectuer en premier, ou vous devrez peut-être adapter des recommandations spécifiques à votre conception.

Cet article décrit les tâches que vous devez effectuer pour votre zone d’atterrissage Azure existante après son déploiement. Certaines tâches se concentrent sur les déploiements automatisés. Il est noté si une tâche n’est pas pertinente pour les environnements déployés et gérés manuellement.

Remarque

Avant d’effectuer les tâches détaillées sur cette page, vérifiez que vous avez implémenté votre zone d’atterrissage Azure et examiné les zones de conception et les principes de conception avant de continuer.

Établir une connectivité hybride

Lors d’un déploiement de zone d’atterrissage Azure, vous pouvez déployer un abonnement connectivité avec un réseau virtuel hub et des passerelles réseau, telles que des passerelles VPN Azure, des passerelles Azure ExpressRoute ou les deux. Après le déploiement de votre zone d’atterrissage Azure, vous devez toujours configurer la connectivité hybride à partir de ces passerelles pour vous connecter à vos appliances de centre de données existantes ou à votre circuit ExpressRoute.

Au cours de la phase prête, vous avez planifié votre connectivité à Azure. Utilisez ce plan pour déterminer les connexions que vous devez incorporer. Par exemple, si vous utilisez ExpressRoute, vous devez travailler avec votre fournisseur pour établir votre circuit ExpressRoute.

Pour obtenir des conseils techniques pour des scénarios spécifiques, consultez :

• Créez une connexion VPN à partir de votre passerelle VPN Azure.
• Créez un circuit ExpressRoute.
• Créez une connexion ExpressRoute à partir de votre passerelle ExpressRoute vers votre circuit.
• Gérer les paramètres de passerelle Azure Virtual WAN.

Remarque

Pour obtenir des conseils supplémentaires, reportez-vous également à la documentation spécifique de votre fournisseur.

Si vous établissez votre connectivité hybride à Azure via une appliance virtuelle réseau tierce déployée dans votre réseau virtuel, passez en revue leurs conseils spécifiques et nos conseils généraux pour les appliances virtuelles réseau hautement disponibles.

Préparer l’identité

Pendant le déploiement de votre zone d’atterrissage Azure, vous devez également déployer une architecture de prise en charge pour votre plateforme d’identité. Vous pouvez avoir un abonnement d’identité dédié ou des groupes de ressources et un réseau virtuel ou des sous-réseaux pour les machines virtuelles que vous utilisez pour l’identité. Toutefois, vous devez déployer les ressources d’identité après le déploiement de la zone d’atterrissage Azure.

Les sections suivantes fournissent des conseils relatifs à Active Directory. Si vous utilisez un autre fournisseur d’identité pour l’authentification et les autorisations, vous devez suivre leurs instructions sur l’extension de votre identité à Azure.

Avant d’implémenter ces conseils, passez en revue les décisions d’identité Active Directory et d’identité hybride que vous avez prises lorsque vous avez planifié votre zone d’atterrissage.

Vous devez également passer en revue votre base de référence d’identité à partir de la phase de gouvernance pour déterminer si vous devez apporter des modifications dans l’ID Microsoft Entra.

Étendre les contrôleurs de domaine Active Directory

Dans la plupart des scénarios de migration, les charges de travail que vous migrez vers Azure sont déjà jointes à un domaine Active Directory existant. Microsoft Entra ID offre des solutions pour moderniser la gestion des identités, même pour les charges de travail de machine virtuelle, mais elle peut perturber la migration. La réarchitecture de l’utilisation des identités pour les charges de travail est souvent effectuée pendant les initiatives de modernisation ou d’innovation.

Par conséquent, vous devez déployer des contrôleurs de domaine sur Azure à l’intérieur de la zone réseau d’identité que vous avez déployée. Après avoir déployé des machines virtuelles, vous devez suivre votre processus normal de promotion du contrôleur de domaine pour les ajouter au domaine. Ce processus peut inclure la création de sites supplémentaires pour prendre en charge votre topologie de réplication.

Pour obtenir un modèle d’architecture courant pour déployer ces ressources, consultez Déployer Active Directory Domain Services (AD DS) dans un réseau virtuel Azure.

Si vous implémentez l’architecture à l’échelle de l’entreprise pour les petites entreprises, les serveurs AD DS se trouvent souvent dans un sous-réseau du hub. Si vous implémentez l’architecture hub-and-spoke à l’échelle de l’entreprise ou l’architecture Virtual WAN à l’échelle de l’entreprise, les serveurs se trouvent souvent dans leur réseau virtuel dédié.

Microsoft Entra Connect

De nombreuses organisations disposent déjà de Microsoft Entra Connect pour remplir les services Microsoft 365, tels qu’Exchange Online. Si votre organisation n’a pas Microsoft Entra Connect, vous devrez peut-être l’installer et la déployer après le déploiement de votre zone d’atterrissage afin de pouvoir répliquer des identités.

Activer le DNS hybride

La plupart des organisations doivent être en mesure de résoudre les demandes DNS (Domain Name System) pour les espaces de noms qui font partie d’environnements existants. Ces espaces de noms nécessitent souvent une intégration avec des serveurs Active Directory. Et les ressources de l’environnement existant doivent être en mesure de résoudre les ressources dans Azure.

Pour activer ces fonctions, vous devez configurer les services DNS pour prendre en charge les flux courants. Vous pouvez utiliser des zones d’atterrissage Azure pour déployer la plupart des ressources dont vous avez besoin. Pour obtenir des tâches supplémentaires à examiner et à préparer, consultez la résolution DNS dans Azure.

Résolution DNS personnalisée

Si vous utilisez Active Directory pour votre programme de résolution DNS ou si vous déployez une solution tierce, vous devez déployer des machines virtuelles. Vous pouvez utiliser ces machines virtuelles comme serveurs DNS si vos contrôleurs de domaine sont déployés sur votre abonnement d'Identité et l'embranchement réseau. Sinon, vous devez déployer et configurer les ordinateurs virtuels pour héberger ces services.

Après avoir déployé les ordinateurs virtuels, vous devez les intégrer à votre plateforme DNS existante afin qu’ils puissent effectuer des recherches sur vos espaces de noms existants. Pour les serveurs DNS Active Directory, cette intégration est automatique.

Vous pouvez également utiliser azure DNS Private Resolver, mais ce service n’est pas déployé dans le cadre de votre déploiement de zone d’atterrissage Azure.

Si votre conception utilise des zones DNS privées, planifiez en conséquence. Par exemple, si vous utilisez des zones DNS privées avec des points de terminaison privés, consultez Spécifier des serveurs DNS. Les zones DNS privées sont déployées dans le cadre de votre zone d’atterrissage. Si vous utilisez également des points de terminaison privés pour effectuer des efforts de modernisation, vous devez disposer d’une configuration supplémentaire pour eux.

Proxy DNS du Pare-feu Azure

Vous pouvez configurer le Pare-feu Azure en tant que proxy DNS. Le Pare-feu Azure peut recevoir le trafic et le transférer vers un programme de résolution Azure ou vos serveurs DNS. Cette configuration peut permettre aux recherches d’être effectuées à partir d’un site local vers Azure, mais elles ne peuvent pas être transférées de manière conditionnelle vers des serveurs DNS locaux.

Si vous avez besoin d’une résolution DNS hybride, vous pouvez configurer le proxy DNS du pare-feu Azure pour transférer le trafic vers vos serveurs DNS personnalisés, tels que vos contrôleurs de domaine.

Cette étape est facultative, mais elle présente plusieurs avantages. Elle réduit les modifications de configuration ultérieurement si vous modifiez les services DNS et active les règles de nom de domaine complet (FQDN) dans le Pare-feu Azure.

Configurer des serveurs DNS de réseau virtuel personnalisés

Une fois les activités précédentes terminées, vous pouvez configurer les serveurs DNS de vos réseaux virtuels Azure sur les serveurs personnalisés que vous utilisez.

Pour plus d’informations, consultez Paramètres DNS du Pare-feu Azure.

Configurer le pare-feu hub

Si vous avez déployé un pare-feu dans votre réseau hub, il existe quelques considérations à prendre en compte pour que vous soyez prêt à migrer des charges de travail. Si vous ne répondez pas à ces considérations au début de votre déploiement, vous risquez de rencontrer des problèmes de routage et d’accès réseau.

Dans le cadre de ces activités, passez en revue la zone de conception réseau, en particulier les conseils de sécurité réseau.

Si vous déployez une appliance virtuelle réseau tierce en tant que pare-feu, passez en revue les conseils du fournisseur et nos conseils généraux pour les appliances virtuelles réseau hautement disponibles.

Déployer des ensembles de règles standard

Si vous utilisez un pare-feu Azure, tout le trafic de pare-feu est bloqué jusqu’à ce que vous ajoutiez des règles d’autorisation explicites. De nombreux autres pare-feu NVA fonctionnent de la même façon. Le trafic est refusé jusqu’à ce que vous définissiez des règles qui spécifient le trafic autorisé.

Vous devez ajouter des règles individuelles et des regroupements de règles en fonction des besoins de charge de travail. Toutefois, vous devez également planifier des règles standard, telles que l’accès à Active Directory ou à d’autres solutions d’identité et de gestion, qui s’appliquent à toutes les charges de travail activées.

Routage

Azure fournit un routage pour les scénarios suivants sans configuration supplémentaire :

• Routage entre les ressources du même réseau virtuel
• Routage entre les ressources de réseaux virtuels appairés
• Routage entre des ressources et une passerelle de réseau virtuel, soit dans son propre réseau virtuel, soit appairé pour utiliser la passerelle

Deux scénarios de routage courants nécessitent une configuration supplémentaire. Les deux scénarios ont des tables de routage affectées aux sous-réseaux pour mettre en forme le routage. Pour plus d’informations sur le routage Azure et les itinéraires personnalisés, consultez Routage du trafic réseau virtuel.

Routage inter-spokes

Pour la zone de conception du réseau, de nombreuses organisations utilisent une topologie de réseau hub-spoke.

Vous avez besoin d’itinéraires qui transfèrent le trafic d’un spoke à un autre. Pour plus d’efficacité et de simplicité, utilisez l’itinéraire par défaut (0.0.0.0/0) vers votre pare-feu. Avec cette route en place, le trafic vers n’importe quel emplacement inconnu accède au pare-feu, qui inspecte le trafic et applique vos règles de pare-feu.

Si vous souhaitez autoriser le trafic sortant vers Internet, vous pouvez également affecter un autre itinéraire pour votre espace IP privé au pare-feu, tel que par exemple 10.0.0.0/8. Cette configuration ne remplace pas les itinéraires plus spécifiques. Mais vous pouvez l'utiliser comme un itinéraire simple pour que le trafic inter-spoke soit correctement routé.

Pour plus d’informations sur la mise en réseau spoke-to-spoke, consultez Modèles et topologies pour la communication inter-spokes.

Routage à partir du sous-réseau de la passerelle

Si vous utilisez des réseaux virtuels pour votre hub, vous devez planifier la gestion de l’inspection du trafic provenant de vos passerelles.

Si vous envisagez d’inspecter le trafic, vous avez besoin de deux configurations :

• Dans votre abonnement Connectivité, vous devez créer une table de routage et la lier au sous-réseau de passerelle. Le sous-réseau de la passerelle a besoin d'une route pour tous les réseaux parlés que vous avez l'intention d'attacher, avec un saut suivant de l'adresse IP de votre pare-feu.

• Dans chacun de vos abonnements de zone d’atterrissage, vous devez créer une table de routage et la lier à chaque sous-réseau. Désactivez la propagation BGP (Border Gateway Protocol) sur les tables de routage.

Pour plus d’informations sur les itinéraires personnalisés et définis par Azure, consultez routage du trafic de réseau virtuel Azure.

Si vous envisagez d’inspecter le trafic vers des points de terminaison privés, activez la stratégie réseau de routage appropriée sur le sous-réseau où les points de terminaison privés sont hébergés. Pour en savoir plus, consultez Gestion des stratégies réseau pour les points de terminaison privés.

Si vous n’avez pas l’intention d’inspecter le trafic, aucune modification n’est nécessaire. Toutefois, si vous ajoutez des tables de routage à vos sous-réseaux réseau spoke, activez la propagation BGP afin que le trafic puisse revenir à votre passerelle.

Configurer la supervision et la gestion

Dans le cadre du déploiement de votre zone d’atterrissage, vous avez provisionné des stratégies qui inscrivent vos ressources dans les journaux Azure Monitor. Toutefois, vous devez également créer des alertes pour vos ressources de zone d’atterrissage.

Pour implémenter des alertes, vous pouvez déployer la base de référence Azure Monitor pour les zones d’atterrissage. Utilisez ce déploiement pour obtenir des alertes basées sur des scénarios courants de gestion des zones d’atterrissage, tels que les ressources de connectivité et l’intégrité du service.

Vous pouvez également déployer vos propres alertes personnalisées pour les ressources si vos besoins s’écartent de ce qui se trouve dans la base de référence.

Préparez votre zone d’atterrissage pour les migrations de charges de travail sensibles

Si vous devez répondre aux exigences de souveraineté, vous pouvez évaluer si Microsoft Cloud for Sovereignty répond à vos besoins. Microsoft Cloud for Sovereignty fournit une couche supplémentaire de fonctionnalités de stratégie et d’audit qui répondent aux besoins individuels du secteur public et du gouvernement.

Vous pouvez activer ces fonctionnalités en déployant la zone d’atterrissage souveraine. L’architecture de la zone d’atterrissage souveraine s’aligne sur les conceptions recommandées de zone d’atterrissage Azure .

Portefeuille de stratégies de Microsoft Cloud for Sovereignty

À l’aide d’Azure Policy, vous pouvez activer le contrôle centralisé sur les ressources Azure pour appliquer des configurations spécifiques. Vous pouvez affecter les initiatives de stratégie Microsoft Cloud for Sovereignty à vos zones d’atterrissage pour vous assurer que vous respectez les stratégies locales et les exigences réglementaires dans votre pays/région.

Si ces initiatives de stratégie ne sont pas encore affectées à votre déploiement de zone d’atterrissage souveraine, envisagez d’attribuer les initiatives qui correspondent à vos exigences réglementaires.

Activer la vente d’abonnements

Cette section s’applique aux organisations qui souhaitent automatiser leur processus d’approvisionnement d’abonnement. Si vous gérez manuellement votre zone d’atterrissage et votre création d’abonnement, vous devez établir votre propre processus de création d’abonnements.

Lorsque vous commencez à migrer, vous devez créer des abonnements pour vos charges de travail. Activez la distribution d’abonnements pour automatiser et accélérer ce processus. Lorsque la vente d’abonnements est établie, vous devez être en mesure de créer rapidement des abonnements.

Préparer Microsoft Defender pour le cloud

Lorsque vous déployez votre zone d’atterrissage, vous définissez également des stratégies pour activer Defender pour cloud pour vos abonnements Azure. Defender pour le cloud fournit des recommandations sur l’état de la sécurité via son niveau de sécurité, qui évalue les ressources déployées par rapport à la base de référence de sécurité de Microsoft.

Vous n’avez pas besoin d’implémenter d’autres configurations techniques, mais vous devez passer en revue les recommandations et concevoir un plan pour améliorer votre posture de sécurité lorsque vous migrez des ressources. Lorsque vous commencez à migrer des ressources vers Azure, vous devez être prêt à implémenter des améliorations de sécurité dans le cadre de votre optimisation de la migration.

Ressources associées

Tenez compte de ces ressources supplémentaires pour préparer la migration :

• Préparer une stratégie d’entreprise initiale définie et bien comprise
• Créer un plan adéquat pour la facturation Azure
• Assurez-vous que vous disposez d’un alignement organisationnel approprié et d’un plan pour le gérer
• Définir une convention d’affectation de noms et unestratégie d’étiquetage